地面信息港云計算安全防御技術進展

梁 浩，陳福才，霍樹民

(國家數字交換系統工程技術研究中心，河南 鄭州 450002)

0 引言

天地一體化信息網絡是國家面向2030的重大科技工程。隨著全球信息基礎設施的加速云化重構，網云一體化的發展趨勢愈發明顯，云計算已經成為天地一體化信息網絡提供應用服務的主要承載形式。

地面信息港是整個天基網絡服務體系的核心，其通過分布式架構實現資源云端匯聚，提供網絡與通信、定時導航授時增強、遙感與地理信息等數據服務，共同形成邏輯一體、功能分布的服務應用支撐體系。云計算海量的存儲能力和超強的運算能力，使得天地一體化網絡信息服務的領域和范疇更為豐富和多樣化，為隨時隨地的數據交互和個性化運算服務提供強大的計算、存儲、傳送等數據處理能力支撐；同時天地融合、云網一體也突破了傳統地面網絡的互連互通，實現陸、海、空、天等不同維度虛/實空間的多維聯動，不斷拓展網絡數據資源與信息共享服務的覆蓋廣度與深度。

然而，天地一體化信息網絡的異構、開放和高度融合性，也為地面信息港尤其是云計算平臺的安全防護帶來了更為嚴峻的安全形勢。本文針對地面信息港云計算平臺的安全防護問題，通過梳理分析其面臨的安全威脅，從訪問控制、入侵檢測、錯誤容忍、可信計算、動態防護等方面，介紹目前安全防御技術的研究進展，從防御效果的角度對相關技術進行分析對比，最后對安全防御技術未來發展趨勢進行展望。

1 安全威脅

針對云計算面臨的安全威脅，國內外學者開展了多層次、多領域的分析與研究。尤其是作為空間信息的集散中心，地面信息港云計算基礎設施需要實現空間數據的實時接入、高效分發與按需處理數據，滿足多源、異構空間服務應用的動態開放式集成，傳統的隔離與控制方式無法適應動態安全的防護需求；與此同時，天基網絡自身的開放性、廣域覆蓋等特點，進一步放大了傳統地面信息港的攻擊面，不斷加劇云平臺所面臨的安全風險，主要表現在以下幾個方面。

1.1 異構網絡融合互聯引入安全風險

天基網絡具有“廣域分布、高度暴露、組網動態性、網絡異構性、鏈路間歇性、通信能力受限、規模大范圍廣”等特點，傳統靜態地面網絡安全體系無法適用于空間網絡安全需求，加之網絡應用非常敏感，極易成為網絡攻擊重點目標，因此更加容易受到形形色色的網絡攻擊，包括跨網域傳播病毒木馬、借助廣域立體分布的接入點針對網絡瓶頸資源或關鍵節點發起致亂致癱攻擊、掃描探測多樣化設備或異構互連中可能存在的漏洞實施非授權訪問、信息竊取、信息篡改等。天地一體化信息網絡在將天基網絡與地面網絡互聯融合的同時，也將各種網域(尤其是天基網絡)的安全風險引入地面信息港云服務平臺并為跨網域復合攻擊創造了條件，安全形勢更為嚴峻。

1.2 漏洞后門普遍存在引發未知威脅

信息系統的設計鏈、生產鏈以及供應鏈很長，我國作為信息技術后進國家，很難做到天地一體化信息網絡中各天基、地面網元軟硬件系統的自主可控，無法確保商業化軟硬構件供應鏈的可信性，即便是做到軟硬件的自主可控，以人類現有的科技能力也難以避免在軟硬件設計和實現過程中引入的缺陷。因而，漏洞和后門問題無論是從技術還是經濟上都不可能徹底消除。同時在云環境中，信息產業全球化背景下網絡空間“攻易守難”基本態勢沒有改變，多租戶共模式使得軟硬件未知漏洞、后門所帶來的未知安全威脅被進一步放大，特別當云平臺采用同質化的系統架構和基礎設施時，基于漏洞和后門造成的部分組件損害會快速傳染整個系統，直到癱瘓。

1.3 資源虛擬云端匯聚帶來安全威脅

在云環境下，資源的虛擬化和開放共享等特點使得不同主機、用戶和業務的物理邊界變得模糊，基于邊界的傳統防御思路難以有效實施；其次，“堡壘更容易從內部突破”，一旦進入云數據中心的內部，攻擊者或惡意用戶便可借助內部網絡和虛擬層對其他節點發起攻擊，威脅更易傳播，加之IT基礎設施的同質化，單一主機的脆弱性極易被放大；再次，云計算服務模式還滋生了新型的攻擊模式，如側信道攻擊、虛擬機同駐攻擊等。除基于邊界外，現有防護技術遵循“威脅感知、認知決策、問題移除”“依賴于先驗知識”的模式，難以有效應對云環境下內外部威脅。

2 研究進展

圍繞云安全防護問題，國內外學者開展了許多有益的探索和嘗試。從目前相關研究來看，大多基于傳統的防護思路與技術開展云環境下的應用與改良；隨著網絡空間防御技術由被動防御到主動防御、從外掛堆砌到內生融合防御的不斷演化，催生出以可信計算、移動目標防御及擬態防御等為代表的新型防御技術，為云環境下的安全防護提供新的途徑和思路。綜合目前云安全防護所采用的主要防御技術，本文重點從訪問控制、入侵檢測、錯誤容忍、可信計算以及動態防護等方面，對云計算安全問題的研究現狀進行綜述與分析。

2.1 訪問控制

云環境下訪問控制主要是通過限制用戶對數據信息的訪問能力及范圍，保證信息資源不被非法使用和訪問。目前云計算環境下的訪問控制研究主要以時間、網絡、位置及權限等屬性要素，從不同的層面構建訪問控制模型，如文獻[1]將云端存儲位置作為訪問控制要素，文獻[2]將用戶、環境、系統狀態之間的信任關系作為訪問控制要素等。數據加密技術在云端廣泛應用，催生出基于角色加密[3]、基于屬性加密(Attribute-Based Encryption,ABE)[4]等機制的訪問控制模型，本質上還是利用用戶、角色和權限之間的復雜關系作為要素約束，由于密鑰的產生、加密處理、解密運算等操作完全依賴用戶自身，該類方案的資源和時間成本較高，同時也存在大量的秘鑰管理問題。如何降低用戶在數據創建與訪問時的運算量成為研究的熱點，于是出現了代理重加密技術在云端訪問控制的應用和融合，在滿足數據安全性需求的同時，逐步面向多樣化的訪問控制條件，分別出現了基于身份屬性、基于數字證書以及基于多樣化條件的代理重加密機制；為了進一步減輕數據所有者的計算難度和訪問者密鑰管理量，文獻[5]利用云服務端的計算能力提出一種多要素代理重加密機制，實現復雜云環境下密文數據的多要素訪問控制管理問題。

此外，也有文獻從信任的角度，結合云訪問控制提出了基于信譽的安全訪問控制機制，依據訪問者的信譽值來控制用戶對數據的訪問和減少數據訪問的風險。這些改進型的訪問控制只能保證對云中的用戶的訪問，卻無法檢測到用戶行為；如何考慮不同用戶和服務提供者的行為參數成為研究的重點，針對該問題文獻[6]在傳統機器學習的基礎上基于主觀的信任模型，提出應用模糊方法來計算信任值和分類信任，并在Paas上進行了開發和應用。文獻[7]認為訪問控制模型無法對隱蔽信息流進行控制，基于不干涉模型提出了并發訪問和順序訪問共存的互不干擾方案,以降低云計算中用戶和虛擬機之間數據泄漏的風險。文獻[8]針對分布式云計算數據訪問中的信令開銷問題，提出一種新的監控方案，通過不同的安全措施降低數據交換的安全風險。

2.2 入侵檢測

入侵檢測是指通過設置安全策略來檢測各種攻擊行為的網絡入侵，確保己方數據的機密性、完整性及可用性，本質上是一種邊界防護的思路。云計算環境下的入侵檢測根據代理部署位置和方式的不同，通常可以分為基于主機代理、基于網絡監控器、基于Hypervisor代理以及基于協作代理等[9]。

其中，基于主機代理的入侵檢測最為常見，通過配置和執行虛擬機自身內置的安全工具，利用系統核心組件分析器和報警器來訪問被監控主機的所有文件系統。這方面的研究主要集中在如何提高云端入侵檢測的精度上，如通過聚類、馬爾科夫模型、遺傳算法以及支持向量機等方法來縮短入侵檢測時間，降低算法復雜度。基于Hypervisor代理的方式是將安全檢測工具部署在虛擬機管理層，通過對被監測虛擬機中的異常信息進行深度分析來發現入侵攻擊行為，常用的工具如Ether，Xen Access，Libvirt，VMsafe等。基于IDS的虛擬機自省技術是基于Hypervisor入侵檢測系統的一種典型[10]。基于網絡監控器的方式是指將入侵檢測系統部署在云平臺連接關鍵網絡節點的交換機上，比如入口節點或用戶子網節點，通過過濾和監測數據包的IP和包頭信息來檢測入侵活動。由于監測工具的關鍵網絡連接節點采用分布式部署，因此這種方式具有更強的攻擊檢測能力。采用這種方式比較著名的是Snort入侵檢測系統，文獻[11]通過在路由、交換機和網關部署監控器來構建分布式入侵檢測模型，實現對整個云平臺流量信息的監控管理；文獻[12]將貝葉斯分類器和Snort相結合，以提高未知攻擊的檢測能力，但貝葉斯算法的應用要求有比較嚴格的獨立性假設；文獻[13]基于前饋人工神經網絡進一步降低系統檢測誤檢率和漏報率。基于協作代理的方式是指通過邏輯控制通道在虛擬機管理層部署協作代理，收集其他入侵檢測系統中的報警信息，綜合不同入侵檢測方式的優勢,以提高系統整體的攻擊檢測能力；如文獻[14]就是在協作代理的合作入侵檢測框架下，通過其他入侵檢測系統中收集的報警信息，依據少數服從多數的原則來檢測預警。文獻[15]融合機器學習在圖、超圖和自然語言方面的一些最新進展，提出了一種深度聯合防御的方法來實現惡意軟件檢測和分析，并通過具有不同隱私要求的多個云協作防御案例驗證方法的有效性。文獻[16]將抗體濃度原理與生物進化思想相結合，提出一種Bio-PEPA的云服務安全自適應目標檢測算法，并模擬檢測了3種不同類型的安全風險，實驗結果表明該算法具有良好的時間性能和較高的檢測命中率。文獻[17]討論了機器學習方法在云安全中的應用，利用卷積神經網絡等算法提供自動響應的方法來增強云環境中的安全性。

2.3 錯誤容忍

云環境下軟件錯誤容忍技術被廣泛應用于提高系統的可靠性，通過采用多個功能等價組件來容忍組件故障。BFT-Cloud系統是將錯誤容忍技術應用于云計算系統的典型，云系統中存在多樣化的操作系統、網絡環境和軟件應用，大多數在云中發生的故障是相互獨立的，這就為拜占庭容錯機制的云端應用提供了先天條件。目前關于入侵云容忍的拜占庭系統研究主要集中在拜占庭容錯協議上的優化改進。文獻[18]提出了一種名為BFT-MCDB的拜占庭容錯模型，將拜占庭協議以及Shamir的秘密共享方法結合，以檢測多云計算環境中的拜占庭故障，并確保存儲在云中數據的安全性。文獻[19]在資源有限條件下通過主備份設置，提出一種資源有效的拜占庭容錯機制；文獻[20]擴展了BFT和Web服務技術，通過結構化的方法以BFT中間件系統Thema的形式構建拜占庭容錯，滿足應用程序開發人員對Web服務的多層次需求；基于類似的思路，文獻[21]提出了一種用于Web服務的拜占庭容錯中間件框架BFT-WS，其通過標準的Web服務技術構建拜占庭式容錯服務；文獻[22]在拜占庭容錯的基礎上提出一種執行復制服務的協議，通過嚴格的故障隔離，永久性地實現了在長時間運行的線程中異步調用和處理遠程請求的復制服務之間的交互。

此外，也有相關文獻基于移動目標防御從動態變化的角度開展研究，使攻擊者難以獲得足夠的攻擊時間，進一步提高錯誤容忍的抗攻擊能力。如Bangalore等人提出的自清洗入侵容忍模型[23]、Huang等人提出的移動攻擊面模型[24]以及Nguyen等人提出的移動目標防御自清洗入侵容忍方法[25]等。

2.4 可信計算

可信云計算嘗試建立一種以硬件安全芯片為信任根的可信云計算環境，以克服單純使用軟件的方法解決云安全問題存在的困難，成為云計算安全研究的重要方向之一。文獻[26]圍繞IaaS云服務的可信安全重點梳理和綜述了平臺體系架構方面的研究；文獻[27]從保障云計算平臺可信的角度出發，介紹可信虛擬化、可信云平臺構建及可信虛擬機等相關技術的研究進展，下面圍繞可信云平臺的構建重點展開介紹。

基于硬件隔離的可信云平臺，顧名思義是通過硬件隔離技術保證代碼的機密性和完整性，從而達到在不可信的環境中保證特定應用可信的目的。基于該思路，Intel和ARM分別提出了基于處理器的安全隔離方案。Intel在Skylake處理器是利用Intel SGX技術，通過將合法代碼和數據封裝在一個被稱作Enclave的容器來實現安全性的增強；針對SGX Enclaves必須依賴不可信的操作系統或Hypervisor來提供系統服務的問題，文獻[28]提出一種為SGX Enclaves提供可信系統服務的新方法，利用現有的Intel架構特性，通過在系統管理模式內部設計隔離的微內核，以便安全地為Enclave提供關鍵的系統服務。與之對應的ARM則是通過將SoC的硬件和軟件資源劃分為安全世界和非安全世界，構建了一個安全框架TrustZone來抵御各種可能的攻擊。該框架被進一步應用到移動云計算領域來構建可信移動終端，保護云服務客戶端及應用在移動終端上的安全，如文獻[29]通過TrustZone硬件隔離技術實現移動終端密鑰與敏感數據的安全管理；文獻[30]利用TrustZone技術構建可信組件來實現操作系統和其他應用的相互隔離；此外，文獻[31]通過設計不同層次隔離機制的協作方案，實現了IaaS服務自動化的資源隔離框架，完成對資源隔離的高效管理。

可信計算組織虛擬化工作組最早在云計算環境下提出了vTPM的概念，從而為云計算提供可信支撐。文獻[32]梳理了TPM在云計算環境中的應用進展，并重點關注TPM應用的完整性度量評估；文獻[33]利用TPM/vTPM將云計算服務的安全職責進行分離，提出的多租戶可信計算環境模型基于云提供商和用戶協作的方式保證云節點平臺的執行環境可信；文獻[34]引入了一種基于主觀邏輯的輕量級信任管理算法——互信任，來提高互聯云中的信任，實驗結果表明互信任能夠以較低的執行時間和較高的可擴展性生成準確的信任信息。此外，在產業化方面，Intel還給出了Trusted Execution Technology以及Trusted Pool,Trusted Cloud的概念。

使用可信第三方的初衷是為了簡化安全管理的過程，其主要思想是通過建立獨立于云提供商的第三方TC，為用戶提供執行環境、云虛機資源以及云服務等可信狀態的監測和控制。文獻[35]利用TPM和認證加密技術解決數據在TPM聯盟內節點間的可信傳輸問題。文獻[36]針對用戶方隱私、安全和信任問題，提出了一種IaaS云計算可信平臺的體系結構設計，將TCG的TPM作為體系結構的核心組件在消費者端進行部署和使用，通過檢查客戶平臺的完整性來提高對服務提供者的信任。此外，文獻[37]針對TPM資源受限問題提出了共享云密鑰方案、文獻[38]針對云數據中心動態特性和租戶之間的通信問題提出了基于安全框架、文獻[39]針對操作系統內核提出了虛擬化安全框架，這些研究都為云安全平臺的構建提供了新的思路與方法。

2.5 動態防護

動態防護的思路是主動采取多樣的、不斷變化的機制與策略，對云環境中軟件或者程序的某些屬性進行變換，從而不斷改變系統的攻擊面來增加攻擊者的攻擊難度和代價，有效限制脆弱性暴露及被攻擊的機會。目前相關研究大多基于新型的動態防御技術(如MTD、擬態防御[40])在云環境中的實現與應用。

文獻[41]提出一種虛擬機動態遷移策略；文獻[42]在操作系統多樣性的基礎上，提出了虛擬副本多樣化博弈策略，將博弈論方法與操作系統多樣性結合，并根據求解結果部署異構虛擬集群，通過設置生命周期的方式動態切換虛擬集群系統分布；文獻[43]通過多輪遷移獲得最大化的動態防御效果；文獻[44]基于容器技術實現云平臺上容器服務快速高效的遷移，有效抵御邊界信息泄露攻擊，但該方法僅限于仿真實現，在實際環境中應用部署效果仍需進一步驗證；在系統屬性動態化方面，文獻[45]將受保護程序中敏感信息的函數或者基本塊進行隨機化復制，提出利用動態控制流隨機化的方法來防御基于Cache的側信道攻擊；文獻[46]提出每隔一定時間間隔對程序的內存布局進行隨機的動態變化，這樣可以有效防止攻擊者根據輸出信息獲得相關有用信息；文獻[47]利用LLVM工具對程序中if語句進行分析，然后標記對其進行的隨機化操作，提出動態消除程序中的條件分支轉移來抵抗側信道攻擊。此外，還有相關文獻從云服務接口(如IP地址、端口號、MAC地址和域名等)動態變化的角度開展研究，如文獻[48]提出IP地址、MAC地址和域名動態化等，也有文獻從實際應用的角度分析IP地址隨機化技術在實踐中是否足夠不可預測[49]。目前關于擬態防御在云中的研究相對較少，文獻[50]基于擬態DHR架構構建了并行任務執行子空間的方法，設計了對并行任務執行結果的綜合判決機制，提供對疑似未知攻擊的感知發現能力；基于判決結果或預定策略，研究了基于反饋控制的并行任務執行子空間動態重構方案，通過有效阻斷攻擊鏈條，抵御基于未知漏洞/后門的攻擊。此外，文獻[51]提出擬態防御Markov博弈模型分析攻防狀態間的轉移關系以及安全可靠性度量方法；文獻[52]提出了軟件定義網絡操作系統擬態化方法；文獻[53]提出的擬態防御架構設計等研究，都可以為云計算環境下的攻防安全研究提供借鑒。

3 對比分析

資源共享機制導致攻擊面擴大，惡意攻擊者利用云服務、虛擬化軟件、云平臺、基礎設施等的漏洞和缺陷發起攻擊，攻擊路徑多樣且復雜；無處不在的“漏洞、后門”威脅、虛擬化導致物理邊界消失以及日漸豐富多樣的攻擊手段都給云安全防護帶來已知的風險和未知的威脅，形成來自于已知和未知的不確定攻擊效果和防御困境。云環境下的安全防護，歸根到底就是試圖將這種具有不確定攻擊效果的入侵行為確定化、可控化的過程。現有相關研究盡管一定程度緩解了云環境安全防護問題，但并沒有從根本上徹底解決云環境下未知漏洞、后門威脅和非邊界防護難題，主要體現在：

① 傳統如訪問控制、入侵檢測、錯誤容忍等防御技術均嚴重依賴攻擊者的攻擊特征或被攻擊目標的安全缺陷等先驗知識，本質上基于先驗知識的精確防護技術思想；對于“已知的未知”安全風險或者“未知的未知”安全威脅幾乎沒有防御能力，其僅僅是將不確定的攻擊效果轉變為先驗知識已知條件下特定攻擊的可控事件。

② 可信計算本質上只是向用戶表明商家的行為會更全面地遵循TCG的安全規范[40]；其前提和核心是必須保證可信計算機，即信任根的安全可靠，在此先驗知識條件下，對外部訪問進行信任度量，層層構建信任關系，從而確保整個系統的可信可控。因此從防御效果上來看，可信計算是將不確定的攻擊效果轉變為先驗知識已知條件下風險可控的可信事件。

③ MTD允許系統漏洞存在、但不允許對方利用，通過主動采取多樣的、不斷變化的機制與策略，增加攻擊難度及必須付出的代價。但其存在的“防御間隙”[54]、ASLR被內存管理部件“旁路”、利用CPU高速緩存的“側信道”效應進行繞過等問題；同時當攻擊者成功入侵系統后，MTD也不具備檢測功能，即“防不防得住”也不自知。因此從防御效果來看，MTD是將不確定的攻擊效果轉變為不依賴先驗知識的不確定性事件。

④ 擬態防御采用基于動態異構冗余的一體化架構技術提供具有普適性的創新防御理論和方法，本質上可視為一種基于架構內生的融合式主動防護技術，其采用功能等價條件下的動態異構冗余構造將來自于未知漏洞后門或病毒木馬等確定或不確定的威脅轉化為時空維度上出現多數或一致性錯誤的概率問題，基于相對正確公理的相對多數結果作為錯誤與否的判據，實現對不確定攻擊行為的感知和判別，具有對未知威脅的內生感知和拒止能力。因此從防御效果來看，擬態防御是將不確定的攻擊效果轉變為不依賴目標先驗知識的概率可控的可靠事件。

4 未來發展趨勢

隨著未來基礎設施云化、云網一體的發展趨勢愈發明顯，網絡信息服務模式逐步從“端網服務器”向“端網云”模式轉變，云網深度融合帶來邊界防護新問題。一方面云計算環境下網絡資源虛擬化、集中管控的特點與多租戶共存的運營模式，使得傳統防護的物理邊界不斷消失，傳統基于邊界和邊界隔離的安全機制要么難以有效實施、要么安全防護效果不佳，存在易被旁路的風險；同時云環境下虛擬機計算資源與網絡資源是動態創建的，固定的安全策略無法適應這種動態的虛擬化環境，傳統的隔離與控制方式無法適應云環境下的動態安全需求。另一方面，信息產業全球化背景下網絡空間“攻易守難”基本態勢沒有改變，軟硬件未知漏洞、后門所帶來的未知威脅依然是云計算面臨的最大安全挑戰；傳統以防火墻、加解密技術、沙箱、蜜罐和蜜網等為代表的邊界防御思路和技術大多以威脅特征和攻擊行為感知為前提，難以有效抵御利用軟硬件未知漏洞、后門等發起的不確定威脅，無法有效適應用戶、網絡和業務的快速變化，實現網絡技術與安全的共生演進。

云生態環境下虛擬化技術、共享資源、相對復雜的架構和邏輯層次等特點，決定了安全設計必須聚焦于云平臺安全架構上，自下而上管控每一個環節才可以保證整個框架的安全性。特別是新型網絡應用及業務需求的不斷發展，傳統網絡體系架構及云計算數據中心的安全防護手段無法適應天地一體化信息網絡的發展需要。因此，從系統架構層面發展“非基于邊界”“不依賴于先驗知識”的內生式安全防護技術，構建新型地面信息港體系架構，成為有望解決云環境下安全防護問題、滿足天地一體化信息網絡的業務發展和安全防護共生演進需求的主要途徑和方向。

5 結束語

針對地面信息港云計算平臺的安全防護問題，梳理分析其面臨的安全威脅，綜述了訪問控制、入侵檢測、錯誤容忍、可信計算及動態防護等方面目前技術的發展現狀，并從防御效果的角度對相關技術進行分析對比，最后對地面信息港云計算安全防御技術的未來發展趨勢進行了總結展望，相關結論可為內生安全的天地一體化網絡地面信息港建設提供思路和借鑒。