一种云计算安全模型与架构设计研究

1、 季一木 1,2,康家邦 2,潘俏羽 2,匡子卓 2(1.南京邮电大学计算机学院,江苏南京 210003;2. 南京邮电大学物联网学院,江苏南京 210003摘要 :由于云计算存在安全性的问题,使得原本具备大规模、动态、开放和分布式计算环境等优势的云计算目前更多的是以小规模、 静态的私有云的模式出现。 为了解决云平台的安全问题, 文章从用户维、 数据维、业务维和环境维构造相应的云安全服务平台及相关服务出发,基于 Eucalyptus 平台设计了一种轻量级的云计算多维安全平台架构。达到云平台安全、云服务安全和安全云服务,以满足在应用云计算提供服务的过程中所需的安全可信需求。关键词 :云计算 ;

2、安全 ; 多维 ; 架构中图分类号 :TP393.08 文献标识码 :A 文章编号 :1671-1122(201206-0006-03A Secure Cloud Computing Model and ArchitectureDesign and ResearchJI Yi-mu1,2, KANG Jia-bang 2 ,PAN Qiao-yu2, KUANG Zi-zhuo2( 1. College of Computer, Nanjing University of Posts and Telecommunications, Nanjing Jiangsu 210003, China;2

3、. College of IOT, Nanjing University of Posts and Telecommunications, Nanjing Jiangsu 210003, China Abstract: Due to taking into account the security issues, making the original with the large-scale, dynamic,open and distributed computing environment of cloud computing, which was to build small-scal

4、e, static privatecloud at present. In order to solve the security issues of the cloud platform, the cloud security services platformand related services were built with the user dimension, the data dimension and business-dimension in this projectso that the cloud platform security, cloud services sa

5、fe and secure cloud services were gained and met with theapplication of cloud computing services rendered during the required security credible demand. In the end, alightweight cloud computing multi-demensional archetecture was designed and built based on Eucalyptus.Key words: cloud computing; secur

6、ity; Multi-Demension; architecutre一种云计算安全模型与架构设计研究收稿时间 :2012-04-22基金项目 :江苏省工业支撑项目 BE2010057、江苏省高校自然科学基金项目 11KJB520013作者简介 :季一木 (1978- ,男,安徽,副教授,硕士生导师,博士,主要研究方向 :下一代互联网计算模式等 ; 康家邦 (1987- ,男,安徽, 硕士研究生,主要研究方向 :云安全模型 ; 潘俏羽 (1988- ,女,江苏,硕士研究生,主要研究方向 :云存储 ; 匡子卓 (1991- ,男,江苏, 硕士研究生,主要研究方向 :云安全关键技术。0 引言目前云计

7、算系统多数是安全性较低的试商用系统,其主要原因之一就是云计算的安全问题还没有得到很好的解决。为此, 云安全联盟 CAS 组织提出一种 SecaaS (安全即服务 框架,为云计算安全研究提供了统一的参考模型 1。安全咨询机构波耐蒙 研究所 (Ponemon Institute 也给出了云计算安全研究报告 2,并在报告中详细列出了云计算可能出现的安全问题,以及每种安全 问题的来源分布。云计算安全研究也因此成为学术界研究热点之一,Jaeger T. 等人针对云计算可能面临的安全挑战和改进提出了 一些建议 3,虽然没有介绍具体的技术实现情况,但是也给我们提供了研究云安全需要考虑的内容。中国科学院冯登国

8、教授在 文献 4中也针对云计算的安全给出了相应的服务框架,并对涉及到的安全技术进行了阐述。在云平台业务及性能研究方面,米 海波博士等人提出一种面向云计算平台的层次化性能问题诊断方法 5。Albeshri A. 等人也提出一种云计算环境下的相互保护策略 6。Brandic I. 等人提出一种云服务自管理方法 7,提高了云平台提供的服务共享性和协作。以上这些文献的工作都是围绕云计算 平台、业务和服务等关键技术展开研究和论述的,因此可以看出云平台业务的安全和健壮是研究云计算安全的基础。在云安全 方面,Roschke S. 等人对云环境下的入侵检测方法进行了研究 8,Xiao Yong 等人在文献 9

9、中给出云体系结构下的可信计算环境 7 模型研究,文献 10对社区云的安全进行了介绍。文献 11把认证作为云的一种服务并提供面向服务的应用。文献 12介绍了云基础服务的安全和快速合成方法。Jianfeng Zhan等人 介绍了 一种大规模组织下不同计算负载共享的集群系统构建 方法 13,Kaisler 等人对云架构中服务迁移技术进行了 分析 14, 文献 15描述了 一种通过网格中间件进行云计算资源管理的 方法。这些文献的研究成果为云平台的体系结构中的数据迁 移、资源监控和负载均衡等模块的设计和研究提供了思路。1 云计算多维安全模型视图云计算多维安全主要指从用户维、数据维、业务维和环 境维四维构

10、建安全可信的云计算平台 ,如图 1所示。1用户 维从用户身份认证的访问控制、单点登录和信任管理三个方 面保障访问安全 ; 2数据维从云端用户个人数据的保密性、 云端数据的常规安全备份技术, 以及在云环境下某个数据服务 器发生故障时 ,系统可以动态实时地将自身数据迁移到另一台 机器上 ; 3业务平台维从用户任务的监控、业务操作的日志、 云端业务的负载均衡和虚拟化资源的监控等方面来保障本项 目提出的云计算平台安全性 ; 4环境维主要指云环境依赖的 分布式网络计算环境、云服务器等设备所存放的自然环境和 云系统中机器运行所依赖的操作系统环境。图1 云计算多维安全模型视图2 基于 Eucalyptus

11、的云计算多维安全平台架构设计云计算平台按照提供服务内容的侧重点不同,可以分为 IaaS (Infrastructure as-a Service,基础设施即服务 、PaaS (Platform as-a Service,平台即服务 和 SaaS (Software as-a Service,软件即服务 三种模式 23-25,其中作为 IaaS 和 PaaS 模式代表性的开源平台包括 Hadoop、Enomalism、MongoDB 和 Eucalyptus 项目。其中 ,Eucalyptus 项目全称是 Elastic Utility Computing Architecture for Li

12、nking Your Programs To Useful Systems,是由 Santa Barbara 大学研发的开源软件项目,该软件主要用来实现云计算环境的弹性需求,通常在系统集群或 者服务器组上部署 ,并且使用常见的 Linux 工具和基于 Web 的服务 。2.1 基于Eucalyptus的云计算多维安全模型通过对 Eucalyptus 云平台的深入研究,Eucalyptus 提供了 用户证书认证和登录功能,根据图 1所示的云计算多维安全 模型,通过在 Eucalyptus 平台增加访问控制、数据加解密和日 志管理等功能保障云平台的安全性和健壮性,从而提高用户 的可信度。本文提出的

13、云计算多维安全是对 Eucalyptus 平台 安全功能模块的增强,其模型如图 2所示。 图2 基于Eucalyptus的云计算平台多维安全模型要想构建一个基于 Eucalyptus 的多维安全云计算平台 , 就要围绕 Eucalyptus 已经提供的数据存储控制模块、集群控 制模块和节点控制器模块功能,增加资源管理和任务管理模 块,这两个模块的安全考虑主要是基础设施层的负载均衡, 实现系统资源的最优化利用和增强整个云平台的健壮性。另 外 ,在 Eucalyptus 提供的用户证书认证和登录功能基础上,利 用访问控制、数据加解密和日志功能保障云平台的安全性和 健壮性,提高用户的可信度,加强具体

14、用户访问云平台的安 全管理。图 3为本文提出的多维安全云计算平台的实现架构, 整个架构自下而上分为基础设施层、基础设备管理层、平台控制层、平台表现层和平台应用层。图3 基于Eucalyptus的多维安全云计算平台架构 基础设施层主要包括各种虚拟机服务器、数据库服务器和应用服务器, 通过它们来搭建云环境, 支撑云计算、 云存储、云服务和云平台的部署与运行 ;基础设备管理层主要是通过开源平台 Eucalyptus 来进行虚拟机和存储的管理,Eucalyptus 提供的云控制器 CLC 功能模块可以进行虚拟机和簇的分配、监控与管理,从而构建集群环境。提供的存储管理 Walrus 模块可以对存储节点进

15、行分配、监控与管理 ;平台控制层指的是为了实现一轻量级的、安全的、灵活部署的云平台 ,在业务控制层主要突出资源管理、任务管理和安全管理三大模块,三大模块集中体现了图 3所示的多维安全保障功能。资源管理除了资源监控外 ,还可以进行资源的注册、分配和调用。任务管理除了任务监控外 ,还可以进行任务的提交、分解和执行。安全管理实现了单点登录的访问控制、计算和存储的负载均衡、日志管理、数据的加解密、数据迁移和信任管理功能 ;平台表现层主要依托 SOA 和工作流技术,以 Web 门户形式表现底层业务和资源,使上层应用的用户看到的一切皆为服务 ;平台应 用层主 要应 用于 CRM (客户关 系管 理 、CR

16、 P(Campus Resource Planning,校园资源规划 和 ERP (企业资源规划 三方面,面向教育 、医疗 、企业和政府提供安全可靠云服务 。2.2 基于云架构的安全认证在云计算用户身份认证和信任方面,文献 16给出一种多租户的、面向服务的云计算中间件。文献 17介绍了 一种面向云服务的多租户授权认证系统。文献 18给出了 一种云单点登录认证的三阶段跨云联合模型。文献 19为云应用提供了一种统一用户管理系统。文献 20提出一个面向网络计算的动态信任管理 DTM 模型。文献 21提出了云计算环境下基于SLA 协议的信任模型。文献 22从服务提供者的角度考虑了一种面向服务体系架构和

17、云环境下的策略驱动机制。可以看出云计算环境下用户层的安全研究主要集中在身份认证、单点登录和信任管理方面。2.3 服务架构及安全性分析通过对 Eucalyptus 开源平台的研究发现,基于 Eucalyptus构建多维安全的云计算平台 ,至少有四个方面的优点 26,27。第一、Eucalyptus 目前的代码实现只可以看作为一个原始模型 (Prototype ,在架构设计上有一定指导意义,但仍有非常多的扩展工作要做,而且由于 Eucalyptus 的开源性,为进一步二次开发拓展其功能提供了很好的安全方面的编程接口。如系统为每个 Eucalyptus 服务组件都提供了 一个 Well-Formed

18、 和WSDL (Web Service Description Language,Web 服务描述语言 文档格式的 API 及数据结构,且内部服务的安全认证采用标准的 WS-Security 机制 ; 第二,该平台支持的云计算模型 “公私兼顾” ,可以通过配置服务器集群来实现私有云,并 且其接口也是与公有云 (如 Amazon 相兼容,所以,该系统 可以满足私有云与公有云混合构建扩展的云计算环境 ; 第三、 Eucalyptus 是一种基于 Apache Java 的开源项目,提供了很好 的接口 (如 Web GUI 交互接口和 API 编程接口等 ,这些接口 具有很好的可扩展性,便于二次开发

19、 ; 第四,Eucalyptus 的安 全性较其它开源项目好 , 但还需要进一步加强, 提高其可用性。 Eucalyptus 部署运行在 Linux 内核的平台上,该平台本身就较 一般的操作系统安全,同时 ,该平台提供证书的用户认证来保 证用户访问安全、审计报表和组安全等功能,但是,该平台 不能对数据提供加密和解密服务 ,对业务系统不能提供实时 在线监控和恢复机制,所以本文在 Eucalyptus 平台的基础上 设计了云计算多维安全架构。3 结束语本文通过 Eucalptus 及云计算安全的深入研究,提出 了 一种 云计算多维安全模型,从用户层、业务层、资源 (数据 层和 环境层构建安全可信的

20、云计算平台 。随着技术融合的不断深入, 网格计算资源管理、任务管理和安全管理等领域的研究成果都 可以应用到云计算平台 28。下一步 ,我们的研究重点将放在云 计算的动态认证机制和数据隐私保护算法等方面,通过迭代开 发模型实现多维安全云平台的开发。 (责编 杨晨参考文献:1 CAS. SecaaS(Security as-a Service.Defined Categories of Service 2011. 2 Ponemon Institute. Security of Cloud Computing Providers Study(Research Report. April 2011.

21、3 Jaeger, T., Schiffman, J., et al. Outlook: Cloudy with a Chance of Security Challenges and Improvements . IEEE Security & Privacy, 2010 , 8(1: 77 - 80.4 冯登国,张敏,张妍,徐震 . 云计算安全研究 J. 软件学报, 2011,22(01 :71-83.5 米海波,王怀民,蔡华,尹刚,周琦,孙廷韬,周扬帆 . 面向云 计算平台的层次化性能问题诊断方法 J. 通信学报, 2011, 32(07 : 114-124.6 Albeshri

22、, A., Caelli, W. Mutual Protection in a Cloud Computing Environment. High Performance Computing and Communications (HPCC, 2010, Page(s:641-646.7 Brandic, I. Towards Self-Manageable Cloud Services. Computer Software and Applications Conference, 2009. Page(s: 128-133. 8 Roschke, S., Feng Cheng, Meinel

23、, C. Intrusion Detection in the Cloud. Dependable, Autonomic and Secure Computing, 2009, Page(s:729-734.9 Xiao-Yong Li,Li-Tao Zhou,Yong Shi,Yu Guo. A trusted computing environment model in cloud architecture. Machine Learning and Cybernetics (ICMLC, 2010 International Conference on Volume 6,2010, Pa

24、ge(s:2843-2848.10 Baiardi, F., Sgandurra, D. Securing a Community Cloud. Distributed Computing Systems Workshops (ICDCSW, 2010, Page(s:32-41. 11 Lang, U. OpenPMF SCaaS: Authorization as a Service for Cloud & SOA Applications. Cloud Computing Technology and Science (CloudCom, 2010, Page(s:634-643

25、.下转第 22页 证明安全的加密机制中的挑战密文是不可区分的,即无法在多项式时间内判断出该密文是对选择的两个明文中哪个明文进行的加密。在证明过程中 ,H 需要构造出两个选择明文,并且要根据现实模型和理想模型中的加密的明文的不同形式来构造 (比如上面例子中提到的 (m h , 0|m h | 。用这两个选择明文去挑战加密预言机, 加密预言机会返回一个挑战密文。 如果存在这样一个 Z,能够区分现实模型和理想模型, 那么 H 就能够利用 Z 这个特点,判断出挑战密文是对哪个明文进行的加密。3 可证明安 全 的签名机制的不 可伪 造 性 (EU-CMA,Existential Unforgeable

26、against Chosen Message Attack。在设计签名协议时 ,可以利用这个困难问题,具体的实施方法和可证明安全的加密机制的不可区分性是类似的。4消息认证码 (MAC函数或者 Hash 函数的抗碰撞性。在现实世界中 ,认为所使用的 Hash 函数或者 MAC 安全都是足够好的,即可以保证抗碰撞性。5公认的数学难题,比如判定性 Diffie-Hellman (DDH难题等等。除了在设计协议的时候,需要注意到要将以上这些困难问题设计到协议中去,在证明 UC 模型下安全的协议时 ,非常关键的一个步骤就是构造理想模型中的攻击者 S。构造出来的 S 的行为必须能够混淆 Z,使之无法判断出

27、现实模型和理想模型。所以构造出来的 S 在理想模型中 ,仿真现实模型协议所执行的每个动作,它必须能够仿真完成现实模型攻击者A 的所有动作,比如攻陷实体,冒充某个实体给另外一个实体 发送消息,以及看到所有 A 能看到的信息。理想模型中攻击者 S 构造的一般规律如下 :在构造理想 攻击者 S 时 ,通常会让 S 在自己的内部运行一个仿真环境,包 括对环境机 Z、攻击者 A 以及参与的所有实体的仿真。S 按照 协议的执行过程模仿各个实体之间的交互。S 把 Z 的输入 转发给 A,把 A 的输出转发给 Z。在真实环境下 ,攻击者 A 攻 陷某个实体,理想攻击者 S 攻陷对应的虚拟实体。当被攻陷 的虚拟

28、实体接收到 Z 发来的消息 m 后,S 让仿真的 Z 将消息 m 发送给攻陷的实体。当被攻陷的实体向仿真的 Z 输出消息 m 后,S 指导被攻陷的虚拟实体向 Z 发送消息 m。除了这些, 还要构造出攻击者 S、 环境机 Z 以及理想函数之间的交互过程。 通过完整地构造这样一个足以混淆 Z 的 S,就能完成 UC 模型 下协议的安全性证明。 (责编 杨晨参考文献 :3 雷飞宇. UC安全多方计算模型及其典型应用研究 D. 上海 :上 海交通大学,2007.4 冯登国. 可证明安全性理论与方法研究J. 软件学报, 2005, (16 : 1743-1756.12 P. De Leusse, P.

29、Periorellis, et al. Secure & Rapid Composition ofInfrastructure Services in the Cloud. Sensor Technologies and Applications,2008, Page(s:770-775.13 Jianfeng Zhan, Lei Wang, et al. Phoenix Cloud: ConsolidatingDifferent Computing Loads Shared Cluster System for Large Organization.The first worksho

30、p of cloud computing and its application (CCA 08,Chicago, 2008.14 Kaisler, Stephen, Money, William H. Service Migration in a CloudArchitecture. System Sciences (HICSS, 2011, Page(s:1-10.15 Caron E, Desprez F, Loureiro D, et al. Cloud computing resourcemanagement through a grid middleware:A case stud

31、y with DIET andeucalyptusC. IEEE International Conference on Cloud Computing,Bangalore,India,September 21-September 25,2009.16 Azeez, A., Perera, S., Gamage, D.,et al. Multi-tenant SOAMiddleware for Cloud Computing. Cloud Computing (CLOUD, 2010IEEE 3rd International Conference, Page(s:458-465.Author

32、ization System for Cloud Services. Security & Privacy, IEEE8(6,2010, Page(s:48-55.18 Celesti, A., Tusa, F., et al. Three-Phase Cross-Cloud FederationModel: The Cloud SSO Authentication. Advances in Future Internet(AFIN, 2010, Page(s:94 -101.19 Jian Lin, Xiaoyi Lu, et al. Vega Warden: A Uniform UserManagement System for Cloud Applicat