基于混合方式的云平臺安全架構設計

董澤俊 廖鷹 王震

1.中國人民解放軍信息工程大學；2.63891 部隊

云平臺是一種基于網(wǎng)絡的服務模式，其網(wǎng)絡安全性及設備安全性是平臺防御的重點。基于云平臺產(chǎn)生的僵尸網(wǎng)絡，其具有成長快難消滅的特性，對云平臺危害最大，傳統(tǒng)Honeypot 等方法在解決信息安全問題上占用云平臺計算機太多資源，亟需設計一種簡易且節(jié)省資源的防御架構。本文通過將云平臺防御架構按照客戶端與服務端兩部分進行設計，客戶端用于相關檢測和連接，服務端為整個防御架構的指導中樞，有效解決了云平臺資源消耗過大的問題，對日益增長的各類云平臺終端安全高效運行提供了可靠保障，具有較高的社會價值和經(jīng)濟效益。

網(wǎng)絡安全研究一向都是根據(jù)計算機發(fā)展歷史所進行的，大型主機-個人計算機-云端，這中間的發(fā)展造就了很多病毒攻防與網(wǎng)絡攻防的經(jīng)驗[1-4]。大型主機時代，因為因特網(wǎng)尚未被發(fā)明與普及，其病毒多半透過Disk 或簡單的網(wǎng)絡設施進行傳播或進行破壞，甚至需要人員進行操作，因此大型主機時代的信息安全論文大多數(shù)針對此部分進行研究。如:Creeper 病毒，Creeper 是一種自我復制的程序。

個人計算機時代，因為因特網(wǎng)快速發(fā)展與普及，病毒漸漸擁有了所謂的網(wǎng)絡功能，不單單是破壞一臺計算機，而是以控制其他計算機進行偷取數(shù)據(jù)的目的發(fā)展。所以木馬病毒成為了信息安全最嚴重的問題，一開始只能控制一臺計算機，后來因為用戶不安全的使用方式，使木馬病毒快速散布到更多的計算機，因此才有僵尸網(wǎng)絡的產(chǎn)生，透過Botnet，黑客可以進行DOS 攻擊、DDOS 攻擊和各式各樣的間諜網(wǎng)絡操作[5-9]。因此個人電腦時代的信息安全研究論文擁有非常復雜的方向與目標，例如:Asprox 僵尸網(wǎng)絡。

云端時代，是指以云計算為基礎的新型網(wǎng)絡時代，產(chǎn)生了無處不在的終端交互界面和看不見的云端處理服務器（云平臺），云端時代的核心技術就是云平臺技術，其宗旨在于利用他人幫助代管服務器，并提供能隨時取用的計算資源[10]。因此其基本技術與個人電腦時代并沒有很大的不同，所以過去能影響個人計算機的病毒與攻擊方式依然能繼續(xù)使用，只是更復雜且難以追蹤與防御，因為這是由不同系統(tǒng)所搭建起來的混合式平臺，尤其是網(wǎng)絡類的攻擊方式對云端擁有最大的傷害力。

1 研究現(xiàn)狀與目的

現(xiàn)在的網(wǎng)絡技術、網(wǎng)站、服務器—客戶端服務大多采取開源軟件進行建置，一些大公司的軟件也不例外，Apple、Google、Microsoft 等軟件，這些公司的API 很多是將開源軟件進行包裝與整合。因此現(xiàn)在整個計算機網(wǎng)絡環(huán)境多為相同的軟件結構架在不同的硬件上面，黑客可以利用各種計算機或各種與計算機兼容的軟硬件設施實施攻擊，而攻擊程序與攻擊現(xiàn)在的云平臺的軟件多數(shù)也采取相同的軟件結構[11-13]。但是，這種由不同組織和不同服務性能所搭建起來的混合式云平臺，遭受到與個人計算機相同的攻擊手段的機會幾乎和個人計算機時代相同，許多最近的新聞事件，可以發(fā)現(xiàn)上述的問題已經(jīng)發(fā)生了而且正在蔓延中。因此，勢必需要尋找出一種適合云平臺這種復雜的環(huán)境與應用模式的信息安全方案，而信息安全研究一向都是根據(jù)計算機發(fā)展歷史所進行的，所以研究這種解決方案必須秉持著承先啟后的精神，避免過去的錯誤再次發(fā)生。

本文研究的目的在于提出一個新的云端模型與其內建的安全組件設計，這是云端時代安全防御架構的必然要求，即適當?shù)脑萍軜嬆Ｐ驮O計搭配內建的防御組件才能有效地將云端設施基礎防御的根基做好，尤其云架構與云安全組件必須一體化，且云平臺所有的客戶端都必須使用相同的結構進行軟件設計，例如，建置軟硬件環(huán)境版本一致、應用程序架構一致、操作系統(tǒng)架構一致、遵照相同的規(guī)定設計軟件。如果沒有采用相同結構設計而使用多種不同的結構混合，將可能產(chǎn)生預防不到的安全漏洞與問題，唯有使用相同的結構設計，才能利用云平臺架構的優(yōu)勢對于外來的惡意攻擊進行防御，這種化繁為簡的防御策略為本文的宗旨所在。

云平臺非常依賴因特網(wǎng)，因此云端目前最大的威脅來自木馬程序與其建立的僵尸網(wǎng)絡[14]。由于云平臺下各種客戶端（如，手機、平板與計算機）都有類似的軟件結構，新型的木馬程序將很容易在不同平臺進行傳播，這些木馬將很容易組成跨平臺的僵尸網(wǎng)絡，如果不建立一套類似本文的云安全架構，勢必會讓這種跨平臺的黑客或病毒無法被追蹤或阻止。

2 云平臺安全架構設計思路

云平臺通俗的定義是利用他人幫忙代管服務器，并提供隨時可以取用的資源，云平臺設施的結構與服務器—客戶端計算設施的結構非常相近，其最大的不同點在于客戶端的不同，云平臺設施的客戶端包括手機、平板、計算機等各種連上數(shù)據(jù)中心的所有客戶端。

云平臺運行依托于網(wǎng)絡進行，網(wǎng)絡安全防御就是云平臺最大的挑戰(zhàn)，其防御目標根據(jù)黑客使用的工具著手，大致需要防御沒有網(wǎng)絡功能的計算機病毒、木馬病毒與僵尸網(wǎng)絡等黑客經(jīng)常使用的這些工具，黑客能透過這些工具以進行滲透、破壞與竊取數(shù)據(jù)，而這些工具對于云平臺系統(tǒng)具有極強的傷害性。按照云平臺防御目標的不同，將這些破壞性的操作和工具分成兩類—沒有網(wǎng)絡功能的本地威脅和有網(wǎng)絡功能的網(wǎng)絡威脅。

利用本地與網(wǎng)絡的交互檢查方針，可以判斷出是計算機病毒、木馬病毒或是僵尸網(wǎng)絡，方針詳細指示如下:

（1）當發(fā)現(xiàn)本地端有異常行為或可疑狀況時，立刻檢查加密或非加密封包是否有異常行為，一旦發(fā)現(xiàn)立即鎖定該聯(lián)機并封鎖。

（2）當發(fā)現(xiàn)有異常的加密或非加密封包時，立刻對于本地端進行探查是否有異常行為或可疑的狀況，一旦發(fā)現(xiàn)木馬程序則進行清除病毒的行為。

（3）當可疑的程序或行為被轉換成正常狀態(tài)后，傳送數(shù)據(jù)給其他的計算機，讓其可以及時避免這類安全性問題。

（4）本地端與網(wǎng)絡端都包含了主動與被動的偵測機制，被動的偵測機制在系統(tǒng)中自動執(zhí)行，主動的偵測機制只有當需要的時候被啟動。

本文采用軟件工程的思路對云平臺環(huán)境進行防御，防御對象分為云平臺客戶端和云平臺服務器，防御目標則分為本地端與網(wǎng)絡端，在將云平臺架構重新安排與設計后，便能讓云平臺架構擁有信息安全的預防勝于治療效果。本文設計的云端架構為一種自動運行的設計，這是一種自動化處理的安全機制，不需要人工進行操作，之所以用框架的形式設計各個部分是因為本文所挑選的算法還不能保證其唯一性，為了能讓往后的研究人員對算法進行優(yōu)化與調整，透過框架的形式可以適時地進行調整并改善本架構能達到的最佳安全效果。

3 云平臺安全架構設計

計算機服務器到客戶端的網(wǎng)絡信息安全防御方式，在過去是使用防火墻、防病毒程序等外加上系統(tǒng)的防御方法，然而這種防御方式并不是從根本面進行防御，往往導致系統(tǒng)運行防御軟件漏洞越補洞越大的情況發(fā)生，隨著時間地推移極大的影響了計算機運行速度，然而，現(xiàn)在云平臺架構卻依然在使用過去服務器—客戶端的防御方法，這就可能造成云平臺服務終端最終因為防御軟件的運行而被迫不斷地提升硬件成本。為解決這個問題，本文提出了一個新的云平臺模型，包括云平臺應用程序、云平臺通信網(wǎng)絡和云平臺基礎設施三個部分。

云平臺就是客戶端與服務端，因此，本文將云平臺應用程序與云平臺通信網(wǎng)絡設置于客戶端，云平臺基礎設施設置于服務端，并透過這種配合云計算架構的配置進行根本防御。云平臺應用程序包含客戶端應用程序安全架構，云平臺通信網(wǎng)絡包含客戶端網(wǎng)絡安全架構和客戶端通信中心，云平臺基礎設施包含服務器安全架構，如圖1 所示。

圖1 云平臺安全整體架構設計Fig.1 Overall architecture design of cloud platform security

3.1 客戶端應用程序安全架構

客戶端應用程序安全架構設計時，必須嚴格地把關，應用程序如果有任何取用權限、進行I/O 或是運用網(wǎng)絡的行為都必須和云平臺的系統(tǒng)進行登記，這樣才能確保應用程序可以進行標準作業(yè)程序的檢查。

客戶端應用程序安全架構在程序啟動后，會自動在背后執(zhí)行基于規(guī)范的檢查，這種被動的檢查包括系統(tǒng)設定值、登錄文件、標準作業(yè)程序，如果沒有問題則回到安全狀態(tài)。假如發(fā)現(xiàn)異常狀態(tài)，則發(fā)送事件至通信中心，將信息傳送服務器安全監(jiān)控模塊進行數(shù)據(jù)搜集及判斷，另外開啟網(wǎng)絡安全框架的主動封包檢查功能，假如沒有問題則回到安全狀態(tài)，如果有問題則進一步進行異常檢查和誤用檢查，沒有問題回到安全狀態(tài)，有問題將事件傳送至通信中心，并透過通信中心傳送至服務器安全監(jiān)控框架，等待服務器安全監(jiān)控框架的指示，其指示依然透過通信中心進行傳送給應用程序安全框架。客戶端應用程序安全架構如圖2 所示。

圖2 客戶端應用程序安全架構Fig.2 Client application security architecture

3.2 客戶端網(wǎng)絡安全架構

客戶端網(wǎng)絡安全架構設計，要充分考慮新型的應用程序多數(shù)包含網(wǎng)絡的功能，由于其環(huán)境非常復雜，因此無法抽絲剝繭地尋找可疑之處，假如這么做會造成網(wǎng)絡資源浪費，對于依賴網(wǎng)絡的云平臺系統(tǒng)是不適合的。根據(jù)過去的網(wǎng)絡防御經(jīng)驗，黑客的網(wǎng)絡攻擊多數(shù)依賴僵尸網(wǎng)絡，僵尸網(wǎng)絡對于云端操作系統(tǒng)，有許多的危害，例如，DDOS 攻擊、數(shù)據(jù)竊取與破壞、散布跨平臺木馬病毒、操控和滲透特定目標、在不同的云間建立新的攻擊網(wǎng)絡等。因此客戶端網(wǎng)絡安全架構的重點就在防御僵尸網(wǎng)絡，但是為了避免被黑客直接攻陷，這一層必須放置在操作系統(tǒng)層里，且與應用程序不直接通信，將通信的責任賦予通信中心。

客戶端網(wǎng)絡安全架構在程序啟動后，網(wǎng)絡功能勢必會運用到操作系統(tǒng)的網(wǎng)絡層，因此，需在操作系統(tǒng)這里進行初步的檢測，假如發(fā)現(xiàn)封包和其目的IP 有異常傳輸?shù)臓顩r，則將此事件傳送至通信中心，通信中心會做兩件事，首先會將事件傳送至服務器安全監(jiān)控模塊，再啟動客戶端應用程序安全架構的主動應用程序偵測功能，如果沒有問題回到安全狀態(tài)，假如發(fā)現(xiàn)有異常狀況，傳送事件至通信中心，再由通信中心傳送至服務器安全監(jiān)控框架進行等待命令處理的動作，服務器安全監(jiān)控框架會將指令傳送給通信中心再傳送至應用程序。

客戶端網(wǎng)絡安全架構如圖3 所示。

圖3 客戶端網(wǎng)絡安全架構Fig.3 Client network security architecture

3.3 客戶端通信中心

通信中心作為整個云平臺安全架構的中樞角色，因此在客戶端中擁有最高權限，通信中心可以被視為第三層安全防護，架構設計僅次于服務器安全架構，黑客可以突破應用程序，亦可以攻陷網(wǎng)絡檢查層，但是黑客無法攻陷通信中心，因為通信中心沒有東西可以被更改權限或被刪除，客戶端通信中心是一個單純接收服務器應用安全架構命令的機制，一旦通信中心與作業(yè)系統(tǒng)、應用程序無法進行對話，該客戶端即被視為失去控制，云平臺系統(tǒng)將會封鎖該客戶端與云下任何客戶端的通信。客戶端通信中心如圖4 所示。

圖4 客戶端通信中心Fig.4 Client communication center

3.4 服務器安全架構

服務器安全架構給云平臺系統(tǒng)提供了一套完善的解決方案。服務器安全架構如圖5 所示。

圖5 服務器安全架構Fig.5 Server security architecture

通信中心將攻擊事件傳送給服務器防御監(jiān)控架構的時候，會先了解是網(wǎng)絡攻擊事件還是病毒攻擊事件，當兩個同時發(fā)生的時候就會進行判斷其相關性，假如有關則判定為木馬程序。如果木馬程序已經(jīng)掌控客戶端的權限，云端服務器無法進行網(wǎng)絡掃毒的動作，就必須斷絕該客戶端與其他客戶端的聯(lián)機并排除該客戶端與云端服務器的聯(lián)機，假如還可以掌控客戶端的權限，則進行網(wǎng)絡掃毒的動作。另外，當攻擊事件為病毒攻擊時，也需判定是否為可以掌控的情況，假如無法掌控，則斷絕該客戶端與其他客戶端的聯(lián)機并排除該客戶端與云端服務器的聯(lián)機，因為病毒雖然沒有網(wǎng)絡功能，但是依然可能透過其他方式傳播給其他的客戶端，如果可以在控制范圍以內，則直接進行網(wǎng)絡殺毒。最后，如果是單純來自于外部網(wǎng)絡的攻擊，則對所有客戶端進行警告，避免攻擊IP 進行聯(lián)機。

4 結論

通過本文研究，采取系統(tǒng)設計和信息安全相互匹配的方式解決了傳統(tǒng)服務器到客戶端的信息安全防御帶來的性能損耗問題。本文在研究傳統(tǒng)安全防御工作基礎上，提出了云平臺新的云計算模型配合信息安全架構。該架構中摒棄過去“服務器—客戶端”的安全防御方法，將云平臺應用程序與云平臺通信網(wǎng)絡設置于客戶端，云平臺基礎設施設置于服務端，并透過這種配合云計算架構的配置進行防御；云平臺安全防御構架大部分功能都采用框架的形式，可以針對需要變動的架構進行調整，而不需涵蓋整個環(huán)境，有效地節(jié)省了計算機運行資源，從而提升了運行速度；進而通過以客戶端為第一道防線這種安全防御架構設計模式，可以有效地杜絕黑客試圖連接各種客戶端組成黑客網(wǎng)絡的行為，從根本上解決了從客戶端口防御黑客攻擊服務器的風險。該架構設計模式能有效地應對日益增長的云平臺終端數(shù)量給平臺安全高效運行帶來的挑戰(zhàn)，下一步將在真實場景環(huán)境進行測試和模型驗證。