從蘋果iCloud看云端服務的安全性

0 引言

蘋果iCloud在云服務中具有代表性，但隨著其爆出的漏洞問題不僅使iCloud的安全性備受爭議，更引來了用戶對云服務安全性的思考。

本文以蘋果iCloud為例，通過對艷照門事件引申的云服務安全性問題進行探討，結合云的安全性現狀及目前云安全的關鍵技術，提出在云端服務的安全體系創新性地進行安全區域劃分，并以此來探討更好的云端服務安全性防范策略。

1 “云”的相關概述

1.1 iCloud 的應用及云服務安全現狀

1.1.1 iCloud的應用

iCloud的重點放在對用戶數據的存儲并在用戶的所有設備（iphone，itouch，mac及 pc）上保持同步的更新上。此外iCloud還有自動同步的功能。

1.1.2 云服務安全現狀

由于云供應商沒把安全性放在首位，導致時有用戶信息被泄露，原因主要有兩點：

（1）移動設備增多，防護加難。移動設備在運用云服務時需與第三方進行同步連接，若第三方在設計上出現差錯，將很有可能會導致你的信息被竊，這使得對云服務的安全防護不斷加難。

（2）無健全的監管機制。云服務具有隨時隨地、數據資源所有權、管理權和使用權分離，及各平臺間不具備互操作性等特點。所以，標準規范和安全管理成為云計算推廣中的最大挑戰。

1.2 iCloud的安全技術

iCloud鑰匙鏈采用了公開密鑰中的橢圓曲線算法、AES-256等加密算法，用戶在發送數據至互聯網前已被加密，只有對應的私鑰才能對 iCloud端的數據解密。另外，整個通信過程也是在標準協議的條件下才能完成，這兩點都有效保證了 iCloud服務的安全性。

2 由icloud引申的云服務安全問題

云環境中，大多數情況出現泄密是因技術和人為因素。

iCloud事件中賬號被盜有兩種可能：

一是攻擊者利用“撞庫”（攻擊者入侵安全性差的網站，竊取用戶注冊郵箱和密碼后，在iCloud上多次嘗試登錄）進行盜號；

二是設備或網絡環境存在漏洞，攻擊者用釣魚WiFi盜取賬號和密碼。

以下對這兩種可能具體分析出背后隱藏的威脅。

2.1 數據無法徹底銷毀

蘋果用戶只要啟動 iCloud，其終端設備中的相片等便會自動同步存儲在 iCloud中，就算你在手機中刪除，備份仍存于 iCloud中，這也是艷照門事件的主因。

云環境中，當用戶發出數據刪除請求后，可能因本地數據不同步，或因云端自身的合法或非法的原因導致云系統不能徹底刪除用戶數據，就有可能造成其他用戶通過殘留數據獲取用戶隱私。

此外，虛擬機若從一個物理主機遷至另一主機后，原主機硬盤上仍留有虛擬化操作系統的痕跡，即使將文件從硬盤上刪除或格式化，攻擊者仍能通過恢復技術從該主機硬盤上獲取有用信息。

2.2 web應用技術存在漏洞

當前web應用程序主要漏洞是 SQL注入（SQLI）、交叉站點腳本（XSS）和分布式拒絕服務攻擊（DDOS攻擊）。

SQL注入試圖通過在SQL語句中夾帶惡意數據進而未經授權就能對后端數據庫的 Web應用程序訪問。

跨站腳本（XSS）攻擊是指在Web應用程序中，攻擊者試圖注入惡意腳本到看起來是可信網站的網頁中。當訪問受攻擊的輸出或頁面時，瀏覽器就會執行代碼，代碼可劫持用戶的會話cookie，它可能包含用戶名，密碼等。

分布式拒絕服務攻擊（DDoS攻擊）使一個機器或網絡資源不可用于其預期的用戶，因此致使服務器癱瘓而無法提供服務、信息損失及數據損壞等。

2.3 應用層訪問控制機制不完善

主要表現在用戶的非法訪問導致的數據泄露，這可來自外部或內部攻擊。

外部攻擊是指不能通過安全認證的用戶非法進入系統，造成用戶數據被破壞或泄密。在蘋果系統中有個“查找我的iPhone”服務，此應用程序存在的安全漏洞允許黑客不斷嘗試密碼，最終找到正確的密碼后便能訪問該用戶iCloud賬戶。

內部攻擊是指具有一定身份的授權用戶非法訪問其未授權資源，從而造成用戶數據丟失。

3 從iCloud事件中思考如何保障云端服務安全性

在整個云端服務的業務系統內的用戶都是動態地在系統內來回，無明顯邊界，若對云服務進行安全區域劃分并面向每個區域塊有針對性的策略，一旦出現問題時就能快速識別是哪塊區域出現漏洞并采取策略。于是本文提出了的一個新的云端服務安全區域劃分體系，如圖1，下面是具體的保障措施。

圖1 云端服務安全區域塊體系

3.1 使用鏡像加密技術

該技術用在生產服務云內，是指在傳輸前先對敏感數據進行鏡像處理，在壓縮的同時對文件加密。這不但可避免部分敏感文件在傳輸過程中被丟或部分殘留在物理機上，且可保證就算是殘留在操作系統中的鏡像文件被竊，里面關于用戶的隱私數據也無法讀出。

使用鏡像文件加密技術時，無論用戶A發布或用戶B訪問鏡像文件都要經鏡像文件庫的訪問機制才能保存與發布信息，而鏡像文件庫會即時對涉及到用戶隱私的信息進行刪除，即某用戶在訪問文件時能獲取的只是部分鏡像。

3.2 建立加密、控制到審計的三重防護架構

圖1中讓基礎網絡層、虛擬化服務層和數據存儲層時刻都處在安全運維中心的管理下，同時在各層間建立加密、控制到審計的三重防護架構。

3.2.1 建立安全訪問控制機制

Amazon S3在云端服務平臺上被廣泛應用，在這種方式下被授權的用戶和應用才有權對數據文件進行訪問，但其最大缺點還是控制列表數量的限定。為此通過結合對訪問信息加密及參考數據安全訪問機制，設計出用戶在離線和在線情況下能便利、安全地使用云服務的數據訪問控制機制。

第一種數據訪問控制機制是指只有在用戶在線時應用才能訪問用戶空間下的非特定目錄或文件，它不受訪問控制列表的訪問權限限制。方案：在數據文件或目錄訪問權限的生命周期很短的條件下，應用層請求訪問用戶存儲在云服務端的某數據文件或目錄時，則被授予這種短期的一兩分鐘內的臨時權限，。

第二種數據訪問控制機制是指在用戶離線的情況下，為應用訪問用戶空間下特定目錄，與第一種的區別：不是臨時訪問授權，且整個訪問權限時間延長至用戶不再需用該應用為止；在非在線情況下，用戶對應用進行訂購時需訪問控制列表。

3.2.2 加強身份和數據審計

首先須對內部人員實施嚴格的身份管理、安全認證與訪問權限控制。對普通用戶的身份審計主要是在新用戶加入和退出時，需用多重的身份驗證措施，最后給用戶分配合適的權限，同時供應商也要在緊密的時間間隔內刪除過時用戶，以防用戶信息被泄露。

數據審計主要是先對敏感數據經分級處理，按敏感數據的重要性對其加密，實時監控其在云中所處的位置、狀態，再對敏感數據進行訪問的各種行為進行日志收集和審計分析，并對可疑記錄溯源分析，嚴防內部人員將用戶數據泄露。

3.2.3 數據傳輸與存儲云端安全策略

方法主要備兩個密鑰，一個讓用戶持有，稱主密鑰 K，另一個讓虛擬密鑰管理（virtual key management，VKM）服務持有，由虛擬密鑰管理按用戶數據及生成規則形成服務器配對密鑰。VKM服務會在數據被加密前，請求用戶主密鑰根據主密鑰 K與服務器配對密鑰 k按工作原理中的安全算法 B，產生新數據加密密鑰 K’并對存儲數據加密存儲，其數學式表達為：E（K，k）=K’ EK’=CM

從服務商來看，若其無用戶提供的主密鑰也沒法對數據解密，其密鑰關系如圖2：

圖2 分離密鑰關系

以上兩密鑰被用戶和 VKM 持有時安全，若要保護用戶隱私，還需只有用戶才持有的主密鑰 K來對配對密鑰進行加密，其數學式表達為：EK’（k）=CK

如圖2，內部管理人員無法獲取加密后的密鑰，就算他以不合法的方式進入服務器，并持有配對密鑰的存儲密文 CK，只有在獲取最終的加密密鑰時，才能讀取數據文件，但其中一個密鑰只有用戶持有，在內部管理人員無法得知此密鑰的情況下，也就不能獲得由主密鑰 K加密過的服務器配對密鑰 k，連服務提供商都不能破解用戶存儲在云端的數據，那么對于攻擊者能竊取的也只能是些無用密文。

3.3 區域間的安全防護

在安全區域劃分體系下，當用戶與云端交互時，還需對離開區域塊的數據保護，方法如下。

（1）采用加密技術。它能保證數據在用戶端被發送出去后上傳到云端的整個過程中的安全防護。

（2）建立多層防御。用web應用程序防火墻防護對外提供服務的HTTP及HTTPS網站，以防御SQL，XSS等的攻擊。采取 IDS或者 IPS在網絡層進行防護和過濾惡意封包，也可用Vontu、Websense和Vericept檢測哪些數據離開你網絡的同時，自動攔截敏感數據；為有效阻擋特定來源的大量郵件，使用過濾外部病毒或釣魚郵件的閘道式防毒系統，并與一般電腦主機安裝的防毒軟件共同組成雙層防御機制，可提高防毒能力。

（3）通過虛擬網絡安全域隔離技術，按不同應用及服務的安全等級劃分虛擬安全域，并對域進行分級分域管理。同時嚴格控制安全域間、安全域內不同虛擬機間的訪問，限制外部及其對虛擬安全域內部虛擬機發起的網絡攻擊。

4 總結

本文在 iCloud引申的問題上將云服務安全區域進行“物理”分塊，使安全隔離的需求降低，且各區域塊互不影響，在一定程度上提高了云服務的安全性。除云提供商做好云服務安全性外，用戶也須提高自我安全意識，如在使用云服務時盡量設置復雜密碼等。