梁 浩，陈福才，霍树民

(国家数字交换系统工程技术研究中心，河南 郑州 450002)

0 引言

天地一体化信息网络是国家面向2030的重大科技工程。随着全球信息基础设施的加速云化重构，网云一体化的发展趋势愈发明显，云计算已经成为天地一体化信息网络提供应用服务的主要承载形式。

地面信息港是整个天基网络服务体系的核心，其通过分布式架构实现资源云端汇聚，提供网络与通信、定时导航授时增强、遥感与地理信息等数据服务，共同形成逻辑一体、功能分布的服务应用支撑体系。云计算海量的存储能力和超强的运算能力，使得天地一体化网络信息服务的领域和范畴更为丰富和多样化，为随时随地的数据交互和个性化运算服务提供强大的计算、存储、传送等数据处理能力支撑；同时天地融合、云网一体也突破了传统地面网络的互连互通，实现陆、海、空、天等不同维度虚/实空间的多维联动，不断拓展网络数据资源与信息共享服务的覆盖广度与深度。

然而，天地一体化信息网络的异构、开放和高度融合性，也为地面信息港尤其是云计算平台的安全防护带来了更为严峻的安全形势。本文针对地面信息港云计算平台的安全防护问题，通过梳理分析其面临的安全威胁，从访问控制、入侵检测、错误容忍、可信计算、动态防护等方面，介绍目前安全防御技术的研究进展，从防御效果的角度对相关技术进行分析对比，最后对安全防御技术未来发展趋势进行展望。

1 安全威胁

针对云计算面临的安全威胁，国内外学者开展了多层次、多领域的分析与研究。尤其是作为空间信息的集散中心，地面信息港云计算基础设施需要实现空间数据的实时接入、高效分发与按需处理数据，满足多源、异构空间服务应用的动态开放式集成，传统的隔离与控制方式无法适应动态安全的防护需求；与此同时，天基网络自身的开放性、广域覆盖等特点，进一步放大了传统地面信息港的攻击面，不断加剧云平台所面临的安全风险，主要表现在以下几个方面。

1.1 异构网络融合互联引入安全风险

天基网络具有“广域分布、高度暴露、组网动态性、网络异构性、链路间歇性、通信能力受限、规模大范围广”等特点，传统静态地面网络安全体系无法适用于空间网络安全需求，加之网络应用非常敏感，极易成为网络攻击重点目标，因此更加容易受到形形色色的网络攻击，包括跨网域传播病毒木马、借助广域立体分布的接入点针对网络瓶颈资源或关键节点发起致乱致瘫攻击、扫描探测多样化设备或异构互连中可能存在的漏洞实施非授权访问、信息窃取、信息篡改等。天地一体化信息网络在将天基网络与地面网络互联融合的同时，也将各种网域(尤其是天基网络)的安全风险引入地面信息港云服务平台并为跨网域复合攻击创造了条件，安全形势更为严峻。

1.2 漏洞后门普遍存在引发未知威胁

信息系统的设计链、生产链以及供应链很长，我国作为信息技术后进国家，很难做到天地一体化信息网络中各天基、地面网元软硬件系统的自主可控，无法确保商业化软硬构件供应链的可信性，即便是做到软硬件的自主可控，以人类现有的科技能力也难以避免在软硬件设计和实现过程中引入的缺陷。因而，漏洞和后门问题无论是从技术还是经济上都不可能彻底消除。同时在云环境中，信息产业全球化背景下网络空间“攻易守难”基本态势没有改变，多租户共模式使得软硬件未知漏洞、后门所带来的未知安全威胁被进一步放大，特别当云平台采用同质化的系统架构和基础设施时，基于漏洞和后门造成的部分组件损害会快速传染整个系统，直到瘫痪。

1.3 资源虚拟云端汇聚带来安全威胁

在云环境下，资源的虚拟化和开放共享等特点使得不同主机、用户和业务的物理边界变得模糊，基于边界的传统防御思路难以有效实施；其次，“堡垒更容易从内部突破”，一旦进入云数据中心的内部，攻击者或恶意用户便可借助内部网络和虚拟层对其他节点发起攻击，威胁更易传播，加之IT基础设施的同质化，单一主机的脆弱性极易被放大；再次，云计算服务模式还滋生了新型的攻击模式，如侧信道攻击、虚拟机同驻攻击等。除基于边界外，现有防护技术遵循“威胁感知、认知决策、问题移除”“依赖于先验知识”的模式，难以有效应对云环境下内外部威胁。

2 研究进展

围绕云安全防护问题，国内外学者开展了许多有益的探索和尝试。从目前相关研究来看，大多基于传统的防护思路与技术开展云环境下的应用与改良；随着网络空间防御技术由被动防御到主动防御、从外挂堆砌到内生融合防御的不断演化，催生出以可信计算、移动目标防御及拟态防御等为代表的新型防御技术，为云环境下的安全防护提供新的途径和思路。综合目前云安全防护所采用的主要防御技术，本文重点从访问控制、入侵检测、错误容忍、可信计算以及动态防护等方面，对云计算安全问题的研究现状进行综述与分析。

2.1 访问控制

云环境下访问控制主要是通过限制用户对数据信息的访问能力及范围，保证信息资源不被非法使用和访问。目前云计算环境下的访问控制研究主要以时间、网络、位置及权限等属性要素，从不同的层面构建访问控制模型，如文献[1]将云端存储位置作为访问控制要素，文献[2]将用户、环境、系统状态之间的信任关系作为访问控制要素等。数据加密技术在云端广泛应用，催生出基于角色加密[3]、基于属性加密(Attribute-Based Encryption,ABE)[4]等机制的访问控制模型，本质上还是利用用户、角色和权限之间的复杂关系作为要素约束，由于密钥的产生、加密处理、解密运算等操作完全依赖用户自身，该类方案的资源和时间成本较高，同时也存在大量的秘钥管理问题。如何降低用户在数据创建与访问时的运算量成为研究的热点，于是出现了代理重加密技术在云端访问控制的应用和融合，在满足数据安全性需求的同时，逐步面向多样化的访问控制条件，分别出现了基于身份属性、基于数字证书以及基于多样化条件的代理重加密机制；为了进一步减轻数据所有者的计算难度和访问者密钥管理量，文献[5]利用云服务端的计算能力提出一种多要素代理重加密机制，实现复杂云环境下密文数据的多要素访问控制管理问题。

此外，也有文献从信任的角度，结合云访问控制提出了基于信誉的安全访问控制机制，依据访问者的信誉值来控制用户对数据的访问和减少数据访问的风险。这些改进型的访问控制只能保证对云中的用户的访问，却无法检测到用户行为；如何考虑不同用户和服务提供者的行为参数成为研究的重点，针对该问题文献[6]在传统机器学习的基础上基于主观的信任模型，提出应用模糊方法来计算信任值和分类信任，并在Paas上进行了开发和应用。文献[7]认为访问控制模型无法对隐蔽信息流进行控制，基于不干涉模型提出了并发访问和顺序访问共存的互不干扰方案,以降低云计算中用户和虚拟机之间数据泄漏的风险。文献[8]针对分布式云计算数据访问中的信令开销问题，提出一种新的监控方案，通过不同的安全措施降低数据交换的安全风险。

2.2 入侵检测

入侵检测是指通过设置安全策略来检测各种攻击行为的网络入侵，确保己方数据的机密性、完整性及可用性，本质上是一种边界防护的思路。云计算环境下的入侵检测根据代理部署位置和方式的不同，通常可以分为基于主机代理、基于网络监控器、基于Hypervisor代理以及基于协作代理等[9]。

其中，基于主机代理的入侵检测最为常见，通过配置和执行虚拟机自身内置的安全工具，利用系统核心组件分析器和报警器来访问被监控主机的所有文件系统。这方面的研究主要集中在如何提高云端入侵检测的精度上，如通过聚类、马尔科夫模型、遗传算法以及支持向量机等方法来缩短入侵检测时间，降低算法复杂度。基于Hypervisor代理的方式是将安全检测工具部署在虚拟机管理层，通过对被监测虚拟机中的异常信息进行深度分析来发现入侵攻击行为，常用的工具如Ether，Xen Access，Libvirt，VMsafe等。基于IDS的虚拟机自省技术是基于Hypervisor入侵检测系统的一种典型[10]。基于网络监控器的方式是指将入侵检测系统部署在云平台连接关键网络节点的交换机上，比如入口节点或用户子网节点，通过过滤和监测数据包的IP和包头信息来检测入侵活动。由于监测工具的关键网络连接节点采用分布式部署，因此这种方式具有更强的攻击检测能力。采用这种方式比较著名的是Snort入侵检测系统，文献[11]通过在路由、交换机和网关部署监控器来构建分布式入侵检测模型，实现对整个云平台流量信息的监控管理；文献[12]将贝叶斯分类器和Snort相结合，以提高未知攻击的检测能力，但贝叶斯算法的应用要求有比较严格的独立性假设；文献[13]基于前馈人工神经网络进一步降低系统检测误检率和漏报率。基于协作代理的方式是指通过逻辑控制通道在虚拟机管理层部署协作代理，收集其他入侵检测系统中的报警信息，综合不同入侵检测方式的优势,以提高系统整体的攻击检测能力；如文献[14]就是在协作代理的合作入侵检测框架下，通过其他入侵检测系统中收集的报警信息，依据少数服从多数的原则来检测预警。文献[15]融合机器学习在图、超图和自然语言方面的一些最新进展，提出了一种深度联合防御的方法来实现恶意软件检测和分析，并通过具有不同隐私要求的多个云协作防御案例验证方法的有效性。文献[16]将抗体浓度原理与生物进化思想相结合，提出一种Bio-PEPA的云服务安全自适应目标检测算法，并模拟检测了3种不同类型的安全风险，实验结果表明该算法具有良好的时间性能和较高的检测命中率。文献[17]讨论了机器学习方法在云安全中的应用，利用卷积神经网络等算法提供自动响应的方法来增强云环境中的安全性。

2.3 错误容忍

云环境下软件错误容忍技术被广泛应用于提高系统的可靠性，通过采用多个功能等价组件来容忍组件故障。BFT-Cloud系统是将错误容忍技术应用于云计算系统的典型，云系统中存在多样化的操作系统、网络环境和软件应用，大多数在云中发生的故障是相互独立的，这就为拜占庭容错机制的云端应用提供了先天条件。目前关于入侵云容忍的拜占庭系统研究主要集中在拜占庭容错协议上的优化改进。文献[18]提出了一种名为BFT-MCDB的拜占庭容错模型，将拜占庭协议以及Shamir的秘密共享方法结合，以检测多云计算环境中的拜占庭故障，并确保存储在云中数据的安全性。文献[19]在资源有限条件下通过主备份设置，提出一种资源有效的拜占庭容错机制；文献[20]扩展了BFT和Web服务技术，通过结构化的方法以BFT中间件系统Thema的形式构建拜占庭容错，满足应用程序开发人员对Web服务的多层次需求；基于类似的思路，文献[21]提出了一种用于Web服务的拜占庭容错中间件框架BFT-WS，其通过标准的Web服务技术构建拜占庭式容错服务；文献[22]在拜占庭容错的基础上提出一种执行复制服务的协议，通过严格的故障隔离，永久性地实现了在长时间运行的线程中异步调用和处理远程请求的复制服务之间的交互。

此外，也有相关文献基于移动目标防御从动态变化的角度开展研究，使攻击者难以获得足够的攻击时间，进一步提高错误容忍的抗攻击能力。如Bangalore等人提出的自清洗入侵容忍模型[23]、Huang等人提出的移动攻击面模型[24]以及Nguyen等人提出的移动目标防御自清洗入侵容忍方法[25]等。

2.4 可信计算

可信云计算尝试建立一种以硬件安全芯片为信任根的可信云计算环境，以克服单纯使用软件的方法解决云安全问题存在的困难，成为云计算安全研究的重要方向之一。文献[26]围绕IaaS云服务的可信安全重点梳理和综述了平台体系架构方面的研究；文献[27]从保障云计算平台可信的角度出发，介绍可信虚拟化、可信云平台构建及可信虚拟机等相关技术的研究进展，下面围绕可信云平台的构建重点展开介绍。

基于硬件隔离的可信云平台，顾名思义是通过硬件隔离技术保证代码的机密性和完整性，从而达到在不可信的环境中保证特定应用可信的目的。基于该思路，Intel和ARM分别提出了基于处理器的安全隔离方案。Intel在Skylake处理器是利用Intel SGX技术，通过将合法代码和数据封装在一个被称作Enclave的容器来实现安全性的增强；针对SGX Enclaves必须依赖不可信的操作系统或Hypervisor来提供系统服务的问题，文献[28]提出一种为SGX Enclaves提供可信系统服务的新方法，利用现有的Intel架构特性，通过在系统管理模式内部设计隔离的微内核，以便安全地为Enclave提供关键的系统服务。与之对应的ARM则是通过将SoC的硬件和软件资源划分为安全世界和非安全世界，构建了一个安全框架TrustZone来抵御各种可能的攻击。该框架被进一步应用到移动云计算领域来构建可信移动终端，保护云服务客户端及应用在移动终端上的安全，如文献[29]通过TrustZone硬件隔离技术实现移动终端密钥与敏感数据的安全管理；文献[30]利用TrustZone技术构建可信组件来实现操作系统和其他应用的相互隔离；此外，文献[31]通过设计不同层次隔离机制的协作方案，实现了IaaS服务自动化的资源隔离框架，完成对资源隔离的高效管理。

可信计算组织虚拟化工作组最早在云计算环境下提出了vTPM的概念，从而为云计算提供可信支撑。文献[32]梳理了TPM在云计算环境中的应用进展，并重点关注TPM应用的完整性度量评估；文献[33]利用TPM/vTPM将云计算服务的安全职责进行分离，提出的多租户可信计算环境模型基于云提供商和用户协作的方式保证云节点平台的执行环境可信；文献[34]引入了一种基于主观逻辑的轻量级信任管理算法——互信任，来提高互联云中的信任，实验结果表明互信任能够以较低的执行时间和较高的可扩展性生成准确的信任信息。此外，在产业化方面，Intel还给出了Trusted Execution Technology以及Trusted Pool,Trusted Cloud的概念。

使用可信第三方的初衷是为了简化安全管理的过程，其主要思想是通过建立独立于云提供商的第三方TC，为用户提供执行环境、云虚机资源以及云服务等可信状态的监测和控制。文献[35]利用TPM和认证加密技术解决数据在TPM联盟内节点间的可信传输问题。文献[36]针对用户方隐私、安全和信任问题，提出了一种IaaS云计算可信平台的体系结构设计，将TCG的TPM作为体系结构的核心组件在消费者端进行部署和使用，通过检查客户平台的完整性来提高对服务提供者的信任。此外，文献[37]针对TPM资源受限问题提出了共享云密钥方案、文献[38]针对云数据中心动态特性和租户之间的通信问题提出了基于安全框架、文献[39]针对操作系统内核提出了虚拟化安全框架，这些研究都为云安全平台的构建提供了新的思路与方法。

2.5 动态防护

动态防护的思路是主动采取多样的、不断变化的机制与策略，对云环境中软件或者程序的某些属性进行变换，从而不断改变系统的攻击面来增加攻击者的攻击难度和代价，有效限制脆弱性暴露及被攻击的机会。目前相关研究大多基于新型的动态防御技术(如MTD、拟态防御[40])在云环境中的实现与应用。

文献[41]提出一种虚拟机动态迁移策略；文献[42]在操作系统多样性的基础上，提出了虚拟副本多样化博弈策略，将博弈论方法与操作系统多样性结合，并根据求解结果部署异构虚拟集群，通过设置生命周期的方式动态切换虚拟集群系统分布；文献[43]通过多轮迁移获得最大化的动态防御效果；文献[44]基于容器技术实现云平台上容器服务快速高效的迁移，有效抵御边界信息泄露攻击，但该方法仅限于仿真实现，在实际环境中应用部署效果仍需进一步验证；在系统属性动态化方面，文献[45]将受保护程序中敏感信息的函数或者基本块进行随机化复制，提出利用动态控制流随机化的方法来防御基于Cache的侧信道攻击；文献[46]提出每隔一定时间间隔对程序的内存布局进行随机的动态变化，这样可以有效防止攻击者根据输出信息获得相关有用信息；文献[47]利用LLVM工具对程序中if语句进行分析，然后标记对其进行的随机化操作，提出动态消除程序中的条件分支转移来抵抗侧信道攻击。此外，还有相关文献从云服务接口(如IP地址、端口号、MAC地址和域名等)动态变化的角度开展研究，如文献[48]提出IP地址、MAC地址和域名动态化等，也有文献从实际应用的角度分析IP地址随机化技术在实践中是否足够不可预测[49]。目前关于拟态防御在云中的研究相对较少，文献[50]基于拟态DHR架构构建了并行任务执行子空间的方法，设计了对并行任务执行结果的综合判决机制，提供对疑似未知攻击的感知发现能力；基于判决结果或预定策略，研究了基于反馈控制的并行任务执行子空间动态重构方案，通过有效阻断攻击链条，抵御基于未知漏洞/后门的攻击。此外，文献[51]提出拟态防御Markov博弈模型分析攻防状态间的转移关系以及安全可靠性度量方法；文献[52]提出了软件定义网络操作系统拟态化方法；文献[53]提出的拟态防御架构设计等研究，都可以为云计算环境下的攻防安全研究提供借鉴。

3 对比分析

资源共享机制导致攻击面扩大，恶意攻击者利用云服务、虚拟化软件、云平台、基础设施等的漏洞和缺陷发起攻击，攻击路径多样且复杂；无处不在的“漏洞、后门”威胁、虚拟化导致物理边界消失以及日渐丰富多样的攻击手段都给云安全防护带来已知的风险和未知的威胁，形成来自于已知和未知的不确定攻击效果和防御困境。云环境下的安全防护，归根到底就是试图将这种具有不确定攻击效果的入侵行为确定化、可控化的过程。现有相关研究尽管一定程度缓解了云环境安全防护问题，但并没有从根本上彻底解决云环境下未知漏洞、后门威胁和非边界防护难题，主要体现在：

① 传统如访问控制、入侵检测、错误容忍等防御技术均严重依赖攻击者的攻击特征或被攻击目标的安全缺陷等先验知识，本质上基于先验知识的精确防护技术思想；对于“已知的未知”安全风险或者“未知的未知”安全威胁几乎没有防御能力，其仅仅是将不确定的攻击效果转变为先验知识已知条件下特定攻击的可控事件。

② 可信计算本质上只是向用户表明商家的行为会更全面地遵循TCG的安全规范[40]；其前提和核心是必须保证可信计算机，即信任根的安全可靠，在此先验知识条件下，对外部访问进行信任度量，层层构建信任关系，从而确保整个系统的可信可控。因此从防御效果上来看，可信计算是将不确定的攻击效果转变为先验知识已知条件下风险可控的可信事件。

③ MTD允许系统漏洞存在、但不允许对方利用，通过主动采取多样的、不断变化的机制与策略，增加攻击难度及必须付出的代价。但其存在的“防御间隙”[54]、ASLR被内存管理部件“旁路”、利用CPU高速缓存的“侧信道”效应进行绕过等问题；同时当攻击者成功入侵系统后，MTD也不具备检测功能，即“防不防得住”也不自知。因此从防御效果来看，MTD是将不确定的攻击效果转变为不依赖先验知识的不确定性事件。

④ 拟态防御采用基于动态异构冗余的一体化架构技术提供具有普适性的创新防御理论和方法，本质上可视为一种基于架构内生的融合式主动防护技术，其采用功能等价条件下的动态异构冗余构造将来自于未知漏洞后门或病毒木马等确定或不确定的威胁转化为时空维度上出现多数或一致性错误的概率问题，基于相对正确公理的相对多数结果作为错误与否的判据，实现对不确定攻击行为的感知和判别，具有对未知威胁的内生感知和拒止能力。因此从防御效果来看，拟态防御是将不确定的攻击效果转变为不依赖目标先验知识的概率可控的可靠事件。

4 未来发展趋势

随着未来基础设施云化、云网一体的发展趋势愈发明显，网络信息服务模式逐步从“端网服务器”向“端网云”模式转变，云网深度融合带来边界防护新问题。一方面云计算环境下网络资源虚拟化、集中管控的特点与多租户共存的运营模式，使得传统防护的物理边界不断消失，传统基于边界和边界隔离的安全机制要么难以有效实施、要么安全防护效果不佳，存在易被旁路的风险；同时云环境下虚拟机计算资源与网络资源是动态创建的，固定的安全策略无法适应这种动态的虚拟化环境，传统的隔离与控制方式无法适应云环境下的动态安全需求。另一方面，信息产业全球化背景下网络空间“攻易守难”基本态势没有改变，软硬件未知漏洞、后门所带来的未知威胁依然是云计算面临的最大安全挑战；传统以防火墙、加解密技术、沙箱、蜜罐和蜜网等为代表的边界防御思路和技术大多以威胁特征和攻击行为感知为前提，难以有效抵御利用软硬件未知漏洞、后门等发起的不确定威胁，无法有效适应用户、网络和业务的快速变化，实现网络技术与安全的共生演进。

云生态环境下虚拟化技术、共享资源、相对复杂的架构和逻辑层次等特点，决定了安全设计必须聚焦于云平台安全架构上，自下而上管控每一个环节才可以保证整个框架的安全性。特别是新型网络应用及业务需求的不断发展，传统网络体系架构及云计算数据中心的安全防护手段无法适应天地一体化信息网络的发展需要。因此，从系统架构层面发展“非基于边界”“不依赖于先验知识”的内生式安全防护技术，构建新型地面信息港体系架构，成为有望解决云环境下安全防护问题、满足天地一体化信息网络的业务发展和安全防护共生演进需求的主要途径和方向。

5 结束语

针对地面信息港云计算平台的安全防护问题，梳理分析其面临的安全威胁，综述了访问控制、入侵检测、错误容忍、可信计算及动态防护等方面目前技术的发展现状，并从防御效果的角度对相关技术进行分析对比，最后对地面信息港云计算安全防御技术的未来发展趋势进行了总结展望，相关结论可为内生安全的天地一体化网络地面信息港建设提供思路和借鉴。