面向應用的天基嵌入式云服務安全技術研究

邵應昭，丁躍利，張建華，張佳鵬，楊鵬飛，李劍橋

(1.中國空間技術研究院 西安分院，陜西 西安 710100；2.西安電子科技大學，陜西 西安 710071)

0 引 言

隨著信息技術和物聯網技術的快速發展，未來信息服務基礎設施將建設互聯互通的天地一體化信息網絡系統，具備向眾多用戶群體提供網絡化、差異化信息服務的能力。天基信息系統是國家信息化建設的重要基礎性設施，它通過運行在外空間的星載資源實現信息的獲取、傳輸、處理及分發等功能，獲取全球范圍內近實時的態勢感知情報[1]。天基信息系統作為未來信息服務基礎設施的重要組成系統，將基于嵌入式架構構建網絡化云平臺，以提高天基信息服務基礎設施的整體服務效能[2]。

安全防護保障為天地一體化信息網絡可靠運行的關鍵支撐。有別于地面傳統網絡，天地一體化信息網絡節點分布廣泛、體系結構復雜、信道開放透明、拓撲動態變化、大尺度傳輸鏈路以及面向全球提供服務保障的網絡特征，使其數據傳輸、信息服務等本身就更易受到來自外部的自然干擾和惡意攻擊，這對各方面的安全運行能力提出了更高要求[3-4]。

天基信息系統基于天基網絡化云平臺構建，云平臺面向各類用戶提供云計算、云存儲和數據庫檢索等服務，但超大規模天基用戶的共享資源應用、計算環境的動態復雜性、平臺資源的開放性等特性，使得天基網絡體系建設面臨信息安全諸多方面的全新挑戰。一方面，由于空間鏈路的開放性，懷有各種目的外部攻擊者非法入侵天基網絡系統來竊取或者破壞資源，一旦遭受攻擊，將發生不可估量的損失。另一方面，由于天基嵌入式云平臺資源高度共享，接入平臺的內部好奇用戶期望獲取自身權限以外的隱私或保密數據，對用戶的隱私數據安全也會帶來一定的挑戰。

因此，在構建天基網絡體系云平臺的同時，需構建安全服務體系，面向廣大用戶的應用服務需求，提供安全接入鑒權控制能力和分級權限安全控制能力，從信息安全角度屏蔽非法用戶接入、限制內部好奇用戶的越權行為，并保證數據的真實性、機密性、完整性和不可否認性。

1 云計算及安全技術發展概況

1.1 云計算技術發展概況

云計算是網格計算、并行計算、效用計算、網絡存儲、虛擬化、負載均衡等傳統計算機技術和網絡技術發展融合的產物[5]。相對傳統計算機系統，使用云計算具有以下優勢[6]：

(1)資源共享，低成本：云計算組件通過網絡互聯，向用戶提供共享服務，降低成本。

(2)應用安全：多用戶以受控方式獨立運行在隔離的虛擬化環境下，可通過管控虛擬機的權限來提高應用安全性。

(3)資源可伸縮：提供彈性的計算與存儲資源管理服務，以滿足用戶不同的資源需求。

(4)應用快速部署：支持應用動態部署，快速啟動計算任務。

云計算相關技術已成熟，其發展歷程大致如下[7]：

20世紀60年代，IBM首先推出虛擬化技術并應用在其7044計算機系統，使得在同一臺物理主機可以同時運行多個物理設備。之后IBM又開發了型號為Model 67的System/360主機進行虛擬化應用，通過虛擬機虛擬所有的硬件接口，直接運行在底層硬件，使得系統可同時運行多個虛擬設備。

1999年，VMware公司解決了X86硬件平臺的完全虛擬化問題，推出了X86平臺的虛擬機軟件，支持X86平臺上的所有客戶操作系統，虛擬化技術開始走向普通用戶。

2005年～2006年，Intel和AMD推出支持虛擬化技術的處理器和芯片組，實現了硬件輔助虛擬化技術。Amazon采用虛擬化技術提供云計算平臺，取得了商業上的成功。

2012年，美國風河公司提出嵌入式云計算概念。

嵌入式云計算概念的提出，為天基云平臺構建提供了可能。類似于地面計算由本地單節點計算發展到云計算，用戶計算機的配置要求大幅降低，整體系統計算效能大幅提高。空間計算體系由單星計算向云計算系統發展，將帶來天基計算模式的應用轉變，可降低衛星或終端用戶的處理資源要求，解決當前衛星系統資源利用效率低、共享能力弱的問題。

1.2 云計算安全發展現狀

云計算發展面臨許多關鍵性問題,而安全問題首當其沖。并且隨著云計算的不斷普及,安全問題的重要性呈現逐步上升趨勢,已成為制約其發展的重要因素。Gartner2009年的調查結果就已顯示,70%以上受訪企業的CTO認為近期不采用云計算的首要原因在于存在數據安全性與隱私性的憂慮[8-10]。根據Gartner的調查報告，超過85%的用戶對云計算的安全性表示關注，用戶對安全性的關注程度超過系統可用性、系統性能等，安全性已成為用戶最為關注的方面[11-13]。

云計算系統不僅面臨著傳統信息系統(或軟件系統等)的安全問題，還面臨著由其運營特點所產生的一些新的安全威脅[11]。云計算在安全方面必須解決好下列問題：多租戶高效、安全的資源共享；租戶角色信任關系保證；個性化、多層次的安全保障機制；以及效率、經濟性與安全性兼顧的多屬性服務系統[14]。

現有的云計算安全架構[15]主要分為三類：基于可信根的云計算安全架構試圖通過可信計算的成果從根本上解決云計算的安全問題，但不利于對現有資源的繼承與利用。基于隔離的云計算安全架構旨在針對所有的租戶構建封閉且安全的運行環境，從而保證其定制服務的安全性，但其勢必增加租戶間協作的難度，引起管理成本的提高。安全即服務的架構充分考慮到了租戶的個性化需求，提出以租戶服務要求為導向的云計算安全架構，但是缺乏讓租戶和提供商及時且明晰地獲得各自安全需求的方法。

吸取上述架構優點，基于可信系統設計理念，文獻[15]提出了可管、可控、可度量的云計算安全架構，如圖1所示，參考SLA(service-level agreement)確定系統的度量指標體系，采用SOA(service oriented architecture)架構充分滿足用戶的個性化需求，安全架構根據用戶的差異化需求，分為SaaS(software as a service)、PaaS(platform as a service)、IaaS(infrastructure as a service)三個層面。

圖1 可管、可控、可度量的云計算安全架構

該架構的設計借鑒了安全即服務架構思想，主要包括三個組成部分：云計算安全服務框架、云計算安全技術框架和云計算安全度量框架。安全服務框架主要用于實現租戶的定制化需求，是租戶安全目標的集合；安全技術框架負責管理各種云計算安全機制，也是架構安全方法的集合；安全度量框架提供系統的安全狀態分析，為租戶和提供商選取安全策略提供數據支撐[15]。

2 天基網絡化嵌入式云安全服務平臺構建

天基網絡化嵌入式云安全服務平臺通過計算、存儲和網絡資源的虛擬化，大幅提升資源利用效率、資源共享能力和應用的安全性可靠性，向用戶提供無需關心硬件資源的應用模式。

2.1 天基網絡化嵌入式云安全服務系統物理拓撲

天基網絡化嵌入式云安全服務物理拓撲架構如圖2所示，基于嵌入式資源虛擬化、嵌入式一致性協議及規范，可面向廣大用戶，實現天基資源的高效能共享。

在計算平臺領域，通常將計算平臺分為通用計算平臺和嵌入式計算平臺。通用計算平臺一般以X86等復雜指令集處理器為基礎，由于市場規模大，其CPU處理器、操作系統及相關標準組件相對成熟，在地面云系統中應用廣泛，支持操作系統，可靈活擴展外設，但功耗高、重量重、能效比低，常規散熱溫控環境在天基真空環境中無法提供，硬件、軟件針對天基應用可靠性不足。嵌入式計算平臺通常以精簡指令集處理器為基礎，廣泛應用于可靠性、實時性要求高的領域，目前在軌的計算處理平臺均采用嵌入式架構。

雖然地面云技術已相對成熟并得到很好應用，但考慮天基應用空間和資源受限、能耗比要求高、高可靠、抗輻射等因素，其硬件架構、方案、相關技術并不能直接用于構建天基云系統。結合云計算的技術優勢研究及嵌入式云計算概念的提出，文中提出了嵌入式架構的云計算服務系統，可滿足天基網絡化嵌入式云服務系統的特殊工程應用環境要求。

天基網絡化嵌入式云服務平臺參考地面云計算技術構建，經移植、精簡和定制開發，最終通過覆蓋全球的多顆綜合衛星體構成“天基云系統”。衛星間通過高速星間鏈路互聯并進行資源一致性管理，單顆衛星作為“云平臺”，其上部署若干個綜合計算/存儲/網絡“云節點”，采用虛擬化等云計算技術實現天基計算、存儲、網絡資源集中調度管理、資源隔離安全、按需供給和充分利用，降低資源閑置率，提高系統整體綜合服務效能。

天基網絡化嵌入式云服務平臺的構建和擴展需要一個循序漸進、不斷完善的過程，系統框架、機制的設計不僅需要兼容現有天基分立系統和后續部署系統的資源異構性，同時需要支持不同用戶的安全差異性和陸、海、空、天的多源異質數據安全接入。

天基網絡化嵌入式云服務平臺與用戶的交互及使用流程具體如下：

(1)用戶通過星地接入控制鏈路訪問天基云系統；

(2)天基云系統門戶對用戶進行身份認證；

(3)用戶根據自身需求向云系統門戶提交計算、存儲、網絡資源申請；

(4)天基云系統門戶根據用戶權限等級和資源調配情況，為用戶分配資源；

(5)用戶完成計算任務，向門戶提交資源釋放申請；

(6)門戶釋放資源，將其整合到可用資源池中。

2.2 天基分層式云安全軟件架構

針對天基嵌入式云服務體系需要具備多用戶身份認證、大數據安全接入控制、天基安全加密云存儲及安全檢索、計算權限安全控制等能力需求，在充分調研、研究地面通用云計算軟件層次架構的基礎上，結合天基云系統與地面系統的差異，提出了如圖3所示的天基分層式云安全軟件架構。

圖3 天基分層式云安全軟件架構

可管、可控、可度量云計算的安全架構基于地面云計算安全架構的理論和技術研究成果，提出了結合當前主流三類安全架構優勢的綜合架構，可為各類云計算安全系統構建提供參考。

天基分層式云安全軟件架構面向天基云系統的應用場景和特殊環境安全需求，借鑒可管、可控、可度量的架構思路，其構建的天基安全服務框架針對天基特殊環境及應用場景下的SaaS、PaaS、IaaS三層具體云服務組件進行設計。安全度量部分可實現天基分布式平臺數據和用戶數據的安全監控，并進行安全指標和能力的量化分析，提供給天基用戶，可支持不同用戶選擇適合自身應用場景的安全策略，最終實現天基云系統安全“可度量”。安全架構支持對用戶、權限、時間、流程、系統變更等不同方面的動態安全管理和控制，可實現天基云系統安全“可管”、“可控”。

天基分層式云安全軟件架構基于天基環狀網絡物理實體實現部署運行，將天基分布式基礎網絡、計算、存儲資源通過標準萬兆網協議實現網絡化互聯，并實現資源的虛擬化和動態管理控制，面向用戶應用需求，實現天基基礎硬件資源的動態管理和硬件架構重構。在滿足用戶資源使用、資源共享和應用服務的同時，結合架構中的安全管理、安全控制、和安全度量等安全策略，保障用戶過程安全和數據安全。

軟件架構基于底層硬件資源可以分為基礎服務層(IaaS)、應用支撐層(PaaS)和統一門戶層(SaaS)。在對地面云系統軟件架構進行裁剪的基礎上，增加三大部分組件，添加面向嵌入式硬件資源的輕量虛擬化引擎；添加安全服務、虛擬化安全管理、硬件安全三個層面構建的安全服務體系；添加在軌處理、多源檢索、用戶權限管理等天基應用相關組件。最終構建的天基云系統軟件架構向用戶提供SaaS和PaaS兩層服務，IaaS不對用戶開放，為用戶應用提供虛擬化資源；每一層均涉及安全服務。IaaS基礎層分為虛擬化層和虛擬化管理平臺，虛擬化層運行在操作系統之上，主要對異構資源虛擬化，屏蔽底層差異性，構建天基云系統的計算、存儲、網絡資源池，資源池邏輯統一，向上層提供服務。

天基云系統軟件架構以TPM可信平臺模塊為可信根，可信虛擬機負責密鑰管理和分發任務，最大程度滿足可信計算關于防旁路、防篡改等基礎要求，為系統提供高級別安全保障。

應用支撐層包括平臺通用應用組件和領域通用組件兩個部分，平臺通用應用組件包括身份認證管理、權限控制、自動化部署、加解密操作、監控容錯，身份認證管理采用雙向用戶身份認證，將授權合法用戶接入，屏蔽非法、無效用戶屏蔽；權限控制采用細粒度控制策略，將云平臺的資源和對資源訪問的權限細分，劃分不同的用戶組；自動化部署為用戶的應用提供運行環境，支撐用戶的應用動態部署，用戶采用多種開發語言的應用上傳到云平臺后，將會在底層啟動相應的虛擬機，虛擬機內自動安裝應用所需的執行運行環境，應用執行完后，相應虛擬機回收釋放資源。加解密操作一方面作為在進行用戶增加等系統操作時產生所需的非對稱密鑰，為大數據的流加密提供對稱密鑰等，同時也提供給用戶使用，用戶可以自主調用加解密模塊在應用內實現相應的加解密操作。

3 天基云系統應用安全服務體系構建

天基云系統應用安全服務體系在天基分層式云安全軟件架構中實現，作為操作系統的標準安全控制組件在天基云軟件上部署運行，在嵌入式安全服務總體架構下，基于虛擬化安全隔離等關鍵技術，實現天基資源的安全共享，并保證廣大用戶的接入、檢索和應用安全。

3.1 天基應用安全服務體系架構

天基云系統應用安全架構如圖4所示，采用層次化的云安全策略，可為云系統用戶提供云數據安全存儲、隱私保護、可信云計算的服務。

圖4 天基安全服務體系架構

云系統安全架構可以分為云應用、云服務和云基礎服務安全層，不同層引入了相應的安全策略，在云基礎服務層包括基礎設備安全和虛擬機安全，基礎設備安全包括雙機冗余、負載均衡、可信技術和容侵容災四個部分，體現在硬件平臺采用了雙主控板的方式協同處理大數據的接入，監控系統監控到單主控失效后，在秒級單位內將大數據接入任務切換到備份主控，提供不間斷服務；在計算單元內具有TPM可信平臺模塊，包括隨機數生成、SHA-1引擎、RSA引擎、非易失性存儲器等，以此為可信計算的信任根，負責保存具有訪問系統權限的用戶和系統自身的公鑰和私鑰，生成對象加密密鑰等；同時硬件層之上的操作系統的內核和應用也進行了裁剪，去除不相關的模塊，降低底層因為軟件漏洞等因素被入侵的概率。對虛擬機的安全采用了一系列的安全措施，首先限制虛擬機與外面的通信，對虛擬機設置防火墻，限制可以訪問虛擬機的端口和用戶，同時虛擬機間進行隔離和監控，實時監控虛擬機的運行狀態，防止虛擬機內運行的應用惡意攻擊系統和其他正常虛擬機，最小化虛擬機內應用崩潰等對其他正常應用的影響。同時通過權限控制策略限制不同虛擬機的可訪問資源，保護敏感數據不受非法操作。

在云服務層包括訪問控制、安全傳輸和安全云存儲三個部分，訪問控制主要針對用戶，細粒度劃分系統的資源訪問控制權限，將用戶劃分不同安全級別進行資源的使用。安全傳輸包括采用流加密方式將百Gbps數據加密傳輸，其他用戶數據的傳輸采用非對稱加密傳輸，安全云存儲系統可以根據數據的安全等級采用不同加密算法對數據加密，同時利用TPM模塊將加密文件的密鑰存儲在本地磁盤。

云應用層包括身份認證、拒絕服務攻擊屏蔽等，衛星接入天基云系統需要進行身份認證，認證完成后即以單點登錄的方式登錄系統，隨后可以訪問系統內所有授權的資源，同時用戶數據傳輸時采用數字簽名的方式防止未授權衛星等發送偽造數據攻擊系統，采用了雙端口的方式屏蔽拒絕服務攻擊，用戶通過非受控端口與云系統進行雙向身份認證，在完成身份認證后，計算平臺為成功認證后的數據源分配一個特定的受控端口；之后，數據源可通過云系統的特定受控端口實現到云系統的安全接入。

3.2 面向應用安全的天基嵌入式安全服務策略

天基網絡化嵌入式安全云服務體系的安全服務策略基于圖4所示的安全服務體系架構，均在圖3所示的天基分層式云安全軟件應用層實現，安全服務策略覆蓋用戶與天基云平臺的交互和操作全流程，針對不同的安全威脅，采用不同的安全服務策略。安全服務策略主要包含防護、檢測、響應和恢復四種安全機制，又可細分為七類安全措施，為各類用戶提供接入安全、應用安全、計算安全、系統安全等安全服務。圖5所示為基于PDRR(protect、detect、response、recover)安全模型實現的天基云平臺安全服務策略。

圖5 天基嵌入式安全服務策略

安全服務體系參考PDRR標準安全體系模型，包含防護、檢測、響應、恢復四部分，共七個層次。端口保護以防火墻為主，加密傳輸為輔，屏蔽非法請求；接入控制通過多級安全服務策略實現用戶安全接入認證；檢測部分采用動靜結合策略，首先提取應用執行體特征碼，與已知惡意程序匹配，清除惡意程序，并通過監控程序發送警報，隨后在虛擬環境下觀察應用調用系統API接口的動態，判斷應用合法性；響應部分采用自定義訪問策略和資源隔離的手段，基于SELinux安全模塊定義適用于天基云平臺的安全策略，實時限制非法操作，同時利用虛擬化技術實現應用間的邏輯隔離，切斷非法操作；最后的恢復部分采用動態監控容錯技術，具體為硬件冗余、系統狀態監控和軟件檢查點策略，提高系統遭受攻擊時的頑存性。

4 結束語

在充分調研云計算及安全系統發展歷程及相關關鍵技術發展的基礎上，結合天地一體化信息網絡系統對天基信息基礎設施提出的云計算及安全服務體系建設需求，提出了天基網絡化嵌入式云服務平臺構建思路，以及基于嵌入式云服務體系的天基云系統應用安全架構，可提高天基云平臺資源利用效率，實現天基資源高效能共享，并有效解決海量多用戶接入、計算、存儲安全等問題，可為天基嵌入式云計算及安全服務體系構建提供有效參考和借鑒。