基于可信平臺模塊的云計算安全研究

鄭燕玲

（汕頭職業技術學院，廣東 汕頭 505000）

1 云計算安全

1.1 云計算的概念

“云計算”最早是IBM公司提出的概念，是繼分布式計算、并行計算和網格計算之后出現的一種新型互聯網服務模式。

云計算基于“網絡就是計算機”的思想［1］，利用互聯網將大量的IT基礎資源（包括計算、存儲、網絡、軟件等）整合在一起，形成大規模的共享資源池，再通過先進的虛擬化技術和資源按需分配與調度等技術，對遠程用戶提供IT資源按需租用的服務。概括來說，它包括云計算服務、支撐云計算服務運營的云計算平臺和保障云計算平臺高效運行的云計算相關技術。在云計算模式下，用戶無需自己購置服務器、系統軟件等各種軟硬件設備，只需通過互聯網將各種計算、存儲等任務提交給云計算提供商，由其利用分布式計算機群完成任務后，通過互聯網將結果反饋給自己。

通過分布式資源的整合，云計算構建了應對各種服務要求的計算環境，滿足了用戶的定制化需求，使用戶可以只專注于自身業務，大大降低了用戶的IT運維成本。在云計算環境中，IT領域按需服務的理念得到了真正體現［2］。

美國國家標準與技術研究院（NIST）歸納了云計算的三種交付模式［3］：1）軟件即服務（software as a service，SaaS），提供給用戶以服務的方式使用應用程序的能力；2）平臺即服務（platform as a service，PaaS），提供給用戶在云基礎設施之上部署和使用開發環境的能力；3）基礎設備即服務（infrastructure as a service，IaaS），提供給用戶以服務的方式使用各種基礎資源的能力。

縱觀云計算短短數年的發展史，它經過了從概念走向實踐、從技術重組走向模式創新的歷程，被認為是引領未來20年產業變革的關鍵技術，具有巨大的市場潛力。據Gartner公司預測，到2015年，全球云計算總收入將突破1800億美元。當前，如何利用云計算相關成果來促進信息化和工業化的整合、推動國計民生行業的發展，已成為各國發展戰略的重要組成部分。

1.2 云計算安全的概念

在云計算環境中，由于缺乏透明性，用戶的大量私密數據被搬到云端而得不到可靠的安全保障。因此，從云計算發展之日起，安全問題便一直是制約其發展的重要因素。根據國際權威咨詢集團IDC的一份調查報告，安全是用戶對云計算的主要顧慮，大約有75%的受訪者擔心安全問題。雖然目前云計算技術正日臻成熟，但它所帶來的數據安全、應用安全等問題，仍是大多數企業對它望而卻步的主要原因。

為解決云計算的安全問題，很多企業機構、研究團體和標準化組織都展開了相應研究。這些研究針對云計算自身存在的安全隱患，研究相應的安全防護措施和解決方案，如云計算安全體系架構、云計算應用服務安全、云計算環境的數據保護等［1］，意在創建一個安全的云計算環境，使云計算實現健康可持續的發展。

在云計算安全的研究成果中，可信計算是其中一個熱點及重要研究方向。

1.3 云計算安全的挑戰

在云計算環境中，資源的高度集中化、虛擬化、多租戶和動態性等特點，為它帶來了一系列有別于傳統網絡的新風險。當前云計算所面臨的安全問題可以歸結為以下三個層面：

1）用戶的數據安全和應用安全。主要包括多租戶環境下來自云計算提供商和其他用戶的未授權訪問、數據訪問控制、隱私保護、內容安全管理、用戶認證和身份管理等問題。

2）云計算服務平臺本身的安全。主要來自缺乏安全保障機制所引起的云計算服務平臺本身的私密性、完整性、可用性、可靠性、可審計性、可控性等問題。

3）云服務的濫用。主要是缺乏針對云計算服務水平和合法性的監督管理機制所致。

2 可信計算技術

2.1 可信計算的概念

關于可信的定義，目前在學術界并沒有統一說法。可信計算工作組 TCG（Trusted Computing Group）認為：如果一個實體的行為總是以預期的方式，朝著預期的目標，那么它是可信的［4］。在它看來，可信是一種期望，在這種期望下設備按照特定目的以特定方式運轉［5］。雖然不同專家、組織對可信的定義不盡相同，但卻有一個共同點，就是都強調實體行為的預期性和系統的安全性、可靠性，認為安全性和可靠性是可信的最重要內涵。

可信計算（Trusted Computing）的主要思路，是在系統硬件平臺上引入可信平臺模塊，以提高終端系統的安全性。其基本思想是，先在計算機系統中建立一個物理安全的信任根，再基于該信任根建立一條認證和信任鏈，把信任擴展到整個系統，最終確保整個系統的可信。其中，信任根是指能夠保證所有應用主體行為可信的基本安全模塊，它不僅可以判斷行為結果的可信性，還能夠杜絕一切非授權行為的實施，是構建可信系統的基礎［2］。圖1所示是信任鏈在可信計算機系統中的傳遞過程。

圖1 可信計算機系統中的信任鏈

可信計算技術通過提供可信的軟硬件及證明自身行為可信的機制，在系統中建立起一個安全驗證體系，向用戶提供可信的計算服務，它能夠在不泄露任何信息的前提下對用戶數據執行各種功能操作，解決了外包數據的機密性和完整性問題，保證了整個系統的可靠性、可用性和安全性。可信計算具有安全風險控制、安全檢測與應急響應等各種功能，它具體包括可信硬件、可信軟件、可信網絡和可信計算應用等諸多方面。

2.2 可信平臺模塊

可信平臺模塊 TPM（Trusted Platform Module）是整個可信計算技術體系的核心，它根據TCG制定的標準而實現，是一種植于計算機硬件之上、用于提供可信運算基礎的安全芯片。TPM是可信計算平臺的信任根，其可信性由物理安全和管理安全共同確保［6］。目前全球采用TPM芯片的終端已高達19億。

TPM本質上是一個SoC芯片系統，其體系結構如圖2所示，內含獨立的中央處理器、密碼協處理器、隨機數發生器、存儲器和I／O等部件，能夠完成可信度量存儲、可信度量報告、密鑰產生、加密簽名、用戶認證、數據安全存儲、系統監控等安全信任功能。

圖2 TPM體系結構［5］

3 基于TPM的云計算安全

3.1 可信云計算

可信云計算是指將可信計算技術融入云計算環境中，構建一個可信云安全體系架構，以可信賴方式向用戶提供云服務。它是云計算安全的一種關鍵技術。

可信云計算的基本思想是：在云中植入一個信任根，讓計算機從BIOS到操作系統內核層、再到云應用層都構建信任關系；以此為基礎，擴大到云中的網絡，建立相應的信任關系鏈；通過信任鏈的擴充，最終建立起可信云［7］。由于每個云的終端都植入了一個信任根，這些終端在受到攻擊時將進行自我保護，還能實現自我管理和自我恢復。

可信云計算強調從硬件芯片層來保證云計算的安全，其物理基礎是建立可信的云基礎設施。云基礎設施包括服務器、存儲設備、網絡設備、操作系統等各種軟硬件設備，它為云服務提供可信的數據傳輸、運算、存儲等功能，能有效抵擋來自各方面的安全威脅，是整個云計算體系的安全基石。未來的云計算，將是一個以云基礎設施為核心，覆蓋云基礎軟件、云服務平臺等多個層次的全球化巨型IT網絡［引用］。

3.2 基于TPM的云計算安全架構

在一個安全云計算環境中，首先應當保證云計算使用主體之間的信任，這也是云計算安全架構的基本出發點。針對這種需求，Santos N等人在文獻［8］中提出了一種基于TPM的云計算安全架構TCCP（Trusted Cloud Computing Platform）。該架構是云計算與可信計算的有機融合，它借鑒了可信平臺模塊TPM的應用模式，以TPM作為可信基，使得模型中每一個計算節點都成為可信節點［9］。其實施協議如圖3所示：

圖3 TCCP協議示意圖［8］

TCCP模型中包含兩個主要模塊，即可信虛擬機監控器（TVMM）和可信協調器（TC），此外，還有為用戶提供服務的不可信云管理者（CM）、運行TVMM的一系列可信節點（N）以及對這些節點進行維護的外部可信實體（ETE）。在TCCP架構中，每臺主機都需要安裝TVMM模塊，并嵌入TPM芯片。TVMM能夠驗證自身完整性，并提供屏蔽惡意管理者的封閉運行環境。TPM芯片提供遠程驗證功能，使用戶確定主機上運行著可信的TVMM模塊。TC負責管理可信節點信息，保證系統中每一個可信節點嵌入了TPM芯片，它運行在外部可信實體上，是整個模型的認證核心。由于TPM僅在非虛擬化環境下工作，在云環境中它需要先被虛擬化，才能為虛擬環境提供可信的計算服務。

在TCCP平臺中，IaaS提供商為云計算用戶提供了一個封閉的沙箱執行環境，以保證客戶虛擬機的運行安全，并允許用戶對IaaS提供商的安全性進行提前驗證；用戶敏感數據交由采用TPM的可信計算平臺保管；云計算管理者僅負責虛擬資源的管理和調度。通過實現數據與管理者的分離，有效防止管理者盜取用戶數據、篡改軟件功能等非法行為，從而從根本上解決了云服務中數據的機密性和完整性問題。

3.3 基于TPM的云計算安全應用

TPM在云計算安全中的應用主要有以下幾個方面：

1）身份認證。將證明用戶身份的密鑰存儲在TPM中，通過密鑰和硬件的綁定來實現用戶身份認證，防止偽裝攻擊等情況的發生。

2）訪問控制。用戶從基于TPM的可信計算平臺登陸云計算系統，從證書權威處獲取證書，通過該平臺提供的安全機制來獲取自身的隱私和安全。

3）數據保護。對存儲在云中的敏感數據提供加密保護，加密密鑰由TPM產生并存儲在TPM中；對通信鏈路中的數據，也使用加密技術來確保其安全，防止被監聽、篡改或竊取；當用戶或應用程序訪問云中數據時，都必須先通過基于TPM的認證。

4）內部資源授權訪問。TPM授權協議為用戶提供了設置資源訪問權限的功能，使用戶能夠在安全的提前下便捷實現與其他用戶的資源共享。

5）用戶行為追蹤。在實現身份認證和訪問控制的基礎上，基于TPM的可信計算平臺為云計算系統中的所有用戶行為提供了可靠、完整的追蹤機制，使系統中的用戶及各種資源都能夠被該機制所監視。

6）完整性度量。提供完整的驗證機制，保證系統中使用了TPM的機器所進行的每一個操作都事先通過安全驗證，以防止黑客或病毒對系統中的信息進行篡改。

4 結 語

云計算安全，是關系到云計算能否大規模投入使用并實現可持續發展的關鍵。本文針對云計算中存在的主要安全問題，闡述了一種基于可信計算技術的解決方案。文中所介紹的TCCP模型，是一種典型的云計算安全架構。它采用可信平臺模塊TPM為可信根，構建了一個可信的云計算環境，向用戶提供可信的云服務，從根本上解決了云計算的安全問題，給云計算帶來更廣闊的市場前景。TCCP是云計算安全發展的一個重要方向，未來還應該針對其本身所存在的一些安全隱患展開進一步研究，以期開發出一個更可靠、更安全的架構。

［1］段翼真，王曉程，劉忠.云計算安全：概念、現狀與關鍵技術［J］.網絡信息安全，2012（8）：86－89.

［2］林闖，蘇文博，孟坤，等.云計算安全架構、機制與模型評價［J］.計算機學報，2013（9）：1765－1784.

［3］劉瑋，王麗宏.云計算應用及其安全問題研究［J］.計算機研究與發展，2012（S2）：186－191.

［4］沈昌祥，張煥國，王懷民，等.可信計算的研究與發展［J］.中國科學：信息科學，2010（2）：139－166.

［5］李紅嬌，魏為民，田秀霞，等.可信計算技術在云計算安全中的應用［J］.上海電力學院學報，2013，20（1）：83－86.

［6］禹蒲陽，康國勝.可信計算的研究與發展［J］.計算機技術與發展，2011（8）：233－236.

［7］王海峰，程廣河，郝惠娟，等.云計算模式下可信平臺設計［J］.山東科學，2010（4）：99－102.

［8］Santos N，Gummadi KP，Rodrigues R.Towards Trusted Cloud Computing［C］.In Proceedings of the 2009 Conference on Hot Topics in Cloud Computing.Berkeley，USA，2009.

［9］吳遙，趙勇.可信云計算平臺中外部信任實體的安全性研究［J］.計算機仿真，2012（6）：156－158.