邵应昭，丁跃利，张建华，张佳鹏，杨鹏飞，李剑桥

(1.中国空间技术研究院 西安分院，陕西 西安 710100；2.西安电子科技大学，陕西 西安 710071)

0 引 言

随着信息技术和物联网技术的快速发展，未来信息服务基础设施将建设互联互通的天地一体化信息网络系统，具备向众多用户群体提供网络化、差异化信息服务的能力。天基信息系统是国家信息化建设的重要基础性设施，它通过运行在外空间的星载资源实现信息的获取、传输、处理及分发等功能，获取全球范围内近实时的态势感知情报[1]。天基信息系统作为未来信息服务基础设施的重要组成系统，将基于嵌入式架构构建网络化云平台，以提高天基信息服务基础设施的整体服务效能[2]。

安全防护保障为天地一体化信息网络可靠运行的关键支撑。有别于地面传统网络，天地一体化信息网络节点分布广泛、体系结构复杂、信道开放透明、拓扑动态变化、大尺度传输链路以及面向全球提供服务保障的网络特征，使其数据传输、信息服务等本身就更易受到来自外部的自然干扰和恶意攻击，这对各方面的安全运行能力提出了更高要求[3-4]。

天基信息系统基于天基网络化云平台构建，云平台面向各类用户提供云计算、云存储和数据库检索等服务，但超大规模天基用户的共享资源应用、计算环境的动态复杂性、平台资源的开放性等特性，使得天基网络体系建设面临信息安全诸多方面的全新挑战。一方面，由于空间链路的开放性，怀有各种目的外部攻击者非法入侵天基网络系统来窃取或者破坏资源，一旦遭受攻击，将发生不可估量的损失。另一方面，由于天基嵌入式云平台资源高度共享，接入平台的内部好奇用户期望获取自身权限以外的隐私或保密数据，对用户的隐私数据安全也会带来一定的挑战。

因此，在构建天基网络体系云平台的同时，需构建安全服务体系，面向广大用户的应用服务需求，提供安全接入鉴权控制能力和分级权限安全控制能力，从信息安全角度屏蔽非法用户接入、限制内部好奇用户的越权行为，并保证数据的真实性、机密性、完整性和不可否认性。

1 云计算及安全技术发展概况

1.1 云计算技术发展概况

云计算是网格计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物[5]。相对传统计算机系统，使用云计算具有以下优势[6]：

(1)资源共享，低成本：云计算组件通过网络互联，向用户提供共享服务，降低成本。

(2)应用安全：多用户以受控方式独立运行在隔离的虚拟化环境下，可通过管控虚拟机的权限来提高应用安全性。

(3)资源可伸缩：提供弹性的计算与存储资源管理服务，以满足用户不同的资源需求。

(4)应用快速部署：支持应用动态部署，快速启动计算任务。

云计算相关技术已成熟，其发展历程大致如下[7]：

20世纪60年代，IBM首先推出虚拟化技术并应用在其7044计算机系统，使得在同一台物理主机可以同时运行多个物理设备。之后IBM又开发了型号为Model 67的System/360主机进行虚拟化应用，通过虚拟机虚拟所有的硬件接口，直接运行在底层硬件，使得系统可同时运行多个虚拟设备。

1999年，VMware公司解决了X86硬件平台的完全虚拟化问题，推出了X86平台的虚拟机软件，支持X86平台上的所有客户操作系统，虚拟化技术开始走向普通用户。

2005年～2006年，Intel和AMD推出支持虚拟化技术的处理器和芯片组，实现了硬件辅助虚拟化技术。Amazon采用虚拟化技术提供云计算平台，取得了商业上的成功。

2012年，美国风河公司提出嵌入式云计算概念。

嵌入式云计算概念的提出，为天基云平台构建提供了可能。类似于地面计算由本地单节点计算发展到云计算，用户计算机的配置要求大幅降低，整体系统计算效能大幅提高。空间计算体系由单星计算向云计算系统发展，将带来天基计算模式的应用转变，可降低卫星或终端用户的处理资源要求，解决当前卫星系统资源利用效率低、共享能力弱的问题。

1.2 云计算安全发展现状

云计算发展面临许多关键性问题,而安全问题首当其冲。并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。Gartner2009年的调查结果就已显示,70%以上受访企业的CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑[8-10]。根据Gartner的调查报告，超过85%的用户对云计算的安全性表示关注，用户对安全性的关注程度超过系统可用性、系统性能等，安全性已成为用户最为关注的方面[11-13]。

云计算系统不仅面临着传统信息系统(或软件系统等)的安全问题，还面临着由其运营特点所产生的一些新的安全威胁[11]。云计算在安全方面必须解决好下列问题：多租户高效、安全的资源共享；租户角色信任关系保证；个性化、多层次的安全保障机制；以及效率、经济性与安全性兼顾的多属性服务系统[14]。

现有的云计算安全架构[15]主要分为三类：基于可信根的云计算安全架构试图通过可信计算的成果从根本上解决云计算的安全问题，但不利于对现有资源的继承与利用。基于隔离的云计算安全架构旨在针对所有的租户构建封闭且安全的运行环境，从而保证其定制服务的安全性，但其势必增加租户间协作的难度，引起管理成本的提高。安全即服务的架构充分考虑到了租户的个性化需求，提出以租户服务要求为导向的云计算安全架构，但是缺乏让租户和提供商及时且明晰地获得各自安全需求的方法。

吸取上述架构优点，基于可信系统设计理念，文献[15]提出了可管、可控、可度量的云计算安全架构，如图1所示，参考SLA(service-level agreement)确定系统的度量指标体系，采用SOA(service oriented architecture)架构充分满足用户的个性化需求，安全架构根据用户的差异化需求，分为SaaS(software as a service)、PaaS(platform as a service)、IaaS(infrastructure as a service)三个层面。

图1 可管、可控、可度量的云计算安全架构

该架构的设计借鉴了安全即服务架构思想，主要包括三个组成部分：云计算安全服务框架、云计算安全技术框架和云计算安全度量框架。安全服务框架主要用于实现租户的定制化需求，是租户安全目标的集合；安全技术框架负责管理各种云计算安全机制，也是架构安全方法的集合；安全度量框架提供系统的安全状态分析，为租户和提供商选取安全策略提供数据支撑[15]。

2 天基网络化嵌入式云安全服务平台构建

天基网络化嵌入式云安全服务平台通过计算、存储和网络资源的虚拟化，大幅提升资源利用效率、资源共享能力和应用的安全性可靠性，向用户提供无需关心硬件资源的应用模式。

2.1 天基网络化嵌入式云安全服务系统物理拓扑

天基网络化嵌入式云安全服务物理拓扑架构如图2所示，基于嵌入式资源虚拟化、嵌入式一致性协议及规范，可面向广大用户，实现天基资源的高效能共享。

在计算平台领域，通常将计算平台分为通用计算平台和嵌入式计算平台。通用计算平台一般以X86等复杂指令集处理器为基础，由于市场规模大，其CPU处理器、操作系统及相关标准组件相对成熟，在地面云系统中应用广泛，支持操作系统，可灵活扩展外设，但功耗高、重量重、能效比低，常规散热温控环境在天基真空环境中无法提供，硬件、软件针对天基应用可靠性不足。嵌入式计算平台通常以精简指令集处理器为基础，广泛应用于可靠性、实时性要求高的领域，目前在轨的计算处理平台均采用嵌入式架构。

虽然地面云技术已相对成熟并得到很好应用，但考虑天基应用空间和资源受限、能耗比要求高、高可靠、抗辐射等因素，其硬件架构、方案、相关技术并不能直接用于构建天基云系统。结合云计算的技术优势研究及嵌入式云计算概念的提出，文中提出了嵌入式架构的云计算服务系统，可满足天基网络化嵌入式云服务系统的特殊工程应用环境要求。

天基网络化嵌入式云服务平台参考地面云计算技术构建，经移植、精简和定制开发，最终通过覆盖全球的多颗综合卫星体构成“天基云系统”。卫星间通过高速星间链路互联并进行资源一致性管理，单颗卫星作为“云平台”，其上部署若干个综合计算/存储/网络“云节点”，采用虚拟化等云计算技术实现天基计算、存储、网络资源集中调度管理、资源隔离安全、按需供给和充分利用，降低资源闲置率，提高系统整体综合服务效能。

天基网络化嵌入式云服务平台的构建和扩展需要一个循序渐进、不断完善的过程，系统框架、机制的设计不仅需要兼容现有天基分立系统和后续部署系统的资源异构性，同时需要支持不同用户的安全差异性和陆、海、空、天的多源异质数据安全接入。

天基网络化嵌入式云服务平台与用户的交互及使用流程具体如下：

(1)用户通过星地接入控制链路访问天基云系统；

(2)天基云系统门户对用户进行身份认证；

(3)用户根据自身需求向云系统门户提交计算、存储、网络资源申请；

(4)天基云系统门户根据用户权限等级和资源调配情况，为用户分配资源；

(5)用户完成计算任务，向门户提交资源释放申请；

(6)门户释放资源，将其整合到可用资源池中。

2.2 天基分层式云安全软件架构

针对天基嵌入式云服务体系需要具备多用户身份认证、大数据安全接入控制、天基安全加密云存储及安全检索、计算权限安全控制等能力需求，在充分调研、研究地面通用云计算软件层次架构的基础上，结合天基云系统与地面系统的差异，提出了如图3所示的天基分层式云安全软件架构。

图3 天基分层式云安全软件架构

可管、可控、可度量云计算的安全架构基于地面云计算安全架构的理论和技术研究成果，提出了结合当前主流三类安全架构优势的综合架构，可为各类云计算安全系统构建提供参考。

天基分层式云安全软件架构面向天基云系统的应用场景和特殊环境安全需求，借鉴可管、可控、可度量的架构思路，其构建的天基安全服务框架针对天基特殊环境及应用场景下的SaaS、PaaS、IaaS三层具体云服务组件进行设计。安全度量部分可实现天基分布式平台数据和用户数据的安全监控，并进行安全指标和能力的量化分析，提供给天基用户，可支持不同用户选择适合自身应用场景的安全策略，最终实现天基云系统安全“可度量”。安全架构支持对用户、权限、时间、流程、系统变更等不同方面的动态安全管理和控制，可实现天基云系统安全“可管”、“可控”。

天基分层式云安全软件架构基于天基环状网络物理实体实现部署运行，将天基分布式基础网络、计算、存储资源通过标准万兆网协议实现网络化互联，并实现资源的虚拟化和动态管理控制，面向用户应用需求，实现天基基础硬件资源的动态管理和硬件架构重构。在满足用户资源使用、资源共享和应用服务的同时，结合架构中的安全管理、安全控制、和安全度量等安全策略，保障用户过程安全和数据安全。

软件架构基于底层硬件资源可以分为基础服务层(IaaS)、应用支撑层(PaaS)和统一门户层(SaaS)。在对地面云系统软件架构进行裁剪的基础上，增加三大部分组件，添加面向嵌入式硬件资源的轻量虚拟化引擎；添加安全服务、虚拟化安全管理、硬件安全三个层面构建的安全服务体系；添加在轨处理、多源检索、用户权限管理等天基应用相关组件。最终构建的天基云系统软件架构向用户提供SaaS和PaaS两层服务，IaaS不对用户开放，为用户应用提供虚拟化资源；每一层均涉及安全服务。IaaS基础层分为虚拟化层和虚拟化管理平台，虚拟化层运行在操作系统之上，主要对异构资源虚拟化，屏蔽底层差异性，构建天基云系统的计算、存储、网络资源池，资源池逻辑统一，向上层提供服务。

天基云系统软件架构以TPM可信平台模块为可信根，可信虚拟机负责密钥管理和分发任务，最大程度满足可信计算关于防旁路、防篡改等基础要求，为系统提供高级别安全保障。

应用支撑层包括平台通用应用组件和领域通用组件两个部分，平台通用应用组件包括身份认证管理、权限控制、自动化部署、加解密操作、监控容错，身份认证管理采用双向用户身份认证，将授权合法用户接入，屏蔽非法、无效用户屏蔽；权限控制采用细粒度控制策略，将云平台的资源和对资源访问的权限细分，划分不同的用户组；自动化部署为用户的应用提供运行环境，支撑用户的应用动态部署，用户采用多种开发语言的应用上传到云平台后，将会在底层启动相应的虚拟机，虚拟机内自动安装应用所需的执行运行环境，应用执行完后，相应虚拟机回收释放资源。加解密操作一方面作为在进行用户增加等系统操作时产生所需的非对称密钥，为大数据的流加密提供对称密钥等，同时也提供给用户使用，用户可以自主调用加解密模块在应用内实现相应的加解密操作。

3 天基云系统应用安全服务体系构建

天基云系统应用安全服务体系在天基分层式云安全软件架构中实现，作为操作系统的标准安全控制组件在天基云软件上部署运行，在嵌入式安全服务总体架构下，基于虚拟化安全隔离等关键技术，实现天基资源的安全共享，并保证广大用户的接入、检索和应用安全。

3.1 天基应用安全服务体系架构

天基云系统应用安全架构如图4所示，采用层次化的云安全策略，可为云系统用户提供云数据安全存储、隐私保护、可信云计算的服务。

图4 天基安全服务体系架构

云系统安全架构可以分为云应用、云服务和云基础服务安全层，不同层引入了相应的安全策略，在云基础服务层包括基础设备安全和虚拟机安全，基础设备安全包括双机冗余、负载均衡、可信技术和容侵容灾四个部分，体现在硬件平台采用了双主控板的方式协同处理大数据的接入，监控系统监控到单主控失效后，在秒级单位内将大数据接入任务切换到备份主控，提供不间断服务；在计算单元内具有TPM可信平台模块，包括随机数生成、SHA-1引擎、RSA引擎、非易失性存储器等，以此为可信计算的信任根，负责保存具有访问系统权限的用户和系统自身的公钥和私钥，生成对象加密密钥等；同时硬件层之上的操作系统的内核和应用也进行了裁剪，去除不相关的模块，降低底层因为软件漏洞等因素被入侵的概率。对虚拟机的安全采用了一系列的安全措施，首先限制虚拟机与外面的通信，对虚拟机设置防火墙，限制可以访问虚拟机的端口和用户，同时虚拟机间进行隔离和监控，实时监控虚拟机的运行状态，防止虚拟机内运行的应用恶意攻击系统和其他正常虚拟机，最小化虚拟机内应用崩溃等对其他正常应用的影响。同时通过权限控制策略限制不同虚拟机的可访问资源，保护敏感数据不受非法操作。

在云服务层包括访问控制、安全传输和安全云存储三个部分，访问控制主要针对用户，细粒度划分系统的资源访问控制权限，将用户划分不同安全级别进行资源的使用。安全传输包括采用流加密方式将百Gbps数据加密传输，其他用户数据的传输采用非对称加密传输，安全云存储系统可以根据数据的安全等级采用不同加密算法对数据加密，同时利用TPM模块将加密文件的密钥存储在本地磁盘。

云应用层包括身份认证、拒绝服务攻击屏蔽等，卫星接入天基云系统需要进行身份认证，认证完成后即以单点登录的方式登录系统，随后可以访问系统内所有授权的资源，同时用户数据传输时采用数字签名的方式防止未授权卫星等发送伪造数据攻击系统，采用了双端口的方式屏蔽拒绝服务攻击，用户通过非受控端口与云系统进行双向身份认证，在完成身份认证后，计算平台为成功认证后的数据源分配一个特定的受控端口；之后，数据源可通过云系统的特定受控端口实现到云系统的安全接入。

3.2 面向应用安全的天基嵌入式安全服务策略

天基网络化嵌入式安全云服务体系的安全服务策略基于图4所示的安全服务体系架构，均在图3所示的天基分层式云安全软件应用层实现，安全服务策略覆盖用户与天基云平台的交互和操作全流程，针对不同的安全威胁，采用不同的安全服务策略。安全服务策略主要包含防护、检测、响应和恢复四种安全机制，又可细分为七类安全措施，为各类用户提供接入安全、应用安全、计算安全、系统安全等安全服务。图5所示为基于PDRR(protect、detect、response、recover)安全模型实现的天基云平台安全服务策略。

图5 天基嵌入式安全服务策略

安全服务体系参考PDRR标准安全体系模型，包含防护、检测、响应、恢复四部分，共七个层次。端口保护以防火墙为主，加密传输为辅，屏蔽非法请求；接入控制通过多级安全服务策略实现用户安全接入认证；检测部分采用动静结合策略，首先提取应用执行体特征码，与已知恶意程序匹配，清除恶意程序，并通过监控程序发送警报，随后在虚拟环境下观察应用调用系统API接口的动态，判断应用合法性；响应部分采用自定义访问策略和资源隔离的手段，基于SELinux安全模块定义适用于天基云平台的安全策略，实时限制非法操作，同时利用虚拟化技术实现应用间的逻辑隔离，切断非法操作；最后的恢复部分采用动态监控容错技术，具体为硬件冗余、系统状态监控和软件检查点策略，提高系统遭受攻击时的顽存性。

4 结束语

在充分调研云计算及安全系统发展历程及相关关键技术发展的基础上，结合天地一体化信息网络系统对天基信息基础设施提出的云计算及安全服务体系建设需求，提出了天基网络化嵌入式云服务平台构建思路，以及基于嵌入式云服务体系的天基云系统应用安全架构，可提高天基云平台资源利用效率，实现天基资源高效能共享，并有效解决海量多用户接入、计算、存储安全等问题，可为天基嵌入式云计算及安全服务体系构建提供有效参考和借鉴。