梁 浩，陳福才，霍樹民

(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002)

0 引言

天地一體化信息網(wǎng)絡(luò)是國家面向2030的重大科技工程。隨著全球信息基礎(chǔ)設(shè)施的加速云化重構(gòu)，網(wǎng)云一體化的發(fā)展趨勢愈發(fā)明顯，云計算已經(jīng)成為天地一體化信息網(wǎng)絡(luò)提供應(yīng)用服務(wù)的主要承載形式。

地面信息港是整個天基網(wǎng)絡(luò)服務(wù)體系的核心，其通過分布式架構(gòu)實現(xiàn)資源云端匯聚，提供網(wǎng)絡(luò)與通信、定時導(dǎo)航授時增強、遙感與地理信息等數(shù)據(jù)服務(wù)，共同形成邏輯一體、功能分布的服務(wù)應(yīng)用支撐體系。云計算海量的存儲能力和超強的運算能力，使得天地一體化網(wǎng)絡(luò)信息服務(wù)的領(lǐng)域和范疇更為豐富和多樣化，為隨時隨地的數(shù)據(jù)交互和個性化運算服務(wù)提供強大的計算、存儲、傳送等數(shù)據(jù)處理能力支撐；同時天地融合、云網(wǎng)一體也突破了傳統(tǒng)地面網(wǎng)絡(luò)的互連互通，實現(xiàn)陸、海、空、天等不同維度虛/實空間的多維聯(lián)動，不斷拓展網(wǎng)絡(luò)數(shù)據(jù)資源與信息共享服務(wù)的覆蓋廣度與深度。

然而，天地一體化信息網(wǎng)絡(luò)的異構(gòu)、開放和高度融合性，也為地面信息港尤其是云計算平臺的安全防護帶來了更為嚴(yán)峻的安全形勢。本文針對地面信息港云計算平臺的安全防護問題，通過梳理分析其面臨的安全威脅，從訪問控制、入侵檢測、錯誤容忍、可信計算、動態(tài)防護等方面，介紹目前安全防御技術(shù)的研究進(jìn)展，從防御效果的角度對相關(guān)技術(shù)進(jìn)行分析對比，最后對安全防御技術(shù)未來發(fā)展趨勢進(jìn)行展望。

1 安全威脅

針對云計算面臨的安全威脅，國內(nèi)外學(xué)者開展了多層次、多領(lǐng)域的分析與研究。尤其是作為空間信息的集散中心，地面信息港云計算基礎(chǔ)設(shè)施需要實現(xiàn)空間數(shù)據(jù)的實時接入、高效分發(fā)與按需處理數(shù)據(jù)，滿足多源、異構(gòu)空間服務(wù)應(yīng)用的動態(tài)開放式集成，傳統(tǒng)的隔離與控制方式無法適應(yīng)動態(tài)安全的防護需求；與此同時，天基網(wǎng)絡(luò)自身的開放性、廣域覆蓋等特點，進(jìn)一步放大了傳統(tǒng)地面信息港的攻擊面，不斷加劇云平臺所面臨的安全風(fēng)險，主要表現(xiàn)在以下幾個方面。

1.1 異構(gòu)網(wǎng)絡(luò)融合互聯(lián)引入安全風(fēng)險

天基網(wǎng)絡(luò)具有“廣域分布、高度暴露、組網(wǎng)動態(tài)性、網(wǎng)絡(luò)異構(gòu)性、鏈路間歇性、通信能力受限、規(guī)模大范圍廣”等特點，傳統(tǒng)靜態(tài)地面網(wǎng)絡(luò)安全體系無法適用于空間網(wǎng)絡(luò)安全需求，加之網(wǎng)絡(luò)應(yīng)用非常敏感，極易成為網(wǎng)絡(luò)攻擊重點目標(biāo)，因此更加容易受到形形色色的網(wǎng)絡(luò)攻擊，包括跨網(wǎng)域傳播病毒木馬、借助廣域立體分布的接入點針對網(wǎng)絡(luò)瓶頸資源或關(guān)鍵節(jié)點發(fā)起致亂致癱攻擊、掃描探測多樣化設(shè)備或異構(gòu)互連中可能存在的漏洞實施非授權(quán)訪問、信息竊取、信息篡改等。天地一體化信息網(wǎng)絡(luò)在將天基網(wǎng)絡(luò)與地面網(wǎng)絡(luò)互聯(lián)融合的同時，也將各種網(wǎng)域(尤其是天基網(wǎng)絡(luò))的安全風(fēng)險引入地面信息港云服務(wù)平臺并為跨網(wǎng)域復(fù)合攻擊創(chuàng)造了條件，安全形勢更為嚴(yán)峻。

1.2 漏洞后門普遍存在引發(fā)未知威脅

信息系統(tǒng)的設(shè)計鏈、生產(chǎn)鏈以及供應(yīng)鏈很長，我國作為信息技術(shù)后進(jìn)國家，很難做到天地一體化信息網(wǎng)絡(luò)中各天基、地面網(wǎng)元軟硬件系統(tǒng)的自主可控，無法確保商業(yè)化軟硬構(gòu)件供應(yīng)鏈的可信性，即便是做到軟硬件的自主可控，以人類現(xiàn)有的科技能力也難以避免在軟硬件設(shè)計和實現(xiàn)過程中引入的缺陷。因而，漏洞和后門問題無論是從技術(shù)還是經(jīng)濟上都不可能徹底消除。同時在云環(huán)境中，信息產(chǎn)業(yè)全球化背景下網(wǎng)絡(luò)空間“攻易守難”基本態(tài)勢沒有改變，多租戶共模式使得軟硬件未知漏洞、后門所帶來的未知安全威脅被進(jìn)一步放大，特別當(dāng)云平臺采用同質(zhì)化的系統(tǒng)架構(gòu)和基礎(chǔ)設(shè)施時，基于漏洞和后門造成的部分組件損害會快速傳染整個系統(tǒng)，直到癱瘓。

1.3 資源虛擬云端匯聚帶來安全威脅

在云環(huán)境下，資源的虛擬化和開放共享等特點使得不同主機、用戶和業(yè)務(wù)的物理邊界變得模糊，基于邊界的傳統(tǒng)防御思路難以有效實施；其次，“堡壘更容易從內(nèi)部突破”，一旦進(jìn)入云數(shù)據(jù)中心的內(nèi)部，攻擊者或惡意用戶便可借助內(nèi)部網(wǎng)絡(luò)和虛擬層對其他節(jié)點發(fā)起攻擊，威脅更易傳播，加之IT基礎(chǔ)設(shè)施的同質(zhì)化，單一主機的脆弱性極易被放大；再次，云計算服務(wù)模式還滋生了新型的攻擊模式，如側(cè)信道攻擊、虛擬機同駐攻擊等。除基于邊界外，現(xiàn)有防護技術(shù)遵循“威脅感知、認(rèn)知決策、問題移除”“依賴于先驗知識”的模式，難以有效應(yīng)對云環(huán)境下內(nèi)外部威脅。

2 研究進(jìn)展

圍繞云安全防護問題，國內(nèi)外學(xué)者開展了許多有益的探索和嘗試。從目前相關(guān)研究來看，大多基于傳統(tǒng)的防護思路與技術(shù)開展云環(huán)境下的應(yīng)用與改良；隨著網(wǎng)絡(luò)空間防御技術(shù)由被動防御到主動防御、從外掛堆砌到內(nèi)生融合防御的不斷演化，催生出以可信計算、移動目標(biāo)防御及擬態(tài)防御等為代表的新型防御技術(shù)，為云環(huán)境下的安全防護提供新的途徑和思路。綜合目前云安全防護所采用的主要防御技術(shù)，本文重點從訪問控制、入侵檢測、錯誤容忍、可信計算以及動態(tài)防護等方面，對云計算安全問題的研究現(xiàn)狀進(jìn)行綜述與分析。

2.1 訪問控制

云環(huán)境下訪問控制主要是通過限制用戶對數(shù)據(jù)信息的訪問能力及范圍，保證信息資源不被非法使用和訪問。目前云計算環(huán)境下的訪問控制研究主要以時間、網(wǎng)絡(luò)、位置及權(quán)限等屬性要素，從不同的層面構(gòu)建訪問控制模型，如文獻(xiàn)[1]將云端存儲位置作為訪問控制要素，文獻(xiàn)[2]將用戶、環(huán)境、系統(tǒng)狀態(tài)之間的信任關(guān)系作為訪問控制要素等。數(shù)據(jù)加密技術(shù)在云端廣泛應(yīng)用，催生出基于角色加密[3]、基于屬性加密(Attribute-Based Encryption,ABE)[4]等機制的訪問控制模型，本質(zhì)上還是利用用戶、角色和權(quán)限之間的復(fù)雜關(guān)系作為要素約束，由于密鑰的產(chǎn)生、加密處理、解密運算等操作完全依賴用戶自身，該類方案的資源和時間成本較高，同時也存在大量的秘鑰管理問題。如何降低用戶在數(shù)據(jù)創(chuàng)建與訪問時的運算量成為研究的熱點，于是出現(xiàn)了代理重加密技術(shù)在云端訪問控制的應(yīng)用和融合，在滿足數(shù)據(jù)安全性需求的同時，逐步面向多樣化的訪問控制條件，分別出現(xiàn)了基于身份屬性、基于數(shù)字證書以及基于多樣化條件的代理重加密機制；為了進(jìn)一步減輕數(shù)據(jù)所有者的計算難度和訪問者密鑰管理量，文獻(xiàn)[5]利用云服務(wù)端的計算能力提出一種多要素代理重加密機制，實現(xiàn)復(fù)雜云環(huán)境下密文數(shù)據(jù)的多要素訪問控制管理問題。

此外，也有文獻(xiàn)從信任的角度，結(jié)合云訪問控制提出了基于信譽的安全訪問控制機制，依據(jù)訪問者的信譽值來控制用戶對數(shù)據(jù)的訪問和減少數(shù)據(jù)訪問的風(fēng)險。這些改進(jìn)型的訪問控制只能保證對云中的用戶的訪問，卻無法檢測到用戶行為；如何考慮不同用戶和服務(wù)提供者的行為參數(shù)成為研究的重點，針對該問題文獻(xiàn)[6]在傳統(tǒng)機器學(xué)習(xí)的基礎(chǔ)上基于主觀的信任模型，提出應(yīng)用模糊方法來計算信任值和分類信任，并在Paas上進(jìn)行了開發(fā)和應(yīng)用。文獻(xiàn)[7]認(rèn)為訪問控制模型無法對隱蔽信息流進(jìn)行控制，基于不干涉模型提出了并發(fā)訪問和順序訪問共存的互不干擾方案,以降低云計算中用戶和虛擬機之間數(shù)據(jù)泄漏的風(fēng)險。文獻(xiàn)[8]針對分布式云計算數(shù)據(jù)訪問中的信令開銷問題，提出一種新的監(jiān)控方案，通過不同的安全措施降低數(shù)據(jù)交換的安全風(fēng)險。

2.2 入侵檢測

入侵檢測是指通過設(shè)置安全策略來檢測各種攻擊行為的網(wǎng)絡(luò)入侵，確保己方數(shù)據(jù)的機密性、完整性及可用性，本質(zhì)上是一種邊界防護的思路。云計算環(huán)境下的入侵檢測根據(jù)代理部署位置和方式的不同，通?？梢苑譃榛谥鳈C代理、基于網(wǎng)絡(luò)監(jiān)控器、基于Hypervisor代理以及基于協(xié)作代理等[9]。

其中，基于主機代理的入侵檢測最為常見，通過配置和執(zhí)行虛擬機自身內(nèi)置的安全工具，利用系統(tǒng)核心組件分析器和報警器來訪問被監(jiān)控主機的所有文件系統(tǒng)。這方面的研究主要集中在如何提高云端入侵檢測的精度上，如通過聚類、馬爾科夫模型、遺傳算法以及支持向量機等方法來縮短入侵檢測時間，降低算法復(fù)雜度?；贖ypervisor代理的方式是將安全檢測工具部署在虛擬機管理層，通過對被監(jiān)測虛擬機中的異常信息進(jìn)行深度分析來發(fā)現(xiàn)入侵攻擊行為，常用的工具如Ether，Xen Access，Libvirt，VMsafe等?；贗DS的虛擬機自省技術(shù)是基于Hypervisor入侵檢測系統(tǒng)的一種典型[10]。基于網(wǎng)絡(luò)監(jiān)控器的方式是指將入侵檢測系統(tǒng)部署在云平臺連接關(guān)鍵網(wǎng)絡(luò)節(jié)點的交換機上，比如入口節(jié)點或用戶子網(wǎng)節(jié)點，通過過濾和監(jiān)測數(shù)據(jù)包的IP和包頭信息來檢測入侵活動。由于監(jiān)測工具的關(guān)鍵網(wǎng)絡(luò)連接節(jié)點采用分布式部署，因此這種方式具有更強的攻擊檢測能力。采用這種方式比較著名的是Snort入侵檢測系統(tǒng)，文獻(xiàn)[11]通過在路由、交換機和網(wǎng)關(guān)部署監(jiān)控器來構(gòu)建分布式入侵檢測模型，實現(xiàn)對整個云平臺流量信息的監(jiān)控管理；文獻(xiàn)[12]將貝葉斯分類器和Snort相結(jié)合，以提高未知攻擊的檢測能力，但貝葉斯算法的應(yīng)用要求有比較嚴(yán)格的獨立性假設(shè)；文獻(xiàn)[13]基于前饋人工神經(jīng)網(wǎng)絡(luò)進(jìn)一步降低系統(tǒng)檢測誤檢率和漏報率?；趨f(xié)作代理的方式是指通過邏輯控制通道在虛擬機管理層部署協(xié)作代理，收集其他入侵檢測系統(tǒng)中的報警信息，綜合不同入侵檢測方式的優(yōu)勢,以提高系統(tǒng)整體的攻擊檢測能力；如文獻(xiàn)[14]就是在協(xié)作代理的合作入侵檢測框架下，通過其他入侵檢測系統(tǒng)中收集的報警信息，依據(jù)少數(shù)服從多數(shù)的原則來檢測預(yù)警。文獻(xiàn)[15]融合機器學(xué)習(xí)在圖、超圖和自然語言方面的一些最新進(jìn)展，提出了一種深度聯(lián)合防御的方法來實現(xiàn)惡意軟件檢測和分析，并通過具有不同隱私要求的多個云協(xié)作防御案例驗證方法的有效性。文獻(xiàn)[16]將抗體濃度原理與生物進(jìn)化思想相結(jié)合，提出一種Bio-PEPA的云服務(wù)安全自適應(yīng)目標(biāo)檢測算法，并模擬檢測了3種不同類型的安全風(fēng)險，實驗結(jié)果表明該算法具有良好的時間性能和較高的檢測命中率。文獻(xiàn)[17]討論了機器學(xué)習(xí)方法在云安全中的應(yīng)用，利用卷積神經(jīng)網(wǎng)絡(luò)等算法提供自動響應(yīng)的方法來增強云環(huán)境中的安全性。

2.3 錯誤容忍

云環(huán)境下軟件錯誤容忍技術(shù)被廣泛應(yīng)用于提高系統(tǒng)的可靠性，通過采用多個功能等價組件來容忍組件故障。BFT-Cloud系統(tǒng)是將錯誤容忍技術(shù)應(yīng)用于云計算系統(tǒng)的典型，云系統(tǒng)中存在多樣化的操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境和軟件應(yīng)用，大多數(shù)在云中發(fā)生的故障是相互獨立的，這就為拜占庭容錯機制的云端應(yīng)用提供了先天條件。目前關(guān)于入侵云容忍的拜占庭系統(tǒng)研究主要集中在拜占庭容錯協(xié)議上的優(yōu)化改進(jìn)。文獻(xiàn)[18]提出了一種名為BFT-MCDB的拜占庭容錯模型，將拜占庭協(xié)議以及Shamir的秘密共享方法結(jié)合，以檢測多云計算環(huán)境中的拜占庭故障，并確保存儲在云中數(shù)據(jù)的安全性。文獻(xiàn)[19]在資源有限條件下通過主備份設(shè)置，提出一種資源有效的拜占庭容錯機制；文獻(xiàn)[20]擴展了BFT和Web服務(wù)技術(shù)，通過結(jié)構(gòu)化的方法以BFT中間件系統(tǒng)Thema的形式構(gòu)建拜占庭容錯，滿足應(yīng)用程序開發(fā)人員對Web服務(wù)的多層次需求；基于類似的思路，文獻(xiàn)[21]提出了一種用于Web服務(wù)的拜占庭容錯中間件框架BFT-WS，其通過標(biāo)準(zhǔn)的Web服務(wù)技術(shù)構(gòu)建拜占庭式容錯服務(wù)；文獻(xiàn)[22]在拜占庭容錯的基礎(chǔ)上提出一種執(zhí)行復(fù)制服務(wù)的協(xié)議，通過嚴(yán)格的故障隔離，永久性地實現(xiàn)了在長時間運行的線程中異步調(diào)用和處理遠(yuǎn)程請求的復(fù)制服務(wù)之間的交互。

此外，也有相關(guān)文獻(xiàn)基于移動目標(biāo)防御從動態(tài)變化的角度開展研究，使攻擊者難以獲得足夠的攻擊時間，進(jìn)一步提高錯誤容忍的抗攻擊能力。如Bangalore等人提出的自清洗入侵容忍模型[23]、Huang等人提出的移動攻擊面模型[24]以及Nguyen等人提出的移動目標(biāo)防御自清洗入侵容忍方法[25]等。

2.4 可信計算

可信云計算嘗試建立一種以硬件安全芯片為信任根的可信云計算環(huán)境，以克服單純使用軟件的方法解決云安全問題存在的困難，成為云計算安全研究的重要方向之一。文獻(xiàn)[26]圍繞IaaS云服務(wù)的可信安全重點梳理和綜述了平臺體系架構(gòu)方面的研究；文獻(xiàn)[27]從保障云計算平臺可信的角度出發(fā)，介紹可信虛擬化、可信云平臺構(gòu)建及可信虛擬機等相關(guān)技術(shù)的研究進(jìn)展，下面圍繞可信云平臺的構(gòu)建重點展開介紹。

基于硬件隔離的可信云平臺，顧名思義是通過硬件隔離技術(shù)保證代碼的機密性和完整性，從而達(dá)到在不可信的環(huán)境中保證特定應(yīng)用可信的目的。基于該思路，Intel和ARM分別提出了基于處理器的安全隔離方案。Intel在Skylake處理器是利用Intel SGX技術(shù)，通過將合法代碼和數(shù)據(jù)封裝在一個被稱作Enclave的容器來實現(xiàn)安全性的增強；針對SGX Enclaves必須依賴不可信的操作系統(tǒng)或Hypervisor來提供系統(tǒng)服務(wù)的問題，文獻(xiàn)[28]提出一種為SGX Enclaves提供可信系統(tǒng)服務(wù)的新方法，利用現(xiàn)有的Intel架構(gòu)特性，通過在系統(tǒng)管理模式內(nèi)部設(shè)計隔離的微內(nèi)核，以便安全地為Enclave提供關(guān)鍵的系統(tǒng)服務(wù)。與之對應(yīng)的ARM則是通過將SoC的硬件和軟件資源劃分為安全世界和非安全世界，構(gòu)建了一個安全框架TrustZone來抵御各種可能的攻擊。該框架被進(jìn)一步應(yīng)用到移動云計算領(lǐng)域來構(gòu)建可信移動終端，保護云服務(wù)客戶端及應(yīng)用在移動終端上的安全，如文獻(xiàn)[29]通過TrustZone硬件隔離技術(shù)實現(xiàn)移動終端密鑰與敏感數(shù)據(jù)的安全管理；文獻(xiàn)[30]利用TrustZone技術(shù)構(gòu)建可信組件來實現(xiàn)操作系統(tǒng)和其他應(yīng)用的相互隔離；此外，文獻(xiàn)[31]通過設(shè)計不同層次隔離機制的協(xié)作方案，實現(xiàn)了IaaS服務(wù)自動化的資源隔離框架，完成對資源隔離的高效管理。

可信計算組織虛擬化工作組最早在云計算環(huán)境下提出了vTPM的概念，從而為云計算提供可信支撐。文獻(xiàn)[32]梳理了TPM在云計算環(huán)境中的應(yīng)用進(jìn)展，并重點關(guān)注TPM應(yīng)用的完整性度量評估；文獻(xiàn)[33]利用TPM/vTPM將云計算服務(wù)的安全職責(zé)進(jìn)行分離，提出的多租戶可信計算環(huán)境模型基于云提供商和用戶協(xié)作的方式保證云節(jié)點平臺的執(zhí)行環(huán)境可信；文獻(xiàn)[34]引入了一種基于主觀邏輯的輕量級信任管理算法——互信任，來提高互聯(lián)云中的信任，實驗結(jié)果表明互信任能夠以較低的執(zhí)行時間和較高的可擴展性生成準(zhǔn)確的信任信息。此外，在產(chǎn)業(yè)化方面，Intel還給出了Trusted Execution Technology以及Trusted Pool,Trusted Cloud的概念。

使用可信第三方的初衷是為了簡化安全管理的過程，其主要思想是通過建立獨立于云提供商的第三方TC，為用戶提供執(zhí)行環(huán)境、云虛機資源以及云服務(wù)等可信狀態(tài)的監(jiān)測和控制。文獻(xiàn)[35]利用TPM和認(rèn)證加密技術(shù)解決數(shù)據(jù)在TPM聯(lián)盟內(nèi)節(jié)點間的可信傳輸問題。文獻(xiàn)[36]針對用戶方隱私、安全和信任問題，提出了一種IaaS云計算可信平臺的體系結(jié)構(gòu)設(shè)計，將TCG的TPM作為體系結(jié)構(gòu)的核心組件在消費者端進(jìn)行部署和使用，通過檢查客戶平臺的完整性來提高對服務(wù)提供者的信任。此外，文獻(xiàn)[37]針對TPM資源受限問題提出了共享云密鑰方案、文獻(xiàn)[38]針對云數(shù)據(jù)中心動態(tài)特性和租戶之間的通信問題提出了基于安全框架、文獻(xiàn)[39]針對操作系統(tǒng)內(nèi)核提出了虛擬化安全框架，這些研究都為云安全平臺的構(gòu)建提供了新的思路與方法。

2.5 動態(tài)防護

動態(tài)防護的思路是主動采取多樣的、不斷變化的機制與策略，對云環(huán)境中軟件或者程序的某些屬性進(jìn)行變換，從而不斷改變系統(tǒng)的攻擊面來增加攻擊者的攻擊難度和代價，有效限制脆弱性暴露及被攻擊的機會。目前相關(guān)研究大多基于新型的動態(tài)防御技術(shù)(如MTD、擬態(tài)防御[40])在云環(huán)境中的實現(xiàn)與應(yīng)用。

文獻(xiàn)[41]提出一種虛擬機動態(tài)遷移策略；文獻(xiàn)[42]在操作系統(tǒng)多樣性的基礎(chǔ)上，提出了虛擬副本多樣化博弈策略，將博弈論方法與操作系統(tǒng)多樣性結(jié)合，并根據(jù)求解結(jié)果部署異構(gòu)虛擬集群，通過設(shè)置生命周期的方式動態(tài)切換虛擬集群系統(tǒng)分布；文獻(xiàn)[43]通過多輪遷移獲得最大化的動態(tài)防御效果；文獻(xiàn)[44]基于容器技術(shù)實現(xiàn)云平臺上容器服務(wù)快速高效的遷移，有效抵御邊界信息泄露攻擊，但該方法僅限于仿真實現(xiàn)，在實際環(huán)境中應(yīng)用部署效果仍需進(jìn)一步驗證；在系統(tǒng)屬性動態(tài)化方面，文獻(xiàn)[45]將受保護程序中敏感信息的函數(shù)或者基本塊進(jìn)行隨機化復(fù)制，提出利用動態(tài)控制流隨機化的方法來防御基于Cache的側(cè)信道攻擊；文獻(xiàn)[46]提出每隔一定時間間隔對程序的內(nèi)存布局進(jìn)行隨機的動態(tài)變化，這樣可以有效防止攻擊者根據(jù)輸出信息獲得相關(guān)有用信息；文獻(xiàn)[47]利用LLVM工具對程序中if語句進(jìn)行分析，然后標(biāo)記對其進(jìn)行的隨機化操作，提出動態(tài)消除程序中的條件分支轉(zhuǎn)移來抵抗側(cè)信道攻擊。此外，還有相關(guān)文獻(xiàn)從云服務(wù)接口(如IP地址、端口號、MAC地址和域名等)動態(tài)變化的角度開展研究，如文獻(xiàn)[48]提出IP地址、MAC地址和域名動態(tài)化等，也有文獻(xiàn)從實際應(yīng)用的角度分析IP地址隨機化技術(shù)在實踐中是否足夠不可預(yù)測[49]。目前關(guān)于擬態(tài)防御在云中的研究相對較少，文獻(xiàn)[50]基于擬態(tài)DHR架構(gòu)構(gòu)建了并行任務(wù)執(zhí)行子空間的方法，設(shè)計了對并行任務(wù)執(zhí)行結(jié)果的綜合判決機制，提供對疑似未知攻擊的感知發(fā)現(xiàn)能力；基于判決結(jié)果或預(yù)定策略，研究了基于反饋控制的并行任務(wù)執(zhí)行子空間動態(tài)重構(gòu)方案，通過有效阻斷攻擊鏈條，抵御基于未知漏洞/后門的攻擊。此外，文獻(xiàn)[51]提出擬態(tài)防御Markov博弈模型分析攻防狀態(tài)間的轉(zhuǎn)移關(guān)系以及安全可靠性度量方法；文獻(xiàn)[52]提出了軟件定義網(wǎng)絡(luò)操作系統(tǒng)擬態(tài)化方法；文獻(xiàn)[53]提出的擬態(tài)防御架構(gòu)設(shè)計等研究，都可以為云計算環(huán)境下的攻防安全研究提供借鑒。

3 對比分析

資源共享機制導(dǎo)致攻擊面擴大，惡意攻擊者利用云服務(wù)、虛擬化軟件、云平臺、基礎(chǔ)設(shè)施等的漏洞和缺陷發(fā)起攻擊，攻擊路徑多樣且復(fù)雜；無處不在的“漏洞、后門”威脅、虛擬化導(dǎo)致物理邊界消失以及日漸豐富多樣的攻擊手段都給云安全防護帶來已知的風(fēng)險和未知的威脅，形成來自于已知和未知的不確定攻擊效果和防御困境。云環(huán)境下的安全防護，歸根到底就是試圖將這種具有不確定攻擊效果的入侵行為確定化、可控化的過程。現(xiàn)有相關(guān)研究盡管一定程度緩解了云環(huán)境安全防護問題，但并沒有從根本上徹底解決云環(huán)境下未知漏洞、后門威脅和非邊界防護難題，主要體現(xiàn)在：

① 傳統(tǒng)如訪問控制、入侵檢測、錯誤容忍等防御技術(shù)均嚴(yán)重依賴攻擊者的攻擊特征或被攻擊目標(biāo)的安全缺陷等先驗知識，本質(zhì)上基于先驗知識的精確防護技術(shù)思想；對于“已知的未知”安全風(fēng)險或者“未知的未知”安全威脅幾乎沒有防御能力，其僅僅是將不確定的攻擊效果轉(zhuǎn)變?yōu)橄闰炛R已知條件下特定攻擊的可控事件。

② 可信計算本質(zhì)上只是向用戶表明商家的行為會更全面地遵循TCG的安全規(guī)范[40]；其前提和核心是必須保證可信計算機，即信任根的安全可靠，在此先驗知識條件下，對外部訪問進(jìn)行信任度量，層層構(gòu)建信任關(guān)系，從而確保整個系統(tǒng)的可信可控。因此從防御效果上來看，可信計算是將不確定的攻擊效果轉(zhuǎn)變?yōu)橄闰炛R已知條件下風(fēng)險可控的可信事件。

③ MTD允許系統(tǒng)漏洞存在、但不允許對方利用，通過主動采取多樣的、不斷變化的機制與策略，增加攻擊難度及必須付出的代價。但其存在的“防御間隙”[54]、ASLR被內(nèi)存管理部件“旁路”、利用CPU高速緩存的“側(cè)信道”效應(yīng)進(jìn)行繞過等問題；同時當(dāng)攻擊者成功入侵系統(tǒng)后，MTD也不具備檢測功能，即“防不防得住”也不自知。因此從防御效果來看，MTD是將不確定的攻擊效果轉(zhuǎn)變?yōu)椴灰蕾囅闰炛R的不確定性事件。

④ 擬態(tài)防御采用基于動態(tài)異構(gòu)冗余的一體化架構(gòu)技術(shù)提供具有普適性的創(chuàng)新防御理論和方法，本質(zhì)上可視為一種基于架構(gòu)內(nèi)生的融合式主動防護技術(shù)，其采用功能等價條件下的動態(tài)異構(gòu)冗余構(gòu)造將來自于未知漏洞后門或病毒木馬等確定或不確定的威脅轉(zhuǎn)化為時空維度上出現(xiàn)多數(shù)或一致性錯誤的概率問題，基于相對正確公理的相對多數(shù)結(jié)果作為錯誤與否的判據(jù)，實現(xiàn)對不確定攻擊行為的感知和判別，具有對未知威脅的內(nèi)生感知和拒止能力。因此從防御效果來看，擬態(tài)防御是將不確定的攻擊效果轉(zhuǎn)變?yōu)椴灰蕾嚹繕?biāo)先驗知識的概率可控的可靠事件。

4 未來發(fā)展趨勢

隨著未來基礎(chǔ)設(shè)施云化、云網(wǎng)一體的發(fā)展趨勢愈發(fā)明顯，網(wǎng)絡(luò)信息服務(wù)模式逐步從“端網(wǎng)服務(wù)器”向“端網(wǎng)云”模式轉(zhuǎn)變，云網(wǎng)深度融合帶來邊界防護新問題。一方面云計算環(huán)境下網(wǎng)絡(luò)資源虛擬化、集中管控的特點與多租戶共存的運營模式，使得傳統(tǒng)防護的物理邊界不斷消失，傳統(tǒng)基于邊界和邊界隔離的安全機制要么難以有效實施、要么安全防護效果不佳，存在易被旁路的風(fēng)險；同時云環(huán)境下虛擬機計算資源與網(wǎng)絡(luò)資源是動態(tài)創(chuàng)建的，固定的安全策略無法適應(yīng)這種動態(tài)的虛擬化環(huán)境，傳統(tǒng)的隔離與控制方式無法適應(yīng)云環(huán)境下的動態(tài)安全需求。另一方面，信息產(chǎn)業(yè)全球化背景下網(wǎng)絡(luò)空間“攻易守難”基本態(tài)勢沒有改變，軟硬件未知漏洞、后門所帶來的未知威脅依然是云計算面臨的最大安全挑戰(zhàn)；傳統(tǒng)以防火墻、加解密技術(shù)、沙箱、蜜罐和蜜網(wǎng)等為代表的邊界防御思路和技術(shù)大多以威脅特征和攻擊行為感知為前提，難以有效抵御利用軟硬件未知漏洞、后門等發(fā)起的不確定威脅，無法有效適應(yīng)用戶、網(wǎng)絡(luò)和業(yè)務(wù)的快速變化，實現(xiàn)網(wǎng)絡(luò)技術(shù)與安全的共生演進(jìn)。

云生態(tài)環(huán)境下虛擬化技術(shù)、共享資源、相對復(fù)雜的架構(gòu)和邏輯層次等特點，決定了安全設(shè)計必須聚焦于云平臺安全架構(gòu)上，自下而上管控每一個環(huán)節(jié)才可以保證整個框架的安全性。特別是新型網(wǎng)絡(luò)應(yīng)用及業(yè)務(wù)需求的不斷發(fā)展，傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)及云計算數(shù)據(jù)中心的安全防護手段無法適應(yīng)天地一體化信息網(wǎng)絡(luò)的發(fā)展需要。因此，從系統(tǒng)架構(gòu)層面發(fā)展“非基于邊界”“不依賴于先驗知識”的內(nèi)生式安全防護技術(shù)，構(gòu)建新型地面信息港體系架構(gòu)，成為有望解決云環(huán)境下安全防護問題、滿足天地一體化信息網(wǎng)絡(luò)的業(yè)務(wù)發(fā)展和安全防護共生演進(jìn)需求的主要途徑和方向。

5 結(jié)束語

針對地面信息港云計算平臺的安全防護問題，梳理分析其面臨的安全威脅，綜述了訪問控制、入侵檢測、錯誤容忍、可信計算及動態(tài)防護等方面目前技術(shù)的發(fā)展現(xiàn)狀，并從防御效果的角度對相關(guān)技術(shù)進(jìn)行分析對比，最后對地面信息港云計算安全防御技術(shù)的未來發(fā)展趨勢進(jìn)行了總結(jié)展望，相關(guān)結(jié)論可為內(nèi)生安全的天地一體化網(wǎng)絡(luò)地面信息港建設(shè)提供思路和借鑒。