石 磊 張 輝 劉毅楓

(山東乾云啟創(chuàng)信息科技股份有限公司 濟南 250101)(shi_lei@massclouds.com)

?

基于安全標(biāo)簽的云平臺問責(zé)和追溯技術(shù)研究

石 磊 張 輝 劉毅楓

(山東乾云啟創(chuàng)信息科技股份有限公司 濟南 250101)(shi_lei@massclouds.com)

對于云平臺問責(zé)與追溯，問責(zé)是要達(dá)成的目的，追溯是技術(shù)手段.為達(dá)到針對云環(huán)境下惡意行為問責(zé)的目的，要求追溯技術(shù)能夠逆向還原從事件發(fā)生點到事件發(fā)起源頭的完整路徑，并記錄這期間的操作行為.針對業(yè)務(wù)透明性、追溯機制精度和范圍、追溯機制效率和成本等方面面臨的挑戰(zhàn)，提出一種基于安全標(biāo)簽的通用追溯技術(shù)，建立精確高效的追溯技術(shù)原型.

云平臺；云計算；安全標(biāo)簽；問責(zé)；追溯

國內(nèi)云計算應(yīng)用不斷擴大，云數(shù)據(jù)中心、大寬帶戰(zhàn)略、軟件服務(wù)及智能終端等組成的云計算產(chǎn)業(yè)鏈條已經(jīng)逐步形成.不過，國內(nèi)云計算產(chǎn)業(yè)仍然面臨一系列問題和挑戰(zhàn)，其中包括基礎(chǔ)設(shè)施支撐不足、寬帶不寬、服務(wù)種類有限、服務(wù)規(guī)模不大、產(chǎn)業(yè)鏈不全、商業(yè)模式不成熟、政策法規(guī)環(huán)境不完善、用戶對云計算安全擔(dān)心等等.

網(wǎng)絡(luò)安全已晉升為我國國家戰(zhàn)略部署的一部分，云計算的落地向信息安全提出了新的挑戰(zhàn).云計算的推廣應(yīng)用需要確保云服務(wù)的安全,營造云服務(wù)的安全環(huán)境，為此，需要加強云計算安全技術(shù)的攻關(guān)和研發(fā)，制定和完善云計算安全的制度和法律，明確信息所有者和服務(wù)者的權(quán)益和責(zé)任，依法保護知識產(chǎn)權(quán)，依法維護個人信息的隱私權(quán)益，建立和完善云計算安全防護和評價體系，讓所有使用云計算的人放心，讓存放在云端信息的信息所有者放心[1].

當(dāng)前國內(nèi)外已經(jīng)開展了一些與云平臺問責(zé)與追溯技術(shù)相關(guān)的研究工作，但是大多數(shù)都處于原型階段，距離實用還存在一定差距.主要包括以下幾類[2]：

基于信息流跟蹤(information flow tracking, IFT)的方法是一類比較通用的防止信息泄露的方法.1)通過擴展Java和PHP語言虛擬機的方法實現(xiàn)信息流監(jiān)控，能夠針對用戶的隱私數(shù)據(jù)進行保護，阻止信息泄露，但是該模型只支持特定的語言，并且需要重寫應(yīng)用.2)針對分布式系統(tǒng)的信息流監(jiān)控方法，該技術(shù)原型在追溯方面的粒度很大，不能具體到針對文件、內(nèi)存區(qū)域、Socket這一級對象的跟蹤，同時該原型必須修改被監(jiān)控應(yīng)用.3)監(jiān)控和保護結(jié)合起來的辦法，即確保所有敏感數(shù)據(jù)對授權(quán)進程以外只讀，發(fā)現(xiàn)和阻止非法企圖；但是該原型側(cè)重于預(yù)防，對于異常行為追溯功能的支持能力很弱.

另一大類技術(shù)方法所采用的策略為，從綜合安全體系的角度，充分利用傳統(tǒng)計算領(lǐng)域的各種審計技術(shù)和工具，與云環(huán)境下的跟蹤技術(shù)相結(jié)合，建立完整的信息審計和行為追溯體系.但是該模型是針對Web應(yīng)用提出的惡意行為追溯方法，局限性太強，不能適用于云環(huán)境下廣泛的業(yè)務(wù)類型.

另外，從可信計算角度入手，也是一類實現(xiàn)方法.引入一個受信任的第三方云服務(wù)提供者，為最終用戶提供相應(yīng)的數(shù)據(jù)追溯和審計服務(wù)；但是該模型僅是針對Paas模式提出的方法.同時，該模型的實現(xiàn)通常要受到TCM信任鏈的約束[2].

1 追溯技術(shù)簡介及難點分析

1.1 追溯技術(shù)簡介

對于云平臺問責(zé)與追溯這一研究領(lǐng)域，問責(zé)是要達(dá)成的目的，追溯是技術(shù)手段.為達(dá)到針對云環(huán)境下惡意行為問責(zé)的目的，要求追溯技術(shù)能夠逆向還原從事件發(fā)生點到事件發(fā)起源頭的完整路徑，并記錄這期間的操作行為.考慮到云環(huán)境本身的特點，云平臺下的追溯技術(shù)既要服從于云計算環(huán)境的特殊性和限制，又要充分利用虛擬化技術(shù)帶來的一些便利條件，建立精確高效的追溯技術(shù)原型.

1.2 技術(shù)難點分析

目前，在云平臺下實現(xiàn)問責(zé)與追溯技術(shù)，主要面臨以下幾類主要的挑戰(zhàn)：

1) 追溯機制對業(yè)務(wù)的透明性

在云平臺環(huán)境下的問責(zé)和追溯作為一種安全技術(shù)，在實現(xiàn)方面的要求是既要增強對云平臺業(yè)務(wù)的安全可控能力，又要嚴(yán)格控制實現(xiàn)代價.同時，云平臺的特點決定了業(yè)務(wù)通常由大量單一功能的應(yīng)用協(xié)同完成，云平臺的一個重要優(yōu)勢就是允許這些應(yīng)用的快速升級更新.因此，如果在業(yè)務(wù)應(yīng)用的層面注入或擴展追溯機制，就會給原有的業(yè)務(wù)應(yīng)用開發(fā)增加額外的限制，將會大大提高維護難度和成本，對云平臺的推廣應(yīng)用造成不利影響.

追溯機制的透明性是指，在不影響原有云平臺業(yè)務(wù)的開發(fā)、升級、維護的前提下，為安全管理人員或安全工具提供針對惡意行為的有效的追溯能力.這個目標(biāo)對追溯機制的設(shè)計提出了很高的要求，需要慎重考慮技術(shù)實現(xiàn)所在的層次和方式.

2) 追溯機制的精度和范圍

通常情況下，追溯對相關(guān)信息的精度和粒度的要求很高，這是追溯有效性的主要保障.在數(shù)據(jù)粒度方面，如果不能達(dá)到字節(jié)級的水平，許多追溯線索就可能斷掉.在路徑精度方面，數(shù)據(jù)在進程中內(nèi)存地址間的轉(zhuǎn)移，進程間通過網(wǎng)絡(luò)、管道、IPC等方式的傳遞，數(shù)據(jù)與文件的交換等等過程，都應(yīng)當(dāng)是追溯需要識別的環(huán)節(jié)和途徑，否則也難以實現(xiàn)有效的追溯.

在云平臺下，業(yè)務(wù)流在各種類型的軟硬件節(jié)點之間處理和傳遞，追溯需要跨進程、跨虛擬機、跨宿主機的傳遞，需要跟蹤數(shù)據(jù)在各種形式上的轉(zhuǎn)變，這種大范圍的追溯要求對技術(shù)原型的機制設(shè)計提出了極大的挑戰(zhàn)[3].

3) 追溯機制的效率和成本

·對追溯過程中處理精度和范圍的高要求，必然會在效率上付出一定代價，因此如何設(shè)計一個完善的機制，以降低在這些方面對效率的負(fù)面影響，是技術(shù)上的一個巨大挑戰(zhàn).

·追溯的一個主要目標(biāo)是發(fā)現(xiàn)攻擊源或攻擊者，但是對于云平臺來說，用戶規(guī)模通常是巨大的，追溯機制必須能夠支持對大量主體標(biāo)志的產(chǎn)生、處理和識別，這樣才能從大量的用戶中標(biāo)記出潛在的攻擊者.現(xiàn)有的某些實現(xiàn)在主體標(biāo)志的范圍和擴展性上準(zhǔn)備不足，導(dǎo)致其在實際的云環(huán)境應(yīng)用中受到極大限制.

·追溯機制對效率的另一個主要影響來自常規(guī)運行的記錄信息的過程，幾乎所有可能被追溯機制引用的信息都要經(jīng)過這一過程的處理，如何降低該過程的日常開銷也是需要克服的一個關(guān)鍵問題.

2 技術(shù)方案

針對云平臺在問責(zé)與追溯所面臨的挑戰(zhàn)，本文提出一種通用的追溯技術(shù)原型MC-Track.該原型的基本原理是，為進入云平臺的數(shù)據(jù)創(chuàng)建對應(yīng)標(biāo)簽，標(biāo)簽標(biāo)記了數(shù)據(jù)來源信息；在云平臺中維持標(biāo)簽與數(shù)據(jù)的同步，標(biāo)記數(shù)據(jù)在云平臺內(nèi)移動的路徑線索；各關(guān)鍵節(jié)點依據(jù)標(biāo)簽向統(tǒng)一的審計數(shù)據(jù)中心報告數(shù)據(jù)流經(jīng)的路徑；追溯過程觸發(fā)時，根據(jù)當(dāng)時現(xiàn)場環(huán)境和審計數(shù)據(jù)中心的歷史記錄做關(guān)聯(lián)分析，產(chǎn)生追溯結(jié)果.

2.1 追溯原型的構(gòu)成

追溯原型的構(gòu)成主要包括追溯過程的觸發(fā)和追溯信息的獲取，具體如圖1所示：

圖1 追溯原型MC-Track的技術(shù)構(gòu)成

1) 追溯過程的觸發(fā)

追溯技術(shù)與監(jiān)控技術(shù)不同，單就追溯本身來看，它不是常規(guī)持續(xù)運行的過程，而是待調(diào)用的任務(wù)型過程，啟動時機是在異常發(fā)生后.追溯過程需要在一定條件下，由安全人員或其他安全工具觸發(fā)啟動，外部的輸入指明了追溯的線索依據(jù)、發(fā)生位置等信息.例如，防篡改軟件可以檢測到敏感數(shù)據(jù)內(nèi)容的非法修改，之后可以自動觸發(fā)追溯過程，防篡改軟件必須提供篡改發(fā)生的位置(如設(shè)備ID、數(shù)據(jù)路徑等)、精確時間以及現(xiàn)場的其他線索信息，追溯機制依據(jù)這些輸入信息進行關(guān)聯(lián)分析后得出結(jié)果，最后向管理人員提供該惡意行為從攻擊源到篡改點的完整路徑，同時定位攻擊者和記錄非法行為過程.

因此在追溯原型的設(shè)計上，MC-Track遵循這樣的約束：原型本身不包含檢測、防御和識別威脅的功能，其職責(zé)是在事件發(fā)生后，輔助分析識別事件原因、觸發(fā)源頭和經(jīng)歷過程，其作用和目的是輔助安全管理者追究責(zé)任和完善安全體系.

2) 追溯依賴信息的獲得

追溯機制的運行和完成需要一些必備的基礎(chǔ)信息作為支持.但是在通常情況下，由于追溯技術(shù)基本上是一種事后機制，當(dāng)追溯啟動時，惡意行為的大部分過程都已經(jīng)結(jié)束.追溯機制僅僅依靠當(dāng)前時刻能采集到的信息和運行場景，去還原事件發(fā)生的完整歷史過程幾乎是不可能的.因此，MC-Track原型除了包括在異常發(fā)生后才出發(fā)的核心的追溯過程，還必須引入一個常規(guī)情況下持續(xù)運行的過程，稱為常規(guī)跟蹤過程.常規(guī)跟蹤過程負(fù)責(zé)跟蹤記錄數(shù)據(jù)在云平臺中的轉(zhuǎn)移過程，并將信息集中存儲到信息跟蹤數(shù)據(jù)庫中.追溯過程可以依托這個庫的支持完成追溯分析.

綜上，根據(jù)追溯技術(shù)的特點和運行條件，追溯技術(shù)原型MC-Track由以下4部分組成：1)常規(guī)記錄信息過程，隨時準(zhǔn)備為追溯過程提供分析的歷史信息依據(jù)；2)觸發(fā)條件信息，觸發(fā)追溯過程并提供初始信息；3)追溯的核心過程，根據(jù)觸發(fā)的輸入信息和常規(guī)記錄過程提供的基礎(chǔ)信息，執(zhí)行基于領(lǐng)域知識的關(guān)聯(lián)分析，得出確定的結(jié)果；4)追溯結(jié)果輸出，向使用者提供完整的追溯路徑和這期間的行為過程記錄[4].

2.2 云計算環(huán)境下基于標(biāo)簽的數(shù)據(jù)跟蹤技術(shù)

透明性是MC-Track原型實現(xiàn)的一個主要目標(biāo)，即在云平臺下增加追溯功能不影響業(yè)務(wù)層的運行和維護.在MC-Track包含的2個過程中，核心追溯過程執(zhí)行邏輯關(guān)聯(lián)分析方面的運算，獨立性強，不會影響透明性的實現(xiàn)；而常規(guī)跟蹤過程需要截獲和記錄業(yè)務(wù)數(shù)據(jù)流，與業(yè)務(wù)耦合度高，所以需要重點研究，盡量避免對業(yè)務(wù)層的影響.

常規(guī)跟蹤過程通過2個步驟實現(xiàn)對數(shù)據(jù)的跟蹤：首先給業(yè)務(wù)數(shù)據(jù)建立標(biāo)簽并保持標(biāo)簽與數(shù)據(jù)的同步傳遞；然后在各關(guān)鍵節(jié)點檢查標(biāo)簽并產(chǎn)生審計數(shù)據(jù).通過上述方法，可以記錄業(yè)務(wù)數(shù)據(jù)的來源(用戶或其他系統(tǒng))、在云平臺內(nèi)部的轉(zhuǎn)移過程、流出云平臺的出口位置或者在內(nèi)部的銷毀位置.MC-Track設(shè)計和實現(xiàn)過程應(yīng)當(dāng)確保對業(yè)務(wù)透明性的原則.

1) 標(biāo)簽的意義和處理原語

標(biāo)簽與特定的數(shù)據(jù)對應(yīng)，在系統(tǒng)中由唯一的數(shù)值表示，該數(shù)值由2部分組成：一是數(shù)據(jù)的屬主或來源的唯一ID；二是數(shù)據(jù)本身的唯一ID.當(dāng)數(shù)據(jù)在云平臺中傳遞時標(biāo)簽也隨之移動.以標(biāo)簽為線索，就可以把數(shù)據(jù)在云平臺中各節(jié)點各階段上的傳遞過程串聯(lián)起來，從任意一個點上可以反向追溯數(shù)據(jù)經(jīng)歷的路徑；同時，由于標(biāo)簽含有來源信息，還可以確定數(shù)據(jù)的來源.

標(biāo)簽處理包括3種原語：add_tag用于針對數(shù)據(jù)產(chǎn)生標(biāo)簽；delte_tag用于在數(shù)據(jù)銷毀時刪除標(biāo)簽；copy_tag用于傳遞標(biāo)簽.這3種原語處理的數(shù)據(jù)對象形式是[start,end)的1組連續(xù)字節(jié)，最小粒度是1 B.

2) 標(biāo)簽的維護及傳遞方法

標(biāo)簽根據(jù)其對應(yīng)的數(shù)據(jù)形式的不同，分為3種情況：內(nèi)存標(biāo)簽、文件標(biāo)簽和網(wǎng)絡(luò)標(biāo)簽.其中，內(nèi)存標(biāo)簽和文件標(biāo)簽都在標(biāo)簽緩存中以KeyValue的形式進行維護，與標(biāo)記的數(shù)據(jù)相對應(yīng)；網(wǎng)絡(luò)標(biāo)簽則直接嵌入在網(wǎng)絡(luò)數(shù)據(jù)包中.

內(nèi)存標(biāo)簽：內(nèi)存標(biāo)簽對應(yīng)內(nèi)存中的數(shù)據(jù)，Key由進程ID、數(shù)據(jù)的起始地址(虛擬內(nèi)存地址)以及數(shù)據(jù)長度3部分構(gòu)成，Value就是標(biāo)簽值，用于識別數(shù)據(jù)身份.

文件標(biāo)簽：文件標(biāo)簽對應(yīng)文件中的數(shù)據(jù)，Key由文件路徑、數(shù)據(jù)在文件中的偏移地址以及數(shù)據(jù)長度3部分構(gòu)成，Value就是唯一標(biāo)簽值，用于識別數(shù)據(jù)身份.

3) 標(biāo)簽的創(chuàng)建和銷毀

云平臺通常包含一個入口網(wǎng)關(guān)，如果不存在網(wǎng)關(guān)或者網(wǎng)關(guān)邏輯不可修改則可以增加一個透明網(wǎng)關(guān).透明網(wǎng)關(guān)不影響云平臺的原有網(wǎng)絡(luò)拓?fù)浜蜆I(yè)務(wù)邏輯，其主要的功能就是根據(jù)來自用戶的輸入數(shù)據(jù)創(chuàng)建標(biāo)簽.

產(chǎn)生標(biāo)簽可以單獨依據(jù)用戶ID、用戶IP、終端ID這幾種信息產(chǎn)生，也可以依據(jù)它們的聯(lián)合產(chǎn)生，具體實現(xiàn)由策略決定.透明網(wǎng)關(guān)是云平臺的入口，也是追溯過程在云平臺內(nèi)到達(dá)的終點，通過檢查標(biāo)簽與上述信息的對應(yīng)關(guān)系可以識別出攻擊或異常的源頭.

云平臺中銷毀標(biāo)簽只有一種情況，就是標(biāo)簽對應(yīng)的數(shù)據(jù)時被釋放.銷毀標(biāo)簽在云平臺的任何位置、任何階段都可能發(fā)生.

4) 標(biāo)簽在云平臺的傳遞和檢查

云平臺中的各種業(yè)務(wù)大多依托于虛擬機運行，這些虛擬化設(shè)施處于業(yè)務(wù)應(yīng)用和客戶操作系統(tǒng)的底層，可以監(jiān)視或截獲標(biāo)簽，為數(shù)據(jù)跟蹤的實現(xiàn)提供了便利性.這包括進程內(nèi)部數(shù)據(jù)跟蹤、同虛擬機進程間的數(shù)據(jù)傳遞跟蹤、同宿主機跨虛擬機間的數(shù)據(jù)傳遞跟蹤、跨宿主機間的數(shù)據(jù)傳遞跟蹤.

以下分別說明MC-Track原型針對這些情況的實現(xiàn)方式.

1) 進程內(nèi)的數(shù)據(jù)跟蹤

進程執(zhí)行的指令大致包括2類：計算類和轉(zhuǎn)移類.轉(zhuǎn)移類指令可能會對標(biāo)簽關(guān)聯(lián)的數(shù)據(jù)執(zhí)行相關(guān)處理操作，因此MC-Track原型需要截獲此類指令，同步處理數(shù)據(jù)對應(yīng)的標(biāo)簽，以保證標(biāo)簽跟隨對應(yīng)數(shù)據(jù).

由于云平臺中應(yīng)用基本上都運行在虛擬機中，對于虛擬機中的進程，其執(zhí)行的所有指令必然經(jīng)過虛擬機監(jiān)控器(VMM)，因此MC-Track的處理機制是：首先，在虛擬機監(jiān)控器中嵌入模塊截獲二進制指令流并反匯編；然后，檢查涉及數(shù)據(jù)是否擁有標(biāo)簽，無標(biāo)簽時不用處理，直接放行；最后，根據(jù)指令對數(shù)據(jù)的操作，調(diào)用copy_tag或delete_tag原語同步標(biāo)簽.

進程對數(shù)據(jù)的處理可能包含以下幾種情況，因此對于標(biāo)簽也需要執(zhí)行相應(yīng)的處理.①數(shù)據(jù)拷貝，直接調(diào)用copy_tag原語，拷貝1份標(biāo)簽關(guān)聯(lián)到副本數(shù)據(jù)上.②數(shù)據(jù)轉(zhuǎn)移，與拷貝類似，區(qū)別是隨后應(yīng)當(dāng)刪除原始數(shù)據(jù)對應(yīng)的標(biāo)簽.③數(shù)據(jù)抽取，即原始數(shù)據(jù)僅有一部分被抽取出來，則修改標(biāo)簽對應(yīng)的數(shù)據(jù)長度.④數(shù)據(jù)合并，即發(fā)現(xiàn)數(shù)據(jù)與相鄰位置的數(shù)據(jù)擁有相同的標(biāo)簽，則修改標(biāo)簽對應(yīng)的起始地址和總長度，以對應(yīng)合并后的數(shù)據(jù).

對于云平臺中不依賴于虛擬機運行的進程，可以借助運行時解釋器來執(zhí)行，例如Intel的PIN工具.由于PIN一類的運行時解釋器其本質(zhì)就是一個微型的用戶級虛擬機監(jiān)視器，因而上面討論的方法同樣適用.

如圖2所示，在進程內(nèi)標(biāo)簽會隨著數(shù)據(jù)同步轉(zhuǎn)移，這包括內(nèi)存到內(nèi)存的傳遞、內(nèi)存與文件間的傳遞，因此跟蹤標(biāo)簽即可實現(xiàn)對進程內(nèi)數(shù)據(jù)的跟蹤.

圖2 進程內(nèi)數(shù)據(jù)標(biāo)簽轉(zhuǎn)移

2) 進程間通信的數(shù)據(jù)跟蹤

進程間通信的幾種主要方式為共享內(nèi)存、管道、信號等機制都是基于內(nèi)核來實現(xiàn)數(shù)據(jù)在進程間的交換，基本過程為進程A用戶空間的內(nèi)存數(shù)據(jù)，轉(zhuǎn)移到內(nèi)核空間的內(nèi)存，再轉(zhuǎn)移到進程B用戶空間內(nèi)存.

對于進程間通信數(shù)據(jù)的跟蹤，MC-Track原型采取與進程內(nèi)跟蹤類似的方法，截獲指令流處理轉(zhuǎn)移類指令和中斷指令，但是處理數(shù)據(jù)的范圍要涵蓋內(nèi)核的內(nèi)存.具體方法為：發(fā)現(xiàn)數(shù)據(jù)在用戶內(nèi)存與內(nèi)核內(nèi)存之間轉(zhuǎn)移時，對相應(yīng)標(biāo)簽作同步轉(zhuǎn)移處理.內(nèi)核內(nèi)存在進程間的數(shù)據(jù)傳遞過程中可視為傳輸?shù)耐ǖ?

與上述討論相同，對于虛擬機中的進程間通信，可以在虛擬機監(jiān)控器中處理標(biāo)簽；對于不依賴于虛擬機運行的進程借助運行時解釋器來執(zhí)行.

圖3展示了進程間通信的標(biāo)簽同步轉(zhuǎn)移過程：

圖3 進程間數(shù)據(jù)標(biāo)簽轉(zhuǎn)移

3) 基于Socket通信的數(shù)據(jù)跟蹤

在虛擬化平臺中，虛擬機的虛擬網(wǎng)卡可以獲得完整的數(shù)據(jù)協(xié)議棧，虛擬機監(jiān)控器具備對網(wǎng)絡(luò)數(shù)據(jù)流干預(yù)處理的能力，因而MC-Track可以在虛擬機監(jiān)控器中擴展模塊實現(xiàn)基于標(biāo)簽的數(shù)據(jù)跟蹤功能.根據(jù)進程間相互部署關(guān)系，可分為兩大類情況：同宿主機通信和跨宿主機通信.

同宿主機通信又包括2種情況：虛擬機內(nèi)部通信，虛擬機間通信.對于這2種情況，由于沒有超出同一宿主機的范圍，因而MC-Track原型在虛擬機監(jiān)控器中實現(xiàn)標(biāo)簽的同步處理，不需要通過實際的網(wǎng)絡(luò)同步標(biāo)簽.

跨宿主機通信則需要增加標(biāo)簽在網(wǎng)絡(luò)上同步的步驟：源端的虛擬機監(jiān)控器模塊負(fù)責(zé)把標(biāo)簽嵌入到業(yè)務(wù)流TCPIP數(shù)據(jù)包的空閑位置，目的端的虛擬機監(jiān)控器模塊負(fù)責(zé)還原標(biāo)簽.

對于云平臺中個別不基于虛擬機應(yīng)用，則需要在網(wǎng)絡(luò)驅(qū)動層截獲數(shù)據(jù)包，執(zhí)行上述操作.

4) 基于文件的數(shù)據(jù)跟蹤

除了內(nèi)存，文件是數(shù)據(jù)在流動過程中經(jīng)常經(jīng)過的環(huán)節(jié)，是數(shù)據(jù)在系統(tǒng)中駐留的一種重要形式.無論是進程內(nèi)數(shù)據(jù)的存取還是進程間數(shù)據(jù)的傳遞，都可能涉及文件這一數(shù)據(jù)存儲形式.MC-Track模型可以支持包括文件在內(nèi)的完整數(shù)據(jù)路徑跟蹤，確保數(shù)據(jù)流的跟蹤在文件這一環(huán)節(jié)上是連續(xù)的.文件數(shù)據(jù)對應(yīng)文件標(biāo)簽.標(biāo)簽內(nèi)容保持了對應(yīng)數(shù)據(jù)的來源信息.

針對虛擬機情況，MC-Track在虛擬機監(jiān)控器擴展模塊，截獲虛擬機內(nèi)客戶操作系統(tǒng)的系統(tǒng)調(diào)用，如果發(fā)現(xiàn)進程執(zhí)行write，writev以及pwrite等系統(tǒng)調(diào)用，則使用copy_tag原語，把源數(shù)據(jù)對應(yīng)的內(nèi)存標(biāo)簽同步到該文件標(biāo)簽中；類似地，如果發(fā)現(xiàn)進程執(zhí)行read，readv，pread等系統(tǒng)調(diào)用，則使用copy_tag原語，把文件標(biāo)簽同步到目標(biāo)內(nèi)存數(shù)據(jù)對應(yīng)的標(biāo)簽上.

對于不依賴于虛擬機運行的進程，借助運行時解釋器來截獲系統(tǒng)調(diào)用，執(zhí)行上述邏輯.

圖2和圖3都展示了文件在數(shù)據(jù)轉(zhuǎn)移過程中的位置以及文件標(biāo)簽的跟蹤作用.

2.3 云環(huán)境下跟蹤信息采集技術(shù)

核心追溯過程依靠統(tǒng)一的接口從信息跟蹤庫中提取支持信息，但是信息跟蹤庫中這些信息的采集涉及的情況相對復(fù)雜，與云平臺基礎(chǔ)設(shè)施的相應(yīng)機制有關(guān).圖4展示了云環(huán)境下采集跟蹤信息所要處理的3類主要情況：

1) 基于虛擬機的應(yīng)用：云計算的一個主要特點是大量使用了虛擬化技術(shù)，尤其是虛擬機技術(shù).構(gòu)成云平臺的服務(wù)進程幾乎都是依托虛擬機環(huán)境運行，即業(yè)務(wù)的處理、數(shù)據(jù)的傳遞大都以虛擬機為中心來完成.MC-Track基于虛擬機監(jiān)控器的擴展模塊不僅負(fù)責(zé)處理數(shù)據(jù)對應(yīng)標(biāo)簽，還負(fù)責(zé)向信息跟蹤庫匯總跟蹤信息.

2) 不基于虛擬機的應(yīng)用：對于云平臺中個別不基于虛擬機技術(shù)的應(yīng)用，例如網(wǎng)關(guān)等，采用在操作系統(tǒng)內(nèi)核嵌入驅(qū)動的方法，截獲數(shù)據(jù)并進行標(biāo)簽處理，然后用戶態(tài)的代理程序向信息跟蹤庫發(fā)送跟蹤報告.

3) 封閉的商用設(shè)備：云平臺中還可能包含一些獨立的設(shè)備以及商用的閉源軟件，對于這類對象，可以通過調(diào)用其開放的接口把它們的信息采集到信息跟蹤庫中，以形成更加全面的路徑過程視圖[5].

圖4 云平臺跟蹤信息采集

3 結(jié) 語

本文主要針對云平臺在問責(zé)與追溯所面臨的挑戰(zhàn)，提出一種通用的追溯技術(shù)原型MC-Track.該原型的基本原理是，為進入云平臺的數(shù)據(jù)創(chuàng)建對應(yīng)標(biāo)簽，標(biāo)簽標(biāo)記了數(shù)據(jù)來源信息；在云平臺中維持標(biāo)簽與數(shù)據(jù)的同步，標(biāo)記數(shù)據(jù)在云平臺內(nèi)移動的路徑線索；各關(guān)鍵節(jié)點依據(jù)標(biāo)簽向統(tǒng)一的審計數(shù)據(jù)中心報告數(shù)據(jù)流經(jīng)的路徑；追溯過程觸發(fā)時，根據(jù)當(dāng)時現(xiàn)場環(huán)境和審計數(shù)據(jù)中心的歷史記錄做關(guān)聯(lián)分析，產(chǎn)生追溯結(jié)果.

在標(biāo)簽的檢查和傳遞方面，MC-Track原型實際上利用了一些VMI技術(shù)，即在虛擬機之外分析虛擬機內(nèi)部的數(shù)據(jù)流動.如何提高這類分析的效率和準(zhǔn)確性是下一步研究的重點內(nèi)容.

[1]欒潤生. 面向云計算的計算機網(wǎng)絡(luò)犯罪偵查取證的思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2011 (12): 68-70

[2]Boss G, Malladi P, Quan D, et al. Cloud computing. IBMWhitePaper[EB/OL]. [2010-12-10]. http://download.boulder.ibm com/

[3]夏榮. 云計算技術(shù)在電子數(shù)據(jù)取證領(lǐng)域的應(yīng)用研究[J]. 信息網(wǎng)絡(luò)安全技術(shù), 2011 (8): 51-53

[4]曹彬, 程久軍, 閏春鋼. 基于云計算Live Mesh的流媒體應(yīng)用研究[J]. 計算機科學(xué), 2010, 37(11): 92-95

[5]彭召意, 周玉, 文志強. 基于云計算的視頻取證監(jiān)控系統(tǒng)[J]. 計算機應(yīng)用研究, 2011, 28(8): 2975-2977

石 磊

碩士，主要研究方向方向為Linux內(nèi)核、系統(tǒng)虛擬化和云計算安全技術(shù).

shi_lei@massclouds.com

張 輝

碩士，主要研究方向研究為微內(nèi)核架構(gòu)、軟件構(gòu)件化和軟件服務(wù)化.

zhang_hui@massclouds.com

劉毅楓

學(xué)士，主要研究方向為系統(tǒng)虛擬化、軟件服務(wù)化、軟件工程及工程管理.

liu_yfeng@massclouds.com

Cloud Platform Accountability and Retrospect Technology Based on Security Label

Shi Lei, Zhang Hui, and Liu Yifeng

(MasscloudsInformationTechnologiesCo.Ltd.,Jinan250101)

In oder to achieve the accountability system of cloud platform, retrospect is the primary technology method. Recalling the complete trajectory of the security event in this period,it can be controlled by the ability to trigger and record operations during this period. In order to tackle the challenges of business transparency in cloud system retrospect, the paper reviews the transparency, efficiency and cost of the enterprise. This paper states general retrospect technology based on security label, and establishes an accurate and efficient retrospect technology prototype.

cloud platform; cloud computing; security label; accountability; retrospect

2015-10-30

TP309