云計算中的信任機制研究

何 穎，徐 軍，侯雅婷

(南京航空航天大學 計算機科學與技術學院,江蘇 南京 211100)

云計算中的信任機制研究

何 穎，徐 軍，侯雅婷

(南京航空航天大學 計算機科學與技術學院,江蘇 南京 211100)

云計算作為繼網格計算、對等計算以及服務計算之后的一種新型計算模式，其異構、虛擬、松散等特性導致了有別于傳統計算模式的新的安全問題。為此，從云計算的特點出發，綜合回顧并分析了云計算作為新型計算模式所引發的比傳統分布式計算更加復雜的安全問題。從邊界訪問控制、租戶間信任、服務質量、虛擬化安全等方面討論了信任機制與云計算安全的關系，并就如何對云計算環境中的信任進行有效評估問題進行了討論分析。結合云計算環境下的安全需求，討論分析了將信任機制引入到云計算環境中的理論依據和可行性，深入剖析了信任機制在云計算背景中不同技術層面的應用。針對當前云計算研究工作中的不足，提出了云計算環境中關于信任機制研究的下一步方向。

云計算;云計算安全;信任機制;聲望

0 引 言

云計算是一種虛擬化與并行分布式計算發展融合的全新計算模式。云計算依靠低成本、超大規模、虛擬化、高可擴展性等獨特優勢引發了IT產業界的技術革命。然而云計算發展的重要阻礙是日漸增加的安全問題[1]。

云計算環境中存在的安全問題主要包括云系統自身的安全、數據存儲安全以及應用安全[2-3]。首先，云計算的高度自治性、獨立性和動態性等特性，使得云計算中普遍存在數據安全性與隱私性的憂慮[4]。其次，云計算面向服務的可擴展計算模式，導致了服務的可信度降低。再次，隨著云計算用戶和云計算服務內容的多元化增長，用戶需求和提供商的服務模式出現了明顯的信任危機[5]。

隨著安全風險的增加，管理問題的明顯化，社會各界對安全機制和管理方法的研究越來越重視。當前有關云計算的安全問題的研究主要集中在數據隱私與完整性[6]、虛擬資源的安全、身份認證[7]、用戶資源和資源處理的安全[8]、訪問控制[9]等方面。

在云計算模式下，結構松散耦合和計算動態造成其安全管理的復雜性，導致傳統的安全解決方案已不能完全解決云計算環境中新涌現出的安全問題[10]。當前已有方案的不足主要表現在對邊界訪問控制、實體可信、云服務質量評價、虛擬化安全等方面。但其松散架構也為信任評估這一彈性機制引入云計算提供了廣闊空間，信任機制可以有效解決邊界模糊的訪問控制，評價標準不統一的云服務質量評價，以及云計算環境中交互實體安全等安全問題。

針對云計算中的安全問題，討論并提出了包含信任管理的云計算安全框架；剖析了云計算不同層次的安全問題，強調了引入信任機制的必要性；描述了信任在云計算安全領域的具體應用，并對比分析了各信任模型的優缺點；指出了當前研究工作的不足，并闡述了今后一段時間信任在云計算各技術領域的研究熱點及其發展趨勢。

1 云安全問題

云計算系統除了面臨傳統的信息安全問題外，由于其自身的新特性，引發了一些新的安全問題。在復雜的網絡環境中，安全威脅的表現形式可能不盡相同，但通常來講，網絡安全的主要目的是確保對象的信息安全，防止惡意主體的攻擊、竊聽、非法訪問等手段，建立一套完整的保護機制。

1.1安全問題總結

云計算實質上是為達到海量計算資源的共享，創新性提出的基礎架構分布式設計。云計算模式在信息處理、信息存儲和信息共享等方面具有顯著優勢，云計算可以動態地創建應用服務和數據資源，而這些服務與資源都是高度虛擬化的。從服務概念出發，將云計算的核心應用分為3個層次[11]：軟件即服務(SaaS)、平臺即服務(PaaS)、基礎設施即服務(IaaS)。不同層次所面臨的安全問題不同。根據文獻[12-14]，可概括出云計算各層常見的安全問題，如圖1所示。

圖1 云計算安全問題

云計算的首要安全需求就是數據安全與隱私保護。需求的目標是針對客戶，在云計算中，如果云服務商監守自盜，就會對用戶數據進行搜集分析，并將其用于不正當商業用途，惡意泄露或出賣用戶隱私[15]。現階段，云計算沒有可靠的第三方機構統一管理，故各個計算站點都是依靠點對點建立信任關系。同時，交互節點的可信保障機制也是首要需求，即服務請求者或服務提供者需通過信任機制，確保對方的可信度，才能完成服務請求或提供，包括客戶與服務商之間的信任、服務商之間的信任等。從技術層面針對各層服務詳細總結了云計算面臨的具體安全問題。

1.2云計算安全框架

文獻[16]提出了建立包含安全服務體系、安全標準體系和測評體系的云計算安全體系。在此基礎上，根據云計算中用戶的安全目標和安全管理中運用的安全機制，提出了包含用戶接入層、核心業務層、服務管理層以及虛擬資源層的云計算安全框架，如圖2所示。

圖2 云計算安全框架

云計算環境中用戶實體的主要安全目標可以概括為數據安全、隱私保護、安全管理和交易安全。實現上述目標的主要手段在于信任管理、身份安全管理、網絡安全管理、內容安全管理、數據安全管理、狀態事件監控。其中，信任管理作為一種彈性管理手段，通常在各個管理層面都有相應研究和應用，主要包含：用戶接入層中的用戶身份安全管理中的可信訪問控制和對于非授權用戶的身份認證；核心業務層中的多租戶共享運營模式和多層服務模式；服務管理層的可信服務推薦和組合服務評價；虛擬資源層的虛擬機可信和可信計算。文獻[17]對云計算的安全問題做了詳細總結，包括基礎設施安全、數據安全、通信安全、訪問控制。

2 云計算的信任問題

云計算既存在傳統的安全問題，也有自身特性帶來的新問題，為了利用信任機制解決安全問題，需要了解在云計算中的各種安全隱患和攻擊行為。

2.1邊界訪問控制問題

在開放的云環境中，由于用戶身份的不確定性，服務資源的虛擬性和計算的動態性，造成了云計算用戶接入層安全管理的復雜性。

傳統的訪問控制技術是一種基于身份的授權技術，在管理范圍內設置安全身份授權，即用戶的身份是可以確定的。如在公司內部，計算機、網絡、路由器等IT設備和設施形成了一個可被企業信息系統管理員完全控制的網絡，通常稱作“可控信任域”。其所有服務資源都處于企業的完全控制之下，是值得信任的，可以根據人力資源中的職務關系對員工給予相應的訪問控制權限。對服務資源進行訪問的用戶可以被分為授權用戶和非授權用戶，通信協議中包含加密、認證、協商等過程，然后根據ACL表中確定的身份信息分配相應的權限，而在服務器組內部也有一系列針對服務器安全防護的身份認證和訪問控制等安全策略。

隨著分布式計算的發展，面向服務架構的特點對訪問控制提出了新的挑戰。與傳統的分布式系統相比，面向服務架構的分布式系統中，不管是提出請求的客戶，還是提供服務資源的服務商，具有高度動態的特性[18]，主要表現在：

(1)身份可匿：對象無法事前知道其準確真實的身份；

(2)缺乏擴展性：對新的訪問條件和新增限制，不能靈活處理；

(3)針對不同的管理域，沒有統一認定的策略或者信任機制進行管理；

(4)缺乏權威機構的管理。

在傳統的RBAC模型中，授權對象和操作的變化都對應著相應的權限分配，而這種模式沒辦法適應高度動態的云計算模式。

2.2用戶與服務提供商之間的信任問題

由于在云計算這種分布式環境中,沒有能保障云服務可靠性的官方性質的集中認證與授權中心，導致網絡中服務和服務提供者的品質參差不齊，無法保證服務提供者一直提供真實、高質量的內容和服務。因此，有必要鑒別云服務和云服務提供者的品質。

云計算多層服務和資源的虛擬化，導致用戶對服務提供商是否可信持懷疑態度；云計算的高度開放性使得用戶的可信度變得更難計算，用戶的自由加入或離開給信任管理帶來了重大挑戰；多組合問題和多層服務問題也導致用戶實體之間，服務提供商之間存在可信問題。

2.3云服務質量

在云計算中，服務提供者向消費用戶提供了基于核心業務層的3種服務，即IaaS、PaaS、SaaS。對比傳統服務下采用的產品被動防御安全策略，在云計算服務環境下是不可靠的。根據服務資源的不確定性、分布性、開放性、動態性等特點，需要研究對應的信任機制，建立可信度計算模型，對實體之間的信任度進行評估，以保證云服務的安全。

2.4虛擬化安全問題

虛擬化技術是云計算最核心的技術，它基于使用軟硬件分時服務、模擬與仿真執行等技術，達到在單個計算機物理設備上模擬出多個相互隔離的硬件執行環境的目的。

云計算環境相比之前的技術，大量運用計算能力虛擬化、網絡虛擬化、存儲虛擬化等虛擬化技術，這些技術完成共用底層基礎設施(infrastructure)的抽象，提供統一的可編程接口,映射彼此隔離且具有不同拓撲的虛擬網絡到共用的基礎設施,為用戶提供差異化服務。

使用虛擬化技術后主要產生兩方面的問題[19]：一是虛擬化技術引入后產生了一些特定的安全風險，怎樣解決虛擬化方面的安全是云計算與傳統安全的一個重大區別；二是云計算代表著一種計算使用方式的轉變，在終端、網絡和服務端的安全需求均發生了相應變化，傳統的安全保護手段已經不適應云計算的需求。針對虛擬機操作系統內核級的攻擊可以突破系統邊界，造成比傳統系統環境更大的危害。

3 云計算中的信任技術及其應用

信任管理可以為云計算中交互的實體建立信任的橋梁，下面將從云計算中運用的關鍵技術出發，著重分析訪問控制中有關信任的安全策略，信任在解決云計算內外統一協作的安全問題、實體身份認證、隱私保護、服務質量、虛擬計算等方面的應用。

3.1基于信任的訪問控制

訪問控制是解決信息泄露問題的核心技術，它完成用戶的權限分配，然后根據不同的權限，允許合法用戶訪問權限內受保護的資源，拒絕非授權用戶的訪問，有效保護了受限信息的傳播，用戶的合法權限和私人信息不被泄露。目前最流行的訪問控制模型有自主訪問控制模型(Discretionary Access Control，DAC)、強制訪問控制模型(Mandatory Access Control，MAC)和基于角色的訪問控制模型(Role-Based Access Control，RBAC)。

信任管理的憑證具有更高的表現性，此類憑證可以與授予權限的持有用戶的各種屬性完全綁定，還能綁定在完全可編程的“能力”。這樣的憑證可加強信任管理的表現性，對安全策略、憑證或者信任關系給予統一管理，對分布式系統的訪問控制或者授權方式提供通用、可靠的方法。運用信任管理能很好地解決圖3中的訪問控制問題。

假設用戶U1能正常訪問云C1的服務，云C1對用戶U1，U2，U3有不同的訪問策略，獨立云C1，C2，C3之間也有相應的服務訪問策略。當用戶U1需要訪問云C2或C3的服務時，由于C2和C3沒有針對用戶U1的訪問策略，將導致U1無法訪問云C2和C3的服務。在引入信任機制后，若云C1與U1有信任關系，云C1與云C2也有信任關系，則當用戶U1請求訪問云C2時，云C2可以根據云C1對用戶U1的信任度結合自身對云C1的信任度，綜合自身相關策略，給予用戶U1相應的訪問權限。可見，信任機制確實為上述系列問題提供了較好的解決方案。

圖3 云計算網絡架構模型

3.2交互實體信任評估

在云計算中，數據擁有者、數據用戶和云服務提供商分別處于不同的安全域。數據擁有者失去了對數據存儲與訪問的物理控制權和直接控制權，租戶需要對服務商的可信度進行評估。同樣，為避免惡意用戶濫用資源，通過非法手段竊取其他租戶或云平臺的隱私數據，或者利用云平臺提供的資源進而攻擊云平臺中的其他用戶或云平臺本身，用戶的可信度因為云平臺的高度開放性，在對用戶的加入或離開基本沒有限制的情況下，面臨重大的挑戰。為避免上述情況的發生，有必要對云計算環境中的用戶進行監測。

3.3基于信任的服務質量評估

云計算環境下云服務的可信度評價是一個涉及眾多云服務用戶的復雜的群體演化過程，在各種主客觀因素影響下得到的評價結果具有顯著的不確定性。云計算的應用面向不同的服務場景，所以根據消費者的不同，評價存在片面性、傾向性甚至是個人偏見性。因此，可行計算和信任機制的研究與建立需要避免這些問題，評估與推薦需要盡量客觀準確。云計算和服務計算中引入了動態按需服務的方式，將SLA作為服務雙方關于服務內容、質量等方面的約定，有效改變了QoS與可信性的計算方法和策略，服務交互雙方的服務級別可以通過協商來確定。但是服務協商過程增加了可信計算的復雜性，使得提供信任保障的可信策略更具挑戰性。當前云計算可信服務推薦研究中對于抗惡意攻擊的研究還較少，也很少有考慮系統容錯和組合服務中服務調度的效率問題，均只考慮了單一的云服務推薦，同時，也沒有考慮時間效應。

3.4虛擬計算可信

可信保證體系是虛擬計算環境的基礎組件。虛擬計算環境下的信任管理具有不確定性和動態性,因此,虛擬計算環境下的可信保證體系應具備主觀性、基于證據以及上下文相關性的特性。針對虛擬計算環境下虛擬共同體的服務選取以及自主元素的可信度計算的安全問題，在云計算中不同租戶的數據與計算可能在相同的物理設備上完成，在虛擬機上用戶可以運行多個操作系統和各種應用程序，物理資源的共享使惡意租戶通過底層硬件環境對其他租戶的虛擬機發起攻擊成為可能。此外，虛擬機的外包使用模式下，如何向用戶證明虛擬機中的執行內容可信也成為一個需要解決的問題。云計算中的應用服務沒有固定的安全邊界。特別是針對由多租戶共享的運營模式，對資源的可控性進一步減弱，資源可能交叉地被多個租戶租用，根本無法統一規劃安全邊界，建立防護措施，可以通過使用訪問控制與信任機制相結合的安全策略。而多層服務模式使云計算內外服務協商難以統一的問題，同樣可以通過信任對云間進行服務協商來解決。虛擬計算可信關系可以結合證據理論和上下文相關性來建立。

4 結束語

針對云計算訪問控制中有關信任的安全策略，信任在解決云計算內外統一協作的安全問題，圍繞信任在實體身份認證和虛擬計算等方面的應用進行了廣泛深入的總結回顧，并介紹了最新的研究成果。同時，圍繞云計算中存在的典型安全問題，結合信任機制的現有研究成果進行了深入剖析。綜上，當前云計算中信任機制的研究在理論及實現方面還存在如下問題：

(1)當前云計算中信任機制的主要研究在于信任評估區分惡意節點的精確度，對惡意攻擊(合謀)的抵抗能力(健壯或魯棒性)等，但是缺乏風險機制和統一的信任模型的性能評價標準。

(2)在已有研究中，信任模型性能的評價大多采用模擬實驗的辦法進行功能評價，而沒有在云平臺進行實際性能的評測。

(3)云計算中對于組合服務和工作流調度的信任沒有明確的評價指標，對其可信度的評估還不夠完善。

可以發現，云計算環境下多種安全需求和應用模式對信任機制提出的新挑戰，提煉信任機制在新的情況下所出現的科學問題，并對其進行研究，具有更加迫切的意義。同時，也應結合其他學科的知識，研究動態信任關系的新模型。云計算場景中訪問控制表(ACL)與身份認證的模糊性，為信任機制的引入提供了彈性空間，可以據此認為運用信任機制與ACL靈活適配的認證模式將是今后的研究熱點。

[1] Nemati H.Optimizing information security and advancing privacy assurance:new technologies[M].[s.l.]:IGI Publishing,2012.

[2] Tianfield H. Security issues in cloud computing[C]//IEEE international conference on systems,man,and cybernetics.[s.l.]:IEEE,2012:1082-1089.

[3] Zissis D,Lekkas D.Addressing cloud computing security issues[J].Future Generation Computer Systems,2012,28(3):583-592.

[4] Pearson S,Shen Y,Mowbray M.A privacy manager for cloud computing[C]//IEEE international conference on cloud computing.Berlin:Springer,2009:90-106.

[5] Wang S,Liu Z,Sun Q,et al.Towards an accurate evaluation of quality of cloud service in service-oriented cloud computing[J].Journal of Intelligent Manufacturing,2014,25(2):283-291.

[6] 肖人毅.云計算中數據隱私保護研究進展[J].通信學報,2014,35(12):168-177.

[7] Yang J H,Lin P Y.An ID-based user authentication scheme for cloud computing[C]//Tenth international conference on intelligent information hiding and multimedia signal processing.[s.l.]:IEEE,2014:98-101.

[8] Wang C,Wang Q,Ren K,et al.Privacy-preserving public auditing for data storage security in cloud computing[C]//INFOCOM.[s.l.]:IEEE,2010:1-9.

[9] Lin G,Bie Y,Lei M.Trust based access control policy in multi-domain of cloud computing[J].Journal of Computers,2013,8(5):1357-1365.

[10] Almorsy M,Grundy J,Müller I.An analysis of the cloud computing security problem[C]//Proceedings of APSEC 2010 cloud workshop.Sydney,Australia:[s.n.],2010.

[11] Mell P,Grance T.The NIST definition of cloud computing[J].Communications of the ACM,2010,53(6):50.

[12] Ali M,Khan S U,Vasilakos A V.Security in cloud computing:opportunities and challenges[J].Information Sciences,2015,305:357-383.

[13] Hashizume K,Rosado D G,Fernández-Medina E,et al.An analysis of security issues for cloud computing[J].Journal of Internet Services and Applications,2013,4(1):1.

[14] Zhou M,Zhang R,Xie W,et al.Security and privacy in cloud computing:a survey[C]//Sixth international conference on semantics knowledge and grid.[s.l.]:IEEE,2010:105-112.

[15] 張 凱,潘曉中.云計算下基于用戶行為信任的訪問控制模型[J].計算機應用,2014,34(4):1051-1054.

[16] 馮登國，張 敏，張 妍，等.云計算安全研究[J].軟件學報,2011,22(1):71-83.

[17] Zapata B C,Alemn J L F,Toval A.Security in cloud computing:a mapping study[J].Computer Science & Information Systems,2015,12(1):161-184.

[18] 許 峰,賴海光,黃 皓,等.面向服務的角色訪問控制技術研究[J].計算機學報,2005,28(4):686-693.

[19] 易 濤.云計算虛擬化安全技術研究[J].信息安全與通信保密,2012(5):63-65.

ResearchonTrustMechanisminCloudComputing

HE Ying，XU Jun，HOU Ya-ting

(College of Computer Science and Technology,Nanjing University of Aeronautics and Astronautics,Nanjing 211100,China)

Cloud computing has been considered as a new type of computation model after grid computing,peer-to-peer computing and service computing,and its heterogeneous,virtual and loose characteristics leads to new security problems different from the traditional computing model.Therefore,starting from the characteristics of cloud computing,the more complex security problems in contrast with the traditional distribution computing caused by cloud computing as a new type of computation model are synthetically reviewed and analyzed.The relationship between trust mechanism and security of cloud computing is discussed involving border access control,trust among tenants,service quality and virtualization security etc as well as that of effective evaluation on the trust mechanism in the environment of cloud computation.According to the security requirements of cloud computing environment,the theoretical basis and feasibility for introduction of confidence mechanism into cloud computing environment is discussed and analyzed and the applications of trust mechanism in various technical layers in the context of cloud computing is analyzed in depth.In allusion to deficiencies in the present investigations on cloud computing,the research orientation of trust mechanism in environment of cloud computing is also proposed.

cloud computing;cloud computing security;trust mechanism;reputation

TP309

A

1673-629X(2017)10-0101-05

2016-10-07

2017-01-18 < class="emphasis_bold">網絡出版時間

時間：2017-07-11

中央高校基本科研業務費(NZ2013306);南京市醫學科技發展一般性課題(YKK1571)

何 穎(1992-)，女，碩士研究生，研究方向為社交網絡與信任機制。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170711.1455.044.html

10.3969/j.issn.1673-629X.2017.10.022