劉亮龍

摘要：云計(jì)算被業(yè)界視為互聯(lián)網(wǎng)產(chǎn)業(yè)的一次革命，但云計(jì)算安全問題的解決與否以及如何解決，將會(huì)直接決定著其未來的發(fā)展。分析了云計(jì)算安全威脅來源，探討了IaaS、PaaS、SaaS的安全；以博弈論的觀點(diǎn)建立了云服務(wù)提供商與攻擊者之間攻防博弈模型，分析了雙方的策略組合及收益，為解決云安全問題提供了決策依據(jù)。

關(guān)鍵詞：云計(jì)算；安全；博弈

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）34-8130-02

1 概述

近年來，云計(jì)算技術(shù)迅猛發(fā)展，在社會(huì)各領(lǐng)域的應(yīng)用逐步興起，但安全問題同時(shí)隨之產(chǎn)生。由于用戶數(shù)據(jù)的存儲(chǔ)，處理和保護(hù)等操作都是在云中完成的，這就不可避免地使用戶的數(shù)據(jù)處于一種可能被破壞和竊取的不安全狀態(tài)。云計(jì)算中數(shù)據(jù)的安全、用戶隱私保護(hù)、平臺(tái)的穩(wěn)定性、云計(jì)算的監(jiān)管等幾個(gè)方面所構(gòu)成的安全問題成了阻礙云計(jì)算進(jìn)一步發(fā)展的重要因素[1]。

2010年在美國召開的RSA大會(huì)認(rèn)為云計(jì)算的安全問題阻礙了云計(jì)算的進(jìn)一步發(fā)展。51%的首席信息官也認(rèn)為安全是云計(jì)算最大的顧慮[2]。因此，云計(jì)算安全問題的解決與否，將直接決定云計(jì)算在未來的發(fā)展趨勢(shì)。

2云計(jì)算的安全性分析

云計(jì)算的服務(wù)可分為三層，即IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺(tái)即服務(wù)）、SaaS（軟件即服務(wù)），而每層服務(wù)都有其自身的安全問題[3]。下面逐一對(duì)其安全進(jìn)行分析。

2.1IaaS的安全

IaaS提供給消費(fèi)者的服務(wù)是對(duì)所有設(shè)施的利用，包括處理、存儲(chǔ)、網(wǎng)絡(luò)和其它基本的計(jì)算資源，且客戶能夠部署和運(yùn)行任意軟件，包括操作系統(tǒng)和應(yīng)用程序。客戶不管理或控制任何云計(jì)算基礎(chǔ)設(shè)施，但能控制操作系統(tǒng)的選擇、儲(chǔ)存空間等，也可能在一定權(quán)限內(nèi)控制網(wǎng)絡(luò)組件。

由于服務(wù)商提供的基礎(chǔ)設(shè)施是共享的，對(duì)于該系統(tǒng)的使用者而言，例如CPU、內(nèi)存、存儲(chǔ)空間等硬件資源并不是完全隔離的，這就可能存在安全漏洞。當(dāng)一個(gè)攻擊者得逞時(shí)，服務(wù)器的其他資源甚至是全部資源可能都向攻擊者敞開大門，使得某些客戶機(jī)操作系統(tǒng)也能夠獲得基礎(chǔ)平臺(tái)系統(tǒng)級(jí)的訪問權(quán)。

因私有云和公共云實(shí)現(xiàn)IaaS的方式有所不同，安全問題也存在差別。對(duì)私有云而言，企業(yè)可以自主制定完全可控的安全方案。對(duì)于公共云中的IaaS，用戶即使自行創(chuàng)建的虛擬機(jī)并運(yùn)行服務(wù)，卻并不能控制底層的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)基礎(chǔ)架構(gòu)。不管是哪種情形，安全問題都可能出現(xiàn)在以下過程：基礎(chǔ)架構(gòu)的強(qiáng)化、數(shù)據(jù)泄露的防護(hù)、數(shù)據(jù)使用的監(jiān)視、事件響應(yīng)和取證、認(rèn)證和授權(quán)、端到端的加密等[4]。

2.2PaaS的安全

PaaS可以將客戶使用的開發(fā)語言和工具（Java、Python、.Net等）、應(yīng)用程序部署到服務(wù)商的云計(jì)算基礎(chǔ)設(shè)施?？蛻舨恍枰芾砘蚩刂频讓拥脑苹A(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但客戶能控制部署的應(yīng)用程序，也可以配置運(yùn)行應(yīng)用程序的托管環(huán)境。

PaaS中，每個(gè)實(shí)例都有自己的用戶級(jí)權(quán)限，并且這些實(shí)例共享一個(gè)采用通用策略的權(quán)限框架。而正是這種共享方式可能帶來安全問題。同時(shí)，客戶只負(fù)責(zé)部署應(yīng)用程序與資料并不確定其基礎(chǔ)設(shè)施是否安全，沒有一種標(biāo)準(zhǔn)的方法可以獲取補(bǔ)丁程序版本、收集系統(tǒng)服務(wù)器記錄檔俺、執(zhí)行漏洞評(píng)估等。

2.3SaaS的安全

對(duì)于SaaS而言，用戶可以使用各種設(shè)備通過客戶端訪問服務(wù)商運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的應(yīng)用程序。因?yàn)镾aaS軟件是通過互聯(lián)網(wǎng)交付使用，其鮮明的互聯(lián)網(wǎng)特性使得數(shù)據(jù)安全問題尤為突出。首先，用戶使用SaaS軟件生成的商業(yè)數(shù)據(jù)會(huì)在瀏覽器客戶端和服務(wù)器端傳輸，如何確保該數(shù)據(jù)在傳輸過程中的安全性值得考慮。其次，SaaS服務(wù)商用以存儲(chǔ)數(shù)據(jù)的服務(wù)器在面對(duì)來自網(wǎng)絡(luò)黑客的攻擊時(shí)，其抵抗能力將深受考驗(yàn)。另外，服務(wù)商必須保證客戶的數(shù)據(jù)不被未經(jīng)授權(quán)的第三方截獲。

3云安全博弈模型

3.1博弈論簡介

博弈論（GameTheory）是研究具有斗爭或競(jìng)爭性質(zhì)現(xiàn)象的理論和方法，它是應(yīng)用數(shù)學(xué)的一個(gè)分支，既是現(xiàn)代數(shù)學(xué)的一個(gè)新分支，也是運(yùn)籌學(xué)的一個(gè)重要學(xué)科。具有競(jìng)爭或?qū)剐再|(zhì)的行為都可以稱為博弈行為。在這類行為中，參加斗爭或競(jìng)爭的各方具有不同的目標(biāo)或利益。為了達(dá)到各自的目標(biāo)和利益，博弈參與者必須考慮對(duì)手的各種可能的行動(dòng)方案，并力圖選取對(duì)自己最為有利或最為合理的方案[5]。

一個(gè)博弈行為必須具備三要素：參與者、策略和收益。

參與者：博弈中獨(dú)立決策、獨(dú)立承擔(dān)結(jié)果的個(gè)人或者組織。

策略：博弈的各個(gè)參與者在進(jìn)行決策時(shí)，可以選擇的方法、行為或動(dòng)作。

收益：每一個(gè)參與者從博弈中獲得的利益，是行為和決策的主要依據(jù)。

3.2云安全博弈模型的建立

解決云安全的難題，一方面要關(guān)注云計(jì)算安全的技術(shù)研究，另一方面云計(jì)算安全的經(jīng)濟(jì)效率也是需要考慮的實(shí)際問題。云安全中攻防本質(zhì)可以抽象為攻防雙方的策略依存性，而這種依存性正是博弈論的基本特征，因而可以應(yīng)用博弈論來分析并指導(dǎo)云安全問題的解決。

這里，云服務(wù)商和攻擊者是博弈的參與者。根據(jù)兩者之間的策略依存性，我們可以建立如表1所示博弈模型。

假定W為云服務(wù)商的正常收益，T為其防守的成本（技術(shù)、人力、硬件等），S為防守成功帶來的商業(yè)信譽(yù)等無形資產(chǎn)；A為攻擊者投入的所有攻擊成本（人力花費(fèi)、技術(shù)投資和犯罪代價(jià)等），P為其獲得的利益（包括資源、商業(yè)機(jī)密等）。同時(shí)假定，云服務(wù)商只要防守，就一定能夠成功防范攻擊；雙方需同時(shí)決定，且只能博弈一次。

根據(jù)以上博弈模型，攻防之間博弈有四種可能策略組合：

1）策略組合（防守，攻擊）

云服務(wù)商進(jìn)行防守，雖運(yùn)營提高成本，但得到了客戶的信任及商業(yè)信譽(yù)，為進(jìn)一步發(fā)展壯大提供了基礎(chǔ)，其獲得的收益為（W+S-T）。而攻擊者的攻擊成本為A，但由于云服務(wù)商的成功防守，其收益為（-A）。

2）策略組合（不防守，攻擊）

云服務(wù)商沒有進(jìn)行安全投資，而攻擊者進(jìn)行了攻擊。云服務(wù)商的收益為（-W-S），攻擊者的收益為（P-A）。

3）策略組合（防守，不攻擊）

云服務(wù)商防守，但攻擊者沒有對(duì)云服務(wù)進(jìn)行攻擊。云服務(wù)商獲得的收益為（W-T），而攻擊者由于沒有攻擊，也就沒有成本，其收益自然為0。

4）策略組合（不防守，不攻擊）

得益于沒有攻擊者，云服務(wù)商雖沒有在云安全上投資，，仍可獲得了W的回報(bào)。

顯然，在云時(shí)代，云服務(wù)商不被攻擊的可能性幾乎為零，也即第3、4兩種情形幾乎不可能發(fā)生。云服務(wù)商在考慮云安全的投資時(shí)，可以從該博弈模型進(jìn)行考慮。

4總結(jié)

云計(jì)算通過互聯(lián)網(wǎng)將大量硬件和軟件按照一定的結(jié)構(gòu)體系連接起來，并根據(jù)應(yīng)用需求的變化創(chuàng)建的一個(gè)內(nèi)耗最小、功效最大

的虛擬資源服務(wù)集合。但由于資源的集中性，同樣讓攻擊者的目標(biāo)更明確、更集中。同時(shí)，IaaS、PaaS、SaaS都存在自身的安全問題。云服務(wù)提供商一方面可以從技術(shù)方面加強(qiáng)安全性，如采用用戶認(rèn)證安全、分級(jí)安全控制、數(shù)據(jù)加密、數(shù)據(jù)隔離、網(wǎng)絡(luò)隔離等方法；另一方面，可以從博弈角度分析安全成本及收益，然后采取合適的策略和行動(dòng)。隨著安全問題的逐步解決，相信云計(jì)算會(huì)越來越快地應(yīng)用到各個(gè)領(lǐng)域。

參考文獻(xiàn)：

[1]黃瑛，石文昌.云基礎(chǔ)設(shè)施安全性研究綜述[J].計(jì)算機(jī)科學(xué)，2011.

[2]杜蕓蕓，解福，牛冰茹.云計(jì)算安全問題綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012.

[3]馮登國，張敏，張妍，徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2010.

[4]楊健，汪海航，王劍，俞定國.云計(jì)算安全問題研究綜述[J].小型微型計(jì)算機(jī)系統(tǒng)，2012.

[5]林旺群，王慧，劉家紅.基于非合作動(dòng)態(tài)博弈的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)研究[J].計(jì)算機(jī)研究與發(fā)展，2011.