可信的云计算

可信的云计算 赵波 zhaobo@whu.edu.cn 武汉大学计算机学院空天信息安全与可信计算教育部重点实验室

提纲 • 可信计算的基本概念 • 可信计算的基本思想 • 可信计算的核心技术 • 可信的云计算 • 可信的云存储

一、可信计算的概念 1、信息安全的概念当今时代是信息的时代。一方面信息技术与产业空前繁荣，另一方面危害信息安全的事件不断发生，形势是严重的。信息安全事关国家安全,事关社会稳定。

一、可信计算的概念 2、信息安全问题的技术根源 ① PC的安全结构过于简单 ② 信息技术的发展使PC变成公用计算机 ③ 网络的发展使PC变成网络中的一部分 ④ 操作系统存在安全缺陷

一、可信计算的概念 2、信息安全问题的技术根源如何提高微机的安全性？我们的理解：硬件系统安全和操作系统安全是信息系统安全的基础，密码技术、网络安全技术等是关键技术。根据以上学术观点：只有从芯片、主板等硬件结构和BIOS、操作系统等底层软件作起，综合采取措施，才能比较有效的提高微机系统的安全性。

一、可信计算的概念 3、可信计算的发展 ① 可信计算的初级阶段——彩虹系列的出现: 1983年： • 美国国防部制定了世界上第一个《可信计算机系统评价准则》TCSEC（TrustedComputer System Evaluation Criteria）。 • 在TCSEC中第一次提出可信计算机（TrustedComputer），和可信计算基TCB（Trusted Computing Base）的概念，并把TCB作为系统安全的基础。

一、可信计算的概念 3、可信计算的发展 ① 可信计算的初级阶段 ——彩虹系列的出现: 1984年： • 可信数据库解释TDI（Trusted Dadabase Interpretation）； • 可信网络解释TNI（Trusted Network Interpretation）。

一、可信计算的概念 3、可信计算的发展 ① 可信计算的初级阶段彩虹系列的意义: • 彩虹系列的出现形成了可信计算的一次高潮。 • 多年彩虹系列一直成为评价计算机系统安全的主要准则。 • 对计算机系统安全有指导意义

一、可信计算的概念 3、可信计算的发展 ① 可信计算的初级阶段彩虹系列的局限: • 主要考虑了信息的秘密性，对完整性、真实性考虑较少； • 强调系统安全性的评价，并没有给出达到这种安全性的系统结构和主要技术路线。

一、可信计算的概念 3、可信计算的发展 ② 可信计算的高级阶段——TCG的出现: • 1999年IEEE太平洋沿岸国家容错计算会议改名为 “ 可信计算会议”，标志着可信计算又一次成为学术界新的研究热点。 • 同年美国IBM、HP、Intel、微软，日本SONY等著名企业参加，成立了可信计算联盟TCPA，标志着可信计算进入产业界。

一、可信计算的概念 3、可信计算的发展 ② 可信计算的高级阶段——TCG的出现: • TCPA于01年9月制定了可信PC的实现规范V1.1。 • 03年TCPA改组为可信计算组织TCG。TCG的成立标志着可信计算技术和应用领域的扩大。 • 03年9月TCG推出可信PC的新规范V1.2。 • 05年3月TCG推出可信服务器规范V1.0。 • 05年5月TCG推出可信网络连接规范V1.0。 • 06年9月TCG推出可信手机模块规范V0.9。 • ……TPM.next即将颁布。

一、可信计算的概念 3、可信计算的发展 ② 可信计算的高级阶段——TCG及其工作的意义: • TCG从行为预期性来定义可信性：一个实体是可信的，如果它的行为总是以所期望的方式，达到预期的目标。 • 首次提出可信计算机平台的概念，并把这一概念具体化到微机、PDA和移动计算设备，而且给出了可信计算平台的体系结构和技术路线。 • 不仅考虑信息的秘密性，更强调了信息的真实性和完整性。 • 产业化、广泛性

一、可信计算的概念 3、可信计算的发展 ② 可信计算的高级阶段 ——欧洲的可信计算欧洲于2006年1月启动了名为“开放式可信计算（Open Trusted Computing）”的研究计划，旨在开发开源可信计算软件。 已有23个研究机构参加 投资1700万欧元

一、可信计算的概念 3、可信计算的发展 ③可信计算的其它流派——微软流派 • 强调数字知识产权保护 • 2002年1月比尔·盖茨提出了值得可信的计算。 • 用词： Trustworthy Computing • 微软过分强调DRM，引起社会的不同意见 • 微软推出了支持可信计算机制的新操作系统VISTA，但其BitLocker技术为黑客所破坏！

一、可信计算的概念 3、可信计算的发展 ④我们的观点 • 可信≈可靠+安全 • 用词：Dependable and Trusted Computing • 可信计算机系统是能够提供可信计算服务的计算机软硬件实体，它能够提供系统的可靠性、可用性、主体行为与信息的安全性。

一、可信计算的概念 3、可信计算的发展展望：  在可信计算发展过程中出现不同流派，是学术繁荣的标志！  可信计算的各流派将在可信计算技术发展和应用中逐步融合、趋同！

二、可信计算的基本思想 首先建立一个信任根。信任根的可信性由物理安全和管理安全确保。 再建立一条信任链。从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个计算机系统。 可信计算的思想源于社会。

三、可信计算主要技术 1、信任根技术 ①信任根的概念 信任根是系统可信的基础和出发点 信任根的可信性由物理安全和管理安全确保 TCG认为一个可信计算平台必须包含三个可信根：可信测量根RTM（root of trust for measurement) 可信存储根RTS（root of trust for storage）可信报告根RTR（root of trust for reporting ）

三、可信计算主要技术 ③可信平台模块 TPM  可信存储根和可信报告根  它由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。  TPM本身就是一个小的计算机系统，一般是一种片上系统SOC（System on Chip）,而且它应当是物理可信和管理可信的。

TPM的结构 I/O 密码协处理器密钥产生 HMAC引擎随机数产生器 SHA-1引擎电源检测 Opt-Ln 执行引擎非易失存储器易失存储器

三、可信计算主要技术 2、信任链技术 • 以TPM为根 • 从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。

①访问请求 平台实体 ②可信测量 ③度量存储 ④访问允许/拒绝实体访问平台，平台测量实体 ①实体询问平台实体 ②平台报告 ③提供/拒绝服务实体询问平台，平台提供报告

三、可信计算主要技术 4、可信计算平台技术 • 可信PC：已产业化 主板  CPU、存储器和一些主要的外围设备  嵌入式固件、BIOS  可信构建模块TBB（Trusted Building Block） • 可信服务器：武汉瑞达 • 可信PDA：日本日立 • 可信手机：美国MOTOROLAR

可信PC体系结构

系统平台主板可信模块 TBB CPU TPM MEMORY 固件 CRTM 总线电源 HD FD CARD OS 驱动应用外设

三、可信计算主要技术 5、支撑软件 TSS TSS（TCG Software Stack）是TPM平台上的支撑软件： • 为其他软件提供方便和统一使用TPM的接口； • 支持应用实体调用TPM提供的各种功能； • 提供对TPM访问的同步。

三、可信计算主要技术 6、密码技术 • 公钥密码和传统密码 • 数字签名和验证 • 加密和解密 • 注意：TCG有意淡化对称密码！ • 我国应当使用自己的密码。 7、证书技术 • 用户和TPM都采用证书。

三、可信计算主要技术 8、可信网络连接技术（TNC）

三、可信计算主要技术 8、可信网络连接技术（TNC）三层结构: • 网络访问层:从属于传统的网络互联和安全层，支持现有的如VPN和802.1X等技术 • 完整性评估层：这一层依据一定的安全策略评估AR（访问请求者）的完整性状况。 • 完整性测量层：这一层负责搜集和验证AR的完整性信息。

云计算是当前最具活力的计算模式 1960 John McCarthy提出计算资源将成为公共设施计算模式和互联网络的兴起 1985 第一台并行计算机超立方诞生，Daniel提出并行计算理论 1999 Beowulf成为集群计算的一个标准化建议，用户从此获得了统一的平台和编程模型 1966 Douglas提出了计算资源的共享方式，这与现代云计算的特征十分相似 2000 1980 2011 1960 计算资源公用化思想的萌芽云计算开始萌芽 2005 Apache基金会推出Hadoop文件系统云计算是我国“十二五“信息产业发展的重点 2008 开源项目Eucalyptus 2005 提出开放的网格服务体系架构(OGSA) 2006 Amazon推出AWS云服务 2010 OpenStack宣布开源

云计算及其趋势 国内已经建成或正在建设云计算中心的城市国务院发布《关于加快培育发展战略性新兴产业的决定》和《国家“十二五”科学与技术发展规划》国务院关于加快培育和发展战略新兴产业的决定青岛北京天津济南西安无锡上海武汉成都长沙深圳云计算的发展已经上升到国家战略的高度

云计算是新一代信息技术产业的基础 • Gartner 在近几年发布的IT行业十大战略技术报告中都将云计算技术列为十大战略技术之一 • 国外知名IT企业大力开发和推进云计算 • 国内知名IT企业积极推进云平台的建设和云应用的开展云计算已经成为当前产业界最推崇的信息化手段

云计算应用现状 2012年底，业界巨头VMware公布了第三次年度云成熟度调查安全问题与数据隐私监管与合规与现有系统集成有四成多的用户拒绝采用云，而“安全问题与数据隐私”是阻碍用户使用云服务的主要原因 Gartner调查报告：安全与隐私已成为阻碍云计算发展的最大障碍

云安全事件与云计算如影随形 2007年11月Salesforce发生大量用户数据泄漏事件 2011年3月谷歌邮箱再次爆发大规模的用户数据泄漏事件 2009年3月微软的云计算平台Azure停止运行约22个小时 2010年3月 Terremark发生了七小时的停机事件 2012年 4、10、12月 Amazon多次发生服务中断 2013年3月，云笔记Evernote遭入侵 2010 2013 2007 2008 2009 2011 2012 2011年4月亚马逊云数据中心服务器大面积宕机 2009年6月Rackspace遭受了严重的云服务中断故障 2010年6月 Intuit的在线记账和开发服务经历了大崩溃 2008年7月苹果MobileMe服务出现邮件丢失、推送失效 2012年12月受AWS故障影响部分用户无法访问Netflix视频服务

云系统层面的安全问题 窃取用户隐私，窥探用户行为云系统可信吗？不希望自身行为、数据被他人获取攻击者用户怎能让用户判断云系统可信呢？面对攻击，如何设计可信的云系统？问题 • 云系统设计是否可信？ • 用户能否判断云系统可信？设计者

云服务层面的安全问题 用户服务怎么不能用了？怎么这么慢呢？服务还安全吗？享受服务中… 软件错误黑客云游戏供应商开发引擎资源租用服务云服务其他云服务问题 1.云服务是否安全可靠不可知 2.很难平衡云服务的高效性和安全可靠性安全加强服务容错

云数据层面的安全问题 数据中心个人病例银行账号私密照片数据中心外部攻击者内部攻击者数据中心数据在哪？数据是否泄漏？数据是否被损坏？数据是否被篡改？通讯录短信银行账号个人病例数据中心问题私密数据上传在云内外部攻击者的威胁下，云数据面临被泄露、被篡改、被损坏，以及位置不可知所带来的风险私密照片通讯录/短信用户

云系统安全问题分析 云系统设计是否可信？云系统可信需求主要现状单机可信根技术安全可判定建立信任基础获得判定方法静态完整性验证可信计算系统与实体行为可预期执行环境可预期启动时完整性检查行为自身可预期代码安全检查原因：云计算的资源共享模式导致用户对系统的可信状态判定困难；云计算系统动态复杂性导致系统与实体行为可预期的实现困难 39

云服务安全问题分析 软件开发接口软件开发接口 … 软件使用接口软件使用接口 … … 服务层应用层虚拟机虚拟机服务层系统层系统层虚拟机管理器平台即服务（PaaS）基础设施即服务（IaaS）软件即服务（SaaS）实现硬件资源共享实现软件开发引擎共享实现软件使用共享基础设施虚拟化软件虚拟化平台虚拟化原因：多层次虚拟化的服务高效共享大大增加了面向用户的安全隔离和故障隔离的难度；缺乏适应海量用户个性化需求的服务共享效率、安全性和可靠性的综合保障机制

云数据安全问题分析 面临的挑战现有技术表现机密性强安全条件下，已有密文检索方法的通信消耗或计算消耗太高诱因云数据泄露带访问控制的数据加密与访问方法,全同态密码算法等云内外部攻击者用户数据云托管完整性已有技术适用于动态非敏感数据，对机密性保护的动态敏感数据缺乏高效的完整性和可用性成果云数据篡改基于数据分片的动态完整性保护方法等 + 可用性云数据损坏基于编码的容错备份保护方法等可追踪性已有技术仅适用于非恶意云存储平台，需要研究更普适的追踪方案云数据位置不可知远程验证协议，方位测量方法等原因：强安全条件下，缺乏用户数据的高效可检索性，对机密性保护的动态敏感数据缺乏高效的完整性和可用性方法，缺乏更普适的追踪方案

三个关键科学问题 云系统安全构建云数据安全可控云服务安全共享从云系统的角度，分析云系统动态复杂性特征，研究面向海量实体复杂信任关系的信任模型、信任基、信任度量和判定等，解决云系统及其组件的安全可验证性以及行为可判定性动态复杂性导致的不确定性安全保障（云）vs.系统行为可判定的安全需求（用户）服务共享效率最大化（云）vs.多样化安全需求（用户）数据托管特征（云）vs.数据的安全可控需求（用户）从云数据的角度，分析云内外攻击者行为，研究数据安全性模型，研究强安全条件下动态敏感数据的高效检索、容错编码和可追踪机制，解决用户数据的机密性、完整性、可用性、可追踪性从云应用的角度，分析多层次虚拟化机理，研究云服务的安全建模、高效访问控制、高可生存性，以及安全共享机理，解决云服务的高效性、安全性和可靠性 42

总体研究框架 研究解决动态敏感数据的高效密文检索、完整性、可用性和可追踪性研究解决云服务的高效性、安全性和可靠性高效密文检索机制动态敏感数据的高效容错编码理论动态敏感数据的可信追踪机制云数据的云服务安全共享机理高效可生存机理服务安全模型与高效访问控制机理云系统安全构建云服务安全共享云数据安全可控安全监控和行为分析研究解决云系统构建的可信验证可信执行环境构建机理云环境下复杂实体信任模型

研究内容一：可信云系统安全构建 可信云系统安全构建面向云计算中海量复杂实体的信任关系建模云可信执行环境构造机理云计算安全监控与行为分析可信云系统安全构建多用户虚拟环境统一监控模型与行为度量机制云环境下复杂实体信任模型面向海量资源的统一化可信基构造方法与多层次可信执行环境构建

面向云环境复杂实体关系的信任模型 信任模型？ √ 用户与云之间的信任用户与用户之间的信任云端内部组件之间的信任云环境中多层次信任关系云环境中特性安全属性云环境信任属性度量实体内部和多层次间的信任关系云和用户之间信任关系静态度量动态度量多侧面度量抽取安全属性确定约束关系形式化描述构建信任模型研究重点：研究面向云计算中海量复杂实体的信任模型，解决云环境信任关系中所存在的依赖性、契约性和对立性关系

云可信执行环境构造机理 可信执行环境虚拟域虚拟域可信基础软件层信任链传递监控工具虚拟机虚拟机度量工具虚拟机 …… 虚拟化层可信基可信固件层可信支撑可信控制可信判定可信度量可信硬件层云环境中多层信任链动态构建云环境可信基伴生系统云环境可判定安全约束云环境统一化可信基构造基础设施信任风险威胁模型可信判定指标体系可信执行可信启动远程证明资源时空复用特征抽取时空虚拟化多维隔离可信支撑可信度量可信判定可信控制研究重点：研究面向云计算复杂环境以多核处理器和系统固件为核心的可信基构造机理与多级云可信执行环境信任链构建方法

云计算安全监控与行为分析 安全监控行为分析驱动驱动驱动驱动监控域监控域用户域用户域事件截获事件截获监控工具用户域用户域监控工具云平台可信第三方监控域构造与验证多用户虚拟环境统一监控模型基于信息流跟踪的恶意行为分析用户任务执行可信第三方监控域构造第三方监控可信验证虚拟计算环境用户访问行为用户行为特征建模信息流跟踪分析研究重点：研究面向云计算中多用户虚拟执行环境的统一监控模型与基于信息流的恶意行为分析机制，为用户数据的运行时安全提供有效的监控手段

研究内容二：多层次云服务安全共享 云服务安全共享多层次虚拟化服务的安全风险建模以及云服务高效访问的安全控制面向用户多样化需求的云服务安全共享机理多层次云服务安全共享动态分级云服务安全共享模型服务安全模型和高效访问控制机理多层次云服务的高效可生存性机理云服务的可生存性建模及关键方法

服务安全模型与高效访问控制机理 服务安全模型与高效访问控制机理普通用户中级用户高级用户顶级用户多层次并行访问控制机制并行访问控制模型隐通道的安全控制机制不同安全等级用户的并发访问开发接口开发接口虚拟机虚拟机软件软件软件软件虚拟化层平台虚拟化层基础设施虚拟化层 SaaS PaaS IaaS 多层次虚拟化的服务安全模型多层次云服务的高效访问机理安全风险形式化描述及建模服务安全度量及判定并行访问控制策略安全策略的可复合机制研究重点：针对多层次虚拟化服务的安全进行形式化描述、建模、度量和判定；研究面向云环境多级跨域的并行访问控制模型，以及不同云服务模式下多用户共享过程中隐通道的安全控制机制

多层次云服务的高效可生存性机理 高效可生存机理 PaaS IaaS SaaS 多层次云服务高效容错方法分等级应用容错机制 • 基于构件的容错备份机制 • 基于虚拟机的高效透明容错机制不会导致重大故障提高可生存性基本组件不失效不影响基本服务层次化服务高效可生存性模型构建可生存性基本组件故障基本服务多层次云服务高效容错理论与方法多层次云服务故障诊断理论与方法云服务动态更新机制安全漏洞的智能化检测多层次故障诊断机制云服务容侵机制高效容错模型研究重点：研究适合云计算层次化结构的可生存模型及关键方法，实现多层次云服务的高效容错

可信的云计算

可信的云计算

Presentation Transcript