蘭宇琳

摘要：基于云計(jì)算相關(guān)概念及目前數(shù)字圖書館云安全問題分析，將可信計(jì)算技術(shù)應(yīng)用于數(shù)字圖書館云安全問題中，提出一種數(shù)字圖書館可信云安全機(jī)制，并闡述可信計(jì)算應(yīng)用中應(yīng)解決的關(guān)鍵問題及安全策略，構(gòu)建從底層到頂層的硬件可信云安全機(jī)制。

關(guān)鍵詞：云安全；數(shù)字圖書館；可信計(jì)算；可信云

DOIDOI：10.11907/rjdk.171158

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2017）006-0186-03

0 引言

云計(jì)算環(huán)境下數(shù)字圖書館安全問題受到廣泛關(guān)注，目前已取得一系列研究成果。程風(fēng)剛[1]指出云計(jì)算給數(shù)字圖書館帶來的安全威脅核心是數(shù)據(jù)，并從監(jiān)控、技術(shù)、制度、實(shí)施和評(píng)價(jià)等5個(gè)方面提出了防范策略；麥范金[2]從移動(dòng)用戶的隱私保護(hù)問題出發(fā)，提出了以法律、社會(huì)規(guī)范、隱私感知、管理及處理體系為主的五維保護(hù)模型，并給出了相應(yīng)的體系結(jié)構(gòu)及業(yè)務(wù)流程描述；張海玉[3]提出從加強(qiáng)Web瀏覽器安全、虛擬安全技術(shù)、建立可信云、數(shù)據(jù)加密、身份認(rèn)證、建立安全評(píng)測體系及監(jiān)管體系等8個(gè)角度闡述了相應(yīng)的應(yīng)對(duì)策略；鄧勝利[4]探討了“云”圖書館在安全上的利弊，給出了數(shù)字資源安全存儲(chǔ)與管理、終端用戶機(jī)安全及云平臺(tái)服務(wù)安全的相應(yīng)策略?？v觀各家之談，云計(jì)算安全問題的解決需要法律、道德和技術(shù)三方面協(xié)作，方能完成，缺一不可，而技術(shù)是“王”。本文將可信計(jì)算的思想應(yīng)用于數(shù)字圖書館云安全管理中，分析可信云安全機(jī)制構(gòu)建應(yīng)解決的關(guān)鍵問題。

1 云計(jì)算及其安全問題

1.1 云計(jì)算

云計(jì)算[5]是一種模型，用戶可以便捷地從計(jì)算資源池中獲取所需資源，比如網(wǎng)絡(luò)、存儲(chǔ)及應(yīng)用等，而且資源能夠快速供給和釋放，使得資源管理和用戶與服務(wù)提供商之間交互的成本最低。云計(jì)算架構(gòu)主要包括4層：硬件層、基礎(chǔ)設(shè)施層、平臺(tái)層和應(yīng)用層，根據(jù)層次不同提供不同的服務(wù)，包括軟件即服務(wù)SaaS、平臺(tái)即服務(wù)PaaS和基礎(chǔ)設(shè)施即服務(wù)IaaS。SaaS提供專門的應(yīng)用服務(wù)，PaaS提供軟件開發(fā)框架及操作系統(tǒng)等平臺(tái)資源服務(wù)，將硬件層和基礎(chǔ)設(shè)施層提供的服務(wù)統(tǒng)稱為IaaS，提供基礎(chǔ)性資源，如虛擬機(jī)。云計(jì)算體系結(jié)構(gòu)如圖1所示。

云計(jì)算相較于傳統(tǒng)的計(jì)算模式，具有大規(guī)模、低成本、虛擬化、高動(dòng)態(tài)性及高可靠性五大顯著特點(diǎn)。

1.2 數(shù)字圖書館云安全問題

數(shù)字圖書館云安全問題涉及兩個(gè)方面：傳統(tǒng)的網(wǎng)絡(luò)安全問題和云計(jì)算特有的安全問題。傳統(tǒng)的網(wǎng)絡(luò)安全問題包括物理安全、網(wǎng)絡(luò)各層次存在的安全威脅及數(shù)據(jù)、訪問安全等，而傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)發(fā)展已經(jīng)比較成熟[6]，此處不再詳細(xì)闡述。由于云計(jì)算及數(shù)字圖書館自身特點(diǎn)所帶來的安全問題，總結(jié)如表1所示。

（1）數(shù)據(jù)丟失或泄露問題。云環(huán)境下的數(shù)字圖書館改變了傳統(tǒng)圖書館的服務(wù)模式，用戶可以通過有線或無線的方式接入云圖書館中，查閱文字、圖片、音頻、視頻等多媒體內(nèi)容，這就意味著數(shù)據(jù)是云圖書館提供服務(wù)的核心。數(shù)字圖書館中的數(shù)據(jù)遷移到云中，云的存儲(chǔ)設(shè)備存在于不確定的區(qū)域，而網(wǎng)絡(luò)中租戶眾多，數(shù)據(jù)在遷移過程中，如果沒有采用相應(yīng)技術(shù)手段，核心數(shù)據(jù)可能被其他用戶竊取。另外，云平臺(tái)中使用的相關(guān)管理軟件，提供了訪問、認(rèn)證、授權(quán)及審計(jì)等多種功能，如果軟件本身存在安全漏洞，那平臺(tái)上的用戶數(shù)據(jù)勢必遭受影響，一旦被攻擊，云平臺(tái)就不再安全，用戶數(shù)據(jù)存在丟失及泄漏的可能。

（2）云平臺(tái)安全性。在數(shù)字圖書館云計(jì)算平臺(tái)中，任務(wù)和數(shù)據(jù)都交付給云平臺(tái)，利用云平臺(tái)提供的資源服務(wù)來完成用戶所需，這就將自身安全完全依托于云平臺(tái)。而云平臺(tái)同樣存在黑客攻擊、惡意的內(nèi)部工作人員、惡意用戶及技術(shù)漏洞等安全問題。

（3）虛擬化安全。虛擬化技術(shù)是云計(jì)算提供不同層次服務(wù)的重要手段。數(shù)字圖書館云平臺(tái)上的資源是通過虛擬化的方式租用給不同的租戶，而提供給不同租戶的虛擬資源可能出自于同一個(gè)物理地址。因此，不同的虛擬機(jī)可能訪問同一臺(tái)物理設(shè)備，如不能將兩個(gè)虛擬機(jī)隔離，用戶的機(jī)密數(shù)據(jù)就會(huì)被其他用戶窺探。另外，虛擬機(jī)回滾和遷移也會(huì)帶來新的安全問題。

（4）用戶個(gè)人權(quán)限及隱私保護(hù)。數(shù)字圖書館的使用者是獨(dú)立的個(gè)體，每個(gè)讀者都有自己的賬號(hào)，讀者通過云服務(wù)平臺(tái)享受數(shù)字圖書館提供的個(gè)性化服務(wù)，不同的身份享有不同的權(quán)限。數(shù)字圖書館必須保障不同讀者的使用權(quán)限及個(gè)人隱私，合理劃分普通讀者、圖書館管理員及云服務(wù)提供商的權(quán)限，防止用戶數(shù)據(jù)被惡意竊取和篡改。

除以上安全問題外，云計(jì)算還缺乏標(biāo)準(zhǔn)的安全評(píng)測體系及監(jiān)管體系。建立標(biāo)準(zhǔn)的云服務(wù)安全評(píng)測及監(jiān)管體系有助于客觀評(píng)價(jià)云服務(wù)供應(yīng)商的安全服務(wù)質(zhì)量，也為云服務(wù)供應(yīng)商提高自身服務(wù)質(zhì)量提供參考，不斷提高安全服務(wù)等級(jí)。

2 可信計(jì)算技術(shù)

計(jì)算機(jī)領(lǐng)域中“可信”的概念在不斷的形成和發(fā)展，本文采用可信計(jì)算組織（Trust Computer Group，TCG）的定義[7]：一個(gè)實(shí)體總是按照預(yù)期的目標(biāo)執(zhí)行，表明該實(shí)體是可信的?？尚庞?jì)算總的目標(biāo)就是保障系統(tǒng)的安全性，確保系統(tǒng)存儲(chǔ)安全、數(shù)據(jù)安全及平臺(tái)安全。保障系統(tǒng)安全必須確保從計(jì)算機(jī)的體系結(jié)構(gòu)、BIOS、芯片及主板等硬件底層到數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用程序都是可信的。這就需要構(gòu)建信任鏈，TCG引入了一個(gè)可信平臺(tái)模塊（Trust Platform Module，TPM）來實(shí)現(xiàn)此功能。將TPM嵌入到系統(tǒng)硬件中，從一個(gè)小的信任根開始，通過度量系統(tǒng)啟動(dòng)過程中關(guān)鍵部件的信任值來判斷系統(tǒng)的可信性，而信任鏈也通過所反饋的信任值建立起來。計(jì)算機(jī)系統(tǒng)啟動(dòng)過程中信任鏈的建立過程如圖2所示。

系統(tǒng)從按下電源鍵開始啟動(dòng)，將BIOS引導(dǎo)塊作為可信測量根，用來計(jì)算新的完整性度量值，存儲(chǔ)在平臺(tái)配置寄存器（Platform Configure Register，PCR）中。將TPM作為可信根，首先對(duì)BIOS進(jìn)行度量，將度量值保存在PCR中，遞交系統(tǒng)控制權(quán)給BIOS，BIOS建立一個(gè)輸入輸出子系統(tǒng)并且初始化相應(yīng)硬件；接著BIOS度量將獲得控制權(quán)的硬件板卡BIOS，保存度量值，初始化完成后回收控制權(quán)；緊接著度量系統(tǒng)引導(dǎo)加載程序，并傳遞控制權(quán)，加載程序和系統(tǒng)內(nèi)核，并將控制權(quán)轉(zhuǎn)交給系統(tǒng)內(nèi)核；系統(tǒng)內(nèi)核加載安裝各種程序驅(qū)動(dòng)和服務(wù)，度量調(diào)用應(yīng)用程序及網(wǎng)絡(luò)，至此，系統(tǒng)啟動(dòng)完成。這樣從一個(gè)信任根，到建立一條信任鏈，一級(jí)度量一級(jí)，一級(jí)信任一級(jí)，建立一個(gè)從底層到頂層的可信機(jī)制，從而使得整個(gè)計(jì)算機(jī)系統(tǒng)是可信的，這就是可信計(jì)算的基本思想[8]，如圖3所示。

3 數(shù)字圖書館可信云安全機(jī)制

3.1 數(shù)字圖書館可信云安全機(jī)制構(gòu)建中的關(guān)鍵問題

數(shù)字圖書館云計(jì)算平臺(tái)用戶流量多，加上多層次的服務(wù)模式，使得目前的可信計(jì)算技術(shù)還無法在現(xiàn)實(shí)層面中完全滿足云計(jì)算動(dòng)態(tài)多租戶執(zhí)行環(huán)境的需求。要想完全實(shí)現(xiàn)應(yīng)用，還需解決以下問題：

（1）云環(huán)境下的動(dòng)態(tài)完整性度量問題。從上文對(duì)可信計(jì)算技術(shù)的概述可知，系統(tǒng)從一個(gè)小的信任根開始，通過啟動(dòng)過程度量各部件的完整性從而構(gòu)建一條信任鏈，直至整個(gè)系統(tǒng)可信，而這針對(duì)的只是單一用戶且整個(gè)過程都是靜態(tài)的，保證的只是系統(tǒng)中各組件的可信。在云圖書館中，租戶眾多、動(dòng)態(tài)性高，在系統(tǒng)運(yùn)行過程中，一旦組件受到影響，整個(gè)信任鏈的傳遞就會(huì)受到破壞，此時(shí)系統(tǒng)的可信性值得懷疑。同時(shí)，由于采用了虛擬技術(shù)，在虛擬機(jī)可信環(huán)境的構(gòu)建過程中還必須防止被其它虛擬機(jī)影響。

（2）可信計(jì)算與虛擬機(jī)技術(shù)的沖突問題?？尚庞?jì)算構(gòu)建的安全環(huán)境是不可逆轉(zhuǎn)的，而虛擬機(jī)卻具有回滾和快照的功能，這使得虛擬機(jī)可以從當(dāng)前的安全狀態(tài)回滾到一個(gè)不安全的狀態(tài)。目前，可信計(jì)算技術(shù)應(yīng)用的主要是單機(jī)模式，而在云計(jì)算環(huán)境下，往往是許多虛擬機(jī)同時(shí)協(xié)作完成某一任務(wù)，又或者多個(gè)租戶之間同時(shí)協(xié)作，虛擬機(jī)之間的信任關(guān)系又是相互獨(dú)立的，因而必須為云中的每個(gè)節(jié)點(diǎn)配置一個(gè)TPM，云中的用戶必須驗(yàn)證每一個(gè)節(jié)點(diǎn)的安全性，使得用戶可窺探云內(nèi)部配置，因此必須為虛擬機(jī)組構(gòu)建一個(gè)可信的環(huán)境。

（3）云平臺(tái)遠(yuǎn)程證明問題。云環(huán)境是否可信，最終是由遠(yuǎn)程方通過驗(yàn)證確定的。這種證明利用可信計(jì)算提供的完整性度量、報(bào)告技術(shù)，使用者將完整的度量報(bào)告提交給資源提供者，這對(duì)平臺(tái)進(jìn)行完整性請(qǐng)求、狀態(tài)傳遞、驗(yàn)證及驗(yàn)證響應(yīng)的整個(gè)過程稱之為遠(yuǎn)程證明[8]。目前，進(jìn)行遠(yuǎn)程證明的方法有很多，比如，直接匿名證明、二進(jìn)制遠(yuǎn)程證明等。而云環(huán)境中節(jié)點(diǎn)數(shù)目的不確定性、可遷移和不透明性，使得這些方法很難應(yīng)用。此外，云平臺(tái)的證明方案還必須同時(shí)實(shí)現(xiàn)節(jié)點(diǎn)的身份證明和完整性證明，平臺(tái)的配置狀況、身份權(quán)限必須保密。

3.2 安全策略

針對(duì)上述問題，專家學(xué)者從不同的側(cè)重點(diǎn)進(jìn)行了深入研究，并取得了一定的成果。綜合前人和自己的研究成果，提出以下安全策略：

（1）動(dòng)態(tài)可信度量根?？尚沛湹慕⒁蕾囉诳尚哦攘扛鴶?shù)字圖書館云平臺(tái)的高動(dòng)態(tài)特性，就需要一個(gè)動(dòng)態(tài)可信度量根。動(dòng)態(tài)可信度量是基于CPU指令的安全策略，可隨時(shí)根據(jù)需要啟動(dòng)。工作原理是：通過對(duì)軟件執(zhí)行過程中的值及函數(shù)的調(diào)用、返回地址、系統(tǒng)內(nèi)存狀態(tài)、堆和棧的狀態(tài)等進(jìn)行動(dòng)態(tài)監(jiān)控，實(shí)現(xiàn)動(dòng)態(tài)度量。

（2）虛擬化的TPM。針對(duì)云環(huán)境中的虛擬機(jī)，設(shè)計(jì)虛擬化的TPM，稱之為vTPM。vTPM的功能是使每個(gè)虛擬機(jī)帶有一個(gè)實(shí)現(xiàn)TPM功能的平臺(tái)，以保證在虛擬機(jī)中可信環(huán)境的實(shí)現(xiàn)。vTPM不僅能夠讓虛擬機(jī)使用TPM的全部功能，而且能夠接受來自前端程序的調(diào)用來模擬TPM的功能，對(duì)于應(yīng)用程序而言，vTPM是透明的。數(shù)字圖書館云平臺(tái)安全的關(guān)鍵就是虛擬機(jī)的安全，云計(jì)算所提供的各種服務(wù)都是通過虛擬機(jī)來完成的，將可信技術(shù)與虛擬機(jī)技術(shù)相互協(xié)作、取長補(bǔ)短是問題解決的關(guān)鍵。

（3）混合的遠(yuǎn)程證明技術(shù)。數(shù)字圖書館可信云構(gòu)建中采用二進(jìn)制遠(yuǎn)程證明與基于屬性的遠(yuǎn)程證明相結(jié)合的策略。二進(jìn)制遠(yuǎn)程證明技術(shù)證明了虛擬機(jī)的安全性，而面對(duì)云平臺(tái)軟硬件配置不斷變化的情形，采用基于屬性的遠(yuǎn)程證明技術(shù)。此策略的優(yōu)點(diǎn)是不依賴于平臺(tái)的軟硬件配置，避免了暴漏平臺(tái)的軟硬件配置狀況而導(dǎo)致的隱私泄露。

目前，可信計(jì)算技術(shù)已成為保障云計(jì)算安全的最熱門技術(shù)，個(gè)人電腦、服務(wù)器中采用的可信計(jì)算技術(shù)已內(nèi)置了TPM模塊，從底層保障系統(tǒng)安全，可信云安全技術(shù)將越來越成熟。基于云的數(shù)字圖書館，必定是未來圖書館發(fā)展趨勢，為用戶提供一個(gè)安全、可靠的平臺(tái)環(huán)境，從底層到頂層全方位地保障數(shù)字資源及用戶隱私，是下一步研究的方向。

參考文獻(xiàn)：

[1]程風(fēng)剛.基于云計(jì)算的數(shù)據(jù)安全風(fēng)險(xiǎn)及防范策略[J].圖書館學(xué)研究，2014（2）：15-17.

[2]麥范金，張興旺，李晨暉.云圖書館中移動(dòng)用戶隱私五維保護(hù)模型的構(gòu)建[J].情報(bào)理論與實(shí)踐，2014，37（4）：92-97.

[3]張海玉.云平臺(tái)下數(shù)字圖書館的安全策略研究[J].圖書館學(xué)研究，2013（3）：42-46.

[4]鄧勝利.基于云技術(shù)的數(shù)字圖書館學(xué)術(shù)資源安全探討[J].數(shù)字圖書館論壇，2015（10）：8-13.

[5]羅東俊.基于可信計(jì)算的云計(jì)算安全若干關(guān)鍵問題研究[D].廣州：華南理工大學(xué)，2014.

[6]常方舒.基于TPM聯(lián)盟的可信云平臺(tái)管理模型[M].保定：河北大學(xué)，2015.

[7]周驊.嵌入式系統(tǒng)可信計(jì)算的硬件安全機(jī)制研究[D].貴陽：貴州大學(xué)，2015.

[8]張少華.基于云平臺(tái)可信根關(guān)鍵技術(shù)的研究[M].北京：北京工業(yè)大學(xué)，2015.

（責(zé)任編輯：孫 娟）

英文摘要Abstract：This paper introduces the concept of cloud computing and analyzes the cloud computing security in digital library.Proposed a trusted cloud security mechanism which use the trusted computing technology in digital library.Analyzed the key technologies need to be solved in the trusted cloud security mechanism which constructing cloud security environment from bottom hardware to top applications.

英文關(guān)鍵詞Key Words： Cloud Security； Digital Library； Trusted Computing； Trusted Cloud