iaas云計(jì)算基礎(chǔ)設(shè)施的信任管理研究

iaas云計(jì)算基礎(chǔ)設(shè)施的信任管理研究

1資源池信任模型在網(wǎng)絡(luò)時(shí)代，人類社會(huì)面臨著越來越復(fù)雜的問題，需要越來越強(qiáng)大的計(jì)算系統(tǒng)來支持解決問題。由此,IT基礎(chǔ)設(shè)施的規(guī)模越來越大,形成了大量的規(guī)模在萬個(gè)節(jié)點(diǎn)以上的數(shù)據(jù)中心和集群系統(tǒng)。如此龐大的基礎(chǔ)設(shè)施,其管理成本和復(fù)雜度遠(yuǎn)遠(yuǎn)超越傳統(tǒng)小型數(shù)據(jù)中心的成本和復(fù)雜度。要有效地利用如此大規(guī)模的基礎(chǔ)設(shè)施,必須要有一個(gè)高效的方法,能夠把大規(guī)模技術(shù)設(shè)施以及相關(guān)的資源進(jìn)行自動(dòng)化的、動(dòng)態(tài)的管理和控制。大規(guī)模、分布式基礎(chǔ)設(shè)施以及橫向擴(kuò)展的系統(tǒng)在這種情境下成為了一個(gè)必然的趨勢(shì),由此推動(dòng)了云計(jì)算的形成。云計(jì)算是指將大規(guī)模的IT資源通過互聯(lián)網(wǎng)按需快速地交付給用戶的服務(wù)模式。IaaS云服務(wù)為用戶提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)及其他底層的計(jì)算資源,用戶能夠根據(jù)自己的需要在這些計(jì)算資源上面部署運(yùn)行任何軟件資源,包括操作系統(tǒng)及其他各種應(yīng)用程序。通常的做法是將物理資源通過虛擬化方式轉(zhuǎn)化為虛擬資源,例如虛擬機(jī)。虛擬化技術(shù)將物理IT資源轉(zhuǎn)化為以虛擬機(jī)形式交付給用戶的IT基礎(chǔ)設(shè)施資源池。資源池化管理模型的目的是資源的動(dòng)態(tài)管理和隱藏單個(gè)物理資源的細(xì)節(jié),從而能夠輕易獲取IT基礎(chǔ)設(shè)施。所以資源池化管理模型要求同一個(gè)資源池的所有資源對(duì)終端用戶展示相同的屬性,在為用戶準(zhǔn)備新的IT資源時(shí)通常是隨機(jī)選擇一個(gè)空閑狀態(tài)的虛擬機(jī)交付給用戶。這種隨機(jī)性帶來的限制就是用戶不能夠自行選擇承載虛擬機(jī)的物理資源。在大多數(shù)情況下這沒有什么問題,但是對(duì)于一些安全性要求很高、只能被可信的物理資源承載的服務(wù)來說,是不可接受的。即使服務(wù)最初被部署在了一些可信的物理主機(jī),但是在服務(wù)的整個(gè)生命周期內(nèi)用戶并沒有足夠的措施確保服務(wù)一直被這些可信物理主機(jī)承載。例如,一個(gè)虛擬機(jī)所在的物理主機(jī)出現(xiàn)硬件失效問題需要被遷移到另一臺(tái)物理主機(jī),用戶不能決定這個(gè)虛擬機(jī)被遷移到具體某個(gè)可信的物理主機(jī)。這會(huì)潛在地導(dǎo)致部署用戶服務(wù)的虛擬機(jī)被不可信的物理主機(jī)所承載,違背服務(wù)對(duì)安全性的要求。本文針對(duì)物理資源與物理資源上運(yùn)行的服務(wù)之間的信任需求,提出一種基礎(chǔ)設(shè)施資源池導(dǎo)向的信任管理機(jī)制,將選定的可信物理主機(jī)組織為一個(gè)可信集群,并在物理主機(jī)之間建立信任關(guān)系。物理主機(jī)可以加入或者退出集群,集群成員之間可以進(jìn)行信任驗(yàn)證。這樣可信集群變?yōu)榭尚刨Y源池,即便是在資源池化管理的云環(huán)境中也能夠確保關(guān)鍵服務(wù)被可信主機(jī)所承載。2可信任程度低現(xiàn)有的資源信任的管理主要是通過可信計(jì)算來完成,依靠物理硬件,通過測(cè)量系統(tǒng)的完整性來確認(rèn)系統(tǒng)是否有被非法修改,然后構(gòu)造完整的信任鏈來確認(rèn)上層應(yīng)用的可信任程度。硬件依賴的方式在很多情景受限,主要是其硬件綁定以及暴露部分硬件信息。有部分研究在針對(duì)信任管理過程中隱私保護(hù)的問題開展,建議利用群加密、秘密共享和門限加密等方式進(jìn)行。2.1支持遠(yuǎn)程驗(yàn)證協(xié)議安全加密芯片TPM被廣泛用來構(gòu)建可信計(jì)算系統(tǒng)。TPM記錄系統(tǒng)啟動(dòng)過程每一階段的完整性信息,建立從硬件層到引導(dǎo)程序再到系統(tǒng)軟件層的信任鏈。在系統(tǒng)下一次啟動(dòng)的時(shí)候獲取啟動(dòng)過程每一階段的完整性信息并與已經(jīng)保存的信息進(jìn)行比對(duì),僅當(dāng)比對(duì)一致才進(jìn)行下一階段的啟動(dòng)。TPM還支持通過遠(yuǎn)程驗(yàn)證協(xié)議,允許對(duì)可信計(jì)算系統(tǒng)的完整性進(jìn)行遠(yuǎn)程驗(yàn)證。Berger、Danev和Masti等人還研究了虛擬TPM,目的在于為虛擬機(jī)提供可信計(jì)算支撐。但是依托TPM構(gòu)建的可信計(jì)算系統(tǒng)是單點(diǎn)可信的,兩個(gè)可信計(jì)算系統(tǒng)之間沒有信任關(guān)系。這使得虛擬機(jī)在遷移過程中存在信任鏈的撤銷和重建問題,不適用于資源池化管理模型的IaaS云服務(wù)。2.2生成群密鑰結(jié)構(gòu)Kim提出一種多方貢獻(xiàn)產(chǎn)生群密鑰的安全群組交互協(xié)議。群組成員共享一個(gè)樹狀密鑰結(jié)構(gòu)產(chǎn)生群密鑰。但是在群組成員加入或者退出群組時(shí),必須更新群密鑰。這使得用群密鑰加密的密文在密鑰更新后全部失效,而且群密鑰是對(duì)稱密鑰,不能用來產(chǎn)生簽名。2.3秘密共享秘密共享允許一個(gè)秘密信息被分隔成多份由不同位置的實(shí)體保存,只有滿足一定數(shù)量的實(shí)體同時(shí)貢獻(xiàn)出自己的那份秘密才能夠重現(xiàn)完整的秘密。這樣秘密的完整性和機(jī)密性得到很好的保護(hù),攻擊者必須獲取多份秘密才能知道秘密,增加了攻擊難度。Herzberg提出的主動(dòng)秘密共享方案支持對(duì)秘密周期性更新同時(shí)不改變共享的秘密;Boneh提出的撤銷公鑰證書的方案其實(shí)是一種變相的秘密共享方案:將一個(gè)私鑰作為秘密分割為兩份,一份由簽名者保存,另一份由可信第三方保存。如果簽名要用私鑰簽名,必須從可信第三方獲取另一份秘密才能還原私鑰完成簽名。這樣,可信第三方通過拒絕發(fā)送秘密給簽名者,從而撤銷簽名者的簽名能力。Zhao延續(xù)這一思路并提出一種分布式密鑰管理方案,用來實(shí)現(xiàn)基于角色的安全消息傳遞協(xié)議。然而,這兩個(gè)方案都需要第三方參與才能撤銷簽名者的簽名能力。秘密共享不適用于資源池化管理模型中信任管理對(duì)安全特性的要求。因?yàn)槊孛芄蚕硎菫榱吮Ｗo(hù)一個(gè)秘密,而不是為了在多個(gè)實(shí)體之間建立信任關(guān)系。門限公鑰加密系統(tǒng)將一對(duì)非對(duì)稱密鑰的私鑰分割到多個(gè)解密服務(wù)器。至少需要一定數(shù)量的解密服務(wù)器同時(shí)參與才能完成一次對(duì)密文的解密。解密過程中解密服務(wù)器沒有交互,他們之間同樣沒有信任關(guān)系。3主機(jī)的添加方式一個(gè)IaaS云的基礎(chǔ)設(shè)施是一個(gè)或多個(gè)由物理主機(jī)組成的集群。根據(jù)具體的應(yīng)用情景,物理主機(jī)也許是可信的也許是不可信的。IaaS云服務(wù)將集群轉(zhuǎn)化為可以快速交付IT資源給用戶的資源池。如果在IaaS云中部署一個(gè)服務(wù),根據(jù)需要這個(gè)服務(wù)將被安裝到若干個(gè)虛擬機(jī)。在服務(wù)部署的時(shí)候,云會(huì)從資源池中選擇空閑的物理主機(jī)創(chuàng)建虛擬機(jī),由這些虛擬機(jī)承載服務(wù)的運(yùn)行。隨著服務(wù)負(fù)載的變化,部署服務(wù)的虛擬機(jī)也會(huì)做相應(yīng)調(diào)整。例如,虛擬機(jī)可能被遷移到另一個(gè)物理主機(jī),或者在空閑的物理主機(jī)創(chuàng)建新的虛擬機(jī)承載服務(wù),或者一些虛擬機(jī)被中止運(yùn)行,資源回收后等待再次分配。出于安全考慮,對(duì)安全性要求很高的服務(wù)只能被可信的物理主機(jī)承載。所以,為了確保服務(wù)能夠滿足較高的安全要求,新創(chuàng)建的虛擬機(jī)必須被部署到可信的物理主機(jī),并且現(xiàn)有的虛擬機(jī)只能被遷移到可信的物理主機(jī)。一種實(shí)現(xiàn)以上提到的安全需求的方法是創(chuàng)建一個(gè)所有成員主機(jī)間具有信任關(guān)系的可信集群。只有能夠滿足服務(wù)安全要求的主機(jī)才允許加入可信集群,部署服務(wù)的所有虛擬機(jī)都被限制在這個(gè)可信集群內(nèi)的物理主機(jī)上運(yùn)行。具體來說,新創(chuàng)建的部署此服務(wù)的虛擬機(jī)都應(yīng)當(dāng)由可信集群的成員主機(jī)所承載,集群內(nèi)部署此服務(wù)的虛擬機(jī)只能遷移到可信集群的成員主機(jī)。一個(gè)用戶的服務(wù)會(huì)被部署在由多個(gè)成員主機(jī)組成的可信集群上,所以物理主機(jī)需要能夠匿名地證明自己的集群成員身份,防止攻擊者追蹤集群成員主機(jī)的真實(shí)身份。圖1展示了可信集群的應(yīng)用情景。(1)可信集群可以按需動(dòng)態(tài)地被創(chuàng)建。不同的服務(wù)有不同的安全要求,所以物理主機(jī)擁有的信任有不同的含義。可信集群應(yīng)當(dāng)根據(jù)服務(wù)的具體安全要求而創(chuàng)建。(2)主機(jī)可以動(dòng)態(tài)地加入或者離開一個(gè)集群。(3)成員主機(jī)可以匿名的證明自己擁有可信集群的成員身份。4可靠的集體模型4.1可信集群可信集群由一些遵循特定的安全限制并且能夠加入或退出集群的可信的物理主機(jī)組成。一個(gè)集群是否是可信的取決于將要在集群上面部署的用戶服務(wù)對(duì)安全的要求?？尚偶河梢粋€(gè)群管理員和多個(gè)集群成員主機(jī)組成。假設(shè)G是群管理員,M={m1,m2,…,mn}是集群成員主機(jī)的集合,mi(1<i<n)是集群成員主機(jī),(G,M)是可信集群。G建立并維護(hù)集群秘密sG(secretofGroup)。G根據(jù)將要在集群上面部署的用戶服務(wù)的安全要求制定針對(duì)物理主機(jī)的安全策略,對(duì)可信集群施加嚴(yán)格的成員管理。只有滿足安全策略的物理主機(jī)才允許加入可信集群,G為其產(chǎn)生并發(fā)送sG。同時(shí),G也允許現(xiàn)有集群成員離開集群。G還維護(hù)一個(gè)真實(shí)身份記錄表,記錄每個(gè)成員的真實(shí)身份,在必要的時(shí)候能夠追蹤集群成員主機(jī)的真實(shí)身份。sGi代表集群成員主機(jī)mi獲取的sG,同時(shí)也是集群成員主機(jī)之間信任關(guān)系的基礎(chǔ)。集群成員主機(jī)之間通過驗(yàn)證sGi的真實(shí)性來確認(rèn)對(duì)方是否屬于可信集群,從而建立信任關(guān)系。在加入可信集群之前,集群成員主機(jī)是普通的物理主機(jī)。假設(shè)pi代表物理主機(jī),pi加入可信集群之前,需要向G發(fā)送自己的真實(shí)身份和安全屬性給G并向G請(qǐng)求sGi。G根據(jù)安全策略和pi的安全屬性決定pi是否可信。如果可信,G為pi產(chǎn)生sGi并返回給pi。在獲取sGi后,pi就正式加入可信集群,成為mi。pi代表提供CPU、內(nèi)存、網(wǎng)絡(luò)等物理IT資源。pi如果滿足G的安全策略就可以加入集群。4.2可信集群部署首先,可信集群成員主機(jī)之間擁有匿名的可驗(yàn)證信任關(guān)系。匿名的可驗(yàn)證信任關(guān)系是指集群成員之間能夠通過驗(yàn)證對(duì)方的sG而建立起信任關(guān)系,但是驗(yàn)證過程又不會(huì)暴露對(duì)方的真實(shí)身份,實(shí)現(xiàn)對(duì)集群成員真實(shí)身份的隱藏。匿名的可驗(yàn)證信任關(guān)系對(duì)IaaS云服務(wù)來說是十分必要的。由于可信集群是IaaS云服務(wù)的物理基礎(chǔ)設(shè)施,匿名的可驗(yàn)證信任關(guān)系使得可信集群內(nèi)的物理主機(jī)表現(xiàn)出統(tǒng)一的信任驗(yàn)證屬性,便于實(shí)施統(tǒng)一的信任驗(yàn)證過程。相較于以TPM為可信基的單點(diǎn)可信平臺(tái),不僅能夠簡(jiǎn)化驗(yàn)證過程,而且防止集群成員的真實(shí)身份遭受身份追蹤攻擊。其次,可信集群的建立是面向用戶服務(wù)的。用戶需要以虛擬機(jī)形式交付的IT基礎(chǔ)設(shè)施來部署服務(wù),部署用戶服務(wù)的虛擬機(jī)只由一個(gè)可信集群提供;一個(gè)可信集群也只為一個(gè)用戶服務(wù)提供虛擬機(jī),可信集群與用戶服務(wù)是一對(duì)一的關(guān)系?？尚偶罕辉O(shè)計(jì)為允許集群成員加入和退出,同時(shí)不影響現(xiàn)有成員之間的信任關(guān)系。通過在可信集群范圍內(nèi)對(duì)虛擬機(jī)實(shí)施統(tǒng)一調(diào)度分配,就能構(gòu)建起動(dòng)態(tài)可伸縮的虛擬機(jī)資源池。4.3可靠的集群操作可信集群的操作包括建立集群,成員加入和退出,建立信任關(guān)系,真實(shí)身份追蹤。(1)群體規(guī)模的建立G先初始化相關(guān)系統(tǒng)參數(shù),然后G根據(jù)服務(wù)的安全要求而制定針對(duì)物理主機(jī)的安全策略。(2)組建可信集群假設(shè)(pi,ID)->G表示pi請(qǐng)求加入可信集群并將自己的真實(shí)身份ID發(fā)送給G;V(G,pi)表示G驗(yàn)證pi的安全屬性是否滿足安全策略;R(G,ID,sGi)表示G記錄pi的真實(shí)身份與其對(duì)應(yīng)的sGi到身份記錄表;G->(pi,sGi)表示G為pi產(chǎn)生sGi并發(fā)送給pi;mi=pi+sGi,(G,M)=(G,M)+mi表示mi正式加入可信集群,則成員的加入可以表示為如果集群成員要退出集群,群管理員就撤銷集群成員的集群秘密,從而撤銷集群成員的成員資格。假設(shè)X(G,mi)表示G撤銷成員mi的sGi,那么成員退出可信集群的過程可以表示為(3)gm是否可信假設(shè)Y(mi,mj,sGj)(i≠j)表示mi通過驗(yàn)證mj的sG的真實(shí)性來判斷mj是否可信;mi->mj表示mi信任mj;mi<->mj表示mi和mj相互信任,則mi和mj建立信任關(guān)系的過程可以表示為當(dāng)且僅當(dāng)mi->mj和mj->mi,有mi<->mj。(4)簽名者的真實(shí)身份如果驗(yàn)證者對(duì)群簽名有任何的懷疑或爭(zhēng)議,可以請(qǐng)求群管理員曝光簽名者的真實(shí)身份。假設(shè)I(mi,sGj)->G表示mi將mj的sGj發(fā)送給G,請(qǐng)求mj的真實(shí)身份,則身份追蹤的過程可以表示為ID->mi;ID就是mj的真實(shí)身份。5群簽名的生成周宣武提出一種基于有限域上的橢圓曲線動(dòng)態(tài)群簽名方案,能夠?qū)崿F(xiàn)上述的可信集群原型系統(tǒng)方案。假設(shè)E:y2=x3+ax+b(a,b∈Fq,4a3+27b2(modq)≠0)是一個(gè)有限域上的橢圓曲線(q是n比特的素?cái)?shù))。(Fq,a,b,P,l)是安全參數(shù)。P∈E(Fq)是E上的一個(gè)基點(diǎn),它的階l是一個(gè)大素?cái)?shù)。#E(Fq)是橢圓曲線的階,有一個(gè)值很大的素?cái)?shù)因子。h(x)是一個(gè)安全的單向哈希函數(shù)。(Q)x將橢圓曲線E上的一點(diǎn)Q(x,y)轉(zhuǎn)換為橫坐標(biāo)值x。群管理員有一對(duì)非對(duì)稱密鑰(Gpub=GpriP,Gpri),其中Gpri是Z*I的一個(gè)隨機(jī)值。群管理員為加入的群成員利用自己的私鑰產(chǎn)生匿名身份證書,匿名身份證書包含群成員的匿名身份,只有群管理員才能產(chǎn)生合法的匿名身份證書,代表了群成員的集群身份。群管理員還維護(hù)一個(gè)身份記錄表,用來記錄群成員的真實(shí)身份(ID)和匿名身份(BID)的對(duì)應(yīng)關(guān)系。群成員能夠代表群產(chǎn)生群簽名,群成員之間通過驗(yàn)證群簽名而建立信任關(guān)系。產(chǎn)生群簽名需要兩個(gè)先決條件。首先,群成員需要有自己的一對(duì)非對(duì)稱密鑰(Kpub=kpriP,kpri),其中kpri是Z*I的一個(gè)隨機(jī)值;其次,群成員還需要擁有群管理員產(chǎn)生的匿名身份證書;在加入群組的時(shí)候,群成員將自己的ID發(fā)送給群管理員并請(qǐng)求匿名身份證書。獲取到群管理員產(chǎn)生的匿名身份證書以后,群成員就正式加入群組,可以產(chǎn)生合法的群簽名。群成員產(chǎn)生群簽名涉及kpri、Gpub、ID、BID。假設(shè)GSig(m)表示消息m的群簽名,那么GSig(m)=(m,kpri,Gpub,ID,BID)。驗(yàn)證群簽名的過程分兩步。驗(yàn)證者利用匿名身份證書先驗(yàn)證BID的真實(shí)性,這一步驗(yàn)證這個(gè)群簽名是否由合法的群成員產(chǎn)生的;然后再利用簽名者的公鑰Gpub驗(yàn)證群簽名其他部分的真實(shí)性,這一步驗(yàn)證群簽名的真實(shí)性。如果驗(yàn)證通過,那么驗(yàn)證者就相信這個(gè)群簽名是由合法的群成員產(chǎn)生的合法的群簽名,從而相信這個(gè)消息的真實(shí)性。由于群管理員記錄了每一個(gè)群成員的真實(shí)身份和匿名身份的對(duì)應(yīng)關(guān)系,在必要的時(shí)候,驗(yàn)證者可以將簽名者的BID發(fā)送給群管理員,請(qǐng)求簽名者的ID。群管理員查找相應(yīng)的身份記錄并返回驗(yàn)證者。如果成員退出集群,群管理員對(duì)群組廣播一個(gè)消息,宣布退出成員的BID不再有效。群管理員用自己的私鑰對(duì)這個(gè)消息簽名,防止攻擊者惡意的發(fā)布不實(shí)的退出消息。這個(gè)動(dòng)態(tài)的群簽名方案支持成員的加入和退出,并能夠?qū)崿F(xiàn)群成員之間匿名的信任驗(yàn)證。匿名身份證書對(duì)應(yīng)于本文提出的可信集群的群秘密,只有擁有合法的匿名身份證書的群成員才能產(chǎn)生合法的群簽名,所以群簽名可以實(shí)現(xiàn)匿名的信任驗(yàn)證。另外,這個(gè)動(dòng)態(tài)群簽名還支持真實(shí)身份追蹤,符合本文提出的可信集群的安全要求。6云平臺(tái)在存儲(chǔ)可信集群上的服務(wù)部署公安部門在建設(shè)公安云過程中,通過對(duì)基礎(chǔ)設(shè)施進(jìn)行虛擬化后,完成基礎(chǔ)設(shè)施資源的基本的能力封裝、物理抽象和管理支撐。虛擬化后的基礎(chǔ)設(shè)施可以利用多租戶和動(dòng)態(tài)資源分配來進(jìn)行資源的池化管理。資源的池化管理能夠在運(yùn)行時(shí)刻動(dòng)態(tài)地調(diào)整資源的分配量,回收閑置資源,增加資源貧乏的服務(wù)的資源分配量,使得滿足業(yè)務(wù)資源消耗的同時(shí),減少資源的浪費(fèi),提升資源的利用效率。在池化管理的基礎(chǔ)上,虛擬機(jī)無法指定其具體運(yùn)行的環(huán)境,也無法綁定具體的物理設(shè)備,以滿足特殊的運(yùn)行要求和安全要求。通過可行集群的構(gòu)造,可以根據(jù)不同的安全要求,構(gòu)造不同的可行集群。并且利用可行集群作為安全邊界,控制虛擬化資源的部署位置,實(shí)現(xiàn)信任管理。圖2展示了一個(gè)基于可信集群的公安云服務(wù)的部署案例。不同的公安業(yè)務(wù)的云服務(wù),有不一樣的安全需求。數(shù)據(jù)證據(jù)存管云服務(wù)對(duì)存儲(chǔ)的保密性和可靠性要求高,其部署要求有冗余存儲(chǔ)的支撐。因此,在冗余存儲(chǔ)的基礎(chǔ)上,云平臺(tái)構(gòu)建了存儲(chǔ)可信集群。數(shù)據(jù)證據(jù)存管云服務(wù)部署在存儲(chǔ)可信集群之上。應(yīng)急指揮云服務(wù)對(duì)應(yīng)急指揮過程中的通信的安全要求高,需要有穩(wěn)定的、安全私密通道來服務(wù)應(yīng)急指揮過程中的通信需要。在VLAN等基礎(chǔ)的支撐下,云平臺(tái)構(gòu)造了通信可信集群。該集群提供應(yīng)急指揮過程中需要的通信安全保障。針對(duì)一般的業(yè)務(wù)系統(tǒng),云平臺(tái)構(gòu)造一般的集群,滿足一般的業(yè)務(wù)系統(tǒng)的需