謝 盈

(1.西南民族大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，四川 成都 610041；2.西南民族大學(xué)計(jì)算機(jī)系統(tǒng)國(guó)家民委重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041)

近年來(lái)，隨著信息和通信技術(shù)的快速發(fā)展，云計(jì)算應(yīng)用呈現(xiàn)迅猛增長(zhǎng)的趨勢(shì).在國(guó)外，Amazon、IBM、Google、Microsoft、Sun 等公司分別推出了 EC2、Blue Cloud、Google Compute Engine、 Microsoft Azure、 Sun Open Cloud Platform等云計(jì)算平臺(tái)；在國(guó)內(nèi)，華為、阿里巴巴、百度等公司也分別推出了華為云、阿里云、百度云等云計(jì)算平臺(tái).為了對(duì)基礎(chǔ)設(shè)施進(jìn)行更充分的利用，對(duì)資源實(shí)行更有效的管理，為用戶提供更好的按需服務(wù)，以及考慮到網(wǎng)絡(luò)信息安全、商業(yè)秘密保護(hù)等原因，越來(lái)越多的企業(yè)利用云計(jì)算技術(shù)在企業(yè)內(nèi)部構(gòu)建私有的云計(jì)算平臺(tái)[1].但在利用云計(jì)算技術(shù)提高信息化水平及資源使用效率的同時(shí)，也面臨著云計(jì)算技術(shù)應(yīng)用引發(fā)的安全監(jiān)管、隱私保護(hù)等問(wèn)題[2]：

1)云數(shù)據(jù)中心平臺(tái)自身安全問(wèn)題：位于云數(shù)據(jù)中心平臺(tái)上的實(shí)體資源(處理器、內(nèi)存、磁盤(pán)空間、網(wǎng)絡(luò)適配器等)是通過(guò)虛擬化方式進(jìn)行整合，抽象轉(zhuǎn)換為虛擬的計(jì)算和存儲(chǔ)資源提供給用戶使用的，這些虛擬資源在實(shí)際應(yīng)用中按照服務(wù)所需，同相應(yīng)的實(shí)體資源綁定，由于多個(gè)虛擬資源很可能會(huì)被部署到同一個(gè)實(shí)體資源上，因此一旦數(shù)據(jù)中心使用了存在安全隱患的虛擬化軟件或缺少必要的安全措施，企業(yè)重點(diǎn)應(yīng)用服務(wù)的商密數(shù)據(jù)就可能隨著安全漏洞的存在而被泄露.

2)云數(shù)據(jù)中心的運(yùn)行安全評(píng)測(cè)和監(jiān)管問(wèn)題：云計(jì)算環(huán)境下應(yīng)用服務(wù)的高度動(dòng)態(tài)性增加了網(wǎng)絡(luò)內(nèi)容監(jiān)管的難度，如何有針對(duì)性的部署和實(shí)施適應(yīng)于云數(shù)據(jù)中心的安全防護(hù)策略和惡意行為檢測(cè)設(shè)施，確保云數(shù)據(jù)中心的安全管控和應(yīng)用服務(wù)可信，成為了云數(shù)據(jù)中心目前面臨的主要信息安全問(wèn)題.

3)云數(shù)據(jù)中心的安全保障問(wèn)題：由于在云計(jì)算平臺(tái)下，應(yīng)用服務(wù)都部署在虛擬化的硬件平臺(tái)上，當(dāng)某些應(yīng)用服務(wù)出現(xiàn)安全隱患時(shí)，如何將其與正常的應(yīng)用服務(wù)進(jìn)行安全隔離和處置，以對(duì)云數(shù)據(jù)中心進(jìn)行安全保障，是使用云數(shù)據(jù)中心時(shí)必須解決的問(wèn)題.

隨著云計(jì)算技術(shù)應(yīng)用成為趨勢(shì)，敏感信息和數(shù)據(jù)泄漏越發(fā)普遍，存在巨大的潛在威脅，傳統(tǒng)的數(shù)據(jù)安全方法遭到云模式架構(gòu)的挑戰(zhàn)[2-4].針對(duì)云計(jì)算應(yīng)用伴隨的虛擬化、邊界模糊、多用戶等特性，需要構(gòu)建新的數(shù)據(jù)安全策略和信息安全保障系統(tǒng).本文結(jié)合已有的云計(jì)算數(shù)據(jù)中心，對(duì)企業(yè)云計(jì)算數(shù)據(jù)中心應(yīng)用安全防護(hù)技術(shù)進(jìn)行了研究，為運(yùn)行其上的虛擬應(yīng)用服務(wù)主機(jī)構(gòu)建相互獨(dú)立的可信計(jì)算基從而構(gòu)建新的數(shù)據(jù)安全策略和信息安全保障體系，以實(shí)現(xiàn)對(duì)云計(jì)算應(yīng)用平臺(tái)的安全保護(hù).

1 云數(shù)據(jù)中心安全監(jiān)控技術(shù)研究

在傳統(tǒng)網(wǎng)絡(luò)主機(jī)安全監(jiān)控應(yīng)用中，由于主機(jī)網(wǎng)絡(luò)邊界清晰、安全界限明確，通過(guò)主機(jī)監(jiān)控軟硬件能較為容易的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)主機(jī)的安全監(jiān)控.但在云數(shù)據(jù)中心的虛擬平臺(tái)下，業(yè)務(wù)以虛擬機(jī)的方式提供給用戶，除多個(gè)虛擬機(jī)共享虛擬化的硬件平臺(tái)資源外，還存在虛擬機(jī)間共享資源、信息傳遞等業(yè)務(wù)，這使云計(jì)算平臺(tái)上的虛擬機(jī)安全邊界模糊，進(jìn)而可能導(dǎo)致虛擬機(jī)間的信息泄露以及安全問(wèn)題的相互感染[5].

為彌補(bǔ)傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控工具對(duì)云計(jì)算環(huán)境下虛擬機(jī)安全監(jiān)控的不足，本文結(jié)合可信計(jì)算技術(shù)，在云計(jì)算環(huán)境下構(gòu)建虛擬機(jī)可信基、可信虛擬域和聯(lián)合可信基，通過(guò)可信基對(duì)虛擬機(jī)運(yùn)行時(shí)環(huán)境進(jìn)行驗(yàn)證和安全監(jiān)控，通過(guò)可信虛擬域增強(qiáng)虛擬域間的隔離性并提供完整性，通過(guò)聯(lián)合可信基提升云數(shù)據(jù)中心的安全性和可管理性，最終實(shí)現(xiàn)對(duì)云數(shù)據(jù)中心的安全監(jiān)控目標(biāo).

可信計(jì)算技術(shù)在信息安全領(lǐng)域已形成了相對(duì)成熟的技術(shù)理論.本文將傳統(tǒng)的TCB、TPM以及遠(yuǎn)程認(rèn)證等可信計(jì)算技術(shù)結(jié)合云計(jì)算環(huán)境的特點(diǎn)，對(duì)云數(shù)據(jù)中心安全監(jiān)控技術(shù)進(jìn)行了研究.

TCG規(guī)范要求在可信計(jì)算平臺(tái)中嵌入一塊安全芯片TPM(可信平臺(tái)模塊)作為信任根.信任根的可信性通過(guò)物理和管理安全確保.除信任根外，可信計(jì)算平臺(tái)還包括硬件平臺(tái)、操作系統(tǒng)和應(yīng)用系統(tǒng)，這四個(gè)要素通過(guò)逐層認(rèn)證的方式建立一條層級(jí)信任鏈，并最終建立整個(gè)計(jì)算機(jī)體系的信任系統(tǒng)，以增強(qiáng)終端的安全性和可靠性.但在實(shí)際應(yīng)用中，遵循TCG規(guī)范的可信計(jì)算平臺(tái)非常復(fù)雜[6，7].例如，TPM使用了背書(shū)證書(shū)、符合性證書(shū)、平臺(tái)證書(shū)、確認(rèn)證書(shū)、身份證書(shū)，并且需要部署隱私CA(PCA).在證書(shū)發(fā)放和驗(yàn)證時(shí)，需要建立基于PKI的認(rèn)證系統(tǒng)，而PKI認(rèn)證體制存在認(rèn)證層次多、結(jié)構(gòu)復(fù)雜、費(fèi)用昂貴、管理困難等缺陷，且PCA由于需要簽署大量的身份證書(shū)，負(fù)載很大，容易成為可信計(jì)算的瓶頸.

在云計(jì)算的虛擬化環(huán)境下，由于多個(gè)虛擬機(jī)共享相同的物理資源，TCG技術(shù)中硬件構(gòu)建TPM的應(yīng)用方式受到挑戰(zhàn).為解決這一技術(shù)問(wèn)題，本文為運(yùn)行于基于VMware EXS虛擬化平臺(tái)上的虛擬應(yīng)用服務(wù)主機(jī)構(gòu)建相互獨(dú)立的可信計(jì)算基.構(gòu)建方案如圖1所示.

在云計(jì)算環(huán)境下，數(shù)據(jù)與存儲(chǔ)資源的虛擬化使得在多個(gè)虛擬機(jī)之間進(jìn)行消息傳遞以協(xié)商共享策略成為必要，但在這種消息與數(shù)據(jù)的交流共享過(guò)程中，存在著虛擬機(jī)數(shù)據(jù)泄露的安全隱患[8].結(jié)合可信計(jì)算和強(qiáng)制訪問(wèn)控制技術(shù)，在云計(jì)算數(shù)據(jù)平臺(tái)上建立可信虛擬域，以虛擬機(jī)為單位，控制各虛擬機(jī)邊界的隔離，提高系統(tǒng)完整性保護(hù)以使云計(jì)算下的虛擬化技術(shù)可信和可控.

可信虛擬域通過(guò)將可信計(jì)算研究直接應(yīng)用到云計(jì)算的虛擬化軟件管理中，為提高隔離性和可控性，根據(jù)負(fù)載不同將虛擬機(jī)和其他資源劃分為采取隔離措施的虛擬域，并在其中增加身份認(rèn)證和控制訪問(wèn)管理.

在云計(jì)算環(huán)境中，由于可視性和可信性不夠，頻繁的虛擬機(jī)間通信造成了很多安全隱患，例如，一臺(tái)未經(jīng)授權(quán)虛擬機(jī)可能會(huì)非法訪問(wèn)其他虛擬機(jī)，或者病毒可能伴隨通信過(guò)程侵入整個(gè)虛擬機(jī)系統(tǒng)[9].為此，本文通過(guò)可信虛擬域劃分，應(yīng)用BLP安全模型，對(duì)虛擬化平臺(tái)上的虛擬機(jī)間通信進(jìn)行強(qiáng)制訪問(wèn)控制和管理，包括虛擬機(jī)間是否可以互相訪問(wèn)，以及可以進(jìn)行什么類(lèi)型的訪問(wèn).

考慮到云數(shù)據(jù)中心的虛擬化平臺(tái)與傳統(tǒng)計(jì)算機(jī)的差異，本文基于可信虛擬域的劃分，采用如圖2所示的方式構(gòu)建聯(lián)合可信基，以實(shí)現(xiàn)對(duì)虛擬化平臺(tái)上虛擬機(jī)間相互訪問(wèn)的安全防護(hù)和監(jiān)控.

圖1 VMware上對(duì)虛擬機(jī)構(gòu)建可信計(jì)算方案Fig.1 Construction trusted computing solution for virtual machines on VMware

圖2 云計(jì)算環(huán)境下基于可信虛域的聯(lián)合可信基構(gòu)建Fig.2 Construction of Joint trusted base in cloud based on trusted virtual domain

2 云數(shù)據(jù)中心安全保障技術(shù)研究

云數(shù)據(jù)中心通過(guò)云數(shù)據(jù)中心安全監(jiān)控方案的實(shí)施，能有效的對(duì)云數(shù)據(jù)中心的應(yīng)用業(yè)務(wù)進(jìn)行有效的數(shù)據(jù)安全隔離和運(yùn)行安全監(jiān)控.但當(dāng)某虛擬機(jī)出現(xiàn)安全隱患或故障時(shí)，為了避免該虛擬機(jī)對(duì)云數(shù)據(jù)中心的管理中心或其他虛擬機(jī)造成安全威脅，還必須能實(shí)施對(duì)虛擬機(jī)的安全遷移，以保障云數(shù)據(jù)中心的安全[10-12].

在云數(shù)據(jù)中心中，應(yīng)用服務(wù)通過(guò)虛擬化技術(shù)在物理服務(wù)器上虛擬化出多個(gè)相互獨(dú)立的虛擬機(jī)，每個(gè)獨(dú)立虛擬主機(jī)都分配有獨(dú)立的IP地址和MAC地址，有獨(dú)立的操作系統(tǒng)和應(yīng)用程序[13].在現(xiàn)有技術(shù)狀況下，若運(yùn)行在云計(jì)算平臺(tái)上的某虛擬機(jī)需要進(jìn)行遷移，該虛擬機(jī)對(duì)應(yīng)的VLAN和QoS等網(wǎng)絡(luò)層信息可以通過(guò)云計(jì)算管理平臺(tái)自動(dòng)跟隨虛擬機(jī)遷移到新的位置，但是對(duì)于在外置防火墻或其他安全設(shè)施上部署的針對(duì)該遷移虛擬機(jī)的策略，則只能通過(guò)網(wǎng)絡(luò)管理員重新進(jìn)行配置調(diào)整，不能實(shí)現(xiàn)自動(dòng)化的遷移[14-15].為保障云數(shù)據(jù)中心的安全，本文對(duì)虛擬機(jī)安全遷移技術(shù)進(jìn)行研究，在存在安全風(fēng)險(xiǎn)的環(huán)境下，實(shí)現(xiàn)對(duì)虛擬應(yīng)用業(yè)務(wù)的安全遷移.

虛擬機(jī)的遷移操作需要在實(shí)時(shí)、安全的情況下進(jìn)行，即既不影響遷移時(shí)正在運(yùn)行的服務(wù)，還要保證純凈、完整地將虛擬機(jī)運(yùn)行環(huán)境從當(dāng)前服務(wù)器遷移至目標(biāo)服務(wù)器，包括在原計(jì)算環(huán)境下針對(duì)該虛擬機(jī)的網(wǎng)絡(luò)配置及安全策略等.由于遷移過(guò)程的實(shí)時(shí)性，本文假定短暫的宕機(jī)時(shí)間不會(huì)被用戶察覺(jué)到，亦不會(huì)產(chǎn)生任何其他影響.

啟動(dòng)虛擬應(yīng)用業(yè)務(wù)的安全遷移機(jī)制后，目標(biāo)虛擬機(jī)的狀態(tài)信息(CPU情況，內(nèi)存鏡像，磁盤(pán)狀態(tài)、網(wǎng)絡(luò)等)將實(shí)時(shí)、動(dòng)態(tài)地從源主機(jī)平臺(tái)復(fù)制到目標(biāo)主機(jī)上，此時(shí)虛擬機(jī)仍在源主機(jī)上運(yùn)行.隨著遷移過(guò)程進(jìn)行，當(dāng)目的平臺(tái)已具備所有服務(wù)運(yùn)行的必要資源時(shí)，經(jīng)過(guò)一段短暫的宕機(jī)過(guò)程，虛擬機(jī)開(kāi)始在目標(biāo)服務(wù)器上運(yùn)行，源服務(wù)器上的服務(wù)停止運(yùn)行，虛擬機(jī)安全遷移完成.

為了確保虛擬服務(wù)動(dòng)態(tài)遷移的安全進(jìn)行，采用以下策略：

1)監(jiān)控策略：對(duì)動(dòng)態(tài)遷移過(guò)程中負(fù)載信息進(jìn)行實(shí)時(shí)監(jiān)控，根據(jù)相關(guān)數(shù)據(jù)得出實(shí)時(shí)負(fù)載情況.

2)觸發(fā)策略：控制虛擬服務(wù)開(kāi)始時(shí)刻的機(jī)制，根據(jù)虛擬機(jī)資源(CPU、內(nèi)存、磁盤(pán)等)的使用情況，預(yù)先設(shè)定某個(gè)特定方面的值，一旦該指標(biāo)超過(guò)這個(gè)值，就啟動(dòng)服務(wù)的遷移過(guò)程.主要關(guān)注虛擬機(jī)的安全監(jiān)控狀態(tài)的量化，以決定啟動(dòng)虛擬機(jī)應(yīng)用業(yè)務(wù)的安全遷移過(guò)程.

3)選擇策略：根據(jù)負(fù)載均衡原理，在選擇要進(jìn)行遷移的業(yè)務(wù)時(shí)，將高負(fù)載的主機(jī)平臺(tái)上的虛擬機(jī)安全遷移至低負(fù)載的主機(jī)平臺(tái)，以確保云計(jì)算數(shù)據(jù)中心的資源合理分配.

4)遷移策略：根據(jù)資源、負(fù)載等綜合情況，選擇適當(dāng)?shù)哪繕?biāo)服務(wù)器進(jìn)行虛擬機(jī)服務(wù)的遷移，以在系統(tǒng)出現(xiàn)安全故障時(shí)對(duì)虛擬機(jī)進(jìn)行遷移，保障系統(tǒng)的穩(wěn)定運(yùn)行.

5)安全策略：為保障虛擬機(jī)應(yīng)用業(yè)務(wù)遷移后，目標(biāo)環(huán)境中的網(wǎng)絡(luò)配置與安全策略與源環(huán)境一致，項(xiàng)目需要對(duì)安全策略的隨虛擬機(jī)遷移策略進(jìn)行研究.

綜上，本文實(shí)現(xiàn)的虛擬機(jī)安全遷移方案如圖3所示，其執(zhí)行流程如下：

圖3 虛擬機(jī)應(yīng)用業(yè)務(wù)安全遷移Fig.3 Security migration of virtual machine application

1)當(dāng)出現(xiàn)需要對(duì)虛擬機(jī)服務(wù)進(jìn)行安全遷移時(shí)，通過(guò)監(jiān)控、觸發(fā)、選擇、遷移和安全等策略，將虛擬機(jī)從所屬物理服務(wù)器，備份到目標(biāo)物理服務(wù)器.此時(shí)，針對(duì)上層部署的防火墻等安全產(chǎn)品，為了能自動(dòng)感知虛擬機(jī)的遷移動(dòng)作并自動(dòng)將這些安全策略遷移到新的安全設(shè)施上，需要管理平臺(tái)實(shí)現(xiàn)在目標(biāo)物理服務(wù)器對(duì)全部虛擬機(jī)的創(chuàng)建、配置和運(yùn)維管理.

2)當(dāng)虛擬機(jī)在達(dá)到預(yù)配置遷移條件后，開(kāi)始自動(dòng)遷移到新的服務(wù)器位置.

3)管理平臺(tái)及時(shí)獲取到該遷移后的新位置和相關(guān)參數(shù)，并同時(shí)通過(guò)特定的消息機(jī)制，將這些參數(shù)發(fā)送到安全設(shè)施對(duì)應(yīng)的管理平臺(tái)，告知此次遷移事件.

4)管理平臺(tái)在獲取該消息后及時(shí)感知此次虛擬機(jī)遷移過(guò)程，同時(shí)提取該特定消息中的有效信息，并通過(guò)內(nèi)部維護(hù)的網(wǎng)絡(luò)拓?fù)潢P(guān)系等技術(shù)定位到新的安全設(shè)施.

5)對(duì)于遷移之前所對(duì)應(yīng)的安全設(shè)施，管理平臺(tái)將對(duì)其的安全策略進(jìn)行重新標(biāo)記，以體現(xiàn)出虛擬機(jī)服務(wù)已經(jīng)遷移出該安全設(shè)施，相關(guān)安全策略將不再處于激活狀態(tài).

基于虛擬機(jī)遷移后所對(duì)應(yīng)的新的安全設(shè)施，管理平臺(tái)將虛擬機(jī)所綁定或?qū)?yīng)的安全策略組進(jìn)行配置下發(fā)，以保證遷移虛擬機(jī)仍然可以得到和遷移前相同的訪問(wèn)控制權(quán)限.

3 總結(jié)

為了對(duì)基礎(chǔ)設(shè)施進(jìn)行更充分的利用，對(duì)資源實(shí)行更有效的管理，為用戶提供更好的按需服務(wù)，越來(lái)越多的企業(yè)利用云計(jì)算技術(shù)在企業(yè)內(nèi)部構(gòu)建私有的云計(jì)算平臺(tái).但在利用云計(jì)算技術(shù)提高信息化水平及資源使用效率的同時(shí)，也面臨著云計(jì)算技術(shù)應(yīng)用引發(fā)的安全監(jiān)管、隱私保護(hù)等問(wèn)題.本文針對(duì)云計(jì)算應(yīng)用虛擬化、邊界模糊、多用戶等特性進(jìn)行分析，對(duì)基于VM-ware EXS虛擬化平臺(tái)下可信計(jì)算基的構(gòu)建技術(shù)進(jìn)行研究，為運(yùn)行于其上的虛擬應(yīng)用服務(wù)主機(jī)構(gòu)建相互獨(dú)立的可信計(jì)算基從而構(gòu)建新的數(shù)據(jù)安全策略和信息安全保障體系，以實(shí)現(xiàn)對(duì)云計(jì)算應(yīng)用平臺(tái)的安全保護(hù).