第8章-云计算安全

1、第8章 云计算安全,学习任务,云计算安全概述,云计算安全体系,云计算安全关键技术,Click to add title in here,1,2,3,本章主要涉及：,4,感知识别层的安全需求和安全机制,学习任务,云计算的存储安全,计算虚拟化安全,云计算应用安全防护,Click to add title in here,4,5,本章主要涉及：,8,8.1 云计算安全概述,云计算的出现使得公众客户获得低成本、高性能、快速配置和海量化的计算服务成为可能。 但其核心技术特点（虚拟化、资源共享、分布式等）也决定了它在安全性上存在着天然隐患。 例如，当数据、信息存储在物理位置不确定的“云端”，服务安全、数据

2、安全与隐私安全如何保障？这些问题是否会威胁到个人、企业以至国家的信息安全？ 虚拟化模式下业务的可用性如何保证？,8.1 云计算安全概述,8.1.1 云计算简介 1. 概述 云计算（Cloud computing），是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。 整个运行方式很像电网，用户不再需要了解“云”中基础设施的细节，不必具有相应的专业知识，也无需直接进行控制。,8.1 云计算安全概述,云计算描述了一种基于互联网的新的IT服务增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。 在国内，云计算被定义为：“云计算将

3、计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务”。,8.1云计算安全概述,狭义的云计算：指的是厂商通过分布式计算和虚拟化技术搭建数据中心或超级计算机，以免费或按需租用方式向技术开发者或者企业客户提供数据存储、分析以及科学计算等服务，比如亚马逊数据仓库出租生意。 广义的云计算：指厂商通过建立网络服务器集群，向各种不同类型客户提供在线软件服务、硬件租借、数据存储、计算分析等不同类型的服务。,8.1 云计算安全概述,通俗的理解是，云计算的“云“就是存在于互联网上的服务器集群上的资源，它包括硬件资源（服务器、存储器、CPU等）和软件资源（如应用软件

4、、集成开发环境等）， 本地计算机只需要通过互联网发送一个需求信息，远端就会有成千上万的计算机为你提供需要的资源并将结果返回到本地计算机。,8.1 云计算安全概述,“云计算”网络拓扑图,8.1 云计算安全概述,2.云计算的技术发展 云计算（Cloud Computing）是结合： 网格计算（Grid Computing ）、 分布式计算（Distributed Computing）、 并行计算（Parallel Computing）、 效用计算（Utility Computing）、 网络存储（Network Storage Technologies）、 虚拟化（Virtualization）、

5、 负载均衡（Load Balance）等传统计算机和网络技术发展融合的产物。,8.1云计算安全概述,云计算常与以下一些技术相混淆： 网格计算（分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机，常用来执行大型任务）； 效用计算（IT资源的一种打包和计费方式，比如按照计算、存储分别计量费用，像传统的电力等公共设施一样）； 自主计算（具有自我管理功能的计算机系统）。,8.1云计算安全概述,事实上，许多云计算部署依赖于计算机集群，也吸收了自主计算和效用计算的特点。 好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，取

6、用方便，费用低廉。 最大的不同在于，它是通过互联网进行传输的。它从硬件结构上是一种多对一的结构，从服务的角度或从功能的角度它是一对多的。,8.1 云计算安全概述,3. 云计算的主要服务形式 目前，云计算的主要服务形式有： SaaS(Software as a Service)，软件即服务 ； PaaS(Platform as a Service)，平台即服务 ； IaaS(Infrastructure as a Service)， 基础设施服务。,8.1 云计算安全概述,（1） 软件即服务(SaaS) SaaS服务提供商将应用软件统一部署在自己的服务器上，用户根据需求通过互联网向厂商订购应用软

7、件服务，服务提供商根据客户所定软件的数量、时间的长短等因素收费，并且通过浏览器向客户提供软件的模式。 这种模式下，客户不再像传统模式那样花费大量资金在硬件、软件、维护人员，只需要支出一定的租赁服务费用，通过互联网就可以享受到相应的硬件、软件和维护服务。对于小型企业来说，SaaS是采用先进技术的最好途径。,8.1 云计算安全概述,（2）平台即服务(PaaS) 把开发环境作为一种服务来提供。这是一种分布式平台服务，厂商提供开发环境、服务器平台、硬件资源等服务给客户，用户在其平台基础上定制开发自己的应用程序并通过其服务器和互联网传递给其他客户。 PaaS能够给企业或个人提供研发的中间件平台，提供应用

8、程序开发、数据库、应用服务器、试验、托管及应用服务。,8.1 云计算安全概述,以Google App Engine为例，它是一个由python应用服务器群、BigTable数据库及GFS组成的平台，为开发者提供一体化主机服务器及可自动升级的在线应用服务。 用户编写应用程序并在Google的基础架构上运行就可以为互联网用户提供服务，Google提供应用运行及维护所需要的平台资源。,8.1 云计算安全概述,（3） 基础设施服务(IaaS) IaaS即把厂商的由多台服务器组成的“云端”基础设施，作为计量服务提供给客户。它将内存、I/O设备、存储和计算能力整合成一个虚拟的资源池为整个业界提供所需要的存

9、储资源和虚拟化服务器等服务。 这是一种托管型硬件方式，用户付费使用厂商的硬件设施。例如Amazon Web服务（AWS）， IBM的BlueCloud等均是将基础设施作为服务出租。,8.1 云计算安全概述,8.1.2 云计算安全概述 1. 云安全思想的来源 云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。 云安全的核心思想，与早在2003年就提出的反垃圾邮件网格非常接近。,8.1 云计算安全概述,2. 云安全的先进性 云安全是一群探针的结果上报、专业处理结果的分享； 云安全在理论上可以把病毒的传播范围控制在一定区域内！和探针的数量、存活、及病毒处理的速度有

10、关。 理想状态下，从一个盗号木马从攻击某台电脑，到整个“云安全”（Cloud Security）网络对其拥有免疫、查杀能力，仅需几秒的时间。,8.1 云计算安全概述,3. 云安全系统的难点 要想建立“云安全”系统，并使之正常运行，需要解决四大问题： 第一、 需要海量的客户端（云安全探针）。 第二、 需要专业的反病毒技术和经验。 第三、 需要大量的资金和技术投入。 第四、 可以是开放的系统，允许合作伙伴的加入。,8.1 云计算安全概述,8.1.3 物联网云计算安全 物联网的特征之一是智能处理, 指利用云计算, 模糊识别等各种智能计算技术, 对海量的数据和信息进行分析和处理, 对物体实施智能化的控

11、制。 一方面, 物联网的发展需要云计算强大的的处理和存储能力作为支撑。 另一方面,物联网将成为云计算最大的用户,为云计算取得更大商业成功奠定基石。,8.1 云计算安全概述,云计算安全防范措施,8.2 云计算安全体系,1. 云计算安全技术体系框架 对云安全研究最为活跃的组织是云安全联盟（CSA：Cloud Security Alliance）。CSA 在提出的云计算安全技术架构模型如下图。,8.2 云计算安全体系,云计算安全技术体系框架,8.2 云计算安全体系,2. 云计算的七大安全威胁 云计算的滥用、恶用、拒绝服务攻击 不安全的接口和API 恶意的内部员工 共享技术产生的问题 数据泄漏 账号和

12、服务劫持 未知的安全场景,8.3 云计算安全关键技术,1. Web 信誉服务 借助全信誉数据库，“云安全”可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数，从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。 信誉可以随时间而不断变化。,8.3 云计算安全关键技术,2. 电子邮件信誉服务 电子邮件信誉服务，按照已知垃圾邮件来源的信誉数据库检查IP 地址，同时利用可以实时评估电子邮件发送者信誉的动态服务对I P 地址进行验证。信誉评分通过对I P 地址的“行为”、“活动范围”以及以前的历史进行不断地分析而加以细化。 按照发送者的I

13、 P 地址，恶意电子邮件在云中即被拦截，从而防止僵尸或僵尸网络等We b 威胁到达网络或用户的计算机。,8.3 云计算安全关键技术,3. 文件信誉服务 文件信誉服务技术，它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单，即现在所谓的防病毒特征码。 高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。,8.3 云计算安全关键技术,4. 行为关联分析技术 通过行为分析的“相关性技术”，检查潜在威胁不同组件之间的相互关系，把威胁活动综合联系起来，确定其是否属于恶意行为。 通过把威胁的不同部分关联起来并不断更新其威胁数据库，

14、即能够实时做出响应，针对电子邮件和Web 威胁提供及时、自动的保护。,8.3 云计算安全关键技术,5. 自动反馈机制 自动反馈机制以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。 例如：趋势科技的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式，实现实时探测和及时的“共同智能”保护。,8.3 云计算安全关键技术,6. 威胁信息汇总 安全公司综合应用各种技术和数据收集方式包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。 通过“云安全”中的恶意软件数据库、服务和支持中心对威胁数据进行分析。通过724 小时的全天候威胁

15、监控和攻击防御，以探测、预防并清除攻击。,8.3 云计算安全关键技术,7. 白名单技术 作为一种核心技术，白名单与黑名单( 病毒特征码技术实际上采用的是黑名单技术思路) 并无多大区别，区别仅在于规模不同。 作为一种核心技术，现在的白名单主要被用于降低误报率。,1.云计算的数据存储安全问题包括的主要内容 （1）数据的访问控制问题 如何在数据加密的状态下进行访问控制； 如何面对大规模海量数据进行高效的访问控制； 如何在不信任云端服务的情况下确保访问控制。 （2）数据保密性问题： 如何保障用户的数据不被泄漏或被云计算供应商窥探。 用户的数据如何加密，在云端还是客户端加密，还是通过可信第三方加密。 是

16、否可能提供云加密服务，如何定义和设计这种服务。,8.4 云计算的存储安全,（3）数据完整性问题 包括存储的数据不被非法修改，数据不丢失，以及存储的可靠性问题。 数据的完整性如何验证，特别是客户端没有数据、同时又不信任云端存储的数据的情况下，验证数据的完整性。 如果保存的数据频繁的更新，数据的完整性验证便更加困难。,8.4 云计算的存储安全,2.基于属性的加密和代理重加密 （1）基于属性的加密 通常的访问控制模型是基于角色的访问控制，但是该模型通常用于没有加密的数据，或者访问控制的控制端是可信的。 Sahai与Waters在2005年提出基于属性的加密体制时，发展了传统的基于身份密码体制中关于身

17、份的概念，将身份看作是一系列属性的集合，提出了基于模糊身份的加密，基于模糊身份的目的是因为有些情况下需要只要大致具有该身份（属性）的人便可以解密数据。 一个用户能否解密密文，取决于密文所关联的属性集合与用户身份对应的访问控制结构是否匹配。,8.4 云计算的存储安全,CP-ABE（Cipertext-policy）算法模型： 参数生成算法Setup：生成公开参数PK以及主密钥MK。 加密算法CT=Encrypt(PK,M,A)：输入参数包括PK、被加密的数据M以及访问控制策略A。输出为密文CT，CT只能由那些具有满足访问控制策略A的用户才能解密。可见，在加密时已经将访问控制策略“嵌入”到密文中。

18、 密钥生成算法SK=KeyGen(MK,S)：算法输入主密钥MK以及描述密钥的属性集S，输出解密密钥SK。可见，解密密钥和其是否满足访问控制策略的属性相关。 解密算法M=Decrypt(PK,CT,SK)：输入公共参数PK，密文CT以及密钥SK，当且仅当S满足访问控制策略A，由属性集S产生的私钥SK才能解密CT，此时，算法返回明文消息M。,8.4 云计算的存储安全,（2）代理重加密 通过半可信的代理服务器，将本来是A的公钥加密的密文，重新加密成用B的公钥加密的密文。 A事先在该代理服务器上设置A到B的重加密密钥KAB，代理服务器利用该重加密密钥将以A公钥加密的密文重加密成以B公钥加密的密文。在

19、这一过程中，明文及A与B的私钥都不会暴露给代理服务器。,8.4 云计算的存储安全,3.云存储的数据保密性同态加密HE 传统加密的缺点：由于对云存储服务器不是完全信任，因而常规的办法是将这些数据发回到客户端，由客户端进行解密，然后进行相应的计算，完成后再加密上传到云存储端。带来了很大的通信开销。 同态加密（Homomorphic Encryption）是指对两个密文的操作，解密后得到的明文，等同与两个原始明文完成相同的操作。 主要的同态加密算法： 加法同态（例如Paillier算法 乘法同态（例如RSA算法） 同时对加法和简单的标量乘法同态（例如Iterated Hill Cipher，IHC算

20、法和Modified Rivests Scheme，MRS算法）。,8.4 云计算的存储安全,全同态加密算法：2009年，IBM研究员Craig Gentry在计算机理论的著名会议STOC上发表论文，提出一种基于理想格（Ideal Lattice）的全同态加密算法，全同态加密能够在没有解密密钥的条件下，对加密数据进行任意复杂的操作，以实现相应的明文操作。,8.4 云计算的存储安全,算法描述：设x和y是明文空间M中的元素，o是M上的运算，EK()是M上密钥空间为K的加密算法，称加密算法EK()对运算o是同态的，如果存在一个有效的算法A，使得： A(EK(x),EK(y)=EK(xoy) 不同运算

21、的同态加密的简单形式化描述如下： （1）加法同态：给定EK(x)和EK(y),，存在一个计算上有效的算法ADD使得 EK(x+y)=ADD(EK(x),EK(y) 即EK(x+y)可通过EK(x)和EK(y)轻易地计算出来，而不需要知道x和y。,8.4 云计算的存储安全,（2）数量乘法同态：给定EK(x)和常数t，存在一个计算上有效的算法SMUL，使得： EK(tx)=SMUL(EK(x),t) 即EK(tx)可通过EK(x)和t轻易地计算出来，而不需要知道x。 （3）乘法同态：给定EK(x)和EK(y)，存在一个计算上有效的算法MUL，使得： EK(xy)=MUL(EK(x),EK(y) 即

22、EK(xy)可通过EK(x)和EK(y)轻易地计算出来，而不需要知道x和y。 同态加密还可以运用到隐私保护的数据聚集（aggregation）上，例如智能电网中对智能电表的数据收集、无线传感器网络中感知数据的聚集等等。,8.4 云计算的存储安全,1.计算虚拟化简介 云计算的一个关键计算就是计算虚拟化技术。虚拟计算（Virtualization）技术的引入，打破了真实计算中软件与硬件之间的紧密耦合关系。 虚拟计算是相对所谓的“真实计算”而言的，“真实计算”就是将计算建立在真实计算机硬件基础之上。虚拟计算则强调为需要运行的程序或者软件营造一个需要的执行环境，程序和软件的运行不一定独享底层的物理计算

23、资源，对它而言，它只是运行在一个“真实计算”完全相同的执行环境中，而其底层的硬件可能与之前所购置的计算机完全不同。例如，VMware、Xen等都推出了虚拟化软件。,8.5 计算虚拟化安全,虚拟计算的特点： （1）保真性（fidelity）：强调应用程序在虚拟机上执行，除了时间因素外（会比在物理硬件上执行慢一些），将表现为与在物理硬件上相同的执行行为。 （2）高性能（performance）：强调在虚拟执行环境中，应用程序的绝大多数指令能够在虚拟机管理器不干预的情况下，直接在物理硬件上执行。 （3）安全性（safety）：物理硬件应该由虚拟机管理器全权管理，被虚拟出来的执行环境中的程序（包括操作

24、系统）不得直接访问硬件。,8.5 计算虚拟化安全,2.虚拟化系统的类型： （1）指令级虚拟化。通过软件方法，模拟出与实际运行的应用程序（或操作系统）所不同的指令集去执行，采用这种方法构造的虚拟机一般称为模拟器（emulator）。一个典型的计算机系统由处理器、内存、总线、硬盘驱动器、磁盘控制器、定时器、多种I/O设备等部件组成。模拟器通过将客户虚拟机发出的所有指令翻译成本地指令集，然后在真实的硬件上执行。例如，Bochs、Crusoe、QEMU、BIRD。,8.5 计算虚拟化安全,（2）硬件级虚拟化。硬件抽象层面（Hardware Abstract Layer，HAL）虚拟化实际上与指令集架构

25、虚拟化非常相似，不同之处在于，这种类型的虚拟化所考虑的是一种特殊情况：客户执行环境和主机具有相同指令集合的情况，并充分利用这一个点，让绝大多数客户指令在主机上直接执行，从而大大提高了执行速度。例如，VMware、Virtual PC、Denali、Xen、KVM等。,8.5 计算虚拟化安全,（3）操作系统级虚拟化。操作系统虚拟化技术的关键思想在于，操作系统之上的虚拟层按照每个虚拟机的要求为其生成一个运行在物理机器上的操作系统副本，从而为每个虚拟机提供一个完好的操作环境，并且实现虚拟机及其物理机器的隔离。例如，Jail、Linux内核模式虚拟化、Ensim。,8.5 计算虚拟化安全,（4）编程语

26、言级虚拟化。在应用层次上创建一个和其他类型虚拟机行为方式类似的虚拟机，并支持一种新的自定义的指令集（如JVM中的Java字节码）。这种类型的虚拟机使得用户在运行应用程序的时候就像在真实的物理机器上一样，且不会对系统的安全造成威胁。例如，Java虚拟机、Microsoft .NET CLI、Parrot等。,8.5 计算虚拟化安全,（5）程序库级虚拟化。在几乎所有的系统中，应用程序的编写都使用由一组用户级库来调用的API函数集。用户级库的设计能够隐藏操作系统的相关底层细节，降低普通程序员的软件开发难度。创造了一个与众不同的虚拟环境，在底层系统上实现了不同的应用程序二进制接口（ABI）和不同的应用程序编程接口（API）。例如WINE、WABI、LxRun、Visual MainWin。,8.5 计算虚拟化安全,3.计算虚拟化的安全 （1）计算系统体系结构的改变：虚拟化计算已从完全的物理隔离方式发展到共享式虚拟化。虚拟机监视器和相关具有部分控制功能的虚拟机成为漏洞攻击的首选对象。 （2）计算机系统的运行形态发生了变化。虚拟计算允许用户通过操纵文件的方式来