摘 要: 針對(duì)云計(jì)算中數(shù)據(jù)和計(jì)算的保密性和完整性無(wú)法保證的問(wèn)題,,設(shè)計(jì)了一種基于虛擬機(jī)的可信賴云計(jì)算平臺(tái),,它為客戶虛擬機(jī)安全執(zhí)行提供封閉環(huán)境,允許用戶在執(zhí)行虛擬機(jī)前先檢驗(yàn)服務(wù)商,,以確保服務(wù)安全,。
關(guān)鍵詞: 云計(jì)算;可信賴,;虛擬機(jī)
云計(jì)算服務(wù)能夠大大節(jié)約存儲(chǔ)和計(jì)算數(shù)據(jù)的成本,,但由于安全問(wèn)題,多數(shù)企業(yè)卻對(duì)此表現(xiàn)很冷淡,。近期有研究[1]發(fā)現(xiàn),,企業(yè)最關(guān)心的是數(shù)據(jù)的安全性和失去數(shù)據(jù)控制權(quán)會(huì)對(duì)隱私帶來(lái)什么樣的危害,而不僅僅是如何降低數(shù)據(jù)存儲(chǔ)和處理的成本,。云服務(wù)商的雇員很有可能篡改或者泄露用戶數(shù)據(jù),,甚至是公司的財(cái)務(wù)狀況,從而對(duì)用戶造成巨大危害,。
本文提出一種可信賴云計(jì)算平臺(tái)(TCCP),,可以確保外包給基礎(chǔ)設(shè)施服務(wù)(IaaS)的計(jì)算的保密性和完整性,。TCCP為用戶VM提供了一個(gè)封閉的執(zhí)行環(huán)境,避免云服務(wù)商的特權(quán)用戶窺視或者篡改內(nèi)容,,在執(zhí)行VM申請(qǐng)前,,用戶可以遠(yuǎn)程判斷服務(wù)后臺(tái)運(yùn)行的TCCP是否可信。該方法拓展了整體服務(wù)驗(yàn)證的概念,,使用戶能夠預(yù)估計(jì)算執(zhí)行安全性,。
1 相關(guān)知識(shí)
1.1 基礎(chǔ)設(shè)施服務(wù)(IaaS)
當(dāng)前眾多云服務(wù)商提供不同的軟件層級(jí)服務(wù),在較低層可以提供客戶訪問(wèn)服務(wù)商控制的整體虛擬機(jī),,客戶和系統(tǒng)用戶需要配備虛擬機(jī)上運(yùn)行的軟件,;在較高層級(jí)可以完全在線運(yùn)行,無(wú)需客戶干預(yù),;在高軟件層級(jí)運(yùn)行服務(wù)更難保證計(jì)算的保密性,,因?yàn)榉?wù)本身需要操作客戶數(shù)據(jù)的軟件。本文主要研究低層級(jí)IaaS云服務(wù)商,,此時(shí)更容易保證客戶虛擬機(jī)安全運(yùn)行,。
如圖1所示,以Eucalyptus為例,,系統(tǒng)包含一個(gè)或多個(gè)運(yùn)行客戶虛擬機(jī)的鏡像(典型的如Xen)的節(jié)點(diǎn)簇,,而Eucalyptus擁有一系列組件來(lái)管理這些簇。簡(jiǎn)言之,,需要將所有這些組件集中到一個(gè)云管理者CM(Cloud Manager),。
從客戶角度,Eucalyptus提供了一個(gè)可執(zhí)行,、可管理和可終止VM的Web服務(wù)接口,,虛擬機(jī)鏡像VMI運(yùn)行VM,而CM負(fù)載VMI,。VM啟動(dòng)以后,,用戶可以利用普通工具登錄,如ssh,。除了用戶接口,,CM還提供管理服務(wù),如添加或刪除VMI或用戶,。Xen支持熱遷移,允許VM在執(zhí)行時(shí)更換物理主機(jī),,而過(guò)程對(duì)用戶透明,,這種遷移對(duì)于簇內(nèi)資源整合和負(fù)載平衡有重要意義。
1.2 攻擊模型
云服務(wù)商的系統(tǒng)管理員擁有控制后臺(tái)的特權(quán),,可以實(shí)施多種攻擊以訪問(wèn)客戶虛擬機(jī)內(nèi)存,。IaaS提供商不會(huì)允許某人擁有全部特權(quán),,而且也部署了嚴(yán)格的安全設(shè)施,嚴(yán)格訪問(wèn)權(quán)限策略,,保護(hù)硬件的物理安全,。可以認(rèn)為服務(wù)商能夠阻止對(duì)機(jī)器物理訪問(wèn)的攻擊,,但系統(tǒng)管理員還是需要簇內(nèi)機(jī)器的訪問(wèn)特權(quán)來(lái)管理機(jī)器上運(yùn)行的軟件,。因此TCCP必須做到以下兩點(diǎn):(1)確保虛擬機(jī)在安全保護(hù)域內(nèi)運(yùn)行;(2)任何時(shí)候,,擁有根權(quán)限的系統(tǒng)管理員遠(yuǎn)程登錄運(yùn)行虛擬機(jī)的機(jī)器,,都不能訪問(wèn)虛擬機(jī)內(nèi)存。
1.3 可信賴計(jì)算
可信賴計(jì)算群(TCG)提出了一系列的軟硬件技術(shù)來(lái)構(gòu)建可信賴平臺(tái),,而且給出了可信賴平臺(tái)模塊(TPM)集成的設(shè)計(jì)標(biāo)準(zhǔn),。TPM支持私鑰(EK)并將此作為身份識(shí)別的唯一標(biāo)準(zhǔn),還支持一些不可修改的加密方法,,不同廠商設(shè)備使用不同的公鑰識(shí)別集成模塊,。
可信賴平臺(tái)[2-4]改進(jìn)了TPM集成特性,使其可以遠(yuǎn)程識(shí)別,。在啟動(dòng)時(shí),,主機(jī)計(jì)算一個(gè)由啟動(dòng)軟件序列哈希值組成的測(cè)度列表ML,啟動(dòng)軟件即BIOS,、啟動(dòng)項(xiàng),、軟件執(zhí)行平臺(tái)等。ML安全載入主機(jī)TPM,,遠(yuǎn)程一方利用當(dāng)前nU挑戰(zhàn)運(yùn)行在主機(jī)的平臺(tái),,平臺(tái)調(diào)用TPM生成包含ML和nU的應(yīng)答信息,并用TPM的私鑰加密,,主機(jī)將信息反饋給遠(yuǎn)程方,,遠(yuǎn)程方利用對(duì)應(yīng)的EK公鑰解密,這樣就完成了對(duì)主機(jī)的認(rèn)證,。通過(guò)核驗(yàn)ML和nU,,遠(yuǎn)程方可以鑒別主機(jī)上運(yùn)行的平臺(tái)是否可信賴。
可信賴平臺(tái)如Terra[3],,執(zhí)行瘦VMM,,即強(qiáng)制使用封閉執(zhí)行環(huán)境,這樣擁有主機(jī)全部特權(quán)的用戶也無(wú)法窺視和篡改客戶VM,,即使機(jī)器重啟VMM也可以保證自身的完整性,。因此遠(yuǎn)程方可以通過(guò)驗(yàn)證主機(jī)上運(yùn)行的平臺(tái),證實(shí)VMM的可信性,,如此即可保證其客戶VM的計(jì)算是安全的,。
假設(shè)傳統(tǒng)可信賴平臺(tái)能夠保證單臺(tái)主機(jī)上的計(jì)算安全性,,保證IaaS服務(wù)的最自然的想法就是在服務(wù)后臺(tái)每個(gè)節(jié)點(diǎn)都部署平臺(tái),然而這樣是不夠的,,不論VM載入時(shí)(通過(guò)操作CM)還是運(yùn)行時(shí)(通過(guò)遷移),,系統(tǒng)管理員都可以將客戶VM轉(zhuǎn)移到?jīng)]有運(yùn)行平臺(tái)的節(jié)點(diǎn)上。所以平臺(tái)驗(yàn)證機(jī)制并不能保證遠(yuǎn)程方得到的測(cè)度列表ML就是VM運(yùn)行(或即將運(yùn)行)主機(jī)的真實(shí)信息,。因此,,TCCP需要設(shè)計(jì)遠(yuǎn)程驗(yàn)證方法,保證后臺(tái)平臺(tái)資源持久安全,。
2 可信賴云計(jì)算平臺(tái)
可信賴云計(jì)算平臺(tái)TCCP加強(qiáng)了IaaS后臺(tái),,使其可以在不改變結(jié)構(gòu)的情況下提供封閉執(zhí)行環(huán)境,如圖2所示,。TCCP可信賴計(jì)算的基礎(chǔ)包含可信賴虛擬機(jī)映像(TVMM)和可信賴協(xié)調(diào)者(TC)兩個(gè)方面,。
后臺(tái)每個(gè)節(jié)點(diǎn)運(yùn)行掌控客戶VM的TVMM,并防止被特權(quán)用戶窺視和篡改,。TVMM可以保護(hù)自身安全性并遵守TCCP協(xié)議,,節(jié)點(diǎn)被嵌入經(jīng)驗(yàn)證的TPM并通過(guò)安全啟動(dòng)進(jìn)程加載TVMM。
TC管理一系列可以安全運(yùn)行客戶VM的節(jié)點(diǎn),,稱為可信賴節(jié)點(diǎn),,節(jié)點(diǎn)必須位于安全域內(nèi)并運(yùn)行TVMM,這要求TC保存節(jié)點(diǎn)安全域的記錄,,并判斷該節(jié)點(diǎn)是否運(yùn)行著可信賴TVMM,。TC管理諸如簇中添加或移除節(jié)點(diǎn)、由于維修或升級(jí)需臨時(shí)關(guān)閉節(jié)點(diǎn)等事件,。通過(guò)TC驗(yàn)證,,用戶可以判斷IaaS是否安全。
為了VM的安全,,每個(gè)節(jié)點(diǎn)上運(yùn)行的每個(gè)TVMM必須與TC相配合,,目的是:(1)將VM限制在可信賴節(jié)點(diǎn)上;(2)在VM遷移時(shí)保證其狀態(tài)不受窺視和篡改,。這些保護(hù)措施關(guān)鍵在加載和遷移VM時(shí)的操作,,為了保護(hù)這些操作,TCCP制訂了具體協(xié)議,。
假設(shè)由外部可信賴實(shí)體(ETE)來(lái)管理TC,,并為TC更新部署在IaaS域中一系列節(jié)點(diǎn)和可信賴配置的信息,最重要的是管理IaaS的系統(tǒng)管理員在ETE內(nèi)部沒(méi)有特權(quán),,因此不能篡改TC,。本文假設(shè)ETE由沒(méi)有與IaaS服務(wù)商共謀動(dòng)機(jī)的第三方維護(hù)。
在實(shí)時(shí)遷移[5]中,運(yùn)行中的VM的狀態(tài)信息在源節(jié)點(diǎn)Ns和目標(biāo)節(jié)點(diǎn)Nd間遷移,。為保證操作的安全性必須使兩個(gè)節(jié)點(diǎn)互信,而且VM狀態(tài)必須可信并且在完成遷移前是不可修改的,。圖5所示是參與VM安全遷移的消息隊(duì)列,,首先Ns請(qǐng)求TC檢驗(yàn)Nd是否可信,消息3中,,Ns向Nd發(fā)起VM遷移申請(qǐng)并附加會(huì)話密鑰KS,。Nd驗(yàn)證Ns是否可信。如果兩個(gè)節(jié)點(diǎn)都認(rèn)證成功,,Nd通知Ns接受KS,,在消息7中Ns最終將VM狀態(tài)哈希值加密發(fā)送給Nd,VM遷移成功,。
企業(yè)普遍應(yīng)用云計(jì)算的主要阻力源自對(duì)數(shù)據(jù)和計(jì)算的保密性和完整性的擔(dān)心,,本文提出一種可信云計(jì)算平臺(tái)TCCP,它可以為IaaS服務(wù)提供一個(gè)封閉執(zhí)行環(huán)境,,保證了客戶VM執(zhí)行的機(jī)密性,,允許用戶驗(yàn)證IaaS提供商并在裝載其虛擬機(jī)前先判斷服務(wù)是否安全。
參考文獻(xiàn)
[1] CircleID Reporter.Survey:cloud computing‘No Hype’,,but fear of security and control slowing adoption[C/OL].(2009-02-26)[2010-03-01].http://www.circleid.com/posts/2009- 0226_cloud_computing_hype_security/.
[2] BERGER S,,CACERES R,GOLDMAN K A.vTPM:virtualizing the trusted platform module[R].In Proc.of USENIX-SS’06,,Berkeley,,CA,USA,,2006.
[3] GARFINKEL T,,PFAFF B,CHOW J.Terra:a virtual machinebased platform for trusted computing[C].In Proc.of SOSP’03,,2003.
[4] MURRAY D G,,MILOS G,HAND S.Improving xen security through disaggregation[C].In Proc. of VEE’08,,New York,,NY,USA,,2008.
[5] CLARK C,,F(xiàn)RASER K,HAND S.Live migration of virtual machines[C].In Proc.of NSDI’05,,Berkeley,,CA,USA,USENIX Association.