第8章 云計算安全

1、第第8章章 云計算安全云計算安全 學習任務學習任務云計算安全概述云計算安全概述 云計算安全體系云計算安全體系云計算安全關鍵技術云計算安全關鍵技術Click to add title in here 123本章主要涉及：本章主要涉及：4感知識別層的安全需求和安全機制 學習任務學習任務云計算的存儲安全云計算的存儲安全計算虛擬化安全計算虛擬化安全云計算應用安全防護云計算應用安全防護Click to add title in here 45本章主要涉及：本章主要涉及：88.1 云計算安全概述云計算安全概述云計算的出現(xiàn)使得公眾客戶獲得云計算的出現(xiàn)使得公眾客戶獲得低成本低成本、高性能高性能、快速配置快速配

2、置和和海量化海量化的計算服務成為可能。的計算服務成為可能。但其核心技術特點（但其核心技術特點（虛擬化、資源共享、分布式虛擬化、資源共享、分布式等等）也決定了它在安全性上存在著）也決定了它在安全性上存在著天然隱患天然隱患。例如，當數(shù)據(jù)、信息存儲在物理位置不確定的例如，當數(shù)據(jù)、信息存儲在物理位置不確定的“云端云端”，服務安全、數(shù)據(jù)安全與隱私安全如何保障？這些問題是服務安全、數(shù)據(jù)安全與隱私安全如何保障？這些問題是否會威脅到個人、企業(yè)以至國家的信息安全？否會威脅到個人、企業(yè)以至國家的信息安全？虛擬化模式下業(yè)務的可用性如何保證？虛擬化模式下業(yè)務的可用性如何保證？ 8.1 云計算安全概述云計算安全概述8.

3、1.1 云計算簡介云計算簡介1. 概述概述 云計算（云計算（Cloud computing），是一種基于互聯(lián)），是一種基于互聯(lián)網的計算方式，通過這種方式，共享的軟硬件資網的計算方式，通過這種方式，共享的軟硬件資源和信息可以源和信息可以按需提供給計算機和其他設備按需提供給計算機和其他設備。整個運行方式很像電網，用戶不再需要了解整個運行方式很像電網，用戶不再需要了解“云云”中中基礎設施的細節(jié)，不必具有相應的專業(yè)知識，也無需基礎設施的細節(jié)，不必具有相應的專業(yè)知識，也無需直接進行控制。直接進行控制。8.1 云計算安全概述云計算安全概述 云計算描述了一種基于互聯(lián)網的新的云計算描述了一種基于互聯(lián)網的新的I

4、T服務增加、服務增加、使用和交付模式，通常涉及通過互聯(lián)網來提供動使用和交付模式，通常涉及通過互聯(lián)網來提供動態(tài)易擴展而且經常是虛擬化的資源。態(tài)易擴展而且經常是虛擬化的資源。 在國內，云計算被定義在國內，云計算被定義為：為：“云計算將計算任務云計算將計算任務分布在大量計算機構成的資源池上，使各種應用分布在大量計算機構成的資源池上，使各種應用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和各種系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和各種軟件服務軟件服務”。8.1云計算安全概述云計算安全概述 狹義的云計算狹義的云計算：指的是廠商通過分布式計算和虛指的是廠商通過分布式計算和虛擬化技術搭建數(shù)據(jù)中心或超級計算機，以免費

5、或擬化技術搭建數(shù)據(jù)中心或超級計算機，以免費或按需租用方式向技術開發(fā)者或者企業(yè)客戶提供數(shù)按需租用方式向技術開發(fā)者或者企業(yè)客戶提供數(shù)據(jù)存儲、分析以及科學計算等服務，比如亞馬遜據(jù)存儲、分析以及科學計算等服務，比如亞馬遜數(shù)據(jù)倉庫出租生意。數(shù)據(jù)倉庫出租生意。 廣義的云計算：廣義的云計算：指廠商通過建立網絡服務器集群，指廠商通過建立網絡服務器集群，向各種不同類型客戶提供在線軟件服務、硬件租向各種不同類型客戶提供在線軟件服務、硬件租借、數(shù)據(jù)存儲、計算分析等不同類型的服務。借、數(shù)據(jù)存儲、計算分析等不同類型的服務。 8.1 云計算安全概述云計算安全概述通俗的理解通俗的理解是，云計算的是，云計算的“云云“就是存在

6、于互聯(lián)就是存在于互聯(lián)網上的服務器集群上的資源，它包括硬件資源網上的服務器集群上的資源，它包括硬件資源（服務器、存儲器、（服務器、存儲器、CPU等）和軟件資源（如應等）和軟件資源（如應用軟件、集成開發(fā)環(huán)境等），用軟件、集成開發(fā)環(huán)境等），本地計算機只需要通過互聯(lián)網本地計算機只需要通過互聯(lián)網發(fā)送一個需求信息發(fā)送一個需求信息，遠端就會有成千上萬的計算機為你提供需要的資遠端就會有成千上萬的計算機為你提供需要的資源并將結果返回到本地計算機。源并將結果返回到本地計算機。8.1 云計算安全概述云計算安全概述“云計算云計算”網絡拓撲圖網絡拓撲圖 8.1 云計算安全概述云計算安全概述2.云計算的技術發(fā)展云計算的技

7、術發(fā)展 云計算（云計算（Cloud Computing）是結合：）是結合：網格計算（網格計算（Grid Computing ）、）、分布式計算（分布式計算（Distributed Computing）、）、并行計算（并行計算（Parallel Computing）、）、效用計算（效用計算（Utility Computing）、）、網絡存儲（網絡存儲（Network Storage Technologies）、）、虛擬化（虛擬化（Virtualization）、）、負載均衡（負載均衡（Load Balance）等傳統(tǒng)計算機和網絡技術）等傳統(tǒng)計算機和網絡技術發(fā)展融合的產物。發(fā)展融合的產物。 8.1

8、云計算安全概述云計算安全概述云計算常與云計算常與以下一些技術相混淆：以下一些技術相混淆：網格計算網格計算（分布式計算的一種，由一群松散耦合的計算（分布式計算的一種，由一群松散耦合的計算機集組成的一個超級虛擬計算機，常用來執(zhí)行大型任機集組成的一個超級虛擬計算機，常用來執(zhí)行大型任務）務）；效用計算效用計算（IT資源的一種打包和計費方式，比如按照計資源的一種打包和計費方式，比如按照計算、存儲分別計量費用，像傳統(tǒng)的電力等公共設施一算、存儲分別計量費用，像傳統(tǒng)的電力等公共設施一樣）；樣）；自主計算自主計算（具有自我管理功能的計算機系統(tǒng)）。（具有自我管理功能的計算機系統(tǒng)）。8.1云計算安全概述云計算安全概

9、述事實上，許多云計算部署依賴于計算機集群，也事實上，許多云計算部署依賴于計算機集群，也吸收了吸收了自主計算和效用計算自主計算和效用計算的特點。的特點。好比是從古老的單臺發(fā)電機模式轉向了好比是從古老的單臺發(fā)電機模式轉向了電廠集中供電的電廠集中供電的模式模式。它意味著計算能力也可以作為一種商品進行流通，。它意味著計算能力也可以作為一種商品進行流通，就像煤氣、水電一樣，取用方便，費用低廉。就像煤氣、水電一樣，取用方便，費用低廉。最大的不同在于，它是通過互聯(lián)網進行傳輸?shù)?。它最大的不同在于，它是通過互聯(lián)網進行傳輸?shù)摹Ｋ鼜挠矎挠布Y構上是一種多對一的結構，從服務的角度或從功能件結構上是一種多對一的結構，從

10、服務的角度或從功能的角度它是一對多的的角度它是一對多的。8.1 云計算安全概述云計算安全概述3. 云計算的主要服務形式云計算的主要服務形式 目前，云計算的主要服務形式有：目前，云計算的主要服務形式有： SaaS(Software as a Service)，軟件即服務，軟件即服務 ； PaaS(Platform as a Service)，平臺即服務，平臺即服務 ； IaaS(Infrastructure as a Service)， 基礎設施服務?；A設施服務。 8.1 云計算安全概述云計算安全概述（1） 軟件即服務軟件即服務(SaaS) SaaS服務提供商將應用軟件統(tǒng)一部署在自己的服服務提

11、供商將應用軟件統(tǒng)一部署在自己的服務器上，務器上，用戶根據(jù)需求通過互聯(lián)網向廠商訂購應用戶根據(jù)需求通過互聯(lián)網向廠商訂購應用軟件服務用軟件服務，服務提供商根據(jù)客戶所定軟件的數(shù)，服務提供商根據(jù)客戶所定軟件的數(shù)量、時間的長短等因素收費，并且通過瀏覽器向量、時間的長短等因素收費，并且通過瀏覽器向客戶提供軟件的模式。客戶提供軟件的模式。 這種模式下，這種模式下，客戶客戶不再像傳統(tǒng)模式那樣花費大量不再像傳統(tǒng)模式那樣花費大量資金在硬件、軟件、維護人員，資金在硬件、軟件、維護人員，只需要支出一定只需要支出一定的租賃服務費用的租賃服務費用，通過互聯(lián)網就可以享受到相應，通過互聯(lián)網就可以享受到相應的硬件、軟件和維護服務

12、。對于小型企業(yè)來說，的硬件、軟件和維護服務。對于小型企業(yè)來說，SaaS是采用先進技術的最好途徑。是采用先進技術的最好途徑。8.1 云計算安全概述云計算安全概述（2）平臺即服務）平臺即服務(PaaS) 把開發(fā)環(huán)境作為一種服務來提供。把開發(fā)環(huán)境作為一種服務來提供。這是一種分布這是一種分布式平臺服務，廠商提供開發(fā)環(huán)境、服務器平臺、式平臺服務，廠商提供開發(fā)環(huán)境、服務器平臺、硬件資源等服務給客戶，用戶在其平臺基礎上定硬件資源等服務給客戶，用戶在其平臺基礎上定制開發(fā)自己的應用程序并通過其服務器和互聯(lián)網制開發(fā)自己的應用程序并通過其服務器和互聯(lián)網傳遞給其他客戶。傳遞給其他客戶。 PaaS能夠給企業(yè)或個人提供研

13、發(fā)的中間件平臺，能夠給企業(yè)或個人提供研發(fā)的中間件平臺，提供應用程序開發(fā)、數(shù)據(jù)庫、應用服務器、試驗、提供應用程序開發(fā)、數(shù)據(jù)庫、應用服務器、試驗、托管及應用服務。托管及應用服務。8.1 云計算安全概述云計算安全概述以以Google App Engine為例，它是一個由為例，它是一個由python應應用服務器群、用服務器群、BigTable數(shù)據(jù)庫及數(shù)據(jù)庫及GFS組成的平臺，組成的平臺，為開發(fā)者提供一體化主機服務器及可自動升級的在為開發(fā)者提供一體化主機服務器及可自動升級的在線應用服務。線應用服務。用戶編寫應用程序并在用戶編寫應用程序并在Google的基礎架構上運行就的基礎架構上運行就可以為互聯(lián)網用戶提

14、供服務，可以為互聯(lián)網用戶提供服務，Google提供應用運行提供應用運行及維護所需要的平臺資源。及維護所需要的平臺資源。8.1 云計算安全概述云計算安全概述（3） 基礎設施服務基礎設施服務(IaaS) IaaS即把廠商的由多臺服務器組成的即把廠商的由多臺服務器組成的“云端云端”基基礎設施，作為計量服務提供給客戶。礎設施，作為計量服務提供給客戶。它將內存、它將內存、I/O設備、存儲和計算能力整合成一個虛擬的資源設備、存儲和計算能力整合成一個虛擬的資源池為整個業(yè)界提供所需要的存儲資源和虛擬化服池為整個業(yè)界提供所需要的存儲資源和虛擬化服務器等服務。務器等服務。 這是一種托管型硬件方式，用戶付費使用廠商

15、的這是一種托管型硬件方式，用戶付費使用廠商的硬件設施。例如硬件設施。例如Amazon Web服務（服務（AWS），）， IBM的的BlueCloud等均是將基礎設施作為服務出租。等均是將基礎設施作為服務出租。8.1 云計算安全概述云計算安全概述8.1.2 云計算安全概述云計算安全概述1. 云安全思想的來源云安全思想的來源 云安全技術是云安全技術是P2P技術、網格技術、云計算技術技術、網格技術、云計算技術等分布式計算技術混合發(fā)展、自然演化的結果。等分布式計算技術混合發(fā)展、自然演化的結果。 云安全的核心思想，與早在云安全的核心思想，與早在2003年就提出的年就提出的反垃反垃圾郵件網格圾郵件網格非常

16、接近。非常接近。 8.1 云計算安全概述云計算安全概述2. 云安全的先進性云安全的先進性 云安全是一群探針的結果上報、專業(yè)處理結果的云安全是一群探針的結果上報、專業(yè)處理結果的分享；分享； 云安全在云安全在理論上理論上可以可以把病毒的傳播范圍控制在一把病毒的傳播范圍控制在一定區(qū)域內定區(qū)域內！和探針的數(shù)量、存活、及病毒處理的！和探針的數(shù)量、存活、及病毒處理的速度有關。速度有關。 理想狀態(tài)下，從一個盜號木馬從攻擊某臺電腦，理想狀態(tài)下，從一個盜號木馬從攻擊某臺電腦，到整個到整個“云安全云安全”（Cloud Security）網絡對其）網絡對其擁有免疫、查殺能力，擁有免疫、查殺能力，僅需幾秒的時間僅需幾

17、秒的時間。8.1 云計算安全概述云計算安全概述3. 云安全系統(tǒng)的難點云安全系統(tǒng)的難點 要想建立要想建立“云安全云安全”系統(tǒng)，并使之正常運行，系統(tǒng)，并使之正常運行，需要解決四大問題：需要解決四大問題：第一、第一、 需要海量的客戶端（云安全探針）需要海量的客戶端（云安全探針）。第二、第二、 需要專業(yè)的反病毒技術和經驗需要專業(yè)的反病毒技術和經驗。 第三、第三、 需要大量的資金和技術投入需要大量的資金和技術投入。 第四、第四、 可以是開放的系統(tǒng)，允許合作伙伴的加入可以是開放的系統(tǒng)，允許合作伙伴的加入。 8.1 云計算安全概述云計算安全概述8.1.3 物聯(lián)網云計算安全物聯(lián)網云計算安全 物聯(lián)網的特征之一是

18、智能處理物聯(lián)網的特征之一是智能處理, 指利用云計算指利用云計算, 模模糊識別等各種智能計算技術糊識別等各種智能計算技術, 對海量的數(shù)據(jù)和信息對海量的數(shù)據(jù)和信息進行分析和處理進行分析和處理, 對物體實施智能化的控制。對物體實施智能化的控制。 一方面一方面, 物聯(lián)網的發(fā)展需要云計算強大的的處理和物聯(lián)網的發(fā)展需要云計算強大的的處理和存儲能力作為支撐。存儲能力作為支撐。 另一方面另一方面,物聯(lián)網將成為云計算最大的用戶物聯(lián)網將成為云計算最大的用戶,為云計為云計算取得更大商業(yè)成功奠定基石。算取得更大商業(yè)成功奠定基石。 8.1 云計算安全概述云計算安全概述云計算安全防范措施云計算安全防范措施 8.2 云計算

19、安全體系云計算安全體系1. 云計算安全技術體系框架云計算安全技術體系框架 對云安全研究最為活躍的組織是云安全聯(lián)盟對云安全研究最為活躍的組織是云安全聯(lián)盟（CSA：Cloud Security Alliance）。）。CSA 在提出在提出的云計算安全技術架構模型如下圖。的云計算安全技術架構模型如下圖。8.2 云計算安全體系云計算安全體系云計算安全技術體系框架云計算安全技術體系框架 8.2 云計算安全體系云計算安全體系2. 云計算的七大安全威脅云計算的七大安全威脅 云計算的濫用、惡用、拒絕服務攻擊云計算的濫用、惡用、拒絕服務攻擊 不安全的接口和不安全的接口和API 惡意的內部員工惡意的內部員工 共享

20、技術產生的問題共享技術產生的問題 數(shù)據(jù)泄漏數(shù)據(jù)泄漏 賬號和服務劫持賬號和服務劫持 未知的安全場景未知的安全場景8.3 云計算安全關鍵技術云計算安全關鍵技術1. Web 信譽服務信譽服務 借助全信譽數(shù)據(jù)庫，借助全信譽數(shù)據(jù)庫，“云安全云安全”可以按照惡意軟件行可以按照惡意軟件行為分析所發(fā)現(xiàn)的網站頁面、歷史位置變化和可疑活動為分析所發(fā)現(xiàn)的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數(shù)，從而跡象等因素來指定信譽分數(shù)，從而追蹤網頁的可信度追蹤網頁的可信度。然后將通過該技術繼續(xù)掃描網站并防止用戶訪問被感然后將通過該技術繼續(xù)掃描網站并防止用戶訪問被感染的網站。染的網站。 信譽可以隨時間而不斷變化信

21、譽可以隨時間而不斷變化。8.3 云計算安全關鍵技術云計算安全關鍵技術2. 電子郵件信譽服務電子郵件信譽服務 電子郵件信譽服務，按照已知電子郵件信譽服務，按照已知垃圾郵件來源的信垃圾郵件來源的信譽數(shù)據(jù)庫譽數(shù)據(jù)庫檢查檢查IP 地址，同時利用可以實時評估電地址，同時利用可以實時評估電子郵件發(fā)送者信譽的動態(tài)服務對子郵件發(fā)送者信譽的動態(tài)服務對I P 地址進行驗證。地址進行驗證。信譽評分通過對信譽評分通過對I P 地址的地址的“行為行為”、“活動范圍活動范圍”以及以前的歷史進行不斷地分析而加以細化。以及以前的歷史進行不斷地分析而加以細化。 按照發(fā)送者的按照發(fā)送者的I P 地址，惡意電子郵件在云中即被地址，

22、惡意電子郵件在云中即被攔截，從而防止僵尸或僵尸網絡等攔截，從而防止僵尸或僵尸網絡等We b 威脅到達威脅到達網絡或用戶的計算機。網絡或用戶的計算機。8.3 云計算安全關鍵技術云計算安全關鍵技術3. 文件信譽服務文件信譽服務 文件信譽服務技術，它可以檢查位于端點、服務文件信譽服務技術，它可以檢查位于端點、服務器或網關處的每個文件的信譽。檢查的依據(jù)包括器或網關處的每個文件的信譽。檢查的依據(jù)包括已知的良性文件清單和已知的已知的良性文件清單和已知的惡性文件清單惡性文件清單，即，即現(xiàn)在所謂的現(xiàn)在所謂的防病毒特征碼防病毒特征碼。 高性能的內容分發(fā)網絡和本地緩沖服務器將確保高性能的內容分發(fā)網絡和本地緩沖服務

23、器將確保在檢查過程中使延遲時間降到最低。在檢查過程中使延遲時間降到最低。8.3 云計算安全關鍵技術云計算安全關鍵技術4. 行為關聯(lián)分析技術行為關聯(lián)分析技術 通過行為分析的通過行為分析的“相關性技術相關性技術”，檢查潛在威脅，檢查潛在威脅不同組件之間的相互關系，把威脅活動綜合聯(lián)系不同組件之間的相互關系，把威脅活動綜合聯(lián)系起來，確定其是否屬于惡意行為。起來，確定其是否屬于惡意行為。 通過把威脅的不同部分關聯(lián)起來并不斷更新其威通過把威脅的不同部分關聯(lián)起來并不斷更新其威脅數(shù)據(jù)庫，即能夠實時做出響應，針對電子郵件脅數(shù)據(jù)庫，即能夠實時做出響應，針對電子郵件和和Web 威脅提供及時、自動的保護。威脅提供及時

24、、自動的保護。8.3 云計算安全關鍵技術云計算安全關鍵技術5. 自動反饋機制自動反饋機制 自動反饋機制以雙向更新流方式在威脅研究中心自動反饋機制以雙向更新流方式在威脅研究中心和技術人員之間實現(xiàn)不間斷通信。通過和技術人員之間實現(xiàn)不間斷通信。通過檢查單個檢查單個客戶的路由信譽來確定各種新型威脅?？蛻舻穆酚尚抛u來確定各種新型威脅。 例如：趨勢科技的全球自動反饋機制的功能很像例如：趨勢科技的全球自動反饋機制的功能很像現(xiàn)在很多社區(qū)采用的現(xiàn)在很多社區(qū)采用的“鄰里監(jiān)督鄰里監(jiān)督”方式，實現(xiàn)實方式，實現(xiàn)實時探測和及時的時探測和及時的“共同智能共同智能”保護。保護。8.3 云計算安全關鍵技術云計算安全關鍵技術6.

25、 威脅信息匯總威脅信息匯總 安全公司綜合應用各種技術和數(shù)據(jù)收集方式安全公司綜合應用各種技術和數(shù)據(jù)收集方式包括包括“蜜罐蜜罐”、網絡爬行器、客戶和合作伙伴內、網絡爬行器、客戶和合作伙伴內容提交、反饋回路。容提交、反饋回路。 通過通過“云安全云安全”中的惡意軟件數(shù)據(jù)庫、服務和支中的惡意軟件數(shù)據(jù)庫、服務和支持中心對威脅數(shù)據(jù)進行分析。通過持中心對威脅數(shù)據(jù)進行分析。通過724 小時的小時的全天候威脅監(jiān)控和攻擊防御，以探測、預防并清全天候威脅監(jiān)控和攻擊防御，以探測、預防并清除攻擊。除攻擊。8.3 云計算安全關鍵技術云計算安全關鍵技術7. 白名單技術白名單技術 作為一種核心技術，白名單與黑名單作為一種核心技

26、術，白名單與黑名單( 病毒特征病毒特征碼技術實際上采用的是黑名單技術思路碼技術實際上采用的是黑名單技術思路) 并無多并無多大區(qū)別，區(qū)別僅在于規(guī)模不同。大區(qū)別，區(qū)別僅在于規(guī)模不同。 作為一種核心技術，現(xiàn)在的作為一種核心技術，現(xiàn)在的白名單主要被用于降白名單主要被用于降低誤報率低誤報率。1.云計算的數(shù)據(jù)存儲安全問題包括的主要內容云計算的數(shù)據(jù)存儲安全問題包括的主要內容（1）數(shù)據(jù)的訪問控制問題）數(shù)據(jù)的訪問控制問題如何在數(shù)據(jù)加密的狀態(tài)下進行訪問控制；如何在數(shù)據(jù)加密的狀態(tài)下進行訪問控制；如何面對大規(guī)模海量數(shù)據(jù)進行高效的訪問控制；如何面對大規(guī)模海量數(shù)據(jù)進行高效的訪問控制； 如何在不信任云端服務的情況下確保訪問

27、控制。如何在不信任云端服務的情況下確保訪問控制。（2）數(shù)據(jù)保密性問題：）數(shù)據(jù)保密性問題：如何保障用戶的數(shù)據(jù)不被泄漏或被云計算供應商窺探。如何保障用戶的數(shù)據(jù)不被泄漏或被云計算供應商窺探。用戶的數(shù)據(jù)如何加密，在云端還是客戶端加密，還是用戶的數(shù)據(jù)如何加密，在云端還是客戶端加密，還是通過可信第三方加密。通過可信第三方加密。是否可能提供云加密服務，如何定義和設計這種服務。是否可能提供云加密服務，如何定義和設計這種服務。8.4 云計算的存儲安全云計算的存儲安全（3）數(shù)據(jù)完整性問題）數(shù)據(jù)完整性問題包括存儲的數(shù)據(jù)不被非法修改，數(shù)據(jù)不丟失，以及存包括存儲的數(shù)據(jù)不被非法修改，數(shù)據(jù)不丟失，以及存儲的可靠性問題。儲的

28、可靠性問題。數(shù)據(jù)的數(shù)據(jù)的完整性如何驗證完整性如何驗證，特別是，特別是客戶端沒有數(shù)據(jù)、同客戶端沒有數(shù)據(jù)、同時又不信任云端存儲的數(shù)據(jù)時又不信任云端存儲的數(shù)據(jù)的情況下，驗證數(shù)據(jù)的完的情況下，驗證數(shù)據(jù)的完整性。整性。如果保存的如果保存的數(shù)據(jù)頻繁的更新數(shù)據(jù)頻繁的更新，數(shù)據(jù)的完整性驗證便更，數(shù)據(jù)的完整性驗證便更加困難。加困難。 8.4 云計算的存儲安全云計算的存儲安全2.基于屬性的加密和代理重加密基于屬性的加密和代理重加密（1）基于屬性的加密）基于屬性的加密 通常的訪問控制模型是通常的訪問控制模型是基于角色的訪問控制基于角色的訪問控制，但，但是該模型是該模型通常用于沒有加密的數(shù)據(jù)通常用于沒有加密的數(shù)據(jù)，或

29、者訪問控，或者訪問控制的控制端是可信的。制的控制端是可信的。 Sahai與與Waters在在2005年提出年提出基于屬性的加密體基于屬性的加密體制時制時，發(fā)展了傳統(tǒng)的基于身份密碼體制中關于身，發(fā)展了傳統(tǒng)的基于身份密碼體制中關于身份的概念，將身份看作是一系列屬性的集合，提份的概念，將身份看作是一系列屬性的集合，提出了基于模糊身份的加密，基于模糊身份的目的出了基于模糊身份的加密，基于模糊身份的目的是因為有些情況下需要只要是因為有些情況下需要只要大致具有該身份（屬大致具有該身份（屬性）的人便可以解密數(shù)據(jù)。性）的人便可以解密數(shù)據(jù)。 一個用戶能否解密密文，取決于密文所關聯(lián)的屬一個用戶能否解密密文，取決于

30、密文所關聯(lián)的屬性集合與用戶身份對應的訪問控制結構是否匹配。性集合與用戶身份對應的訪問控制結構是否匹配。8.4 云計算的存儲安全云計算的存儲安全 CP-ABE（Cipertext-policy）算法模型：）算法模型：參數(shù)生成算法參數(shù)生成算法Setup：生成公開參數(shù)PK以及主密鑰MK。加密算法加密算法CT=Encrypt(PK,M,A)：輸入?yún)?shù)包括PK、被加密的數(shù)據(jù)M以及訪問控制策略A。輸出為密文CT，CT只能由那些具有滿足訪問控制策略A的用戶才能解密?？梢?，在加密時已經將訪問控制策略“嵌入”到密文中。密鑰生成算法密鑰生成算法SK=KeyGen(MK,S)：算法輸入主密鑰MK以及描述密鑰的屬性集

31、S，輸出解密密鑰SK?？梢姡饷苊荑€和其是否滿足訪問控制策略的屬性相關。解密算法解密算法M=Decrypt(PK,CT,SK)：輸入公共參數(shù)PK，密文CT以及密鑰SK，當且僅當S滿足訪問控制策略A，由屬性集S產生的私鑰SK才能解密CT，此時，算法返回明文消息M。8.4 云計算的存儲安全云計算的存儲安全（2）代理重加密）代理重加密通過通過半可信的代理服務器半可信的代理服務器，將本來是，將本來是A的公鑰的公鑰加密的密文，重新加密成用加密的密文，重新加密成用B的公鑰加密的密的公鑰加密的密文。文。A事先在該代理服務器上設置事先在該代理服務器上設置A到到B的重加密密的重加密密鑰鑰KAB，代理服務器利用該

32、重加密密鑰將以，代理服務器利用該重加密密鑰將以A公鑰加密的密文重加密成以公鑰加密的密文重加密成以B公鑰加密的密文。公鑰加密的密文。在這一過程中，在這一過程中，明文及明文及A與與B的私鑰都不會暴的私鑰都不會暴露給代理服務器露給代理服務器。8.4 云計算的存儲安全云計算的存儲安全3.云存儲的數(shù)據(jù)保密性云存儲的數(shù)據(jù)保密性同態(tài)加密同態(tài)加密HEl 傳統(tǒng)加密的缺點傳統(tǒng)加密的缺點：由于：由于對云存儲服務器不是完全信任對云存儲服務器不是完全信任，因而常規(guī)的辦法是將這些數(shù)據(jù)發(fā)回到客戶端，由客戶端進因而常規(guī)的辦法是將這些數(shù)據(jù)發(fā)回到客戶端，由客戶端進行解密，然后進行相應的計算，完成后再加密上傳到云存行解密，然后進行

33、相應的計算，完成后再加密上傳到云存儲端。帶來了很大的通信開銷。儲端。帶來了很大的通信開銷。l 同態(tài)加密同態(tài)加密（Homomorphic Encryption）是指對兩個密）是指對兩個密文的操作，解密后得到的明文，等同與兩個原始明文完成文的操作，解密后得到的明文，等同與兩個原始明文完成相同的操作。相同的操作。l 主要的同態(tài)加密算法：主要的同態(tài)加密算法： 加法同態(tài)（例如加法同態(tài)（例如Paillier算法算法 乘法同態(tài)（例如乘法同態(tài)（例如RSA算法）算法） 同時對加法和簡單的標量乘法同態(tài)（例如同時對加法和簡單的標量乘法同態(tài)（例如Iterated Hill Cipher，IHC算法和算法和Modifi

34、ed Rivests Scheme，MRS算法）。算法）。8.4 云計算的存儲安全云計算的存儲安全 全同態(tài)加密算法：全同態(tài)加密算法：2009年，年，IBM研究員研究員Craig Gentry在計算機理論的著名會議在計算機理論的著名會議STOC上發(fā)表論文，上發(fā)表論文，提出一種基于理想格（提出一種基于理想格（Ideal Lattice）的）的全同態(tài)加全同態(tài)加密算法密算法，全同態(tài)加密能夠在沒有解密密鑰的條件下，全同態(tài)加密能夠在沒有解密密鑰的條件下，對加密數(shù)據(jù)進行任意復雜的操作，以實現(xiàn)相應的明對加密數(shù)據(jù)進行任意復雜的操作，以實現(xiàn)相應的明文操作。文操作。8.4 云計算的存儲安全云計算的存儲安全算法描述：

35、算法描述：設x和y是明文空間M中的元素，o是M上的運算，EK()是M上密鑰空間為K的加密算法，稱加密算法EK()對運算o是同態(tài)的，如果存在一個有效的算法A，使得：A(EK(x),EK(y)=EK(xoy) 不同運算的同態(tài)加密的簡單形式化描述如下： （1）加法同態(tài)）加法同態(tài)：給定EK(x)和EK(y),，存在一個計算上有效的算法ADD使得EK(x+y)=ADD(EK(x),EK(y) 即EK(x+y)可通過EK(x)和EK(y)輕易地計算出來，而不需要知道x和y。8.4 云計算的存儲安全云計算的存儲安全 （2）數(shù)量乘法同態(tài)）數(shù)量乘法同態(tài)：給定EK(x)和常數(shù)t，存在一個計算上有效的算法SMUL，

36、使得： EK(tx)=SMUL(EK(x),t) 即EK(tx)可通過EK(x)和t輕易地計算出來，而不需要知道x。 （3）乘法同態(tài)：）乘法同態(tài)：給定EK(x)和EK(y)，存在一個計算上有效的算法MUL，使得： EK(xy)=MUL(EK(x),EK(y) 即EK(xy)可通過EK(x)和EK(y)輕易地計算出來，而不需要知道x和y。 同態(tài)加密還可以運用到隱私保護的同態(tài)加密還可以運用到隱私保護的數(shù)據(jù)聚集數(shù)據(jù)聚集（aggregation）上，例如智能電網中對智能電）上，例如智能電網中對智能電表的數(shù)據(jù)收集、無線傳感器網絡中感知數(shù)據(jù)的聚表的數(shù)據(jù)收集、無線傳感器網絡中感知數(shù)據(jù)的聚集等等。集等等。 8

37、.4 云計算的存儲安全云計算的存儲安全1.計算虛擬化簡介計算虛擬化簡介 云計算的一個關鍵計算就是云計算的一個關鍵計算就是計算虛擬化技術計算虛擬化技術。虛。虛擬計算（擬計算（Virtualization）技術的引入，打破了真）技術的引入，打破了真實計算中軟件與硬件之間的緊密耦合關系。實計算中軟件與硬件之間的緊密耦合關系。 虛擬計算虛擬計算是相對所謂的是相對所謂的“真實計算真實計算”而言的，而言的，“真實計算真實計算”就是將計算建立在真實計算機硬件就是將計算建立在真實計算機硬件基礎之上?；A之上。虛擬計算則強調為需要運行的程序或虛擬計算則強調為需要運行的程序或者軟件營造一個需要的執(zhí)行環(huán)境者軟件營造

38、一個需要的執(zhí)行環(huán)境，程序和軟件的，程序和軟件的運行不一定獨享底層的物理計算資源，對它而言，運行不一定獨享底層的物理計算資源，對它而言，它只是運行在一個它只是運行在一個“真實計算真實計算”完全相同的執(zhí)行完全相同的執(zhí)行環(huán)境中，而其底層的硬件可能與之前所購置的計環(huán)境中，而其底層的硬件可能與之前所購置的計算機完全不同。例如，算機完全不同。例如，VMware、Xen等都推出等都推出了虛擬化軟件。了虛擬化軟件。8.5 計算虛擬化安全計算虛擬化安全 虛擬計算的特點：虛擬計算的特點：（1）保真性（）保真性（fidelity）：強調應用程序在虛擬機）：強調應用程序在虛擬機上執(zhí)行，除了時間因素外（會比在物理硬件上

39、執(zhí)上執(zhí)行，除了時間因素外（會比在物理硬件上執(zhí)行慢一些），將表現(xiàn)為與在物理硬件上相同的執(zhí)行慢一些），將表現(xiàn)為與在物理硬件上相同的執(zhí)行行為。行行為。（2）高性能（）高性能（performance）：強調在虛擬執(zhí)行環(huán)：強調在虛擬執(zhí)行環(huán)境中，應用程序的絕大多數(shù)指令能夠在虛擬機管境中，應用程序的絕大多數(shù)指令能夠在虛擬機管理器不干預的情況下，直接在物理硬件上執(zhí)行。理器不干預的情況下，直接在物理硬件上執(zhí)行。（3）安全性（）安全性（safety）：物理硬件應該由虛擬機管：物理硬件應該由虛擬機管理器全權管理，被虛擬出來的執(zhí)行環(huán)境中的程序理器全權管理，被虛擬出來的執(zhí)行環(huán)境中的程序（包括操作系統(tǒng)）不得直接訪問硬件。

40、（包括操作系統(tǒng)）不得直接訪問硬件。8.5 計算虛擬化安全計算虛擬化安全2.虛擬化系統(tǒng)的類型：虛擬化系統(tǒng)的類型：（1）指令級虛擬化。）指令級虛擬化。通過軟件方法，模擬出與實通過軟件方法，模擬出與實際運行的應用程序（或操作系統(tǒng)）所不同的指令際運行的應用程序（或操作系統(tǒng)）所不同的指令集去執(zhí)行，采用這種方法構造的虛擬機一般稱為集去執(zhí)行，采用這種方法構造的虛擬機一般稱為模擬器（模擬器（emulator）。一個典型的計算機系統(tǒng)由。一個典型的計算機系統(tǒng)由處理器、內存、總線、硬盤驅動器、磁盤控制器、處理器、內存、總線、硬盤驅動器、磁盤控制器、定時器、多種定時器、多種I/O設備等部件組成。模擬器通過將設備等部件

41、組成。模擬器通過將客戶虛擬機發(fā)出的所有指令翻譯成本地指令集，客戶虛擬機發(fā)出的所有指令翻譯成本地指令集，然后在真實的硬件上執(zhí)行。例如，然后在真實的硬件上執(zhí)行。例如，Bochs、Crusoe、QEMU、BIRD。8.5 計算虛擬化安全計算虛擬化安全（2）硬件級虛擬化。）硬件級虛擬化。硬件抽象層面（硬件抽象層面（Hardware Abstract Layer，HAL）虛擬化實際上與指令集）虛擬化實際上與指令集架構虛擬化非常相似，不同之處在于，這種類型架構虛擬化非常相似，不同之處在于，這種類型的虛擬化所考慮的是一種特殊情況：的虛擬化所考慮的是一種特殊情況：客戶執(zhí)行環(huán)客戶執(zhí)行環(huán)境和主機具有相同指令集合的

42、情況，境和主機具有相同指令集合的情況，并充分利用并充分利用這一個點，讓絕大多數(shù)客戶指令在主機上直接執(zhí)這一個點，讓絕大多數(shù)客戶指令在主機上直接執(zhí)行，從而大大提高了執(zhí)行速度。例如，行，從而大大提高了執(zhí)行速度。例如，VMware、Virtual PC、Denali、Xen、KVM等。等。8.5 計算虛擬化安全計算虛擬化安全（3）操作系統(tǒng)級虛擬化。）操作系統(tǒng)級虛擬化。操作系統(tǒng)虛擬化技術的關操作系統(tǒng)虛擬化技術的關鍵思想在于，操作系統(tǒng)之上的虛擬層按照每個虛擬機鍵思想在于，操作系統(tǒng)之上的虛擬層按照每個虛擬機的要求為其生成一個運行在物理機器上的的要求為其生成一個運行在物理機器上的操作系統(tǒng)副操作系統(tǒng)副本本，從而

43、為每個虛擬機提供一個完好的操作環(huán)境，并，從而為每個虛擬機提供一個完好的操作環(huán)境，并且實現(xiàn)虛擬機及其物理機器的隔離。例如，且實現(xiàn)虛擬機及其物理機器的隔離。例如，Jail、Linux內核模式虛擬化、內核模式虛擬化、Ensim。8.5 計算虛擬化安全計算虛擬化安全（4）編程語言級虛擬化。）編程語言級虛擬化。在在應用層次上創(chuàng)建一個應用層次上創(chuàng)建一個和其他類型虛擬機行為方式類似的虛擬機，并支和其他類型虛擬機行為方式類似的虛擬機，并支持一種新的自定義的指令集持一種新的自定義的指令集（如（如JVM中的中的Java字字節(jié)碼）。這種類型的虛擬機使得用戶在運行應用節(jié)碼）。這種類型的虛擬機使得用戶在運行應用程序的時

44、候就像在真實的物理機器上一樣，且不程序的時候就像在真實的物理機器上一樣，且不會對系統(tǒng)的安全造成威脅。例如，會對系統(tǒng)的安全造成威脅。例如，Java虛擬機、虛擬機、Microsoft .NET CLI、Parrot等。等。8.5 計算虛擬化安全計算虛擬化安全（5）程序庫級虛擬化。）程序庫級虛擬化。在幾乎所有的系統(tǒng)中，應在幾乎所有的系統(tǒng)中，應用程序的編寫都使用用程序的編寫都使用由一組用戶級庫來調用的由一組用戶級庫來調用的API函數(shù)集。函數(shù)集。用戶級庫的設計能夠隱藏操作系統(tǒng)用戶級庫的設計能夠隱藏操作系統(tǒng)的相關底層細節(jié)，降低普通程序員的軟件開發(fā)難的相關底層細節(jié)，降低普通程序員的軟件開發(fā)難度。創(chuàng)造了一個與

45、眾不同的虛擬環(huán)境，在底層系度。創(chuàng)造了一個與眾不同的虛擬環(huán)境，在底層系統(tǒng)上實現(xiàn)了不同的應用程序二進制接口（統(tǒng)上實現(xiàn)了不同的應用程序二進制接口（ABI）和不同的應用程序編程接口（和不同的應用程序編程接口（API）。例如）。例如WINE、WABI、LxRun、Visual MainWin。8.5 計算虛擬化安全計算虛擬化安全 3.計算虛擬化的安全計算虛擬化的安全（1）計算系統(tǒng)體系結構的改變：）計算系統(tǒng)體系結構的改變：虛擬化計算已從虛擬化計算已從完全的物理隔離方式發(fā)展到完全的物理隔離方式發(fā)展到共享式虛擬化共享式虛擬化。虛擬虛擬機監(jiān)視器機監(jiān)視器和相關具有部分控制功能的虛擬機成為和相關具有部分控制功能的虛擬機成為漏洞攻擊的首選對象。漏洞攻擊的首選對象。（2）計算機系統(tǒng)的運行形態(tài)發(fā)生了變化。）計算機系統(tǒng)的運行形態(tài)發(fā)生了變化。虛擬計虛擬計算允許用戶通過操縱文件的方式來創(chuàng)建、復制、算允許用戶通過操縱文件的方式來創(chuàng)建、復制、存儲、讀寫、共享、移植以及存儲、讀寫、共享、移植以及回溯一個機器的運回溯一個機器的運行狀態(tài)行狀態(tài)，這些極大地增強了使用的靈活性，卻，這些極大地增強了使用的靈活性，卻破破壞了原有基于線性時間變化系統(tǒng)設定的安全