面向網絡空間的計算安全與數據保護關鍵技術研究

林　華

?

面向網絡空間的計算安全與數據保護關鍵技術研究

林華

（湖南科技學院，湖南 永州 425199）

在網絡計算環境下，如果云服務器遭受破壞將較大規模地影響用戶服務。來自云服務器本身的惡意攻擊和監視也會造成用戶服務過程的安全和隱私風險，同時因為用戶對其自身存儲在網絡計算環境中的數據缺乏直接控制能力，導致用戶難以信任云提供的服務。為有效地降低網絡計算中的安全風險，基于可信計算技術、可信軟件安全監控技術、數據安全分級保護技術，文章提出面向網絡空間的計算安全與數據保護方法研究。

可信計算；計算安全；數據保護；安全監控

1　引　言

近年來，隨著移動互聯網技術迅猛發展，越來越多的操作系統和服務軟件被部署在網絡計算環境下。網絡計算技術憑借其自身的強隔離性、高動態性和可擴展性等特點，為用戶提供負載均衡、動態遷移、故障自動隔離等服務，有效地支撐著云計算、大數據、移動醫療等網絡服務。

在網絡計算環境下，如果云服務器遭受破壞將較大規模地影響用戶服務。來自云服務器本身的惡意攻擊和監視也會造成用戶服務過程的安全和隱私風險，同時因為用戶對其自身存儲在網絡計算環境中的數據缺乏直接控制能力，導致用戶難以信任云提供的服務。為了提高網絡計算服務的可信程度，網絡服務提供商推出了多種安全策略，然而如果服務提供商過多地暴露自身安全機制，其信息一旦被惡意攻擊者所利用，將會造成更大的安全風險。此外，網絡計算環境處于動態變化過程中，用戶需求變化、資源共享調度策略、虛擬機遷移等，都會導致計算環境軟硬件配置變動。雖然當前防火墻、入侵檢測、病毒防范技術在一定程度上可以保證網絡計算過程中的安全，但是面對網絡計算環境中層出不窮的攻擊方法依然顯得力不從心。

目前，針對網絡計算安全的研究，學者們進行了很多研究工作，也取得了大量的成果，但是，由于網絡環境自身的特點，對于網絡計算環境安全性的研究依然存在如下三個方面的難題：

1.1如何有效監控網絡計算環境下軟件的安全運行

在傳統網絡計算環境中，病毒檢測工具通常駐留在被監控系統中，因此容易遭到攻擊者篡改，另外惡意程序也可以通過隱藏自身行為來逃避安全監控程序的檢測。操作系統中的安全漏洞也經常被攻擊者利用，從而以內核權限執行惡意代碼竊取用戶數據。因此，網絡計算環境中軟件的運行安全難以得到保障，也無法阻止在系統內部駐存的一些惡意程序向網絡上肆意傳播。

1.2如何對網絡計算中的數據進行安全保護

在傳統網絡計算環境中，存儲在云服務器上的數據仍然可能被惡意軟件分析其關聯關系和隱私信息，甚至部分惡意的軟件能篡改或刪除用戶數據的情況；同時，也存在云服務提供商可能會對用戶敏感數據進行監控和挖掘，導致用戶數據隱私泄露等問題。

1.3如何提高網絡計算環境的安全性

2　相關工作

目前對于面向網絡計算的安全領域的研究包括多個層次，如Web安全代理、安全虛擬機、硬件檢測等。文獻[1]云平臺從邏輯上對不同用戶之間的虛擬機實施隔離策略，不同用戶之間無法直接訪問資源，一定程度上保證用戶的安全。然而虛擬機之間存在物理設備和固件等資源共享機制，無法完全隔離，通過采用一定的技術手段仍然能夠對用戶虛擬機產生惡意攻擊，破壞計算環境的完整性。

針對上述問題，文獻[2]提出了基于虛擬可信平臺技術（virtual Trusted Platform Module，簡稱vTPM）的安全技術，但該技術在計算需求變化、軟硬件環境變動時，體系結構需要重新構建或調整，因此會導致開銷變大且風險增加，同時來自底層的安全漏洞將導致上述方案不可信。

文獻[3]提出采用可信第三方平臺（Trusted Third Party，簡稱TTP）作為可信驗證的基礎，對云服務器提供的虛擬機進行動態完整性測量，針對用戶虛擬機運行環境的可信性進行遠程驗證和審計，避免由用戶安裝、維護可信性驗證的相關設施和信息，保證在其完整性遭到破壞時能夠及時發現。該研究方案的特點在于操作系統檢測的可信度取決于安全代理的可信程度，而事實意義上，真正完全可信的代理并不存在，同時操作系統內的應用程序均存在被特權級的指令修改風險，導致采集和上傳的信息存在不可信的問題。

隨著移動智能終端設備的廣泛使用，在網絡計算模式中移動云服務安全技術是重點研究領域。文獻[4]指出在ARM結構中TrustZone技術提供了類似于系統管理模式（System Management Mode，簡稱SMM）的功能，通過硬件隔離技術構建可信執行環境，結合ARM虛擬內存保護機制，構造內核飛地，確保系統監控模塊無法被不可信內核篡改或繞過，提供可執行文件完整性、運行時代碼完整性、控制流完整性驗證保護，確保設備只能執行符合授權的代碼。文獻[5]則基于TrustZone技術，結合實時內核保護方法，為ARM架構提供比虛擬機監控器更具特權和更強隔離性的安全計算環境。

即使系統自身提供有效的安全策略，仍然無法通過自身證明取得遠程用戶完全信任。因此，文獻[6]通過采用可信遠程證明模式檢測系統的完整性并分析遠程證明的安全性，將安全控制主體轉移到用戶信任對象并實時有效的度量操作系統的安全性，提升用戶對系統的可信度。文獻[7]中提出的凈室云服務理論是解決云計算環境下云服務器端安全的有效方案之一，通過對云服務提供商分配的計算資源重新簽訂安全協議，防止非授權用戶訪問，保證計算的可信執行。然而安全協議存在執行力度有限性，需要研究協議保護方法并提供系統可信的驗證基礎。

總的來說，現有的安全技術在網絡計算環境下，依然存在安全風險。為解決網絡計算系統中層出不窮的可信問題和安全問題。在網絡計算模式下，操作系統需要管理越來越多的復雜軟件，以滿足移動社交網絡、醫療健康大數據、智慧城市等海量數據的信息化需求，致使操作系統變得愈發復雜和龐大，容易出現更多的安全漏洞。雖然現有的系統安全防護手段部分解決了安全問題，但是現有的網絡安全防范技術面對網絡中層出不窮的惡意攻擊仍然是防不勝防，因此十分有必要研究面向網絡空間的計算安全與數據保護關鍵技術。

3　研究方案

3.1面向可信計算的可信軟件安全監控技術研究

面向可信計算和網絡安全的軟件監控技術，將可信軟件加載到云服務器端及用戶智能終端中執行。為保障云服務器端和用戶智能終端運行環境的安全，需對云服務器端和用戶智能終端工作的軟件進行安全監控。

中國成人2型糖尿病發生率約為10%～11%，且因人口平均年齡增長、肥胖與高脂血癥等相關疾病發生率上升、飲食結構的改變，2型糖尿病發生率也快速上升[1]。2型糖尿病可引起周圍神經病變，引起外周感覺障礙已得到共識，社會大眾認識程度較高，但2型糖尿病對心臟自主神經病變的影響不完全清楚。心臟自主神經病變的篩查也比較困難，因此分析2型糖尿病外周感覺神經病變和心臟自主神經病變關系非常必要。2017年1月—2018年6月，對醫院內分泌科住院的2型糖尿病患者104例入組，進行周圍神經病變檢查、動態心電圖檢查，現報道如下。

當云服務器端和用戶智能終端發出啟動應用程序的請求時，操作系統將產生系統中斷，并從用戶態陷入內核態。通過將系統服務列表中地址映射到可信計算基的監控引擎中，監控引擎啟動實時監控，主要包括主動監控，語義感知獲取完整性測量結果，以及保護系統內存等。

具體來說，監控引擎中的系統事件截獲模塊在操作系統內核處理軟件啟動服務請求前，首先將啟動截獲程序捕獲該進程信息，并且發起完整性檢查，檢測內容包括用戶發起事件的上下文環境和輸入，用戶的寄存器、軟件棧、軟件堆等。檢測信息包括事件類型、事件參數、運行程序的指令和棧指針。對于中斷與異常，測量代理將返回一個非法地址，一旦返回非法地址，將直接陷入到系統保護模式。

獲取完整語義感知的測量結果要求系統內核運行之前加載完整的程序，并且由可信計算基驗證整個程序的完整性。因此，需要在內核運行程序之前加載完成完整程序，以保證能夠獲取完整的測量信息；當程序代碼和初始數據加載到內存時，要求可信計算基中的完整性測量代理立刻計算整個程序的連續哈希函數值，并進行前后文比對，從而保證其完整性。

內存保護要求，用戶只能執行被可信計算基測量過的程序，同時為避免被測量的程序被修改，經過可信計算基完整性測量的程序均標識為不可寫，一旦攻擊者試圖修改程序的只讀屬性，將直接產生異常，并將該進程陷入到系統保護模式，從而保證整個系統的安全。

3.2面向可信計算的數據分級保護策略和安全保護技術研究

在網絡計算服務過程中，采用數據分級保護機制，建立中心服務器、邊緣服務器和用戶智能終端的數據流分級保護機制，在私有數據的保護上，用戶通過加密技術，加密個人的私有數據，并將加密的私有數據存儲到云服務器中。當用戶需要獲取私有數據時，只有符合解密條件的用戶才能解密和使用私有數據。而云服務器端無法進行解密運算，因而在云服務器端不存在私有數據泄露的風險。所述數據加密算法過程如下：

對于存儲在用戶終端的私有數據，必要時經過脫敏處理將其轉換為公共數據，進而存儲在云服務器上。公共數據仍然可能被惡意軟件分析其關聯關系和隱私信息，甚至部分惡意的軟件能篡改或刪除用戶的數據。因此，本項目提出基于可信軟件思想，對運行在云服務器端的軟件進程進行實時分析和比對，阻止數據分析軟件和非法軟件運行，從而保證公共數據的安全。

3.3面向可信計算的可信計算基的遠程證明方法

可信計算基中制定了用戶計算環境內的合法軟件以及安全執行規則，因此保證安全協議不被破壞是安全服務的前提。若可信計算基的安全性由本地操作系統進行證明，但本地操作系統的可信性并不能保證，所以無論是基于云服務器端或者用戶智能終端，安全協議的證明過程及結果對用戶而言均存在安全風險，因此研究本地操作系統外的可信計算基安全證明方案。采用硬件級中斷方式的遠程證明機制，將有效的保證證明結果的正確性。

基于硬件權限或CPU控制模式制定遠程協議證明方法，如Intel的SMM模式、Android的TrustZone技術等，采用安全的通信鏈路進行指令傳遞，觸發硬件底層的系統中斷，從而保證安全模式下的協議模塊檢測。根據不同的安全需求，可以通過三類方案進行安全協議的遠程證明。

所述遠程證明算法過程如下：

結束語

網絡空間安全技術研究是當前的一個研究熱點。文章在移動互聯網技術迅猛發展，越來越多的操作系統和服務軟件被部署在網絡計算環境的背景下，基于可信計算與密碼學基礎，提出面向可信軟件安全監控技術、數據分級保護策略和安全保護技術、可信計算的可信計算基的遠程證明技術。分別從監控進程、加密和分級保護數據、對遠程軟件進行安全證明幾個方面來保證網絡環境中的進程、數據與軟件安全，可以構造安全的網絡計算環境。

[1]陳浩,孫建華,等.一種輕量級安全可信的虛擬執行環境[J],中國科學:信息科學,2012,(5):617-633.

[2]劉川意,林杰,唐博.面向云計算模式運行環境可信性動態驗證機制[J],軟件學報,2014,(3):662-674.

[3]丁滟,王懷民,等.可信云服務[J],計算機學報,2015,(1):133-149.

[4]鄭顯義,李文,孟丹.TrustZone技術的分析與研究[J],計算機學報,2016,(9):1912-1928.

[5]Ahmed M.Azab,Peng Ning,Jitesh Shah,et al Hypervision Across Worlds:Real-Time Kernel Protection from the ARM TrustZone Secure World,Proceeding of the 21st ACM Conference on Computer and Communication Security,New York,USA,2014:90-102.

[6]王勇,方娟,等.基于進程代數的TCG遠程證明協議的形式化驗證[J],計算機研究與發展,2013,(2):325-331.

[7]王麗娜,高漢軍,等.利用虛擬機監視器檢測及管理隱藏進程[J],計算機研究與發展,2011,(8):1534-1541.

（責任編校：宮彥軍）

2017－01－10

2016年永州市科技創新應用研究項目“個人健康大數據的安全和隱私保護研究”（永財企指【2016】26號）。

林華（1965－）女，黑龍江賓縣人，湖南科技學院副教授，研究方向為大數據安全。

TP393

A

1673-2219（2017）10-0082-03