可信計算技術(shù)在云計算安全中的應(yīng)用

摘 要：隨著人們對信息量的需求越來越多，信息技術(shù)得到了飛速發(fā)展。云計算作為新崛起的網(wǎng)絡(luò)技術(shù)，成為人們熱切關(guān)注與研究的對象，隨之，云計算的安全問題也非常嚴肅。本文主要介紹可信計算技術(shù)在云計算安全中的應(yīng)用與可信計算技術(shù)對于實現(xiàn)云安全的意義。

關(guān)鍵詞：可信計算技術(shù)；云計算；安全

中圖分類號：TP307

隨著云時代的到來，虛擬、動態(tài)、異構(gòu)環(huán)境出現(xiàn)，即云計算技術(shù)的出現(xiàn)，傳統(tǒng)方案無法適應(yīng)這樣的新環(huán)境。我國信息化方面專家表示，當前云安全的發(fā)展跟不上云計算與大數(shù)據(jù)的發(fā)展，阻礙了網(wǎng)絡(luò)信息安全工作的實現(xiàn)。

1 云計算安全分析

1.1 云計算。云指的是網(wǎng)絡(luò)和互聯(lián)網(wǎng)，云計算提供的易擴展動態(tài)資源往往都是虛擬化資源，該項技術(shù)中相關(guān)服務(wù)的增加與使用皆是基于互聯(lián)網(wǎng)所進行與實現(xiàn)的。目前，由美國國家標準定義的云計算是一種提供便捷網(wǎng)絡(luò)訪問并使用量付費的模式。云計算具有超大規(guī)模、虛擬化、可靠性高、擴展性強、按需服務(wù)與廉價的特點，但同時也存在著潛在危險。

1.2 云計算安全分析。部分研究學者指出，云計算是一套整合多種應(yīng)用技術(shù)的解決方案。相關(guān)的單一技術(shù)由于受各種各樣現(xiàn)實環(huán)境的限制，無法得到大規(guī)模使用，在一定程度上阻礙了其市場發(fā)展。影響云計算服務(wù)市場發(fā)展的因素主要有三個：服務(wù)安全性、穩(wěn)定性和性能表現(xiàn)。其中影響客戶選擇云計算的最主要因素就是服務(wù)的安全性。目前，云計算技術(shù)存在的主要安全問題表現(xiàn)為虛擬化安全問題、數(shù)據(jù)集中后的安全問題、云平臺可用性安全問題、云平臺遭受攻擊的問題、法律風險等。

造成信息安全的根源問題主要有系統(tǒng)不分執(zhí)行“態(tài)”、pc機體系結(jié)構(gòu)簡化等，上述因素都會使操作系統(tǒng)難以建立真正的安全機制（TCB），從而導(dǎo)致資源配置可以被篡改、利用緩沖棧溢出攻擊、惡意程序被植入執(zhí)行等一系列問題。TCB是指：數(shù)據(jù)加密、訪問控制、身份認證、安全管理等。根據(jù)信息TCB要求，得出了終端和網(wǎng)絡(luò)安全技術(shù)，但目前，信息安全技術(shù)本容易被旁路，仍存在很大問題。

2 可信計算技術(shù)

在空前繁榮的信息時代里，信息安全問題非常多見，在日常工作中時常發(fā)生，信息設(shè)備、數(shù)據(jù)、內(nèi)容與行為成為信息安全防護的主要對象。可信計算又稱為可信計算平臺，受硬件安全模塊支持，廣泛使用于計算和通信系統(tǒng)?？尚庞嬎闶侵冈谙嚓P(guān)硬件支持的基礎(chǔ)上，建立計算資源點和可信保護結(jié)點并行結(jié)構(gòu)，從加電到執(zhí)行構(gòu)建了一條完整的信任鏈?？尚庞嬎阍诓槐桓蓴_、可測控全程的環(huán)境下，進行計算，具有身份識別、保密存儲等特點。

2.1 可信計算平臺的構(gòu)建。（1）可信平臺模塊，TPM是一個小型SoC芯片系統(tǒng)，含有密碼計算與存儲部件，它屬于物理可信，在云計算中需要被虛擬化，它的主要體系結(jié)構(gòu)如圖1。（2）可信存儲。TCG使用的是自加密驅(qū)動器，其可信存儲規(guī)范實現(xiàn)了全磁盤加密，且使企業(yè)處理敏感數(shù)據(jù)的加密過程工序減少。由于TPM加密是建立在硬件基礎(chǔ)上的，實現(xiàn)了可信存儲的自加密與認證的功能。（3）可信網(wǎng)絡(luò)連接。可信網(wǎng)絡(luò)連接（Trust Network Connect）是一種工業(yè)標準架構(gòu)，可提供網(wǎng)絡(luò)安全及安全訪問。在TNC標準下，管理員能通過用戶身份和設(shè)備狀況對網(wǎng)絡(luò)訪問與運行情況進行監(jiān)視與控制，發(fā)生問題時可立即作出反應(yīng)并加以解決。

圖1 TPM體系結(jié)構(gòu)

2.2 意義。華科大計算機學院教授曾指出：“在云系統(tǒng)安全構(gòu)建上，需要分析云系統(tǒng)動態(tài)復(fù)雜性特征，研究面向海量實體復(fù)雜信任關(guān)系的信任模型、信任基、信任度量和判斷等?！边@一說法中的云計算安全主要是指體系結(jié)構(gòu)、操作行為、資源配置、用戶數(shù)據(jù)存儲等的整體可信。

目前，網(wǎng)絡(luò)信息系統(tǒng)最基本的安全基礎(chǔ)便是系統(tǒng)的源頭，針對源頭處的安全問題（如芯片、BIOS、操作系統(tǒng)、主板等）采取綜合措施，才能有效提高信息系統(tǒng)的安全性?？尚庞嬎阆到y(tǒng)的安全技術(shù)因包含了五個關(guān)鍵點：簽注秘鑰（Endorsement key）、安全輸入輸出（Secure input and output）、儲存器屏蔽（Memory curtaining）、密封儲存（Sealed storage）、遠程認證（Remote attestation）。上述5個關(guān)鍵點的有效實現(xiàn)，使可信計算技術(shù)不僅滿足了網(wǎng)絡(luò)信息安全技術(shù)對體系結(jié)構(gòu)、行為、資源配置、用戶數(shù)據(jù)存儲等的可信標準，也提高了系統(tǒng)源頭的可信度。

可信計算技術(shù)構(gòu)建信任鏈的意義可以從兩個方面來講：第一，就安全技術(shù)而言，可信計算從單機到虛擬化與分布式結(jié)算的轉(zhuǎn)變，對控制云數(shù)據(jù)中心具有積極作用，在處理數(shù)據(jù)、運行操作過程中，有效保證了系統(tǒng)的完整性、安全性和可用性；第二，從管理措施方面看，云主機采用的白名單機制安全系統(tǒng)，通過一級測量一級，一級信任一級的準入制度，有效控制計算管理，進一步保障其安全性。

3 可信計算在云安全中的應(yīng)用

可信計算實現(xiàn)了從傳統(tǒng)封堵查殺到主動防御的轉(zhuǎn)變，現(xiàn)已在云計算安全中得到了廣泛應(yīng)用。如對數(shù)字版權(quán)的管理、身份盜用保護、在線游戲作弊防護、病毒間諜軟件的阻止、保護生物識別身份驗證數(shù)據(jù)、核查遠程網(wǎng)絡(luò)的計算結(jié)果等。（1）基于TPM的認證。在云計算環(huán)境下， 擁有大量實體用戶認證信息，進行訪問控制的主要基礎(chǔ)就是對這些信息進行安全認證。例如：云及其數(shù)據(jù)可以對加入到云的用戶、資源信息與實體進行訪問，這些實體需要對云計算系統(tǒng)提供身份證明?？尚庞嬎闫脚_可提供一個專用的主密鑰，保護儲存在云系統(tǒng)中的其他信息，將硬件證書儲存在TPM中。在云計算安全中，可信計算技術(shù)起到了關(guān)鍵作用。（2）基于角色訪問控制。在云計算系統(tǒng)中，訪問云服務(wù)的大量用戶都有獨特的目標和行為，建立一個分類訪問控制準則，有利于簡化訪問控制模型。分類訪問控制的主要原理是：首先讓用戶先注冊進入分類，采用可信計算平臺的安全機制，保護注冊信息的安全，使用戶隱私得到安全保障。用戶通過可信計算平臺登錄獲取權(quán)威證書，遠程通話信息可得到密鑰保護。（3）基于TPM數(shù)據(jù)安全。用TPM產(chǎn)生的密鑰對云存儲的重要數(shù)據(jù)進行加密，并將該密鑰保存到TPM中，加大這些密鑰的攻擊難度。加密技術(shù)也可用來保護傳輸中的數(shù)據(jù)安全性與完整性，用戶在訪問云中數(shù)據(jù)或應(yīng)用程序前，需先進行TPM認證。（4）用戶行為追蹤。每個用戶在云計算系統(tǒng)中都有一個對應(yīng)完整的身份信息，因此，對用戶行為進行追蹤時，應(yīng)采用不同機制。在可信計算平臺上，該機制會將通過密鑰證明的用戶信息傳送到BIOS與TPM中，使用戶信息無處遁形。（5）可信技術(shù)對虛擬化安全支持。多租戶在云服務(wù)模型中能在不同環(huán)境中增強、隔離和監(jiān)管策略驅(qū)動安全。例如：不同商業(yè)組織之間需共享基礎(chǔ)設(shè)施，使用戶在公共云服務(wù)中得到更好體驗?？尚庞嬎闫脚_能改進虛擬機監(jiān)視器并安全分離虛擬網(wǎng)絡(luò)，在硬件超級用戶基礎(chǔ)上，TPM能夠提供完整驗證。

4 結(jié)束語

我國缺乏安全可靠、可控制的云數(shù)據(jù)中心，在現(xiàn)階段的發(fā)展環(huán)境下亟需強化自主可控的云安全。可信計算技術(shù)的應(yīng)用，對整個云數(shù)據(jù)中心安全產(chǎn)業(yè)鏈發(fā)展具有積極的推動作用。

參考文獻：

[1]徐輝.試論可信計算技術(shù)在云計算安全中的應(yīng)用[J].佳木斯教育學院學報，2014（06）：436+438.

[2]楊健，汪海航，王劍，俞定國.云計算安全問題研究綜述[J].小型微型計算機系統(tǒng)，2012（03）：472-479.

作者簡介：范翔（1977.03-），男，江蘇淮安，本科，初職稱級，研究方向：計算機。

作者單位：江蘇省淮陰商業(yè)學校，江蘇淮安 223003