邢剑锋，王鹏飞，沈 松

(海军蚌埠士官学校 信息技术系，安徽 蚌埠233012)

云计算服务能够大大节约存储和计算数据的成本，但由于安全问题，多数企业却对此表现很冷淡。近期有研究[1]发现，企业最关心的是数据的安全性和失去数据控制权会对隐私带来什么样的危害，而不仅仅是如何降低数据存储和处理的成本。云服务商的雇员很有可能篡改或者泄露用户数据，甚至是公司的财务状况，从而对用户造成巨大危害。

本文提出一种可信赖云计算平台（TCCP），可以确保外包给基础设施服务（IaaS）的计算的保密性和完整性。TCCP为用户VM提供了一个封闭的执行环境，避免云服务商的特权用户窥视或者篡改内容，在执行VM申请前，用户可以远程判断服务后台运行的TCCP是否可信。该方法拓展了整体服务验证的概念，使用户能够预估计算执行安全性。

1相关知识

1.1基础设施服务（IaaS）

当前众多云服务商提供不同的软件层级服务，在较低层可以提供客户访问服务商控制的整体虚拟机，客户和系统用户需要配备虚拟机上运行的软件；在较高层级可以完全在线运行，无需客户干预；在高软件层级运行服务更难保证计算的保密性，因为服务本身需要操作客户数据的软件。本文主要研究低层级IaaS云服务商，此时更容易保证客户虚拟机安全运行。

如图1所示，以Eucalyptus为例，系统包含一个或多个运行客户虚拟机的镜像（典型的如Xen）的节点簇，而Eucalyptus拥有一系列组件来管理这些簇。简言之，需要将所有这些组件集中到一个云管理者CM(Cloud Manager)。

从客户角度，Eucalyptus提供了一个可执行、可管理和可终止VM的Web服务接口，虚拟机镜像VMI运行VM，而CM负载VMI。VM启动以后，用户可以利用普通工具登录，如ssh。除了用户接口，CM还提供管理服务，如添加或删除VMI或用户。Xen支持热迁移，允许VM在执行时更换物理主机，而过程对用户透明，这种迁移对于簇内资源整合和负载平衡有重要意义。

1.2攻击模型

云服务商的系统管理员拥有控制后台的特权，可以实施多种攻击以访问客户虚拟机内存。IaaS提供商不会允许某人拥有全部特权，而且也部署了严格的安全设施，严格访问权限策略，保护硬件的物理安全。可以认为服务商能够阻止对机器物理访问的攻击，但系统管理员还是需要簇内机器的访问特权来管理机器上运行的软件。因此TCCP必须做到以下两点：(1)确保虚拟机在安全保护域内运行；(2)任何时候，拥有根权限的系统管理员远程登录运行虚拟机的机器，都不能访问虚拟机内存。

1.3可信赖计算

可信赖计算群（TCG）提出了一系列的软硬件技术来构建可信赖平台，而且给出了可信赖平台模块（TPM）集成的设计标准。TPM支持私钥（EK）并将此作为身份识别的唯一标准，还支持一些不可修改的加密方法，不同厂商设备使用不同的公钥识别集成模块。

可信赖平台[2-4]改进了TPM集成特性，使其可以远程识别。在启动时，主机计算一个由启动软件序列哈希值组成的测度列表ML，启动软件即BIOS、启动项、软件执行平台等。ML安全载入主机TPM，远程一方利用当前nU挑战运行在主机的平台，平台调用TPM生成包含ML和nU的应答信息，并用TPM的私钥加密，主机将信息反馈给远程方，远程方利用对应的EK公钥解密，这样就完成了对主机的认证。通过核验ML和nU，远程方可以鉴别主机上运行的平台是否可信赖。

可信赖平台如 Terra[3]，执行瘦 VMM，即强制使用封闭执行环境，这样拥有主机全部特权的用户也无法窥视和篡改客户VM，即使机器重启VMM也可以保证自身的完整性。因此远程方可以通过验证主机上运行的平台，证实VMM的可信性，如此即可保证其客户VM的计算是安全的。

假设传统可信赖平台能够保证单台主机上的计算安全性，保证IaaS服务的最自然的想法就是在服务后台每个节点都部署平台，然而这样是不够的，不论VM载入时（通过操作CM）还是运行时（通过迁移），系统管理员都可以将客户VM转移到没有运行平台的节点上。所以平台验证机制并不能保证远程方得到的测度列表ML就是VM运行 (或即将运行)主机的真实信息。因此，TCCP需要设计远程验证方法，保证后台平台资源持久安全。

2可信赖云计算平台

可信赖云计算平台TCCP加强了IaaS后台，使其可以在不改变结构的情况下提供封闭执行环境，如图2所示。TCCP可信赖计算的基础包含可信赖虚拟机映像(TVMM)和可信赖协调者(TC)两个方面。

图2 可信赖云计算平台组成图

后台每个节点运行掌控客户VM的TVMM，并防止被特权用户窥视和篡改。TVMM可以保护自身安全性并遵守TCCP协议，节点被嵌入经验证的TPM并通过安全启动进程加载TVMM。

TC管理一系列可以安全运行客户VM的节点，称为可信赖节点，节点必须位于安全域内并运行TVMM，这要求TC保存节点安全域的记录，并判断该节点是否运行着可信赖TVMM。TC管理诸如簇中添加或移除节点、由于维修或升级需临时关闭节点等事件。通过TC验证，用户可以判断IaaS是否安全。

为了VM的安全，每个节点上运行的每个TVMM必须与TC相配合，目的是：(1)将VM限制在可信赖节点上；(2)在VM迁移时保证其状态不受窥视和篡改。这些保护措施关键在加载和迁移VM时的操作，为了保护这些操作，TCCP制订了具体协议。

假设由外部可信赖实体（ETE）来管理 TC，并为 TC更新部署在IaaS域中一系列节点和可信赖配置的信息，最重要的是管理IaaS的系统管理员在ETE内部没有特权，因此不能篡改TC。本文假设ETE由没有与IaaS服务商共谋动机的第三方维护。

2.1节点管理

通过保存包括安全域内节点、识别节点可信平台模块(TPM)的公开识别密钥 E和预期测度列表MLN的目录，TC可以动态管理一系列掌控VM的可信赖节点。ETE保证TC部分参数安全公开可用，包括E、MLTC和T，MLN和MLTC是远程方在识别节点 N或TC上运行的平台时希望收到的值。

节点必须在TC注册，并遵守如图3所描述的协议。前两步节点N验证TC，节点N向TC发起挑战 nN，TC返回经E加密的MLTC，如果MLTC与预期相符，即表示TC是可信赖的。TC在返回信息2中包含了对节点N的挑战nTC，第三步节点N产生密钥对＜T，T>，并将公钥随验证消息3发给TC。如果TC成功验证节点N的身份，则发送消息4确认节点是可信赖的。

图3 节点迁移过程中的消息交换

当可信赖节点重启时，TCCP必须保证节点仍然是可信赖的，否则节点会威胁TCCP的安全性。为此若节点内存仅保存T，机器重启密钥就会丢失，节点就会被TCCP阻止，因此节点必须重新注册。

2.2虚拟机管理

加载VM时，TCCP需要保证：(1)VM加载到可信赖节点；(2)系统管理员无权窥视和篡改初始VM状态。VM初始状态α包含虚拟机镜像VMI和用户公钥。

参与VM装载的各方都必须遵守如图4所示的协议。该协议制定的依据是在加载VM前，用户不知道VM将加载到哪个物理节点上，并且在服务的所有参与者中只有TC可信赖。首先用户生成会话密钥KVM，发送消息1到CM，消息包含α和α用会话密钥加密的哈希值以及用T加密的KVM。用TC的公钥加密会话密钥，保证只有经TC授权的可信赖节点才能访问α。

收到加载VM请求后，CM指派簇中节点N加载VM，并将请求转发给N。因为启动VM需要访问α，节点N向TC发送消息2，TC用私钥T解密消息，验证N是否可信。如果TC信赖节点库中没有节点N的公钥，则拒绝该请求，这可能是由于CM将请求转移到了恶意系统管理员控制的节点，否则认为节点是可信赖的。TC解密会话密钥，并在消息 3中发送给节点N，此时N就可以解密α并启动VM。最后节点发送消息4给用户，消息包含节点运行VM的证明。

在实时迁移[5]中，运行中的VM的状态信息在源节点Ns和目标节点Nd间迁移。为保证操作的安全性必须使两个节点互信，而且VM状态必须可信并且在完成迁移前是不可修改的。图5所示是参与VM安全迁移的消息队列，首先Ns请求 TC检验 Nd是否可信，消息 3中，Ns向Nd发起VM迁移申请并附加会话密钥KS。Nd验证Ns是否可信。如果两个节点都认证成功，Nd通知Ns接受KS，在消息7中Ns最终将 VM状态哈希值加密发送给Nd，VM 迁移成功。

企业普遍应用云计算的主要阻力源自对数据和计算的保密性和完整性的担心，本文提出一种可信云计算平台TCCP，它可以为IaaS服务提供一个封闭执行环境，保证了客户VM执行的机密性，允许用户验证IaaS提供商并在装载其虚拟机前先判断服务是否安全。

[1]CircleID Reporter.Survey：cloud computing‘No Hype’，but fear of security and control slowing adoption[C/OL].(2009-02-26)[2010-03-01].http：//www.circleid.com/posts/2009-0226_cloud_computing_hype_security/.

[2]BERGER S，CACERES R，GOLDMAN K A.vTPM：virtualizing the trusted platform module[R].In Proc.of USENIXSS’06，Berkeley，CA，USA，2006.

[3]GARFINKEL T，PFAFF B，CHOW J.Terra：a virtual machinebased platform for trusted computing[C].In Proc.of SOSP’03，2003.

[4]MURRAY D G，MILOS G，HAND S.Improving xen security through disaggregation[C].In Proc.of VEE’08，New York，NY，USA，2008.

[5]CLARK C，FRASER K，HAND S.Live migration of virtual machines[C].In Proc.of NSDI’05，Berkeley，CA，USA，USENIX Association.