林　華

?

面向網(wǎng)絡(luò)空間的計(jì)算安全與數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)研究

林華

（湖南科技學(xué)院，湖南 永州 425199）

在網(wǎng)絡(luò)計(jì)算環(huán)境下，如果云服務(wù)器遭受破壞將較大規(guī)模地影響用戶服務(wù)。來自云服務(wù)器本身的惡意攻擊和監(jiān)視也會(huì)造成用戶服務(wù)過程的安全和隱私風(fēng)險(xiǎn)，同時(shí)因?yàn)橛脩魧?duì)其自身存儲(chǔ)在網(wǎng)絡(luò)計(jì)算環(huán)境中的數(shù)據(jù)缺乏直接控制能力，導(dǎo)致用戶難以信任云提供的服務(wù)。為有效地降低網(wǎng)絡(luò)計(jì)算中的安全風(fēng)險(xiǎn)，基于可信計(jì)算技術(shù)、可信軟件安全監(jiān)控技術(shù)、數(shù)據(jù)安全分級(jí)保護(hù)技術(shù)，文章提出面向網(wǎng)絡(luò)空間的計(jì)算安全與數(shù)據(jù)保護(hù)方法研究。

可信計(jì)算；計(jì)算安全；數(shù)據(jù)保護(hù)；安全監(jiān)控

1　引　言

近年來，隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，越來越多的操作系統(tǒng)和服務(wù)軟件被部署在網(wǎng)絡(luò)計(jì)算環(huán)境下。網(wǎng)絡(luò)計(jì)算技術(shù)憑借其自身的強(qiáng)隔離性、高動(dòng)態(tài)性和可擴(kuò)展性等特點(diǎn)，為用戶提供負(fù)載均衡、動(dòng)態(tài)遷移、故障自動(dòng)隔離等服務(wù)，有效地支撐著云計(jì)算、大數(shù)據(jù)、移動(dòng)醫(yī)療等網(wǎng)絡(luò)服務(wù)。

在網(wǎng)絡(luò)計(jì)算環(huán)境下，如果云服務(wù)器遭受破壞將較大規(guī)模地影響用戶服務(wù)。來自云服務(wù)器本身的惡意攻擊和監(jiān)視也會(huì)造成用戶服務(wù)過程的安全和隱私風(fēng)險(xiǎn)，同時(shí)因?yàn)橛脩魧?duì)其自身存儲(chǔ)在網(wǎng)絡(luò)計(jì)算環(huán)境中的數(shù)據(jù)缺乏直接控制能力，導(dǎo)致用戶難以信任云提供的服務(wù)。為了提高網(wǎng)絡(luò)計(jì)算服務(wù)的可信程度，網(wǎng)絡(luò)服務(wù)提供商推出了多種安全策略，然而如果服務(wù)提供商過多地暴露自身安全機(jī)制，其信息一旦被惡意攻擊者所利用，將會(huì)造成更大的安全風(fēng)險(xiǎn)。此外，網(wǎng)絡(luò)計(jì)算環(huán)境處于動(dòng)態(tài)變化過程中，用戶需求變化、資源共享調(diào)度策略、虛擬機(jī)遷移等，都會(huì)導(dǎo)致計(jì)算環(huán)境軟硬件配置變動(dòng)。雖然當(dāng)前防火墻、入侵檢測(cè)、病毒防范技術(shù)在一定程度上可以保證網(wǎng)絡(luò)計(jì)算過程中的安全，但是面對(duì)網(wǎng)絡(luò)計(jì)算環(huán)境中層出不窮的攻擊方法依然顯得力不從心。

目前，針對(duì)網(wǎng)絡(luò)計(jì)算安全的研究，學(xué)者們進(jìn)行了很多研究工作，也取得了大量的成果，但是，由于網(wǎng)絡(luò)環(huán)境自身的特點(diǎn)，對(duì)于網(wǎng)絡(luò)計(jì)算環(huán)境安全性的研究依然存在如下三個(gè)方面的難題：

1.1如何有效監(jiān)控網(wǎng)絡(luò)計(jì)算環(huán)境下軟件的安全運(yùn)行

在傳統(tǒng)網(wǎng)絡(luò)計(jì)算環(huán)境中，病毒檢測(cè)工具通常駐留在被監(jiān)控系統(tǒng)中，因此容易遭到攻擊者篡改，另外惡意程序也可以通過隱藏自身行為來逃避安全監(jiān)控程序的檢測(cè)。操作系統(tǒng)中的安全漏洞也經(jīng)常被攻擊者利用，從而以內(nèi)核權(quán)限執(zhí)行惡意代碼竊取用戶數(shù)據(jù)。因此，網(wǎng)絡(luò)計(jì)算環(huán)境中軟件的運(yùn)行安全難以得到保障，也無法阻止在系統(tǒng)內(nèi)部駐存的一些惡意程序向網(wǎng)絡(luò)上肆意傳播。

1.2如何對(duì)網(wǎng)絡(luò)計(jì)算中的數(shù)據(jù)進(jìn)行安全保護(hù)

在傳統(tǒng)網(wǎng)絡(luò)計(jì)算環(huán)境中，存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)仍然可能被惡意軟件分析其關(guān)聯(lián)關(guān)系和隱私信息，甚至部分惡意的軟件能篡改或刪除用戶數(shù)據(jù)的情況；同時(shí)，也存在云服務(wù)提供商可能會(huì)對(duì)用戶敏感數(shù)據(jù)進(jìn)行監(jiān)控和挖掘，導(dǎo)致用戶數(shù)據(jù)隱私泄露等問題。

1.3如何提高網(wǎng)絡(luò)計(jì)算環(huán)境的安全性

2　相關(guān)工作

目前對(duì)于面向網(wǎng)絡(luò)計(jì)算的安全領(lǐng)域的研究包括多個(gè)層次，如Web安全代理、安全虛擬機(jī)、硬件檢測(cè)等。文獻(xiàn)[1]云平臺(tái)從邏輯上對(duì)不同用戶之間的虛擬機(jī)實(shí)施隔離策略，不同用戶之間無法直接訪問資源，一定程度上保證用戶的安全。然而虛擬機(jī)之間存在物理設(shè)備和固件等資源共享機(jī)制，無法完全隔離，通過采用一定的技術(shù)手段仍然能夠?qū)τ脩籼摂M機(jī)產(chǎn)生惡意攻擊，破壞計(jì)算環(huán)境的完整性。

針對(duì)上述問題，文獻(xiàn)[2]提出了基于虛擬可信平臺(tái)技術(shù)（virtual Trusted Platform Module，簡(jiǎn)稱vTPM）的安全技術(shù)，但該技術(shù)在計(jì)算需求變化、軟硬件環(huán)境變動(dòng)時(shí)，體系結(jié)構(gòu)需要重新構(gòu)建或調(diào)整，因此會(huì)導(dǎo)致開銷變大且風(fēng)險(xiǎn)增加，同時(shí)來自底層的安全漏洞將導(dǎo)致上述方案不可信。

文獻(xiàn)[3]提出采用可信第三方平臺(tái)（Trusted Third Party，簡(jiǎn)稱TTP）作為可信驗(yàn)證的基礎(chǔ)，對(duì)云服務(wù)器提供的虛擬機(jī)進(jìn)行動(dòng)態(tài)完整性測(cè)量，針對(duì)用戶虛擬機(jī)運(yùn)行環(huán)境的可信性進(jìn)行遠(yuǎn)程驗(yàn)證和審計(jì)，避免由用戶安裝、維護(hù)可信性驗(yàn)證的相關(guān)設(shè)施和信息，保證在其完整性遭到破壞時(shí)能夠及時(shí)發(fā)現(xiàn)。該研究方案的特點(diǎn)在于操作系統(tǒng)檢測(cè)的可信度取決于安全代理的可信程度，而事實(shí)意義上，真正完全可信的代理并不存在，同時(shí)操作系統(tǒng)內(nèi)的應(yīng)用程序均存在被特權(quán)級(jí)的指令修改風(fēng)險(xiǎn)，導(dǎo)致采集和上傳的信息存在不可信的問題。

隨著移動(dòng)智能終端設(shè)備的廣泛使用，在網(wǎng)絡(luò)計(jì)算模式中移動(dòng)云服務(wù)安全技術(shù)是重點(diǎn)研究領(lǐng)域。文獻(xiàn)[4]指出在ARM結(jié)構(gòu)中TrustZone技術(shù)提供了類似于系統(tǒng)管理模式（System Management Mode，簡(jiǎn)稱SMM）的功能，通過硬件隔離技術(shù)構(gòu)建可信執(zhí)行環(huán)境，結(jié)合ARM虛擬內(nèi)存保護(hù)機(jī)制，構(gòu)造內(nèi)核飛地，確保系統(tǒng)監(jiān)控模塊無法被不可信內(nèi)核篡改或繞過，提供可執(zhí)行文件完整性、運(yùn)行時(shí)代碼完整性、控制流完整性驗(yàn)證保護(hù)，確保設(shè)備只能執(zhí)行符合授權(quán)的代碼。文獻(xiàn)[5]則基于TrustZone技術(shù)，結(jié)合實(shí)時(shí)內(nèi)核保護(hù)方法，為ARM架構(gòu)提供比虛擬機(jī)監(jiān)控器更具特權(quán)和更強(qiáng)隔離性的安全計(jì)算環(huán)境。

即使系統(tǒng)自身提供有效的安全策略，仍然無法通過自身證明取得遠(yuǎn)程用戶完全信任。因此，文獻(xiàn)[6]通過采用可信遠(yuǎn)程證明模式檢測(cè)系統(tǒng)的完整性并分析遠(yuǎn)程證明的安全性，將安全控制主體轉(zhuǎn)移到用戶信任對(duì)象并實(shí)時(shí)有效的度量操作系統(tǒng)的安全性，提升用戶對(duì)系統(tǒng)的可信度。文獻(xiàn)[7]中提出的凈室云服務(wù)理論是解決云計(jì)算環(huán)境下云服務(wù)器端安全的有效方案之一，通過對(duì)云服務(wù)提供商分配的計(jì)算資源重新簽訂安全協(xié)議，防止非授權(quán)用戶訪問，保證計(jì)算的可信執(zhí)行。然而安全協(xié)議存在執(zhí)行力度有限性，需要研究協(xié)議保護(hù)方法并提供系統(tǒng)可信的驗(yàn)證基礎(chǔ)。

總的來說，現(xiàn)有的安全技術(shù)在網(wǎng)絡(luò)計(jì)算環(huán)境下，依然存在安全風(fēng)險(xiǎn)。為解決網(wǎng)絡(luò)計(jì)算系統(tǒng)中層出不窮的可信問題和安全問題。在網(wǎng)絡(luò)計(jì)算模式下，操作系統(tǒng)需要管理越來越多的復(fù)雜軟件，以滿足移動(dòng)社交網(wǎng)絡(luò)、醫(yī)療健康大數(shù)據(jù)、智慧城市等海量數(shù)據(jù)的信息化需求，致使操作系統(tǒng)變得愈發(fā)復(fù)雜和龐大，容易出現(xiàn)更多的安全漏洞。雖然現(xiàn)有的系統(tǒng)安全防護(hù)手段部分解決了安全問題，但是現(xiàn)有的網(wǎng)絡(luò)安全防范技術(shù)面對(duì)網(wǎng)絡(luò)中層出不窮的惡意攻擊仍然是防不勝防，因此十分有必要研究面向網(wǎng)絡(luò)空間的計(jì)算安全與數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)。

3　研究方案

3.1面向可信計(jì)算的可信軟件安全監(jiān)控技術(shù)研究

面向可信計(jì)算和網(wǎng)絡(luò)安全的軟件監(jiān)控技術(shù)，將可信軟件加載到云服務(wù)器端及用戶智能終端中執(zhí)行。為保障云服務(wù)器端和用戶智能終端運(yùn)行環(huán)境的安全，需對(duì)云服務(wù)器端和用戶智能終端工作的軟件進(jìn)行安全監(jiān)控。

中國成人2型糖尿病發(fā)生率約為10%～11%，且因人口平均年齡增長、肥胖與高脂血癥等相關(guān)疾病發(fā)生率上升、飲食結(jié)構(gòu)的改變，2型糖尿病發(fā)生率也快速上升[1]。2型糖尿病可引起周圍神經(jīng)病變，引起外周感覺障礙已得到共識(shí)，社會(huì)大眾認(rèn)識(shí)程度較高，但2型糖尿病對(duì)心臟自主神經(jīng)病變的影響不完全清楚。心臟自主神經(jīng)病變的篩查也比較困難，因此分析2型糖尿病外周感覺神經(jīng)病變和心臟自主神經(jīng)病變關(guān)系非常必要。2017年1月—2018年6月，對(duì)醫(yī)院內(nèi)分泌科住院的2型糖尿病患者104例入組，進(jìn)行周圍神經(jīng)病變檢查、動(dòng)態(tài)心電圖檢查，現(xiàn)報(bào)道如下。

當(dāng)云服務(wù)器端和用戶智能終端發(fā)出啟動(dòng)應(yīng)用程序的請(qǐng)求時(shí)，操作系統(tǒng)將產(chǎn)生系統(tǒng)中斷，并從用戶態(tài)陷入內(nèi)核態(tài)。通過將系統(tǒng)服務(wù)列表中地址映射到可信計(jì)算基的監(jiān)控引擎中，監(jiān)控引擎啟動(dòng)實(shí)時(shí)監(jiān)控，主要包括主動(dòng)監(jiān)控，語義感知獲取完整性測(cè)量結(jié)果，以及保護(hù)系統(tǒng)內(nèi)存等。

具體來說，監(jiān)控引擎中的系統(tǒng)事件截獲模塊在操作系統(tǒng)內(nèi)核處理軟件啟動(dòng)服務(wù)請(qǐng)求前，首先將啟動(dòng)截獲程序捕獲該進(jìn)程信息，并且發(fā)起完整性檢查，檢測(cè)內(nèi)容包括用戶發(fā)起事件的上下文環(huán)境和輸入，用戶的寄存器、軟件棧、軟件堆等。檢測(cè)信息包括事件類型、事件參數(shù)、運(yùn)行程序的指令和棧指針。對(duì)于中斷與異常，測(cè)量代理將返回一個(gè)非法地址，一旦返回非法地址，將直接陷入到系統(tǒng)保護(hù)模式。

獲取完整語義感知的測(cè)量結(jié)果要求系統(tǒng)內(nèi)核運(yùn)行之前加載完整的程序，并且由可信計(jì)算基驗(yàn)證整個(gè)程序的完整性。因此，需要在內(nèi)核運(yùn)行程序之前加載完成完整程序，以保證能夠獲取完整的測(cè)量信息；當(dāng)程序代碼和初始數(shù)據(jù)加載到內(nèi)存時(shí)，要求可信計(jì)算基中的完整性測(cè)量代理立刻計(jì)算整個(gè)程序的連續(xù)哈希函數(shù)值，并進(jìn)行前后文比對(duì)，從而保證其完整性。

內(nèi)存保護(hù)要求，用戶只能執(zhí)行被可信計(jì)算基測(cè)量過的程序，同時(shí)為避免被測(cè)量的程序被修改，經(jīng)過可信計(jì)算基完整性測(cè)量的程序均標(biāo)識(shí)為不可寫，一旦攻擊者試圖修改程序的只讀屬性，將直接產(chǎn)生異常，并將該進(jìn)程陷入到系統(tǒng)保護(hù)模式，從而保證整個(gè)系統(tǒng)的安全。

3.2面向可信計(jì)算的數(shù)據(jù)分級(jí)保護(hù)策略和安全保護(hù)技術(shù)研究

在網(wǎng)絡(luò)計(jì)算服務(wù)過程中，采用數(shù)據(jù)分級(jí)保護(hù)機(jī)制，建立中心服務(wù)器、邊緣服務(wù)器和用戶智能終端的數(shù)據(jù)流分級(jí)保護(hù)機(jī)制，在私有數(shù)據(jù)的保護(hù)上，用戶通過加密技術(shù)，加密個(gè)人的私有數(shù)據(jù)，并將加密的私有數(shù)據(jù)存儲(chǔ)到云服務(wù)器中。當(dāng)用戶需要獲取私有數(shù)據(jù)時(shí)，只有符合解密條件的用戶才能解密和使用私有數(shù)據(jù)。而云服務(wù)器端無法進(jìn)行解密運(yùn)算，因而在云服務(wù)器端不存在私有數(shù)據(jù)泄露的風(fēng)險(xiǎn)。所述數(shù)據(jù)加密算法過程如下：

對(duì)于存儲(chǔ)在用戶終端的私有數(shù)據(jù)，必要時(shí)經(jīng)過脫敏處理將其轉(zhuǎn)換為公共數(shù)據(jù)，進(jìn)而存儲(chǔ)在云服務(wù)器上。公共數(shù)據(jù)仍然可能被惡意軟件分析其關(guān)聯(lián)關(guān)系和隱私信息，甚至部分惡意的軟件能篡改或刪除用戶的數(shù)據(jù)。因此，本項(xiàng)目提出基于可信軟件思想，對(duì)運(yùn)行在云服務(wù)器端的軟件進(jìn)程進(jìn)行實(shí)時(shí)分析和比對(duì)，阻止數(shù)據(jù)分析軟件和非法軟件運(yùn)行，從而保證公共數(shù)據(jù)的安全。

3.3面向可信計(jì)算的可信計(jì)算基的遠(yuǎn)程證明方法

可信計(jì)算基中制定了用戶計(jì)算環(huán)境內(nèi)的合法軟件以及安全執(zhí)行規(guī)則，因此保證安全協(xié)議不被破壞是安全服務(wù)的前提。若可信計(jì)算基的安全性由本地操作系統(tǒng)進(jìn)行證明，但本地操作系統(tǒng)的可信性并不能保證，所以無論是基于云服務(wù)器端或者用戶智能終端，安全協(xié)議的證明過程及結(jié)果對(duì)用戶而言均存在安全風(fēng)險(xiǎn)，因此研究本地操作系統(tǒng)外的可信計(jì)算基安全證明方案。采用硬件級(jí)中斷方式的遠(yuǎn)程證明機(jī)制，將有效的保證證明結(jié)果的正確性。

基于硬件權(quán)限或CPU控制模式制定遠(yuǎn)程協(xié)議證明方法，如Intel的SMM模式、Android的TrustZone技術(shù)等，采用安全的通信鏈路進(jìn)行指令傳遞，觸發(fā)硬件底層的系統(tǒng)中斷，從而保證安全模式下的協(xié)議模塊檢測(cè)。根據(jù)不同的安全需求，可以通過三類方案進(jìn)行安全協(xié)議的遠(yuǎn)程證明。

所述遠(yuǎn)程證明算法過程如下：

結(jié)束語

網(wǎng)絡(luò)空間安全技術(shù)研究是當(dāng)前的一個(gè)研究熱點(diǎn)。文章在移動(dòng)互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，越來越多的操作系統(tǒng)和服務(wù)軟件被部署在網(wǎng)絡(luò)計(jì)算環(huán)境的背景下，基于可信計(jì)算與密碼學(xué)基礎(chǔ)，提出面向可信軟件安全監(jiān)控技術(shù)、數(shù)據(jù)分級(jí)保護(hù)策略和安全保護(hù)技術(shù)、可信計(jì)算的可信計(jì)算基的遠(yuǎn)程證明技術(shù)。分別從監(jiān)控進(jìn)程、加密和分級(jí)保護(hù)數(shù)據(jù)、對(duì)遠(yuǎn)程軟件進(jìn)行安全證明幾個(gè)方面來保證網(wǎng)絡(luò)環(huán)境中的進(jìn)程、數(shù)據(jù)與軟件安全，可以構(gòu)造安全的網(wǎng)絡(luò)計(jì)算環(huán)境。

[1]陳浩,孫建華,等.一種輕量級(jí)安全可信的虛擬執(zhí)行環(huán)境[J],中國科學(xué):信息科學(xué),2012,(5):617-633.

[2]劉川意,林杰,唐博.面向云計(jì)算模式運(yùn)行環(huán)境可信性動(dòng)態(tài)驗(yàn)證機(jī)制[J],軟件學(xué)報(bào),2014,(3):662-674.

[3]丁滟,王懷民,等.可信云服務(wù)[J],計(jì)算機(jī)學(xué)報(bào),2015,(1):133-149.

[4]鄭顯義,李文,孟丹.TrustZone技術(shù)的分析與研究[J],計(jì)算機(jī)學(xué)報(bào),2016,(9):1912-1928.

[5]Ahmed M.Azab,Peng Ning,Jitesh Shah,et al Hypervision Across Worlds:Real-Time Kernel Protection from the ARM TrustZone Secure World,Proceeding of the 21st ACM Conference on Computer and Communication Security,New York,USA,2014:90-102.

[6]王勇,方娟,等.基于進(jìn)程代數(shù)的TCG遠(yuǎn)程證明協(xié)議的形式化驗(yàn)證[J],計(jì)算機(jī)研究與發(fā)展,2013,(2):325-331.

[7]王麗娜,高漢軍,等.利用虛擬機(jī)監(jiān)視器檢測(cè)及管理隱藏進(jìn)程[J],計(jì)算機(jī)研究與發(fā)展,2011,(8):1534-1541.

（責(zé)任編校：宮彥軍）

2017－01－10

2016年永州市科技創(chuàng)新應(yīng)用研究項(xiàng)目“個(gè)人健康大數(shù)據(jù)的安全和隱私保護(hù)研究”（永財(cái)企指【2016】26號(hào)）。

林華（1965－）女，黑龍江賓縣人，湖南科技學(xué)院副教授，研究方向?yàn)榇髷?shù)據(jù)安全。

TP393

A

1673-2219（2017）10-0082-03