基于可信计算的纵深防护体系在云计算中的应用研究

随着网络应用领域不断扩大，越来越多的人在享受网络带来便捷的同时，也深受各种网络安全威胁的影响，特别是一些重要的网络基础设施和信息系统，当其安全性受到破坏后，将会带来严重后果。随着科技的发展，网络攻击越来越趋向隐蔽化，攻击手法趋向复杂化，攻击方式不断更新，针对当前严峻的安全形势，信息系统需要构建自我防护、主动免疫的保护框架，打造自主可控、安全可信的防护体系，实施从底层硬件到上层应用直至整个网络的立体纵深防御 ，切实增强网络自身防护能力。

1

网络空间安全防护现状

安全与入侵、防护与破解是信息安全永恒的话题。当前网络安全问题主要包含保密性、完整性、可用性和不可抵赖性 4 个方面的内容，安全威胁涉及芯片、主板、系统软件、应用软件、网络等多个环节。安全威胁产生的根本原因包括：（1）PC 软硬件结构简化，计算机资源被用户任意使用，尤其是执行代码可被随意修改，恶意程序很容易被植入到系统中。（2）病毒程序利用操作系统对执行代码不检查一致性的弱点，将病毒代码嵌入到执行代码程序，实现病毒传播。（3）黑客利用系统漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏。（4）对合法的用户没有进行严格的访问控制，使其可以进行越权访问，产生安全事件。

当前，我国网络信息系统采取的安全防护措施仍然无法满足日益严峻的信息安全需求（如表 1 所示），现有的网络边界隔离、防火墙、入侵检测以及病毒查杀等手段仍然是被动的防护手段，缺少对底层硬件平台、上层可信应用的安全支撑，特别是这些安全防护手段的自身安全性较低，存在安全策略被篡改、防护手段被旁路的可能性，网络安全纵深防护能力偏弱。

表 1　网络空间信息安全防护需求

面向日新月异的安全风险，传统的安全防护手段难以达到理想的效果，原因在于没有从安全威胁发生的源头即计算平台自身着手解决问题，而是把过多的注意力放在对系统的外围保护上。美国在《2013 财年国防授权法案》中就明确规定“下一代安全不能单纯依赖于病毒扫描、入侵检测等保护机制，要求从底层消除威胁、持续监控和配置管理，并能在入侵后及时恢复”。只有构建从底层硬件平台到上层可信应用，直至全网安全互联的纵深网络空间信任体系，才能彻底改变“封堵”“查杀”的被动局面，确保各类计算平台处于预期、稳定的安全环境，网络应用处于可信、可控的状态，形成覆盖全网的主动防御、自身免疫的可信网络空间，显著提高网络空间安全防护能力。

2

可信计算概述

可信计算 是当前信息安全领域里的一种以密码学为基础，可信芯片为信任根，主板为平台，软件为核心，网络为纽带，应用成体系的自我免疫的新型安全机制。该机制在计算终端运算的同时进行自身安全防护，使运行和计算行为在任意条件下的结果总与预期一样，计算全程可测可控，运算和防护并存。可信计算中存在一个重要的概念——信任传递，其过程如图 1 所示。主要思路是为计算机系统建立一个信任根，再建立一条信任链，信任由信任根开始传到硬件平台，到操作系统，再到应用程序，一级测量认证一级，最后将信任扩大到整个网络空间，从而保证计算机系统和网络的安全可信。

图 1　可信计算信任传递过程

《国家中长期科学和技术发展规划纲要（2006—2020 年）》中明确提出“以发展高可信网络为重点，开发网络信息安全技术及相关产品，建立信息安全技术保障体系”。目前，国家相关部门已把可信计算列为重点发展项目，可信计算体系结构及系列标准逐步制定，国内不少单位已经按照相关标准研制了芯片、整机、软件和网络连接等可信部件和设备，并得到了有效应用 。开展可信计算技术在物联网、云计算、虚拟化等新兴技术领域的应用研究，建立可信密码模块、可信硬件平台、可信基本输入输出系统（Basic Input Output System，BIOS）、可信软件基、可信网络连接、可信计算综合管理系统和可信应用的系统集成，提升可信计算技术与信息应用系统的兼容性、适配性、安全性和可用性，扭转被动防御打补丁的方式，为网络用户提供一个更为宽广的安全环境。

3

基于可信计算的纵深防护体系

3.1　研究思路

针对上述网络空间安全需求，以可信为基础，从系统整体角度进行防护，提供可信服务用于系统级的保护，以终端安全为出发点，通过信任链传递技术实现安全机制的逐步扩张，确保系统从底层硬件，到操作系统，再到上层应用，最终确保全网处于可信防护之下，进而使整个信息系统处于可控、可管状态，避免进入非预期状态。可信网络安全防护如图 2 所示。

图 2　可信网络安全防护

基于可信计算构建纵深防护体系，采取以下研究思路：

（1）充分将可信和传统安全机制结合。体现可信是基础，安全是目标，可信支撑安全的思想，通过融合可信计算、入侵检测等安全机制为网络中各类实体提供保密性、完整性以及不可否认性等多维安全属性。可信网络多维防护机制如图 3 所示。

图 3　可信网络多维防护机制

（2）确立基于实体的安全防护机制。为了向系统用户提供安全服务，应确立面向各种计算终端、服务应用和通信网络等实体提供相应的安全服务。

（3）强化可信安全组件的隔离特性。尽量减少可信安全组件与其他安全应用间的不必要交互，尤其是潜在危险交互，从而方便可信度量，维持组件在运行过程中的可信免疫状态。

3.2　体系框架

在综合考虑多维安全防护需求，以及基于实体的安全防护对象的基础上，构建以可信计算基、可信软件栈以及可信网络连接 3 个组件为安全基础的纵深防护框架，如图 4 所示。该框架能够有效实施多层隔离和保护，以避免因某一薄弱环节影响整体安全，并防止外部攻击。

图 4　基于可信计算的纵深防御方案体系框架

整个防护框架以可信计算平台为安全基础，搭建可信应用环境，对终端硬件、应用以及网络进行可信验证度量，从而构建一条从底层硬件到上层应用再到网间互联的安全信任链，最终实现整个网络空间的安全可靠运行，实现以下安全防护功能：（1）杜绝终端硬件以及操作系统被旁路的隐患。（2）确保传统安全机制可信。（3）对各类应用进行可信验证，有效杜绝网络病毒、恶意篡改等非授权行为。（4）在网络互联过程中，该框架能够提供可信度量、完整性验证等机制，确保网间可信连接。

通过该防护框架，可以在网络空间中为用户身份、运行环境、应用程序、业务数据、网络互联提供可信机制，从而使系统具有自我免疫能力，能够防御病毒和黑客攻击，以及阻止内部人员的违规操作和恶意攻击。可信安全防护范围如下文所述。

（1）用户身份的可信：确保用户身份的唯一性、合法性。

（2）运行环境的可信：平台资源配置的完整性、正确性。

（3）应用程序的可信：应用程序的完整性、合法性。

（4）业务数据的可信：重要数据存储、处理及传输的机密性、完整性。

（5）网络互联的可信：平台间的可验证性。

3.3　运行流程

根据安全防护框架的功能组成，当网络空间中的终端计算机需要加入其他网络中的某个安全域并向该域获取服务时，可经过终端可信启动、可信应用验证以及安全网络度量 3 个阶段获取可信应用服务，在整个过程中借助可信计算安全机制确保相关网络实体的安全运行。基于可信计算的纵深防御方案体系框架运行流程如图 5 所示。

图 5　基于可信计算的纵深防御方案体系框架运行流程

（1）终端可信启动。终端实体加电后，通过主板内嵌的可信模块建立信任根，经过加载可信驱动程序、可信 BIOS、可信硬件系统等一系列步骤，确保终端主机安全可靠，如加载失败，则对终端主机进行检测，排除硬件故障，直到主机成功启动。

（2）可信应用验证。终端实体启动成功后，可信软件栈调用可信计算模块的安全接口为上层应用提供可信验证与安全防护，当上层应用被验证通过后就可以向网络发送服务请求，否则该应用被禁止运行。

（3）安全网络度量。当终端系统需要进行网络连接时，可以通过可信网络连接组件对目标网络的可信状态进行度量评估，在确保目标网络安全后进行连接，并获取该网络的对应服务。

4

可信纵深防护体系在云计算中的应用

4.1　云计算安全防护需求

云计算作为当前世界信息技术领域影响力最大的技术之一，其快速发展和广泛应用给军事、政治、社会生活等各个方面带来了颠覆性的影响和变化。云计算提供了一种新的技术架构和资源使用模式，将网络、计算、存储、数据和应用等资源都在虚拟化和资源池化的环境中运行，以动态、弹性的方式向用户提供服务的计算模式和商业模式，保证系统可靠性、健壮性的同时，节约了能源和资源，已成为当前信息化建设的重要发展方向。然而，这种开放和虚拟化的资源使用方式给用户带来极大便利的同时，也给计算平台和用户间的安全性带来了较多安全隐患 ，云计算环境下资源虚拟化、数据集中化和分布式存储的特点给信息系统的安全防护带来了新的挑战，安全问题已经成为云计算产业健康发展的最大障碍。

针对云计算架构，弹性网络中大量的东西向、南北向流量，以及云端数据和应用的大规模集中，使得云成为高度复杂的系统，同时也面临着传统安全问题，如数据泄露、恶意代码、非法访问、拒绝服务攻击、账户劫持、不安全的应用程序编程接口（Application Programming Interface，API）等，具体如下：

（1）云服务不可信带来的信息安全风险，使得数据存储、使用、删除和重用等阶段均存在安全问题。

（2）共享技术漏洞引入的虚拟化安全风险，使得虚拟化系统的虚拟化管理组件、虚拟机操作系统、虚拟机监视器等功能组件均存在安全问题。

（3）多租户模式带来的数据泄露风险，使得恶意租户可以通过共享资源对其他租户和云计算基础设施进行攻击。

（4）云平台被恶意使用带来的运营安全风险，导致攻击者可以利用接口侵入云环境，组织攻击行为。

（5）身份验证机制薄弱，导致入侵者可轻松获取用户账号并登录客户的虚拟机。

（6）Hypervisor 管理员不可信，虚拟化环境超级管理员权限大，同时具备虚拟资源、网络、账号等各种资源管理能力。

在云计算环境中，当计算数据或所提供服务具有敏感性时，需要对云计算平台是否可靠、服务是否安全、用户接入是否合法等提出较高要求。因此，需要为云计算平台和用户提供上至服务授权访问、下至底层硬件平台的纵深安全防护。云计算网络拓扑结构如图 6 所示，工业云用户通过网络接入云数据中心，获取相应云服务，并采取防火墙、入侵检测、病毒查杀以及安全登录等手段确保安全提供服务。

图 6　云计算网络拓扑结构

4.2　云计算可信安全体系构建

采用“云－网－端”架构，从云数据中心、云终端、云和端之间网络连接 3 个方面提出云计算纵深可信安全防护模型，如图 7 所示。其中，云数据中心是防护的重中之重，主要按照基础设施层、云平台层、业务应用层等分层实施可信防护，基于可信安全域实现不同租户资源和数据的安全隔离和防护。

图 7　云计算纵深可信安全防护模型

（1）对使用者的可信控制：只有合法并符合可信要求的用户才能够通过可信云终端访问权限验证。

（2）对平台运行环境的可信控制：只有网络、计算、存储等基础设施配置正确才能够启动云计算平台。

（3）对应用程序的可信控制：只有云应用程序的完整性和合法性合乎规则才能够运行使用。

（4）网络环境下平台之间的可信控制：只有计算终端在平台上完成可信验证后才能互联互通。

云计算纵深防护应用具有身份认证可信增强、软硬件环境安全检查、运行控制、行为审计等功能，通过将可信计算与传统安全防护手段相结合的方式，解决用户非法登录、系统恶意篡改、敏感信息泄露、软件非法安装及运行等安全问题，保障信息系统的可控运行，使平台与网络、应用防护手段共同组成一个深层的、主动的、立体的纵深可信安全防护体系，实现云应用的安全可靠、访问行为的可管可控、数据存储的安全可靠和隐私保护、信息共享交换的可信安全等目标。

4.3　云平台可信安全增强机制应用分析

根据云计算平台的网络结构，需要对各类云计算服务器和重点用户登录终端安装可信计算平台来确保终端硬件的安全可靠，并在网络内部增加可信安全管理中心来对各类可信平台以及相关云服务进行安全管理，设定相关安全策略并下发全网；在云计算平台各类核心服务器上层增加访问控制代理来对访问用户进行授权访问控制；在网络连接中增加平台可信度量，确保只有满足安全策略的终端才能接入网络；为了确保各类用户具有权威的访问凭证，在网络中增加数字证书认证中心，作为网络用户访问各类云服务的凭证管理中心。

增强后的云计算平台如图 8 所示，在平台的软硬件层面均有相应的可信计算安全机制进行防护，特别是当用户对云计算平台进行服务访问时，在对接入进行可信验证后，通过证书来确保用户授权的合法可靠和接入控制。

图 8　可信安全增强云计算网络拓扑结构

4.4　云服务安全访问授权机制应用分析

访问授权是云计算用户与计算中心之间的重要安全环节，在确保用户通过可靠的网络连接到云计算中心后，用户与计算中心之间可以通过可信访问授权代理进行授权决策，授权代理通过信任协商机制验证服务请求方所拥有的证书与数据访问控制策略的匹配情况，从而进行授权决策。下面以天气预报访问场景为例，以云用户申请云数据中心进行数据计算为背景，具体介绍访问授权过程。

（1）授权场景描述。天气预报中心在进行天气预报计算时需要调用云计算平台的计算资源，此时该中心可信终端里的数据计算软件通过专网可信连接的方式向云计算平台所属的天气预报数据计算中心的可信访问授权代理发送数据计算请求，从而触发了授权代理的授权决策进程，然后双方通过信任协商的方式决定数据访问授权结果。

（2）访问授权过程。根据天气预报数据计算中心对数据计算服务所设定的数据访问控制策略，双方通过信任协商的方式，交互披露凭证，如果天气预报中心拥有的凭证（如表 2 所示）能够满足访问控制策略，则获取计算服务提供方的授权；如果在披露过程中缺少相应的凭证，则需要向相关证书颁发机构进行证书申请，直至满足数据访问控制策略。

表 2　协商双方凭证拥有情况

根据数据计算中心对天气预报数据计算服务设定的访问控制策略（如表 3 所示），天气预报中心要想获取数据计算服务 S，必须拥有凭证集合由于双方所拥有的凭证需要在满足一定条件下才能出示给对方，所以在出示凭证时需要通过信任协商的方式来决定授权，双方经过 8 轮协商如图 9 所示，在满足协商双方各自凭证访问控制策略的前提下，通过构建的 凭 证 披 露序列，天气预报中心向数据计算中心出示了凭证集合从而获取到数据计算服务授权。

表 3　资源访问控制策略

注：当对方出示凭证后才出示凭证表示凭证可无条件出示对方。

图 9　信任协商具体过程

5

结　语

针对当前众多新兴网络和分布式计算模式面临着多样化漏洞威胁和高强度网络攻击，积极采取信息安全领域新理论、新技术，建立基于可信计算的软硬件可信环境，构建网络空间纵深主动防护体系，能够最大限度地确保网络空间安全。可信计算的应用涉及可信密码模块、可信固件、可信系统软件、可信网络连接、可信应用、可信综合管理系统及可信应用系统等多个环节，尤其针对云平台上的可信计算环境构建问题，本文选择了云平台可信增强、云服务授权访问两个典型的应用场景，后续尚需探索虚拟信任链传递、可信资源管理、虚拟机可信创建及迁移、云平台可信远程证明等可信技术，适应云计算虚拟化、按需分配服务、可动态伸缩等基本特征，改造传统信息系统软硬件适配云平台，采取安全防护和云平台一体设计，进一步实现云平台自身防护和对外提供服务的安全性提升，确保网络空间安全可信可管可用。