基于可信計算的縱深防護體系在云計算中的應用研究
隨著網絡應用領域不斷擴大,越來越多的人在享受網絡帶來便捷的同時,也深受各種網絡安全威脅的影響,特別是一些重要的網絡基礎設施和信息系統,當其安全性受到破壞后,將會帶來嚴重后果。隨著科技的發展,網絡攻擊越來越趨向隱蔽化,攻擊手法趨向復雜化,攻擊方式不斷更新,針對當前嚴峻的安全形勢,信息系統需要構建自我防護、主動免疫的保護框架,打造自主可控、安全可信的防護體系,實施從底層硬件到上層應用直至整個網絡的立體縱深防御 ,切實增強網絡自身防護能力。
1
網絡空間安全防護現狀
安全與入侵、防護與破解是信息安全永恒的話題。當前網絡安全問題主要包含保密性、完整性、可用性和不可抵賴性 4 個方面的內容,安全威脅涉及芯片、主板、系統軟件、應用軟件、網絡等多個環節。安全威脅產生的根本原因包括:(1)PC 軟硬件結構簡化,計算機資源被用戶任意使用,尤其是執行代碼可被隨意修改,惡意程序很容易被植入到系統中。(2)病毒程序利用操作系統對執行代碼不檢查一致性的弱點,將病毒代碼嵌入到執行代碼程序,實現病毒傳播。(3)黑客利用系統漏洞竊取超級用戶權限,植入攻擊程序,肆意進行破壞。(4)對合法的用戶沒有進行嚴格的訪問控制,使其可以進行越權訪問,產生安全事件。
當前,我國網絡信息系統采取的安全防護措施仍然無法滿足日益嚴峻的信息安全需求(如表 1 所示),現有的網絡邊界隔離、防火墻、入侵檢測以及病毒查殺等手段仍然是被動的防護手段,缺少對底層硬件平臺、上層可信應用的安全支撐,特別是這些安全防護手段的自身安全性較低,存在安全策略被篡改、防護手段被旁路的可能性,網絡安全縱深防護能力偏弱。
表 1 網絡空間信息安全防護需求
面向日新月異的安全風險,傳統的安全防護手段難以達到理想的效果,原因在于沒有從安全威脅發生的源頭即計算平臺自身著手解決問題,而是把過多的注意力放在對系統的外圍保護上。美國在《2013 財年國防授權法案》中就明確規定“下一代安全不能單純依賴于病毒掃描、入侵檢測等保護機制,要求從底層消除威脅、持續監控和配置管理,并能在入侵后及時恢復”。只有構建從底層硬件平臺到上層可信應用,直至全網安全互聯的縱深網絡空間信任體系,才能徹底改變“封堵”“查殺”的被動局面,確保各類計算平臺處于預期、穩定的安全環境,網絡應用處于可信、可控的狀態,形成覆蓋全網的主動防御、自身免疫的可信網絡空間,顯著提高網絡空間安全防護能力。
2
可信計算概述
可信計算 是當前信息安全領域里的一種以密碼學為基礎,可信芯片為信任根,主板為平臺,軟件為核心,網絡為紐帶,應用成體系的自我免疫的新型安全機制。該機制在計算終端運算的同時進行自身安全防護,使運行和計算行為在任意條件下的結果總與預期一樣,計算全程可測可控,運算和防護并存。可信計算中存在一個重要的概念——信任傳遞,其過程如圖 1 所示。主要思路是為計算機系統建立一個信任根,再建立一條信任鏈,信任由信任根開始傳到硬件平臺,到操作系統,再到應用程序,一級測量認證一級,最后將信任擴大到整個網絡空間,從而保證計算機系統和網絡的安全可信。
圖 1 可信計算信任傳遞過程
《國家中長期科學和技術發展規劃綱要(2006—2020 年)》中明確提出“以發展高可信網絡為重點,開發網絡信息安全技術及相關產品,建立信息安全技術保障體系”。目前,國家相關部門已把可信計算列為重點發展項目,可信計算體系結構及系列標準逐步制定,國內不少單位已經按照相關標準研制了芯片、整機、軟件和網絡連接等可信部件和設備,并得到了有效應用 。開展可信計算技術在物聯網、云計算、虛擬化等新興技術領域的應用研究,建立可信密碼模塊、可信硬件平臺、可信基本輸入輸出系統(Basic Input Output System,BIOS)、可信軟件基、可信網絡連接、可信計算綜合管理系統和可信應用的系統集成,提升可信計算技術與信息應用系統的兼容性、適配性、安全性和可用性,扭轉被動防御打補丁的方式,為網絡用戶提供一個更為寬廣的安全環境。
3
基于可信計算的縱深防護體系
3.1 研究思路
針對上述網絡空間安全需求,以可信為基礎,從系統整體角度進行防護,提供可信服務用于系統級的保護,以終端安全為出發點,通過信任鏈傳遞技術實現安全機制的逐步擴張,確保系統從底層硬件,到操作系統,再到上層應用,最終確保全網處于可信防護之下,進而使整個信息系統處于可控、可管狀態,避免進入非預期狀態。可信網絡安全防護如圖 2 所示。
圖 2 可信網絡安全防護
基于可信計算構建縱深防護體系,采取以下研究思路:
(1)充分將可信和傳統安全機制結合。體現可信是基礎,安全是目標,可信支撐安全的思想,通過融合可信計算、入侵檢測等安全機制為網絡中各類實體提供保密性、完整性以及不可否認性等多維安全屬性。可信網絡多維防護機制如圖 3 所示。
圖 3 可信網絡多維防護機制
(2)確立基于實體的安全防護機制。為了向系統用戶提供安全服務,應確立面向各種計算終端、服務應用和通信網絡等實體提供相應的安全服務。
(3)強化可信安全組件的隔離特性。盡量減少可信安全組件與其他安全應用間的不必要交互,尤其是潛在危險交互,從而方便可信度量,維持組件在運行過程中的可信免疫狀態。
3.2 體系框架
在綜合考慮多維安全防護需求,以及基于實體的安全防護對象的基礎上,構建以可信計算基、可信軟件棧以及可信網絡連接 3 個組件為安全基礎的縱深防護框架,如圖 4 所示。該框架能夠有效實施多層隔離和保護,以避免因某一薄弱環節影響整體安全,并防止外部攻擊。
圖 4 基于可信計算的縱深防御方案體系框架
整個防護框架以可信計算平臺為安全基礎,搭建可信應用環境,對終端硬件、應用以及網絡進行可信驗證度量,從而構建一條從底層硬件到上層應用再到網間互聯的安全信任鏈,最終實現整個網絡空間的安全可靠運行,實現以下安全防護功能:(1)杜絕終端硬件以及操作系統被旁路的隱患。(2)確保傳統安全機制可信。(3)對各類應用進行可信驗證,有效杜絕網絡病毒、惡意篡改等非授權行為。(4)在網絡互聯過程中,該框架能夠提供可信度量、完整性驗證等機制,確保網間可信連接。
通過該防護框架,可以在網絡空間中為用戶身份、運行環境、應用程序、業務數據、網絡互聯提供可信機制,從而使系統具有自我免疫能力,能夠防御病毒和黑客攻擊,以及阻止內部人員的違規操作和惡意攻擊。可信安全防護范圍如下文所述。
(1)用戶身份的可信:確保用戶身份的唯一性、合法性。
(2)運行環境的可信:平臺資源配置的完整性、正確性。
(3)應用程序的可信:應用程序的完整性、合法性。
(4)業務數據的可信:重要數據存儲、處理及傳輸的機密性、完整性。
(5)網絡互聯的可信:平臺間的可驗證性。
3.3 運行流程
根據安全防護框架的功能組成,當網絡空間中的終端計算機需要加入其他網絡中的某個安全域并向該域獲取服務時,可經過終端可信啟動、可信應用驗證以及安全網絡度量 3 個階段獲取可信應用服務,在整個過程中借助可信計算安全機制確保相關網絡實體的安全運行。基于可信計算的縱深防御方案體系框架運行流程如圖 5 所示。
圖 5 基于可信計算的縱深防御方案體系框架運行流程
(1)終端可信啟動。終端實體加電后,通過主板內嵌的可信模塊建立信任根,經過加載可信驅動程序、可信 BIOS、可信硬件系統等一系列步驟,確保終端主機安全可靠,如加載失敗,則對終端主機進行檢測,排除硬件故障,直到主機成功啟動。
(2)可信應用驗證。終端實體啟動成功后,可信軟件棧調用可信計算模塊的安全接口為上層應用提供可信驗證與安全防護,當上層應用被驗證通過后就可以向網絡發送服務請求,否則該應用被禁止運行。
(3)安全網絡度量。當終端系統需要進行網絡連接時,可以通過可信網絡連接組件對目標網絡的可信狀態進行度量評估,在確保目標網絡安全后進行連接,并獲取該網絡的對應服務。
4
可信縱深防護體系在云計算中的應用
4.1 云計算安全防護需求
云計算作為當前世界信息技術領域影響力最大的技術之一,其快速發展和廣泛應用給軍事、政治、社會生活等各個方面帶來了顛覆性的影響和變化。云計算提供了一種新的技術架構和資源使用模式,將網絡、計算、存儲、數據和應用等資源都在虛擬化和資源池化的環境中運行,以動態、彈性的方式向用戶提供服務的計算模式和商業模式,保證系統可靠性、健壯性的同時,節約了能源和資源,已成為當前信息化建設的重要發展方向。然而,這種開放和虛擬化的資源使用方式給用戶帶來極大便利的同時,也給計算平臺和用戶間的安全性帶來了較多安全隱患 ,云計算環境下資源虛擬化、數據集中化和分布式存儲的特點給信息系統的安全防護帶來了新的挑戰,安全問題已經成為云計算產業健康發展的最大障礙。
針對云計算架構,彈性網絡中大量的東西向、南北向流量,以及云端數據和應用的大規模集中,使得云成為高度復雜的系統,同時也面臨著傳統安全問題,如數據泄露、惡意代碼、非法訪問、拒絕服務攻擊、賬戶劫持、不安全的應用程序編程接口(Application Programming Interface,API)等,具體如下:
(1)云服務不可信帶來的信息安全風險,使得數據存儲、使用、刪除和重用等階段均存在安全問題。
(2)共享技術漏洞引入的虛擬化安全風險,使得虛擬化系統的虛擬化管理組件、虛擬機操作系統、虛擬機監視器等功能組件均存在安全問題。
(3)多租戶模式帶來的數據泄露風險,使得惡意租戶可以通過共享資源對其他租戶和云計算基礎設施進行攻擊。
(4)云平臺被惡意使用帶來的運營安全風險,導致攻擊者可以利用接口侵入云環境,組織攻擊行為。
(5)身份驗證機制薄弱,導致入侵者可輕松獲取用戶賬號并登錄客戶的虛擬機。
(6)Hypervisor 管理員不可信,虛擬化環境超級管理員權限大,同時具備虛擬資源、網絡、賬號等各種資源管理能力。
在云計算環境中,當計算數據或所提供服務具有敏感性時,需要對云計算平臺是否可靠、服務是否安全、用戶接入是否合法等提出較高要求。因此,需要為云計算平臺和用戶提供上至服務授權訪問、下至底層硬件平臺的縱深安全防護。云計算網絡拓撲結構如圖 6 所示,工業云用戶通過網絡接入云數據中心,獲取相應云服務,并采取防火墻、入侵檢測、病毒查殺以及安全登錄等手段確保安全提供服務。
圖 6 云計算網絡拓撲結構
4.2 云計算可信安全體系構建
采用“云-網-端”架構,從云數據中心、云終端、云和端之間網絡連接 3 個方面提出云計算縱深可信安全防護模型,如圖 7 所示。其中,云數據中心是防護的重中之重,主要按照基礎設施層、云平臺層、業務應用層等分層實施可信防護,基于可信安全域實現不同租戶資源和數據的安全隔離和防護。
圖 7 云計算縱深可信安全防護模型
(1)對使用者的可信控制:只有合法并符合可信要求的用戶才能夠通過可信云終端訪問權限驗證。
(2)對平臺運行環境的可信控制:只有網絡、計算、存儲等基礎設施配置正確才能夠啟動云計算平臺。
(3)對應用程序的可信控制:只有云應用程序的完整性和合法性合乎規則才能夠運行使用。
(4)網絡環境下平臺之間的可信控制:只有計算終端在平臺上完成可信驗證后才能互聯互通。
云計算縱深防護應用具有身份認證可信增強、軟硬件環境安全檢查、運行控制、行為審計等功能,通過將可信計算與傳統安全防護手段相結合的方式,解決用戶非法登錄、系統惡意篡改、敏感信息泄露、軟件非法安裝及運行等安全問題,保障信息系統的可控運行,使平臺與網絡、應用防護手段共同組成一個深層的、主動的、立體的縱深可信安全防護體系,實現云應用的安全可靠、訪問行為的可管可控、數據存儲的安全可靠和隱私保護、信息共享交換的可信安全等目標。
4.3 云平臺可信安全增強機制應用分析
根據云計算平臺的網絡結構,需要對各類云計算服務器和重點用戶登錄終端安裝可信計算平臺來確保終端硬件的安全可靠,并在網絡內部增加可信安全管理中心來對各類可信平臺以及相關云服務進行安全管理,設定相關安全策略并下發全網;在云計算平臺各類核心服務器上層增加訪問控制代理來對訪問用戶進行授權訪問控制;在網絡連接中增加平臺可信度量,確保只有滿足安全策略的終端才能接入網絡;為了確保各類用戶具有權威的訪問憑證,在網絡中增加數字證書認證中心,作為網絡用戶訪問各類云服務的憑證管理中心。
增強后的云計算平臺如圖 8 所示,在平臺的軟硬件層面均有相應的可信計算安全機制進行防護,特別是當用戶對云計算平臺進行服務訪問時,在對接入進行可信驗證后,通過證書來確保用戶授權的合法可靠和接入控制。
圖 8 可信安全增強云計算網絡拓撲結構
4.4 云服務安全訪問授權機制應用分析
訪問授權是云計算用戶與計算中心之間的重要安全環節,在確保用戶通過可靠的網絡連接到云計算中心后,用戶與計算中心之間可以通過可信訪問授權代理進行授權決策,授權代理通過信任協商機制驗證服務請求方所擁有的證書與數據訪問控制策略的匹配情況,從而進行授權決策。下面以天氣預報訪問場景為例,以云用戶申請云數據中心進行數據計算為背景,具體介紹訪問授權過程。
(1)授權場景描述。天氣預報中心在進行天氣預報計算時需要調用云計算平臺的計算資源,此時該中心可信終端里的數據計算軟件通過專網可信連接的方式向云計算平臺所屬的天氣預報數據計算中心的可信訪問授權代理發送數據計算請求,從而觸發了授權代理的授權決策進程,然后雙方通過信任協商的方式決定數據訪問授權結果。
(2)訪問授權過程。根據天氣預報數據計算中心對數據計算服務所設定的數據訪問控制策略,雙方通過信任協商的方式,交互披露憑證,如果天氣預報中心擁有的憑證(如表 2 所示)能夠滿足訪問控制策略,則獲取計算服務提供方的授權;如果在披露過程中缺少相應的憑證,則需要向相關證書頒發機構進行證書申請,直至滿足數據訪問控制策略。
表 2 協商雙方憑證擁有情況
根據數據計算中心對天氣預報數據計算服務設定的訪問控制策略(如表 3 所示),天氣預報中心要想獲取數據計算服務 S,必須擁有憑證集合
由于雙方所擁有的憑證需要在滿足一定條件下才能出示給對方,所以在出示憑證時需要通過信任協商的方式來決定授權,雙方經過 8 輪協商如圖 9 所示,在滿足協商雙方各自憑證訪問控制策略的前提下,通過構建
的 憑 證 披 露序列,天氣預報中心向數據計算中心出示了憑證集合
從而獲取到數據計算服務授權。
表 3 資源訪問控制策略
注:
當對方出示憑證
后才出示憑證
表示憑證
可無條件出示對方。
圖 9 信任協商具體過程
5
結 語
針對當前眾多新興網絡和分布式計算模式面臨著多樣化漏洞威脅和高強度網絡攻擊,積極采取信息安全領域新理論、新技術,建立基于可信計算的軟硬件可信環境,構建網絡空間縱深主動防護體系,能夠最大限度地確保網絡空間安全。可信計算的應用涉及可信密碼模塊、可信固件、可信系統軟件、可信網絡連接、可信應用、可信綜合管理系統及可信應用系統等多個環節,尤其針對云平臺上的可信計算環境構建問題,本文選擇了云平臺可信增強、云服務授權訪問兩個典型的應用場景,后續尚需探索虛擬信任鏈傳遞、可信資源管理、虛擬機可信創建及遷移、云平臺可信遠程證明等可信技術,適應云計算虛擬化、按需分配服務、可動態伸縮等基本特征,改造傳統信息系統軟硬件適配云平臺,采取安全防護和云平臺一體設計,進一步實現云平臺自身防護和對外提供服務的安全性提升,確保網絡空間安全可信可管可用。
