云计算环境下基于信任的虚拟机可信证明模型

周振吉 吴礼发 洪 征 李丙戌 郑成辉

(解放军理工大学指挥信息系统学院, 南京 210007)

云计算环境下基于信任的虚拟机可信证明模型

周振吉 吴礼发 洪 征 李丙戌 郑成辉

(解放军理工大学指挥信息系统学院, 南京 210007)

为了解决云计算环境下虚拟机可信证明存在可信证据来源不足和证明过程容易暴露节点隐私信息的缺陷,将信任管理与群签名机制相结合,提出了一种基于信任的虚拟机可信证明模型,并给出了模型的结构和虚拟机节点总体信任度的计算方法．首先,通过综合直接信任度和反馈信任度,得到虚拟机节点的整体可信度,并据此识别出恶意的虚拟机节点;然后,采用基于群签名的证据保护方法,通过检验虚拟机节点的签名来考察其可信性,以保护节点隐私的同时降低节点遭受攻击的可能性．实验结果表明,该模型在虚拟机运行过程中可以有效识别出恶意节点并保护节点的隐私信息．

云计算;信任管理;虚拟机;群签名

云计算在提供方便、易用和廉价IT服务的同时,也带来了新的安全挑战[1]．用户在接受云服务提供商的一系列云基础设施服务之前,不仅要关心如何降低数据存储和处理的成本,还要综合考虑托管数据的安全与隐私保护．

云基础设施中,虚拟机被广泛用作用户资源和数据的载体,如何保证虚拟机的可信性成为实现云计算安全的关键．将可信计算与云基础设施相融合,以可验证的方式向用户提供可信的虚拟机是一个可行的解决方案[2]．

可信证明是可信计算的核心机制之一[3],利用可信证明能够验证虚拟机是否可信,从而为云基础设施环境中建立信任关系提供依据．研究者们根据可信计算组 (TCG) 远程证明框架[3]提出了多种虚拟机可信证明方案[4-9]．证明者向质询者汇报虚拟机平台的身份和配置信息,质询者通过这些信息来验证虚拟机节点的可信性．然而,这些证明方案并不适用于云计算环境,实施过程中存在证据信息不全和节点匿名性差等问题．云计算是一种多租户的服务模式,单个用户获取的证明信息不足以反映整个虚拟机节点的可信性．因此,需要一种综合其他用户证据来验证虚拟机节点可信性的方法．在现有云计算环境下的虚拟机可信证明模型中[4],用户可以直接获取虚拟机主机的完整性和配置信息,以证明虚拟机节点的可信性,但这种方式暴露了节点的特征信息,恶意用户可以通过这些信息来实施有针对性的攻击．因此,在证明过程中,需要一种保持节点匿名性的机制．

针对上述问题,本文提出了一种云计算环境下基于信任的虚拟机可信证明模型TBTAM．首先,借鉴信任管理的思想,提出了虚拟机节点直接信任度和反馈信任度的概念,用户通过综合直接信任度和反馈信任度来全面验证虚拟机节点的可信性,有效识别出恶意的虚拟机节点．其次,提出了基于群签名的证据保护方法,用户通过检验虚拟机节点的签名来验证其可信性．该方法可以最大限度地保护节点的隐私,降低节点遭受攻击的可能性．

1 基于信任的虚拟机可信证明模型

1.1 模型结构

基于信任的虚拟机可信证明模型TBTAM如图1所示．该模型中引入了一个可信证明代理,以收集虚拟机节点控制器 (NC) 的直接信任度和反馈信任度;综合计算出节点的全局信任度,并据此对虚拟机节点进行分组,从而隐藏了NC的敏感信息．

图1 TBTAM模型的结构

TBTAM模型包含3个参与交互的实体:可信证明代理、用户和云服务提供商．主要功能组件包括可信证明代理中的节点监控模块、节点注册模块、信任度计算模块、用户反馈模块、分组管理模块以及云服务提供商中的虚拟机主机和可信度量模块．当一个虚拟机节点运行后,虚拟机主机向可信证明代理发送注册请求,以验证虚拟机节点身份的可信度．如果虚拟机运行过程中节点的可信状态发生变化,则云服务提供商内部的可信度量模块向可信证明代理发送虚拟机状态的可信度,这2个信任度构成了节点的直接信任度．用户在使用完虚拟机节点后向可信证明代理发送节点的反馈信任度．可信证明代理综合这2个可信度得到总体信任度,并以此作为群签名中对节点分组的依据．当用户需要使用一个虚拟机节点时,可信证明代理根据用户需求返回节点的信任度签名;用户则可以使用对应的群公钥判断节点所处的信任分组,从而保证节点信息的匿名性．

可信证明代理是TBTAM模型的主要部件,负责对提供云服务的虚拟机节点实施集中式可信证明．可信证明代理启动后,分组管理模块按照高、中、低3个信任等级分别生成3组群密钥．其中,公钥向用户公开,用于群签名认证;私钥由管理员保管,用于签名打开．群组创建好后,可信代理便可实施虚拟机可信证明．当节点关闭时,由分组管理模块对相应的节点密钥进行回收销毁即可．可信证明代理主要包含以下5个子模块:

1) 节点注册模块,即验证虚拟机启动过程中平台的身份证书,以考察平台身份的可信性．

2) 节点监控模块,即验证虚拟机节点的完整性和运行过程中平台状态的可信性．节点监控模块通常与云服务提供商内部的可信度量模块协同工作．

3) 用户反馈模块,即收集用户对虚拟机节点的反馈信任度．云计算是一种多租户的服务模式,同一虚拟机主机在运行过程中可能会服务于多个用户,不同用户之间互相影响;用户可以通过用户反馈模块收集其他用户的反馈信息．

4) 信任度计算模块,即综合计算出节点的总体信任度．信任度计算模块根据节点的直接信任度和反馈信任度,计算出虚拟机节点的总体信任度,作为虚拟机节点分组的依据．

5) 分组管理模块,即负责管理虚拟机节点的信任度并对其进行分组．分组管理模块根据信任度计算模块给出的信任度对节点进行分组,从而提供给节点不同可信等级的服务．用户可以根据自己的应用需求,选择具有不同可信度的虚拟机节点．

虚拟机节点加入云服务时,首先需要向可信证明代理发送注册请求,更新节点的信任度,以获得合法的身份及访问密钥．虚拟机节点运行过程中,可信度量模块可以检测到虚拟机状态变化,以验证虚拟机状态是否可信．虚拟机节点注册成功后便可向用户提供云服务．如果虚拟机的可信状态发生了变化,那么访问密钥也必须更新．

1.2 信任度计算

云计算中虚拟机节点的总体信任度由虚拟机节点的直接信任度U、运行完成后该用户反馈的信任度C和其他用户对该虚拟机节点的历史反馈信任度H三个因素决定．令虚拟机节点直接信任度权重、用户反馈信任度权重和其他用户历史反馈信任度权重分别为Wu,Wc,Wh,则虚拟机节点的总体信任度T1可表示为

T1=WuU+WcC+WhH

(1)

式中,U,C,H,Wu,Wc,Wh的取值范围均为[0,1],且Wu+Wc+Wh=1．

虚拟机节点的历史反馈信任度H是根据先前的历史反馈计算得到的,距离现在越远的反馈对历史反馈信任度的影响越小．假设ωi(i=1,2,…,n) 为第i个历史反馈信任度的权重,它是一个随时间而变化的衰减函数．若Hi(i=1,2,…,n) 表示为第i个历史反馈,则最终的虚拟机节点总体信任度可以表示为

T2=WuU+WcC+Wh∑Hiωi

(2)

2 实验与分析

在TBTAM模型中,节点隐私信息的匿名性由群签名保证[10-11]．下面对本文提出的TBTAM模型进行仿真实验,以验证模型的有效性．

2.1 仿真环境

采用澳大利亚墨尔本大学开发的云计算仿真平台CloudSim[12]开展仿真实验,模拟实现了可信证明代理、可信度量模块和证明算法库,运用BRITE软件[13]模拟了服务拓扑结构．本文实验中设置了2种虚拟机节点和3种用户．

虚拟机节点包含以下2种类型:

1) 诚实的虚拟机节点N1．该节点遵守所宣称的可信等级,诚实地向可信证明代理提供自己的直接可信度．

2) 恶意的虚拟机节点N2．该节点不遵守所宣称的可信等级,虚假地向可信证明代理提供自己的直接可信度．

这2种类型的虚拟机节点开始信任度都设置为0.5．

用户包含以下3种类型:

1) 诚实的用户U1,主要用于给出虚拟机节点真实的可信度评价．

2) 恶意的用户U2,主要用于给出虚拟机节点虚假的可信度评价．

3) 随机的用户U3,其对节点的评价存在不确定性,有时能给出客观评价,有时则给出随机评价．

当一个虚拟机节点运行结束后,用户对其进行评价,这个过程被称为一次交互．实验中虚拟机节点和用户之间的交互情况设置如下:

1) 实验的交互过程以轮为单位．一轮中每个用户需与固定数目的虚拟机节点进行交互;当所有用户都交互完毕时,一轮实验结束,统计此轮中的交互情况,再进行下一轮交互．

2)U1类用户直接与高可信度节点进行交互,对可信度为中的节点以一定的概率进行交互,不与可信度为差的节点交互．

3)U2,U3类用户以一定的概率与网络中的各种虚拟机节点随机交互,然后根据自己的类型给出相应的评价．

2.2 结果分析

实验中设置的虚拟机节点总数为5 000,用户总数为3 000．虚拟机节点和用户中各种类型所占比例如表1所示．

表1 虚拟机节点和用户各种类型所占比例 %

实际网络中,真实实体的比例大于恶意实体,因此表1中的设置是合理的．实验共进行了60轮,每轮中用户与10个虚拟机节点进行交互,每5轮结束后统计交互情况．

由图2可知,随着交互轮次的增加,参与交互的虚拟机节点数量也快速增大．因此,增加交互轮次可以提高识别恶意虚拟机节点的准确性．

图2 交互轮次随参与交互虚拟机节点数的变化情况

为了体现TBTAM模型在识别恶意节点上的优势,本文将其与TCCP模型进行比较．

由图3可以看出,随着交互轮次的增加,采用了信任反馈和奖惩机制的TBTAM模型中U1与恶意实体交互的次数不断减少;而对于TCCP模型,由于没有采取任何机制进行识别和访问控制,故U1访问到恶意虚拟机节点的概率与恶意虚拟机在网络中的分布情况类似．

图3 交互轮次随恶意虚拟机节点数的变化情况

由图4可知,当交互轮次较少时,虚拟机节点的可信度不高,接近于50%．随着交互轮次的增加,诚实的虚拟机节点N1的平均可信度明显增加,而恶意虚拟机节点N2的平均可信度则快速下降．这说明TBTAM模型能有效甄别恶意虚拟机节点和诚实虚拟机节点．

图4 交互轮次随虚拟机节点信任度的变化情况

综上可知,TCCP模型只在系统启动过程中验证了虚拟机节点的可信性,无法检测出运行过程中恶意的节点;而TBTAM模型在交互过程中综合了虚拟机的直接信任度和反馈信任度,采用信任反馈和奖惩机制,有效识别出恶意虚拟机节点,反映了节点的真实信任度．

3 结语

针对云计算虚拟机在可信证明方面的特点和需求,本文提出了一种基于信任的虚拟机可信证明模型TBTAM．用户可以利用计算虚拟机的总体信任度来验证虚拟机节点的可信性,有效识别出恶意虚拟机节点．模型使用群签名对证据进行保护,以最大限度地保护节点的隐私,降低了节点遭受攻击的可能性．仿真实验结果证实了该模型的有效性．

References)

[1]冯登国, 张敏, 张妍, 等. 云计算安全研究[J]. 软件学报, 2011, 22(1):71-83. Feng Dengguo, Zhang Min, Zhang Yan, et al. Study on cloud computing security[J].JournalofSoftware, 2011, 22(1):71-83. (in Chinese)

[2]黄瑛, 石文昌. 云基础设施安全性研究综述[J]. 计算机科学, 2011, 38(7): 24-30,69. Huang Ying, Shi Wenchang. Survey of research on cloud infrastructure[J].ComputerScience, 2011, 38(7): 24-30,69. (in Chinese)

[3]Trusted Computing Group. TCG specification architecture overview, version 1.4 [EB/OL]. (2007-08)[2014-06-25]. http://www.trustedcomputinggroup.org/resources/tcg-architecture-overview-version-14/.

[4]Santos N, Gummadi K P, Rodrigues R. Towards trusted cloud computing[C]//Proceedingsof2009ConferenceonHotTopicsinCloudComputing. San Diego, CA, USA, 2009: 14-19.

[5]Krautheim F J. Private virtual infrastructure for cloud computing[C]//Proceedingsof2009WorkshoponHotTopicsinCloudComputing. San Diego, CA, USA, 2009: 1-5.

[6]Krautheim F J, Phatak D S, Sherman A T. Introducing the trusted virtual environment module: a new mechanism for rooting trust in cloud computing[C]//2010TrustandTrustworthyComputing. Berlin, Germany, 2010: 211-227.

[7]Schiffman J, Moyer T, Vijayakumar H, et al. Seeding clouds with trust anchors[C]//Proceedingsof2010ACMWorkshoponCloudComputingSecurityWorkshop. New York, USA, 2010: 43-46.

[8]Neisse R, Holling D, Pretschner A. Implementing trust in cloud infrastructures[C]//Proceedingsof2011IEEE/ACMInternationalSymposiumonCluster,CloudandGridComputing. Newport Beach, CA, USA, 2011: 524-533.

[9]Zhao Y, Cong P Y. On remote attestation based on trusted cloud computing[J].JournalofAppliedSciences, 2013, 13(22): 5092-5098.

[10]Ateniese G, Camenisch J, Joye M, et al. A practical and provably secure coalition-resistant group signature scheme[C]//The20thAnnualInternationalCryptologyConference. Santa Barbara, CA, USA, 2000: 255-270.

[11]陈泽文, 王继林, 黄继武, 等. ACJT群签名方案中成员撤销的高效实现[J]. 软件学报, 2005, 16(1): 151-157. Chen Zewen, Wang Jilin, Huang Jiwu, et al. An efficient revocation algorithm in ACJT group signature[J].JournalofSoftware, 2005, 16(1): 151-157. (in Chinese)

[12]Calheiros R N, Ranjan R, Beloglazov A, et al. CloudSim: a toolkit for modeling and simulation of cloud computing environments and evaluation of resource provisioning algorithms[J].Software:PracticeandExperience, 2011, 41(1): 23-50.

[13]Medina A, Matta I, Byers J. BRITE: Boston University representative internet topology generator [EB/OL]. (2001-03)[2014-06-25]. http://www.cs.bu.edu/fac/matta/Research/BRITE/.

Trust based trustworthiness attestation model of virtual machines for cloud computing

Zhou Zhenji Wu Lifa Hong Zheng Li Bingxu Zheng Chenghui

(Institute of Command Information System, PLA University of Science and Technology, Nanjing 210007, China)

The trust evidence sources of cloud computing nodes are usually insufficient, and during the attestation process sensitive information of the involved nodes is easily exposed. To solve these problems, a trust-based trustworthiness attestation model (TBTAM) for virtual machine is presented by combining trust management and group signature scheme. The TBTAM architecture and the calculation method of the trustworthiness of virtual machine nodes are put forward. First, considering both direct trustworthiness and feedback trustworthiness, the trustworthiness of virtual machine nodes is comprehensively evaluated, and malicious nodes are identified. Then, by the group-signature-based method for proof protection, the trustworthiness of tenants is verified by validating the signatures of nodes, which protects the privacy of nodes and reduces the attack possibilities. The experimental results show that the model can effectively identify malicious nodes and protect privacy of virtual machine nodes during the running process.

cloud computing; trust management; virtual machine; group signature

2014-07-26. 作者简介: 周振吉(1985—),男,博士生;吴礼发 (联系人),男,博士,教授,博士生导师,wulifa@vip.163.com.

江苏省自然科学基金资助项目(BK2011115, BK20131069).

周振吉,吴礼发,洪征,等.云计算环境下基于信任的虚拟机可信证明模型[J].东南大学学报:自然科学版,2015,45(1):31-35.

10.3969/j.issn.1001-0505.2015.01.006

TP393

A

1001-0505(2015)01-0031-05