云图书馆中“基础设施即服务”模式的安全研究

关庆娟　杨燕梅　刘浩

摘要：云计算环境下的数字图书馆具有支持大量资源共享、具备强大计算能力等特点，但同时也因其支持多用户共享资源而带来了诸如存储数据被还原篡改、信息隐私泄露、通信数据被窃听等等安全问题。其中，以虚拟化技术为关键技术的“基础设施即服务”（IaaS）模式亦如此。鉴于此，论文从服务提供商、租赁用户、服务提供商和租赁用户间供求关系的角度出发，探讨了云图书馆服务架构中IaaS模式的资源共享安全问题，并提出了相应的安全策略。

关键词：云图书馆；基础设施即服务；虚拟化技术；安全策略

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）17-3991-03

Study on Security Strategy of IaaS in the Cloud Library

GUAN Qing-juan1，YANG Yan-mei1，LIU Hao2

（1.Library of Xinjiang Medical University， Urumqi 830011，China； 2.Medical College of Engineering and Technology，Xinjiang Medical University，Urumqi 830011，China）

Abstract： Digital library under the cloud computing environments has many features，such as resource sharing and powerful computing capabilities.However，because of sharing resources for many users， the security problems such as data tempering 、privacy leaking bring to the users.The“Infrastructure as a Service”（IaaS） model， which using the virtualization technology as the key technology， also has the security problems. Becouse of this reason， this paper discusses the security problem of the IaaS model in the cloud library architecture， thinking in terms of The service provider、rental user、relationship betwee n the service provider and rental user. Lastly， this paper presents the corresponding security strategies.

Key words：cloud library；IaaS；virtualized technology；security strategy

随着云计算的提出，各个行业开始广泛关注云计算在所属领域中的应用。云计算作为一种将分布式计算、网格计算、并行计算结合起来的新IT资源提供模式，能将动态、可伸缩的计算资源以服务的方式通过Internet提供给用户，具有资源共享量大、计算能力强等优势 [1]。云计算根据提供服务类别的不同，其架构可以分为基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS等三层服务模式。其中，IaaS以虚拟化技术为关键技术，分为物理层、系统监控层以及应用和虚拟机层等三层，为所有用户动态地分配所需I/O、CPU、内存等资源，方便用户通过租赁云计算平台随时随地通过网络获得资源计算、数据传输和数据存储等服务，实现多个云计算用户的资源共建共享。由于其诸多特点，各高校开始关注云计算在数字图书馆中的应用研究，其中，IaaS作为云计算最基本的服务，其安全性和鲁棒性无疑是云图书馆租赁用户是否可以在确保信息隐私的前提下快速获得云共享资源的关键因素，是云图书馆服务提供商确保产品质量的关键，是云图书馆访问用户在使用共享资源时确保个人信息隐私的关键。

1 云图书馆服务面临的安全问题

云图书馆IaaS提供商要保证安全性，需要考虑云图书馆服务器端存储和物理设备的安全、用户端数据安全、服务器和用户之间资源供求安全，从而使不同云图书馆租户可以根据各馆的安全需求实现数据存储和资源利用的可用性、完整性、机密性、可控性和高效性。

1.1 服务端资源共享安全

1） 硬件设备的安全隐患

对于由云服务提供商来部署的服务器端而言，其物理设备供所有租赁IaaS平台的云图书馆租赁用户使用，若物理设备遭受恶意用户的攻击或者设备处于不符合硬件运行环境指标的机房中，将导致该服务器上所有租赁IaaS平台的云图书馆中断服务，影响云图书馆的可用性，受影响范围将非常大。因此，物理设备的安全是云图书馆服务端提供IaaS的基本条件。

2） 存储数据的安全隐患

云提供商通常将基础设施服务租赁给多个云图书馆用户使用，租户在云服务器上存储大量的电子资源、门户系统、虚拟参考咨询平台、OPAC系统等数据信息，当租户不再使用该平台，云服务器管理中心对内存和硬盘等资源进行再分配时，可能出现无法彻底删除数据的情况，导致租赁用户存储在云图书馆服务端上的残留数据极有可能被下一个恶意租赁用户还原，并被用于非法用途，为该用户带来直接或间接的经济损失。例如，具有版权保护的图书馆电子文献资源和未开源的应用系统数据存储在不安全服务器环境中时，恶意用户通过还原关键数据占为己有，并用于商业目的，导致版权纠纷。此外，云图书馆租赁用户在云服务器上存储关键数据时以明文存储的方式也容易被非法攻击者通过网络窃听窃取数据，造成数据的泄露。endprint

3） 安全状态不可控的隐患

云图书馆环境具有开放性、动态性等特点，若出现租赁用户和黑客的恶意攻击行为，将为服务提供商及时预防、排查和制止恶意行为带来挑战。云图书馆用户随时随地可通过Internet进行数据存储、访问等操作，使得云图书馆服务器管理中心无法准确获知非法用户的数据操作位置；云图书馆服务供应商在服务器环境中采用虚拟化技术，即一台虚拟服务器系统中同时存在多个租户的应用系统，使得传统的服务器安全措施不能完全适用于该环境，并且不便于监控租户的安全行为。因此，合理的环境安全监控机制必不可少。同时，对于云图书馆服务提供商来说，需要考虑全面的安全评估体系，来保证租赁用户在安全可信的环境下使用服务，而采用何种评估模型作为安全度量模型是云图书馆安全服务架构需要研究的内容。

1.2 用户端资源共享安全

1） 数据和信息的安全隐患

为保证IaaS的可靠性，云图书馆租赁用户在2个虚拟服务器之间进行在线迁移和异地备份操作，并通常以明文传输数据信息，这种传输方式可能导致的后果是，云图书馆恶意租户窃取关键信息并抢占其他租户资源；恶意租户窃取关键信息并通过抢占大量资源致使其他租户的服务不可用等。

2） 用户身份信息和权限的安全隐患

在设计部署和运营维护云图书馆的过程中，无论服务提供商、云图书馆租赁用户管理员还是一般访问用户，当用户以远程方式登录云图书馆管理平台时需要通过唯一的合法通行证进行登录和身份认证，并针对不同用户提供不同的权限。对于云图书馆服务提供商和云图书馆系统级管理人员，需要完成IaaS平台的安全身份管理、认证和权限分配等操作，防止云图书馆服务提供商、非法攻击者和非法用户窃取基础设施服务平台的超级权限而进行非法操作；对于云图书馆的租赁用户、一般读者和非法攻击者等系统访问者，需要由服务提供商进行身份认证和操作权限的分配，只有授权用户才能访问云图书馆数据中心的硬件设备。

1.3 服务端和用户端之间的资源供求安全

云图书馆有必要建立服务提供商和租赁用户之间的安全供求关系。一方面，云图书馆服务提供商在云服务器管理中心根据租赁用户的应用需求来提供功能集合，其操作处理过程对租赁用户来说具有透明性，若服务提供商出现恶意窃取或篡改用户隐私数据的情况，将直接威胁到用户的隐私。另一方面，云图书馆允许租赁用户上传数据服务器端，可能为非法租赁用户通过所属虚拟机攻击服务器内其他所有的虚拟机。同时，租赁用户之间进行数据共享和传输过程中，可能出现非法攻击者和非法用户恶意篡改和泄露信息。例如，恶意租赁用户使用侧信道方法探测运行在同一物理服务器上其他租户的隐私数据。

2 云图书馆安全策略

在云图书馆虚拟化IaaS安全架构的设计与构建中，鉴于各租赁用户安全需求具有个性化和层次化等特性，服务提供商应具有租赁用户按需选择安全服务集合的功能，以采取不同的安全策略。

2.1 服务端资源共享安全策略

1） 建立物理隔离、存储隔离和存储安全机制

为保证云图书馆基础设施服务模式物理设备的安全，采用物理隔离方式是一种有效途径。针对因非法攻击者造成的硬件设备受损和隐私数据被窃取等安全问题，物理隔离需要网络设备的支持。在云图书馆虚拟服务器部署时，可通过物理交换机的虚拟化功能来实现通信隔离，例如使用基于OpenvSwitch和CiscoNexus 1000v的交换机。针对云图书馆服务器部署外部环境可能造成的安全问题，需要严格按照云服务器正常运行需求对机房环境进行控制，通过环境监控系统实时保证隔离于高温度、高湿度等外在环境。

云图书馆由于为多租户提供云服务，租户的所有数据混合存储在存储系统共享资源池中，为防止非法用户窃取或者篡改租户或者服务平台的隐私数据，需要云图书馆IaaS模式的虚拟服务器和存储服务器系统具备数据资源的存储隔离功能。一方面，针对云图书馆各租户的电子资源、应用系统等数据，可根据安全性进行分级，并将其分类存储在不同的数据库或者存储介质中，来提高数据存储的隔离性。另一方面，针对云图馆IaaS模式的虚拟服务器中存储的关键数据，可对其进行部分加密存储，当其他合法虚拟服务器管理者需要接收该数据时，可通过秘钥解密数据完成数据传送，以防止泄密。同时，对于云图书馆各租户存储的数据，可通过加密存储服务器中磁盘上的数据或数据库中的数据，来防止恶意的邻居“租户”及某些类型应用的滥用。

2） 建立服务器入侵检测系统监控分析机制

对于云服务器端的虚拟机系统而言，常见网络安全攻击包括：DDoS攻击、恶意软件注入攻击、元数据欺骗攻击和针对服务器的Dos攻击等。为防止恶意云图书馆租赁用户、黑客攻击行为，便于服务提供商对租赁用户行为进行管理，IaaS模式虚拟化服务器需要对服务器环境进行监控和状态分析。针对操作系统的行为，可通过事件操作进行监控，例如通过跟踪系统进程间的信息流，进行人侵检测和病毒清除，或者利用跟踪可疑来源数据导致的控制流变化进行检测[4-5]。

3） 建立可度量的安全测评机制

为准确评估云图书馆服务器系统的安全状态，可利用监控机制统计租赁用户当前状态和历史状态，利用评价模型评估不同安全需求的用户状态是否安全，目前可度量安全测评机制在研究中。例如，清华大学提出的可信、可度量安全服务评估模型[3]。

2.2 服务端和用户端资源供求安全策略

1） 建立用户身份管理和访问控制机制

针对用户身份管理策略，一方面，云服务提供商在为云图书馆租户方的管理员提供服务时，需要进行基础设施服务平台访问的用户身份管理、认证和权限分配，另一方面，云图书馆租赁方在为读者或者各馆的数字图书馆维护人员提供服务时，需要进行用户身份认证和操作权限分配。针对访问控制策略，IaaS平台只有授权的员工才可以访问云图书馆数据服务中心，完成电源冗余、网络冗余、防火防盗、安全监控和报警等操作。endprint

2） 建立安全事件审计机制

云图书馆用户的数据不再被用户本地拥有，需要有审计机制让用户知悉操作的数据是否被成功存储或者处理，同时，从数据安全和网络监管的角度来看，也需要审计机制来远程并公开数据的审计过程，具体可以通过对服务器虚拟机系统进行的创建、删除、启动、备份等常规操作、对访问流量进行定期的日志留存操作，处理过程均以不泄漏用户隐私为前提。

2.3 用户端资源共享安全策略

1） 建立用户身份联合认证和访问控制机制

在云环境下，实现身份联合和单点登录可以支持云图书馆中合作的各个图书馆之间更加方便地共享用户身份信息和认证服务，并减少重复认证带来的运行开销。不同图书馆用户进行局部访问和共享资源时要求服务提供商具有信息保护权限，使用户身份管理平台允许用户选择身份信息进行认证，控制有效用户访问云图书馆资源。云图书馆通常可以通过唯一的用户名和密码进行登录，或者通过共享公共密码（密钥）利用身份ID号作为唯一的登陆入口，用户在需要云图书馆资源时方可通过安全中心的认证。此外利用SLA安全探测机制识别出图书馆未认证用户使用资源导致的信息泄露，可以及时处理泄露事故[6]。目前云计算服务平台常用认证协议为安全套接字层认证协议SAP。

2） 建立数据加密机制

云图书馆服务提供商、租户、访问者等用户在网络中进行通信时，需利用数据加密技术加密通信链路上的数据，并支持多种加密方式。云图书馆租户在部署服务架构时，可利用可信平台模块TPM2.0（Trusted Platform Module），该芯片已支持多种加密，依据可信计算组织TCG制定的标准实现。

3） 建立内外网络隔离机制

内网与外网隔离，可通过设置防火墙系统进行隔离，保证内网安全。这种方式仅用于防止来自外网的恶意攻击行为，例如DDoS攻击等。

3 小结

云图书馆因其强大的计算能力和资源共享能力为数字图书馆带来了新的发展前景，成为各个图书馆的资源集中地，为读者提供全新的数字阅读体验。然而，云图书馆采用虚拟化技术的IaaS模式在带来诸多优势的同时，但也因其复杂而独特的平台架构提高了多租户共享IaaS资源的管理难度，并为云图书馆环境带来了新的安全问题，例如服务器硬件安全、数据存储和通信安全、用户信息隐私安全和虚拟环境多租户间网络安全防御等。考虑到云图书馆中IaaS模式的安全性和鲁棒性是应用云图书馆的服务提供商、租赁用户和访问用户都需要考虑的关键因素，因此只有从各角度出发根据需求不断完善IaaS共享资源安全机制，才能更好地为读者提供个性化高质量的数字化服务，提高读者满意度。

参考文献：

[1] 王文清，陈凌.CALLS数字图书馆云服务平台模型[J].大学图书馆学报， 2009，27（4）： 13-32.

[2] 袁援，凌卉.云计算技术驱动下构建数字图书馆虚拟化环境的探讨[J].情报理论与实践，2010（12）：119-123.

[3] 林闯，苏文博，等.云计算安全：架构、机制与模型评价[J].计算机学报，2013，36（9）：1765-1784.

[4] Kruegel C，Kirda E，Mutz D，et a1.Automating mimicry attacks using static binary analysis[J]. Proceedings of the 14th Conference on USENIX Security Symposium-Volume 14.Baltimore，Maryland，USA，2005：11-11.

[5] Hsu F，Chen H，Ristenpart T，et a1.Back to the future：A framework for automatic malware removal and system repair[J]. Proceedings of the 22nd Annual Computer Security Applications Conference（ACSAC06）.New Orleans，USA，2006：257-268.

[6] Avizienis A， Laprie J C， Randell B，et a1. Basic concepts and taxonomy of dependable and secure computing[J].IEEE Trans actions on Dependable and Secure Computing，2004，1（1）： 11-33.endprint