云内容的安全框架及其关键技术
2012-04-29薛一波王大伟
薛一波 王大伟
中图分类号:TN915.1文献标志码:A 文章编号:1009-6868 (2012) 04-0019-004
摘要:文章从云内容面临的安全挑战出发,针对云内容面临的安全问题,提出云内容的安全模型。模型包括云内容管理安全、云内容访问安全、云内容的健康性安全3个层次。在此模型基础上,文章探讨了云内容的安全框架及关键技术,包括云内容隔离安全保障技术、云内容存储安全保障技术、数据加密存储技术、密钥管理技术、数据备份技术、数据销毁技术、密码认证技术、密钥认证技术、用户权限管理技术、筛子理论、加密协议识别技术、用户访问行为检测技术等。
关键词: 云计算;云内容;安全框架
Abstract:In this paper, we propose a model for securing cloud content. This model has three security levels: management security, access security, and condition of cloud content. We propose a security framework that includes isolated security, cloud storage security, encryption storage, private key management, disaster backup, data destruction, password and private key authentication, authority management, griddle method, encryption protocol identification, and access behavior detection.
Key words: cloud computing; cloud content; security framework
云计算通过将大规模的计算资源和存储资源以可靠服务的形式提供给用户,使其从繁重、复杂、易错的计算机资源管理中解放出来,从而大幅降低信息化的复杂度[1]。自从云计算概念被提出以来,在产业界产生了巨大反响。Google、IBM、Amazon、Microsoft、Intel等国际产业巨头纷纷投以财力和物力,积极跟进云计算的研究、应用和部署。同时,云计算也为信息产业的发展注入了一剂强心剂,已经成为学术界以及政府部门关注的焦点[2]。
云计算在带来计算方式和商业模式变革的同时,也为数据内容领域的发展开辟了新的思路。用户可将数据直接存储于云计算平台中,而无需搭建复杂、易错的存储系统。云计算平台利用云存储技术存储用户的海量数据,一方面可以节省整体的硬件成本;另一方面可提供灵活、可扩展的服务。由于云存储所具有的透明性,用户无需关心存储逻辑,可以更加专注于业务本身,极大地提升了工作效率[3]。然而,将数据内容存储于云计算平台上也带来很多安全隐患:一方面,对于企业和个人来说,数据的安全性是极为重要的,一旦重要数据被破坏、丢失或窃取,就会产生重大影响,造成难以弥补的损失,甚至要承担法律责任[4],所以数据安全已经成为企业和个人将数据迁移到云计算平台的最大障碍之一;另一方面,不法分子也会利用云计算平台肆意传播盗版、色情、暴力和非法内容,这不仅会给云计算平台带来很大的安全隐患,还给云计算服务提供商带来了连带责任,同时对互联网的净化、社会的和谐、国家的稳定造成不良影响。因此,如何解决云计算平台数据内容(即云内容)的这两方面安全已迫在眉睫,已经成为影响云计算健康发展的重要障碍。
1 云内容面临的安全挑战
云计算平台集中存储了大量用户的海量数据,这些海量数据面临着很多安全隐患:
(1)外部恶意攻击带来的安全问题
云计算平台是一个共有和开放资源,面向所有互联网的用户。云计算平台面临着更大的网络安全威胁(如DOS攻击、病毒、木马等),甚至引起黑客、竞争对手、牟利者的恶意攻击,一旦遭到攻击或破坏,将导致大量用户数据的外泄,造成恶劣后果。因此,如何保证云内容的机密性、完整性、可用性、抗抵赖、可鉴别?如何提供有效的安全访问、认证及检测手段?如何确保云计算的安全接入?等等,这些问题是云内容面临的首要安全挑战。
(2)内部管理不善而导致的安全问题
利用云计算提供的弹性、低成本、高利用率和透明的存储服务,用户可以不用关心存储设备的基本信息和所在场所,极大地提升了工作效率。然而,这种将数据内容集中存放的方式虽然能够将资源动态地分配给需要资源的用户,却提升了数据内容管理的难度。在数据内容安全问题上,管理不善造成的数据损失、数据损毁,其发生率和影响度都远远超过外部入侵。如何管理大量用户的海量数据内容是云内容面临的另一个安全挑战。
(3)云内容的“健康性”问题
云计算在给用户带来便捷服务的同时,也为不法分子提供了便利的环境。不法分子利用云计算平台肆意传播盗版、色情、暴力和非法内容,不仅对网络的净化、社会的和谐、国家的稳定造成不良影响,还给云计算服务提供商带来连带法律责任。为了解决这一问题,除了通过立法打击这些违法和犯罪行为,还需要能够快速、准确地对这些不良内容进行甄别和检测,才能保障云计算平台的“干净”。因此,如何在不涉及用户隐私的前提下,实现云内容的“健康”检查不仅是云内容面临的安全挑战,更是确保云计算健康发展的重要保障。
在互联网飞速发展的今天,“数据为王”、“内容为王”的理念已经深入到每一个企业、每一个IT人的骨髓,数据内容已经成为企业的重要战略资源,云内容的安全不仅影响着企业和个人选择云计算服务的意愿,还关系着云计算领域能否健康发展。
2 云内容安全模型
云计算不仅带来了计算方式和商业模式上的变革,还向信息安全技术提出了新的要求。由于云计算所具有的虚拟化、集中存储等特点,传统的信息安全技术已不能满足需求。特别是云内容的安全保护,已经成为目前业界的研究重点。虽然现有的云计算产品已经提供了一些安全服务,但是云内容仍面临很多安全挑战。基于此,我们提出一个云内容的安全模型,如图1所示,以期更好地指导云内容安全技术的研究。
云内容安全模型包括3个层次:
(1)云内容管理安全
云内容管理安全包含两个层次:云内容隔离安全和云内容存储安全。
首先,云计算多采用动态分配的方法分配存储资源,特别是在多重用户架构下,所有用户数据被共同保存在一个软件实例内[5]。云计算平台通常会利用数据隔离机制来保证各个用户之间的数据不可见,然而不当的系统配置以及系统漏洞都可能造成云内容隔离的失败。如何保障用户数据的绝对隔离是云内容管理安全面临的首要问题。
其次,由于云计算的开放性,云内容随时面临着不可知的安全问题。因此,为云内容提供存储安全防护,例如安全备份、数据加密及审计等,也是云内容管理安全需要考虑的重要问题。
(2)云内容访问安全
云计算向用户提供了一个统一的接口,这个接口为用户屏蔽了复杂的硬件设置,提供了透明服务。利用这个接口用户可以更加方便地访问、修改云内容。但是这个接口在给用户带来便利的同时,也为黑客或不法分子窃取用户的云内容提供了方便。如何保障用户对云内容的访问安全是保障云内容安全的关键问题,直接影响着用户选择云计算服务的意愿。云内容访问安全包括用户认证和用户鉴权。用户认证是一种被动的防护机制,它通过认证用户的登陆密码、密钥实现云内容的访问安全防护。用户鉴权是一种主动的防护机制,它通过甄别用户的访问行为,发现异常访问,保护实现云内容的访问安全防护。
(3)云内容的健康性安全
目前,很多云计算平台都允许用户在其上构建自定义业务,如超文本传输协议(HTTP)业务、虚拟专用网(VPN)业务等。利用这一优势,用户既可以快速地搭建自己的业务,又能节省硬件维护成本,有利于年轻人创业和应用创新。但是,这一优势也会被越来越多的不法分子利用,他们利用云计算平台肆意传播盗版、色情、暴力和非法内容,既提高了传播速度和效率,甚至牟取了暴利;又不需承担责任(做了就跑或者频繁变换身份等),却给云计算服务提供商带来了不良后果和连带责任。如何确保云内容的健康是云计算引发的一个新问题,只有保障云内容的健康性,才能使云计算健康、快速的发展。
3 云内容安全框架及关键
技术
为了保障云内容的完整性、机密性、可用性、抗抵赖和可鉴别,在云内容安全模型的基础之上,我们提出了云内容的安全框架以及相应的关键技术,如图2所示。
3.1 云内容管理安全
通常我们将云内容安全狭义化为由外部攻击入侵带来的安全问题,但实际上,由于内部管理不善而导致的云内容损失、损毁,其发生率和后果的严重程度都远超外部攻击。针对云内容在管理方面面临的隔离安全和存储安全问题,我们提出了云内容隔离安全保障技术以及云内容存储安全保障技术。
3.1.1 云内容隔离安全保障技术
在多重用户的背景下,数据隔离已经成为用户选择云计算服务首要考虑的问题。云内容隔离安全保障技术主要包含以下关键技术:
(1)数据隔离技术
随着云计算技术的成熟,多重用户已不再是新鲜的概念。目前已经有几种相当成熟的架构用来帮助系统实现数据隔离:共享表架构、分离表架构以及分离数据库架构。这3种架构各有优缺点,在超大型的云计算环境中,可以采用复合型的多重用户架构,以平衡系统成本和性能。
(2)数据残留清除技术
存储介质被擦除后,数据能够被重建,这些数据被称为数据残留。云计算平台为用户动态分配存储空间,当用户将云内容删除只是清除文件指针,当这部分内容被重新分配,非授权用户就可以通过一些系统功能恢复以前的信息,造成信息泄露。因此,为了实现用户信息的绝对隔离,必须利用数据残留清除技术,在用户删除云内容后将数据彻底删除。
3.1.2 云内容存储安全保障技术
对用户来说,选择云计算服务的首要问题是数据的安全。由于云计算的共有和开放性,云内容随时面临着不可知的威胁。云内容存储安全保障技术正是为了应对这些威胁而设计的,即使云计算平台被非法入侵,用户的数据也可以免遭泄露。
(1)数据加密存储技术
为了最大程度地保障用户数据的机密性,可以对云内容进行加密存储。数据加密存储技术可以根据用户的需要选择不同的加密算法,例如当用户数据量很大时,可以选择AES、RC4加密算法;用户需要高强度加密时,可以选择3DES加密算法。而无论采用何种加密算法,对用户来说都是透明的。
(2)密钥管理技术
数据加密存储技术为云内容提供了最坚实的保障,但也带来了一个问题:密钥管理。由于云计算平台的用户数量非常多,密钥管理是一个极具挑战的工作。如何管理好每个用户的密钥是云内容存储安全保障技术的关键和核心。
(3)数据备份技术
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据从应用主机的硬盘或磁盘阵列复制到其他的存储介质的过程。为了最大程度地保护云内容的存储安全,数据备份势在必行。
(4)数据销毁技术
在某些情况下,数据泄露造成的影响比数据丢失更严重。在某些特殊的情况下,可以利用数据销毁技术销毁机密云内容,特别是用户密钥,这样可以最大程度地减少损失,保障用户的利益。
3.2 云内容访问安全
云计算将计算模式从分布式转变为集中式,用户只要将数据内容迁移到云计算平台,就可以享受到便利的计算服务。然而,这种转变在带来便利的同时,也带来了风险。相比私有的存储环境,黑客能够更加容易地从云计算平台上获取用户的机密数据。针对这一问题,云内容访问安全将从用户认证和用户鉴权两个角度出发保护云内容的访问安全。
用户认证是一种被动的防护技术,它通过安全访问机制,例如身份认证、加密传输及访问控制等,实现云内容访问安全的保护。目前多数云计算平台都提供用户认证服务,但仅仅利用用户认证仍无法有效抵御黑客的攻击。用户鉴权是一种主动防护技术,他通过甄别用户的访问行为判断用户是否合法,以保护云内容安全。
3.2.1 用户认证
用户认证是一种被动的云内容访问安全保护技术。它包含以下关键技术:
(1)密码认证技术
用户输入用户名和密码后,云计算平台将其与数据库对应项进行比较,实现对用户的认证。密码认证技术是最常用、最便捷的用户认证技术,但其本身就存在安全隐患。例如,使用明文传输或存储用户名和密码而被黑客窃取。因此,密码认证技术需要和加密技术(例如,MD5加密技术)相配合,实现安全的用户认证。
(2)密钥认证技术
非对称加密算法给“密钥认证”提供了理论基础。云计算平台可以为每一个用户分配一个私钥,而使用公钥对用户的数据进行解密。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名,从而确认了拥有密钥对的用户的身份。该技术的难点在于密钥的管理。
(3)用户权限管理技术
云计算平台拥有大量的用户,而每一个用户所具有的权限均不相同。在用户登录后,为其赋予不同的权限,以访问不同的资源是用户权限管理技术所需解决的核心问题。该技术的研究可以使用沙漏模型。
3.2.2 用户鉴权
面对复杂的网络环境,仅靠用户认证难以保障云内容的访问安全。针对这一问题,我们提出了用户鉴权技术,其关键技术包括:
(1)筛子理论
云计算用户量非常大,而非授权访问的用户可能只占其中很小的比例。如何从大量用户的访问中寻找出少量的非法访问,则需要一个机制将大部分正常访问快速过滤掉。对此,我们提出了筛子理论,通过快速过滤大部分正常访问连接,来提高云内容访问安全检测的效率。筛子理论的核心是一个用户行为规则库。通过长期观察记录合法用户的简单访问特征(如访问IP地址、访问时间、访问时长及访问协议等),筛子理论为每一个合法用户建立访问规则。如果某个用户访问连接违反了规则库中的访问规则,就输入到用户访问行为检测引擎中检测,或直接拦截。
(2)加密协议识别技术
由于云计算平台提供了多种加密传输的方式,因此要想实现对用户行为的检测就必须有效识别加密协议。对于一些公开的加密协议,可以使用基于关键字的加密协议识别技术进行识别。但对于那些不公开的私有加密协议,就需要使用基于机器学习的加密协议识别技术,利用目标协议在网络中的传输行为特征,进行特定加密协议的识别。
(3)用户访问行为检测技术
由于目的不同,黑客在访问云内容时的行为与合法用户可能有很大的区别,例如黑客可能会执行大量的拷贝命令转移数据,而这些行为均会导致其访问流量的异常。用户访问行为检测技术将用户访问行为定义为用户在访问云内容时一系列动作的集合。通过分析这些动作的特点,提取大量的统计特征(获取的数据大小、访问的时长等),并利用分类方法对这些统计特征进行建模,最终达到检测用户访问行为的目的。行为检测是目前非常流行的安全防护技术,其难点在于行为特征的抽取,以及分类方法的选择。
3.3 云内容健康性检查
在本文提出的安全框架中,云内容健康性检查的主要目的是:检测云内容是否合法?是否合规?是否包含盗版、色情、暴力和非法内容。其关键技术包括:
(1)基于关键字的内容检测技术
该技术对数据内容进行关键字的过滤和检测,既可以支持多个关键词逻辑过滤操作,又可以根据关键词权重、重复次数计算信息的可疑程度。然而,由于不同国家和地区的法律限制不同、云计算所具有的并发多连接以及高带宽等特性、以及加密协议的广泛应用,基于关键字的检测技术的效果受到越来越严重的挑战。
(2)基于统计特征的内容检测技术
与基于关键字的内容检测技术不同,该技术使用网络流的统计特征实现云内容的检测。与基于关键字的检测方法类似,在检测之前,需要抽取非法内容的统计特征,以训练检测模型。统计特征的提取将根据非法内容的特点逐一确定。例如,对于网页类的非法内容,可以确定脚本文件大小、脚本中目标文件的大小及个数等统计特征作为非法内容的训练样本。检测模型则可以根据统计特征的缺点,选择多种机器学习方法,例如支持向量机(SVM)、决策树等。由于该技术能够在不对数据包进行深度检测的前提下对云计算的服务内容进行审查,因此能够有效应对加密协议带来的挑战。
(3)应用检测技术
由于云计算平台的开放性,不法分子可以在其上部署各种非法应用,以达到传播非法内容的目的。而应用的检测技术则可以达到检测非法应用,从而阻止非法内容传播的目的。由于传播非法内容的应用多采用加密算法对内容进行加密,对这类应用的检测越来越困难。应用检测技术在基于统计的加密协议识别技术基础上,具备多流协同检测能力。
(4)证据留存技术
对检测出的非法内容进行证据提取以及留存,能够切实保护云计算服务提供商的合法权益。对于明文传输内容,证据留存技术通过采样、截取,提取明文传输内容作为非法内容的证据;而对于密文传输内容,证据留存技术将在内容检测技术的基础之上,从传输内容中提取统计特征作为非法内容的证据。此外,证据留存技术还将通过人工审查和计算机自动审查相结合,一方面,提升内容审查的效率、精度,另一方面,简化取证过程。
3.4 其他关键技术
云内容安全框架还包括以下关键技术:
(1)软件安全检测技术
软件安全是指选择的云计算产品、版本是否稳定安全?是否有漏洞?是否配置正确?软件安全检测技术结合安全配置检测技术和漏洞扫描技术,实现云计算产品的漏洞扫描、安全配置核查,及时发现不当的配置以及严重的系统漏洞,保障云内容安全。
(2)虚拟化安全网关技术
在传统的计算模式下,安全网关扮演着至关重要的作用,除了转发数据包,还承担着防火墙、入侵检测等功能。由于共有和公开性,云计算平台已经成为黑客攻击的重点目标。在这种情况下,安全网关的部署就显得更加重要。然而云计算的虚拟化技术给安全网关带来了新的挑战,设计虚拟化安全网关已经势在必行。
4 结束语
目前,云内容的安全已经成为阻碍个人和企业将数据内容迁移至云环境的主要障碍。虽然目前主流的云计算产品均提供了相应的安全技术保障云内容的安全,但云内容仍然面临着管理、访问及健康性等安全隐患。本文针对目前云内容面临的安全问题,以及当前安全技术的不足,尝试提出云内容的安全框架及其关键技术,以达到抛砖引玉的目的。该安全框架能够弥补现有安全技术的缺陷,保障云内容的安全。
5 参考文献
[1] ARMBRUST M, FOX A, GRIFFITH R, et al. Above the clouds: A berkeley view of cloud computing [R]. EECS-2009. Berkeley, CA,USA:EECS Department, University of California, Berkeley, 2009.
[2] 陈康, 郑纬民. 云计算:系统实例和研究现状 [J]. 软件学报, 2009, 20(5):1137-1148.
[3] BOSS G, MALLADI P, QUAN D, et al. Cloud computing [R]. White Paper. IBM, 2007.
[4] 冯登国, 张敏, 张妍, 等. 云计算安全研究 [J]. 软件学报, 2011, 22(1):71-83.
[5] 张云勇, 陈清金, 潘松柏, 等. 云计算安全关键技术分析 [J]. 电信科学, 2010, 29(9):64-68.
收稿日期:2012-04-29
作者简介
薛一波,中国科学院计算技术研究所博士毕业;现任清华大学信息技术研究院研究员、CPU&SOC中心副主任;目前主要研究方向为网络与信息安全、云计算及云安全、计算机体系结构等;承担课题40余项,发表论文100多篇,申请发明专利20余项。
王大伟,哈尔滨理工大学博士毕业;清华大学信息技术研究院助理研究员;主要从事网络与信息安全领域的研究;已发表学术论文10余篇,其中SCI收录2篇,EI收录8篇。
