基于角色的云环境下虚拟机安全访问控制策略*

2021-10-03刘芳伶

通信技术 2021年9期

张娟，刘瑶，刘芳伶

(中国电子科技集团公司第三十研究所,四川成都 611041）

0 引言

云计算技术是多门类技术的交叉融合，而且其开放的服务方式替代了传统资源分配方式，用户按需在平台租赁或购买云服务。云计算采用虚拟化技术将物理资源转化成虚拟资源后通过网络向用户提供服务，从而为用户节约硬件成本与运维成本[1]。在大数据环境背景下，云计算凭借其高效、灵活等特性，为现代社会发展提供重要支持。

云计算技术在为用户提供高质量服务的同时，又遭受着大量的网络攻击。在云平台的用户中，近九成认为安全问题是云平台的核心问题[2]。虚拟机是云计算的基础单元，各虚拟机之间相互关联，各自完成对应的服务内容，当一台虚拟机被攻击，此虚拟机将成为云平台内的跳板，从而实现对其他虚拟机的攻击[3]；因此，保证云平台的安全需要首先保障单个虚拟机的安全。虚拟环境的不安全性主要包括虚拟环境的不安全性与平台数据的不安全性，然而平台安全建设对外公布的信息极少，用户对其安全性与可信性难以把握。此外，信息交托平台后，用户信息是否存在盗用或者转卖，用户无从知晓，用户对平台的信任度降低，这是对云平台的极大考验[4]。

云平台服务于大量数据与用户，因此需从用户角度出发，首先对云计算技术层面进行分析；其次介绍虚拟化存在的自身安全威胁与虚拟机安全威胁；最后提出基于角色的云环境下虚拟机安全访问控制策略，对用户实现主观信任与客观信任考评。通过用户信任证书与信任等级综合验证将角色进行隔离访问，为用户提供一个安全的运行环境，完成对云计算平台中数据储存、隔离和访问的保护，为云计算安全技术提供借鉴。

1 云计算技术分析

云计算是一种新型计算服务模式，内部由虚拟的、关联的虚拟单元采用并行分布式结构组成，将分散的本地资源集中至云端，通过网络技术为客户提供各种虚拟化的软硬件资源，用户可以按需，实时、灵活地从云端获取服务与资源[5]。

1.1 云计算架构

云计算架构由基础设施服务层（Infrastructure as a Service，IaaS）、平台服务层（Platform as a Service，PaaS）和软件服务层（Software as a Service，SaaS）3 层架构组成，每层服务的用户不同，且在技术层面上相对独立，云计算架构如图1 所示。

图1 云计算架构

IaaS 为云平台的第1 层，通过虚拟化技术，IaaS 中原有服务器、存储器等物理资源能够转变为虚拟资源，并建立各资源池管理虚拟资源。用户根据自身需求，向云平台购买或租赁计算、存储、网络等服务，服务商从各资源池完成用户服务。

平台服务层（PaaS）是云平台的第2 层，类似于开发工具和操作系统。与传统计算机模式相比，PaaS 解决了开发的本地部署约束，用户通过网络便可享受到开发运行环境、测试环境、数据库等服务，实现在云端进行开发，这对于企业与个人都节约了开发的时间与资金成本。

软件服务层（SaaS）是云平台的第3 层，运行在服务商的云计算中心，用户通过网络连接便可在SaaS 上得到对应的软件服务，无需用户自行开发、安装软件，使用灵活，且收费方式简单，无需后期软件维护与升级费用，能够为用户节约成本。

1.2 云计算特征

由于云计算具有支持资源动态扩展、支持异构多业务、海量信息处理、按需分配这4 种特征[6]，因此能够为用户提供一种新型服务形式。

1.2.1 支持资源动态扩展

云平台中的资源没有物理界限的约束，能够根据服务需求进行灵活调配，实现对系统内任一节点进行修改、删除、添加等操作，是对资源的网络冗余，从而消除系统任一节点出现异常对整个系统服务造成恶劣影响。此外，通过资源动态扩展，实现对系统单一节点负载能力调配，当负载较低时，封存闲置资源，提高系统运行的经济性[7]；当负荷较高时，调用其他闲置节点资源，实现系统运行高效性。

1.2.2 支持异构多业务

云计算与网格网络计算的不同之处在于能够实现同时支持多个差异化的业务同时在云平台上行。异构业务不同于当前系统已存在的业务，能够根据用户不同需求进行自定义。云平台具备支持异构的基础资源，可在不同基础平台上有效兼容不同种类硬件、软件基础资源，包括服务器、存储设备和单机操作系统、数据库等。

1.2.3 海量信息处理

云计算需要面对大量用户，用户所属的专业范围广，服务需求大，且要处理海量的数据信息交互。与此同时，云计算需兼容不同种类硬件、软件基础资源，需要进行大量的虚拟化计算处理。此外，上层需要同时服务大量的不同规模、不同专业、不同需求的差异化服务，要求云计算必须具备稳定的海量数据计算与存储能力，并要求具备准确高效的数据计算能力。

1.2.4 按需分配

云计算按需分配是保证高效运行的重要特征。通过虚拟化技术，能够实现物理资源的集中和全局管理，并能根据不同服务需求，将易管理的虚拟化后的资源进行科学、按需分配，从而有效提升系统资源使用效率。

2 云计算安全威胁

虚拟化技术先将底层物理资源转化成集中式的虚拟资源池，然后根据需要统一调配资源池中的资源。在虚拟化环境为系统提供便利的同时，也带来新的安全威胁，例如，容易遭受内核攻击，虚拟机进行内部迁移时易遭受外部攻击，多个虚拟机并存时单一虚拟机遭受攻击会感染周边虚拟机[8]。云计算虚拟化威胁主要分为自身安全威胁与虚拟机安全威胁。

2.1 自身安全威胁

自身安全威胁主要是虚拟化模块中的虚拟机监视器（Hypervisor）自身脆弱性造成的。虚拟机通过管理平台进行资源管理时，也会带来新的安全威胁，主要分为以下3 种形式。

2.1.1 虚拟机逃逸

虚拟机逃逸指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击，以达到攻击或控制虚拟机宿主操作系统的目的[9]。虚拟机逃逸的原理如图2 所示。

图2 虚拟机逃逸原理

虚拟机逃逸主要破坏系统的隔离性，系统隔离性被破坏后，容易造成数据被窃取、拒绝服务、其他虚拟机被控制等严重后果。

2.1.2 从云计算管理网络攻击虚拟机监视器

虚拟化技术将物理资源进行虚拟机处理，但是并不能消除传统主机的安全问题；因此，云平台在提供大量计算服务的同时，很容易受到根据传统主机的漏洞转变的虚拟化攻击。当出现攻击时，虚拟服务器处于异常工作状态，若攻击目的为占用云平台的海量计算资源，会造成系统资源浪费严重，进而造成系统异常、计算中断。

2.1.3 从虚拟机监视器攻击上层虚拟机

当虚拟机监视器被攻破后，虚拟机监视器的控制权将易主并处于危险状态，掌握虚拟机监视器的控制权的攻击者能够将虚拟机监视器变化为攻击武器，从而使得云平台处于危险状态。

2.2 虚拟机安全威胁

虚拟机在云环境下是相互独立、相互隔离的，虚拟化技术通过在独立的物理机上部署多个虚拟机，实现物理资源的共享，服务器被划分成功能更加细化的单元；但是，承担的功能与物理服务器并无太大差异，同样面临内部资源的安全访问、应用之间的安全隔离等问题[10]，因此并未减轻传统安全威胁风险。此外，由于服务器被划分成功能更加细化的单元，更多的虚拟化节点需要更多的保护，反而增加安全威胁风险。虚拟机面临的主要安全威胁为Rootkit 攻击、恶意代码攻击和虚拟机间攻击。

2.2.1 Rootkit 攻击

Rootkit 攻击是一类恶意攻击软件，常与木马、后门等程序结合。无论系统是静止或者活动状态下，Rootkit攻击将自身或者指定目标的入侵信息进行隐藏，从而规避开系统的安全检测，使得系统安全软件无法发现或者不能及时发现。该攻击植入系统后，能够阻止用户识别或者删除软件，从而对云环境进行破坏[11]。

2.2.2 恶意代码攻击

恶意代码与不必要的代码不同，恶意代码在系统中没有具体作用，但是会破坏系统运行的运行过程。其攻击过程主要包括侵入系统、维持或提升现有特权、隐蔽策略、潜伏、破坏、重复实施等步骤，攻击者多数攻击与云端联络用户，通过网络攻击云端。恶意代码攻击通常造成系统数据被破坏、存储磁盘被侵占、计算速度下降等危害。

2.2.3 虚拟机间攻击

云环境下的虚拟机是通过网络相互通信的，被攻破的虚拟机能够向其他安全虚拟机发送病毒信息，这种特性也常被利用，因此虚拟机在云环境下面临随时被攻击的威胁。

3 基于角色访问控制策略研究

云计算平台面对的是大量数据与用户，当为这些用户提供服务时，需要对不同的用户数据进行区分。遭到恶意访问时，常常会出现用户数据被盗取等情况。云服务提供商通常利用可信平台模块验证用户信任证书以及信任链传递的方式来解决这一问题。该功能虽然能实现云计算平台的数据储存及访问安全，但并不能防止恶意访问用户或者黑客通过伪造或者篡改证书的方式非法窃取用户数据。针对云计算平台中用户之间的数据区分问题，以及恶意用户窃取平台中数据的问题，本文提出一种基于角色访问控制策略。该策略解决了平台访问者客观信任和主观信任的问题，通过虚拟化技术，数据隔离存储后，为云用户分配相应角色，在用户访问过程中，对用户密钥证书和信任等级进行综合验证，更好地保证云计算平台数据的安全性与可靠性。

3.1 数据安全隔离

基于虚拟化架构，在底层硬件上创建多个虚拟域对数据进行分类隔离储存。虚拟域架构如图3所示。

图3 虚拟域架构

通过建立上层虚拟域，一方面，能够将云平台数据根据用户分类进行隔离，用户根据所分配到的权限访问对应数据，保护了平台数据的私密性；另一方面，对云平台上的数据进行明文加密之后，将密文数据进行隔离，提高了数据的安全性。

将云平台数据按照A、B、C、D 分成4 个等级，等级证书要求如表1 所示。

表1 中，A 类数据，所有用户均可访问，不需要提供任何的证书，仅需要提供身份证明证书，完成信任验证便可直接访问；B 类数据，仅允许注册过该云计算服务的用户访问，用户需在平台验证用户名和密码，提供角色授权文件，验证授权文件的信任等级，经平台验证通过，便可在平台内访问其授权的信息区域；C、D 类数据，仅允许平台VIP 用户访问，用户需在平台验证用户名和密码，提供角色授权文件，根据不同的授权证书C1 或C2，验证授权文件的信任等级。使用者颁发的独有USB Key 将VIP 证书与时间戳捆绑签名，验证成功后，便可在平台内访问其授权的信息区域。

表1 等级证书要求

3.2 数据访问控制

云计算平台基于信任证书与信任等级的综合验证，进行基于角色的隔离访问，数据访问控制的流程如图4 所示。

图4 数据访问控制流程

数据访问控制流程具体如下文所述。

步骤1：用户访问数据时，云平台验证通过公钥加密后的身份证明证书等信息，若验证成功，进行步骤2，验证失败，通知用户拒绝访问。

步骤2：根据用户的证书信息判断用户信任等级，若等级满足要求，则进行步骤3，信任等级过低，拒绝访问并通知用户。

步骤3：用户根据所需访问的数据类型申请访问域，并接收分配所对应访问虚拟可信平台模块（virtualizing the Trusted Platform Module，vTPM）证书，用户通过私钥对证书进行加密，并与时间戳签名捆绑，发送给所对应的vTPM；vTPM 获得用户信息后，解密信息并验证用户证书，若验证失败，云计算平台再次通知用户拒绝访问；验证成功后，用户便可以成功访问数据。

步骤4：用户访问数据过程收到实时监控，任一恶意行为均将引起用户信任等级降低，并终止用户访问。