基于第三方可信云的安全协同工作方案

□潘 定 陈婷婷

[暨南大学 广州 510632]

引言

云计算的概念被提出来以后，引来了工业界、学术界和政府的关注，云计算也成为我国重点布局的战略性新兴产业领域。例如，2010年10月18日，国家发展和改革委员会、工业和信息化部联合印发《关于做好云计算服务创新发展试点示范工作的通知》，确定在北京、上海、深圳、杭州、无锡等5个城市先行开展云计算服务创新发展试点示范工作。近年各种云研究成果陆续出现以及云应用不断普及，例如，2006年，Amazon相继推出在线存储服务S3和弹性计算云EC2等云服务；2011年，浪潮集团自主研发云海集装箱数据中心正式发布等。云计算这种新型的计算和资源模式的优势愈加明显，然而在享用云计算的便利的同时，云环境下的安全隐患及风险问题也不容忽视。近年来，随着云计算服务的发展，各种安全事件层出不穷，例如：2009年4月，微软Azure云计算平台彻底崩溃，使相关用户损失了大量的数据；2011年4-5月，索尼旗下PlayStation网站遭入侵，黑客窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息，波及57个国家和地区的上亿人；2013年1月亚马逊云计算服务中断将近一个小时、Dropbox服务中断约16个小时、Facebook网站中断两到三个小时。

随着大量公共云和私有云的投入使用，不同云之间进行频繁的协同工作及数据交换，然而由于云环境的开放性和复杂性、云资源的集中性等带来各种安全风险。国内外的标准组织和专门机构已经开始云计算与安全标准的制定工作，IT产业的一些巨头公司也在设计各种云计算安全产品与方案。

一、云计算安全的解决方案

对云计算进行研究和部署的组织机构，2010年据ITU-T的云计算焦点组（FG-Cloud）所给出的数据有27家之多。具体到云计算安全方面问题的研究，则主要是CSA（云计算安全联盟）和ENISA（欧洲网络和信息安全研究所）以及微软等几个组织和公司积极进行研究和云计算安全方面的部署。学术界则从云计算安全的各个不同方面进行了研究，如访问控制、数据加密、安全通信和隐私保护等。

Takabi Hassan和Joshi James等提出一个安全云框架，对于云服务集成商和云服务提供商都构建各自的安全管理模块[1]。云服务集成商的安全管理包括认证/身份管理模块和基于信任的政策集合模块。云服务提供商的安全管理包括认证/身份管理模块、访问控制模块和隐私/数据加密模块。

Prashant Srivastava1和Satyam Singh等提出一系列积极对策来保证云计算的安全，并且设计了一个安全云架构，即在私有云内部构建一个“安全云”，通过这个“安全云”与其他云进行通信[2]。该“安全云”设置相应的安全策略，包括监控引擎和HIPS（基于主机的入侵防御系统）管理器来保证私有云内部的安全，经过“安全云”验证和授权的用户才可能访问私有云的资源。这两个安全方案在一定程度上保障了云实体的安全，但由于经过授权的用户还是可以直接访问云资源中心，因此云资源中心对于这些信任用户而言是“可见”的，这就在某种程度上增加了云资源中心的安全风险。同时要求每个私有云或公有云都构建自己的安全云，解决云间安全策略的冲突也为云环境的安全通信带来另一个问题。

也有学者利用虚拟技术来设计安全方案。Frank John Krautheim提出一个新的实用云计算管理和安全模型PVI（私有虚拟基础设施），PVI将云安全的责任分担到用户和服务商身上，数据中心由用户和信息拥有者控制，云环境由服务商管理控制[3]。一个云Lcator Bot（LoBot）预先设置好云的安全属性和数据中心。PVI和LoBot为企业提供维护和控制云信息的攻击，提出一个云计算根信任信任的新机制。信任虚拟环境模型（TVEM）集成来自提供商和用户的信任，在远程主机上构建一个根信任，为云环境中各方建立一个信任关系。Jianxin Lia和Yanmin Zhub等提出一种安全协同服务PEACE-VO系统架构，包括两个虚拟组织管理和授权协议。利用VO来解决不同甚至有冲突的安全方案的组织之间的安全通信问题。并提出了一个完全分布式的算法来检测不同组织潜在的安全方案冲突，不披露其组织的隐私保护政策，却能够阻挡恶意的内部攻击[4]。

Zissis Dimitrios和Lekkas Dimitrios提出引入一个可信的第三方，负责确保在云环境中的特定安全特性。通过服务器和客户机的认证，创建安全域，基于证书的认证，结合PKI、SSO和LDAP进行数据加密，以确保涉及的数据和通信的身份验证，完整性和保密[5]。该方案将云中所有实体都关联起来，构建一个可信的安全网。可信第三方方案在一定程度上减轻每个云实体的工作负担和安全风险。

二、自由的云协同工作存在的安全风险

由于大量私有云和公有云的应用，跨云服务的实现和跨云数据的交换都需要不同云协同工作。目前云环境下的协同工作都是相关云实体之间的协同如图1所示，即云A需要云B的资源，就直接向云A发出请求并与之直接通信。

图1 自由的云协同工作环境

一般情况下每个云实体都有自己的一套安全保护方案，当与其他云实体进行协同工作时，云资源服务方都会根据自己的安全保护策略对云访问用户进行身份认证、访问授权。在数据交换时，云资源服务方会根据云访问用户特性对交换数据进行加密。自由的云协同工作环境带来的安全隐患有：

1．云数据的泄露。由于允许可信用户进入云资源中心获取数据，一旦伪可信用户通过了身份认证获得访问授权，那么云资源中心的数据就暴露了。例如：2011年7月，韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，3500万用户信息泄漏。

在数据交换方面，现有云环境并没有为通信云间建立专用安全信道，都是基于公开网络基础设施进行数据交换，而通信前资源云也只是对交换数据进行一次简单加密。因此云数据在传输过程中容易造成丢失或被篡取。

2．云的不良使用。获得授权的云用户都可以使用云服务，这就给不良滥用提供了条件，网络犯罪份子可以进行攻击和发送恶意软件，例如：Amazon的简单存储服务（简称S3）在2009年先后被黑客攻击、旁道攻击和僵死网络攻击。

3．账户或服务劫持。每个云的安全政策都是基于自己的特性和需求设置的，由于云实体的差异，有些云实体的安全级别并不高。如果攻击者控制了用户账户的证书，那么他们可以为所欲为，窃听用户的活动、交易，将数据变为伪造的信息，将账户引到非法的网站。

基于第三方可信云的安全协同工作方案，即构建一个第三方可信云，制定一套统一的严格的安全政策监控云实体，特别是私有云的访问控制和数据通信，不同云执行其安全政策，就能够大幅度减少各种安全隐患，降低安全风险。基于第三方可信云的云协同工作环境如图2所示。

图2 基于可信云的协调工作环境

三、第三方可信云的结构及原理

第三方可信云主要包括三个模块：（1）身份认证。主要用于验证协同工作的云实体的身份，根据云资源中心预先设置的账号级别对云访问用户进行授权；（2）安全数据传输。主要用于发布密钥，对云资源中心要交换的数据进行加密并传送给云访问用户；（3）监控管理。通过审计日志记录各个云用户的访问信息、数据交换信息等，为可信云的安全策略的不断改善提供指导。其框架如图3所示。

图3 第三方可信云结构

1．身份认证模块，主要包括IDaaS manager和ID center。ID center是协同工作的云实体的身份数据库，所有进行协同工作的私有云或公有云都要在第三方可信云中进行注册，其云身份相关信息存储在这个云ID中心，这是对各个云访问用户进行身份验证和访问控制的基础，是保证云间安全协同工作的前提条件。

IDaaS（Identity as a service，身份即服务），是基于SaaS（software as a service，软件即服务）这种模式的，SaaS支持多种服务，如用户配置、审计、密码管理和用户自服务等。采用IDaaS模式，云实体可以自动化的设置访问控制和授权标准。

用户要获得授权访问，先在IDaaS manager进行注册申请，用户向ID Provider提供相应的身份信息ID Provider在审核过程中，需要到该用户所在云验证身份，并结合用户在云中的各种属性（如职务等）进行授权，用户的安全访问权限由所在云和第三方可信云共同设定的。当用户需要访问其他云资源时云资源中心接收用户请求后提交到IDaaS manager进行身份验证，认证通过后会获得一个用户公钥，如图4所示。

图4 第三方可信云的授权及验证模式

2．数据加密及交换模块。为保证数据传输过程的保密性和隐私保护，我们采用云资源中心加密和第三方可信云加密的双重加密机制，该模块主要包括Encrypt Manager和KDC（如图5所示）。

图5 基于第三方可信云的安全数据交换模式

KDC（Key Distribute Center，密钥发布中心）是对云中用户的密钥集中管理和发布，信任用户自己拥有私钥，将公钥交给第三方可信云进行管理和发布。云资源中心利用访问用户的公钥对用户请求的数据进行加密后传送到第三方可信云，这样数据对第三方可信云是不可见的，只有用户利用自己的私钥才能获得真正的原始数据，这就起到了数据隐私保护的作用。

为了增加数据交换的安全性，第三方可信云对要传送的加密数据还进行二次加密，即利用Encrypt Manager进行条件代理加密，可以采用预言机或者双线性配对的手段来抑制敌手通过篡改原始挑战密文进行挑战，因为这样可以避免敌手欺骗密文转化预言机从而或者与原始密文具有某种特定关系的新的转化密文。

3．监控管理模块，主要包括Monitor Manager和Audit log（审计日志库）。Monitor Manager（监控管理器）主要负责监管访问用户和数据交换，可以记录用户或者私有云的配置，日志文件的创建，反对修改和未经授权的访问、分析、汇总、关联，可以根据恶意攻击和伪信任用户历史自动评估并生成审计报告。

基于第三方可信云的安全协调工作方案可以在很大程度上降低自由云环境下的各种安全风险：

（1）身份认证方面的效率和安全性都有所提高。访问用户的身份交给可信第三方进行统一的严格的安全规范进行注册和认证，不仅减轻了私有云或公有云的审核工作负担，而且云环境的统一认证标准减少由于标准的差异性带来的安全政策冲突问题，统一认证标准同时受到各个云实体的监督，减少伪信任用户的可能性。

（2）减少数据泄露和云不良使用的隐患。由于第三方可信云的访问控制机制，用户对云资源中心的访问必须经过可信第三方的授权和监控，用户并不能之间从云资源中心直接获取数据，这就避免了用户获取未授权数据的操作，减少了云不良使用的机会。第三方可信云对交换数据的二次条件代理加密，在数据隐私保护的基础上增加了数据的保密性。

四、结束语

云计算属于新兴产业领域，越早研究和制定统一的云计算安全标准越有利于云应用的普及和长远发展。本文提出的基于第三方可信云的安全协同工作方案，是基于云计算的资源和服务集成这个属性的。云计算安全的“集中服务与控制，分布监督”这种模式是成本较低、效率较高的一种工作模式，每个云实体只需要按需付费给第三方可信云就可以获得高效的安全保障。然而，第三方可信云的安全责任会非常重大，建议最好由政府或者行业巨头来构建这个可信云，同时国家层面应该及时制定相应的法律法规政策。

[1]TAKABI H,JOSHI J,AHN G.Secure cloud towards a comprehensive security[A].International Computer Software and Applications Conference,2010:393-398.

[2]PRASHANT S,SATYAM S.An architecture based on proactive model for security in cloud computing[A].Recent Trends in Information Technology(ICRTIT) International Conference,2011:661–666.

[3]FRANK J.Buiding turst into utility cloud computing[D].Washington ：University of Maryland.2010.

[4]LI J X,HUAI J P,HU C M,ZHU Y M.A secure collaboration service for dynamic virtual organizations [J].Information Sciences:an International Journal,2010,180(17):3086-3107.

[5]ZISSIS D,LEKKAS D.Addressing cloud computing security issues[J].Future generation computer systems-the international journal of grid computing and escience.2012,28(3):583-592.

[6]CATTEDDU D.Cloud Computing:Benefit,risks and recommendations for information security[J].Web Application Security,2010(72):17-18.

[7]冯登国,张敏,张妍,徐震.云计算安全研究[J].软件学报.2011(22):71-83.

[8]VAQUERO L,RODERO M,MORAN D.Locking the sky a survey on IaaS cloud security[J].Computing,2011,91(1):93-118.

[9]SERAFINI L,TAMILIN A.DRAGO:Distributed Reasoning Architecture for the Semantic Web[C].LNCS3532.Proc of 2nd European Semantic Web Conf.Berlin:Springer-verlag,2005:361-376.

[10]FOSTER I,ZHAO Y,RAICU I.Cloud Computing and Grid Computing 360-Degree Compared[C].2008 Grid Computing Environments Workshop(GCE):Austin,Texas：November 16.Curran:IEEE,Feb 2009.

[11]HWANG K,ZOMAYA A,DONGARRA J.Distributed and Cloud Computing:From Parallel Processing to the Internet of Things[M].California:Morgan Kaufmann,2010.