數字圖書館可信云安全機制研究

蘭宇琳

摘要：基于云計算相關概念及目前數字圖書館云安全問題分析，將可信計算技術應用于數字圖書館云安全問題中，提出一種數字圖書館可信云安全機制，并闡述可信計算應用中應解決的關鍵問題及安全策略，構建從底層到頂層的硬件可信云安全機制。

關鍵詞：云安全；數字圖書館；可信計算；可信云

DOIDOI：10.11907/rjdk.171158

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2017）006-0186-03

0 引言

云計算環境下數字圖書館安全問題受到廣泛關注，目前已取得一系列研究成果。程風剛[1]指出云計算給數字圖書館帶來的安全威脅核心是數據，并從監控、技術、制度、實施和評價等5個方面提出了防范策略；麥范金[2]從移動用戶的隱私保護問題出發，提出了以法律、社會規范、隱私感知、管理及處理體系為主的五維保護模型，并給出了相應的體系結構及業務流程描述；張海玉[3]提出從加強Web瀏覽器安全、虛擬安全技術、建立可信云、數據加密、身份認證、建立安全評測體系及監管體系等8個角度闡述了相應的應對策略；鄧勝利[4]探討了“云”圖書館在安全上的利弊，給出了數字資源安全存儲與管理、終端用戶機安全及云平臺服務安全的相應策略。縱觀各家之談，云計算安全問題的解決需要法律、道德和技術三方面協作，方能完成，缺一不可，而技術是“王”。本文將可信計算的思想應用于數字圖書館云安全管理中，分析可信云安全機制構建應解決的關鍵問題。

1 云計算及其安全問題

1.1 云計算

云計算[5]是一種模型，用戶可以便捷地從計算資源池中獲取所需資源，比如網絡、存儲及應用等，而且資源能夠快速供給和釋放，使得資源管理和用戶與服務提供商之間交互的成本最低。云計算架構主要包括4層：硬件層、基礎設施層、平臺層和應用層，根據層次不同提供不同的服務，包括軟件即服務SaaS、平臺即服務PaaS和基礎設施即服務IaaS。SaaS提供專門的應用服務，PaaS提供軟件開發框架及操作系統等平臺資源服務，將硬件層和基礎設施層提供的服務統稱為IaaS，提供基礎性資源，如虛擬機。云計算體系結構如圖1所示。

云計算相較于傳統的計算模式，具有大規模、低成本、虛擬化、高動態性及高可靠性五大顯著特點。

1.2 數字圖書館云安全問題

數字圖書館云安全問題涉及兩個方面：傳統的網絡安全問題和云計算特有的安全問題。傳統的網絡安全問題包括物理安全、網絡各層次存在的安全威脅及數據、訪問安全等，而傳統的網絡安全防御技術發展已經比較成熟[6]，此處不再詳細闡述。由于云計算及數字圖書館自身特點所帶來的安全問題，總結如表1所示。

（1）數據丟失或泄露問題。云環境下的數字圖書館改變了傳統圖書館的服務模式，用戶可以通過有線或無線的方式接入云圖書館中，查閱文字、圖片、音頻、視頻等多媒體內容，這就意味著數據是云圖書館提供服務的核心。數字圖書館中的數據遷移到云中，云的存儲設備存在于不確定的區域，而網絡中租戶眾多，數據在遷移過程中，如果沒有采用相應技術手段，核心數據可能被其他用戶竊取。另外，云平臺中使用的相關管理軟件，提供了訪問、認證、授權及審計等多種功能，如果軟件本身存在安全漏洞，那平臺上的用戶數據勢必遭受影響，一旦被攻擊，云平臺就不再安全，用戶數據存在丟失及泄漏的可能。

（2）云平臺安全性。在數字圖書館云計算平臺中，任務和數據都交付給云平臺，利用云平臺提供的資源服務來完成用戶所需，這就將自身安全完全依托于云平臺。而云平臺同樣存在黑客攻擊、惡意的內部工作人員、惡意用戶及技術漏洞等安全問題。

（3）虛擬化安全。虛擬化技術是云計算提供不同層次服務的重要手段。數字圖書館云平臺上的資源是通過虛擬化的方式租用給不同的租戶，而提供給不同租戶的虛擬資源可能出自于同一個物理地址。因此，不同的虛擬機可能訪問同一臺物理設備，如不能將兩個虛擬機隔離，用戶的機密數據就會被其他用戶窺探。另外，虛擬機回滾和遷移也會帶來新的安全問題。

（4）用戶個人權限及隱私保護。數字圖書館的使用者是獨立的個體，每個讀者都有自己的賬號，讀者通過云服務平臺享受數字圖書館提供的個性化服務，不同的身份享有不同的權限。數字圖書館必須保障不同讀者的使用權限及個人隱私，合理劃分普通讀者、圖書館管理員及云服務提供商的權限，防止用戶數據被惡意竊取和篡改。

除以上安全問題外，云計算還缺乏標準的安全評測體系及監管體系。建立標準的云服務安全評測及監管體系有助于客觀評價云服務供應商的安全服務質量，也為云服務供應商提高自身服務質量提供參考，不斷提高安全服務等級。

2 可信計算技術

計算機領域中“可信”的概念在不斷的形成和發展，本文采用可信計算組織（Trust Computer Group，TCG）的定義[7]：一個實體總是按照預期的目標執行，表明該實體是可信的。可信計算總的目標就是保障系統的安全性，確保系統存儲安全、數據安全及平臺安全。保障系統安全必須確保從計算機的體系結構、BIOS、芯片及主板等硬件底層到數據庫、網絡、應用程序都是可信的。這就需要構建信任鏈，TCG引入了一個可信平臺模塊（Trust Platform Module，TPM）來實現此功能。將TPM嵌入到系統硬件中，從一個小的信任根開始，通過度量系統啟動過程中關鍵部件的信任值來判斷系統的可信性，而信任鏈也通過所反饋的信任值建立起來。計算機系統啟動過程中信任鏈的建立過程如圖2所示。

系統從按下電源鍵開始啟動，將BIOS引導塊作為可信測量根，用來計算新的完整性度量值，存儲在平臺配置寄存器（Platform Configure Register，PCR）中。將TPM作為可信根，首先對BIOS進行度量，將度量值保存在PCR中，遞交系統控制權給BIOS，BIOS建立一個輸入輸出子系統并且初始化相應硬件；接著BIOS度量將獲得控制權的硬件板卡BIOS，保存度量值，初始化完成后回收控制權；緊接著度量系統引導加載程序，并傳遞控制權，加載程序和系統內核，并將控制權轉交給系統內核；系統內核加載安裝各種程序驅動和服務，度量調用應用程序及網絡，至此，系統啟動完成。這樣從一個信任根，到建立一條信任鏈，一級度量一級，一級信任一級，建立一個從底層到頂層的可信機制，從而使得整個計算機系統是可信的，這就是可信計算的基本思想[8]，如圖3所示。

3 數字圖書館可信云安全機制

3.1 數字圖書館可信云安全機制構建中的關鍵問題

數字圖書館云計算平臺用戶流量多，加上多層次的服務模式，使得目前的可信計算技術還無法在現實層面中完全滿足云計算動態多租戶執行環境的需求。要想完全實現應用，還需解決以下問題：

（1）云環境下的動態完整性度量問題。從上文對可信計算技術的概述可知，系統從一個小的信任根開始，通過啟動過程度量各部件的完整性從而構建一條信任鏈，直至整個系統可信，而這針對的只是單一用戶且整個過程都是靜態的，保證的只是系統中各組件的可信。在云圖書館中，租戶眾多、動態性高，在系統運行過程中，一旦組件受到影響，整個信任鏈的傳遞就會受到破壞，此時系統的可信性值得懷疑。同時，由于采用了虛擬技術，在虛擬機可信環境的構建過程中還必須防止被其它虛擬機影響。

（2）可信計算與虛擬機技術的沖突問題。可信計算構建的安全環境是不可逆轉的，而虛擬機卻具有回滾和快照的功能，這使得虛擬機可以從當前的安全狀態回滾到一個不安全的狀態。目前，可信計算技術應用的主要是單機模式，而在云計算環境下，往往是許多虛擬機同時協作完成某一任務，又或者多個租戶之間同時協作，虛擬機之間的信任關系又是相互獨立的，因而必須為云中的每個節點配置一個TPM，云中的用戶必須驗證每一個節點的安全性，使得用戶可窺探云內部配置，因此必須為虛擬機組構建一個可信的環境。

（3）云平臺遠程證明問題。云環境是否可信，最終是由遠程方通過驗證確定的。這種證明利用可信計算提供的完整性度量、報告技術，使用者將完整的度量報告提交給資源提供者，這對平臺進行完整性請求、狀態傳遞、驗證及驗證響應的整個過程稱之為遠程證明[8]。目前，進行遠程證明的方法有很多，比如，直接匿名證明、二進制遠程證明等。而云環境中節點數目的不確定性、可遷移和不透明性，使得這些方法很難應用。此外，云平臺的證明方案還必須同時實現節點的身份證明和完整性證明，平臺的配置狀況、身份權限必須保密。

3.2 安全策略

針對上述問題，專家學者從不同的側重點進行了深入研究，并取得了一定的成果。綜合前人和自己的研究成果，提出以下安全策略：

（1）動態可信度量根。可信鏈的建立依賴于可信度量根，而數字圖書館云平臺的高動態特性，就需要一個動態可信度量根。動態可信度量是基于CPU指令的安全策略，可隨時根據需要啟動。工作原理是：通過對軟件執行過程中的值及函數的調用、返回地址、系統內存狀態、堆和棧的狀態等進行動態監控，實現動態度量。

（2）虛擬化的TPM。針對云環境中的虛擬機，設計虛擬化的TPM，稱之為vTPM。vTPM的功能是使每個虛擬機帶有一個實現TPM功能的平臺，以保證在虛擬機中可信環境的實現。vTPM不僅能夠讓虛擬機使用TPM的全部功能，而且能夠接受來自前端程序的調用來模擬TPM的功能，對于應用程序而言，vTPM是透明的。數字圖書館云平臺安全的關鍵就是虛擬機的安全，云計算所提供的各種服務都是通過虛擬機來完成的，將可信技術與虛擬機技術相互協作、取長補短是問題解決的關鍵。

（3）混合的遠程證明技術。數字圖書館可信云構建中采用二進制遠程證明與基于屬性的遠程證明相結合的策略。二進制遠程證明技術證明了虛擬機的安全性，而面對云平臺軟硬件配置不斷變化的情形，采用基于屬性的遠程證明技術。此策略的優點是不依賴于平臺的軟硬件配置，避免了暴漏平臺的軟硬件配置狀況而導致的隱私泄露。

目前，可信計算技術已成為保障云計算安全的最熱門技術，個人電腦、服務器中采用的可信計算技術已內置了TPM模塊，從底層保障系統安全，可信云安全技術將越來越成熟。基于云的數字圖書館，必定是未來圖書館發展趨勢，為用戶提供一個安全、可靠的平臺環境，從底層到頂層全方位地保障數字資源及用戶隱私，是下一步研究的方向。

參考文獻：

[1]程風剛.基于云計算的數據安全風險及防范策略[J].圖書館學研究，2014（2）：15-17.

[2]麥范金，張興旺，李晨暉.云圖書館中移動用戶隱私五維保護模型的構建[J].情報理論與實踐，2014，37（4）：92-97.

[3]張海玉.云平臺下數字圖書館的安全策略研究[J].圖書館學研究，2013（3）：42-46.

[4]鄧勝利.基于云技術的數字圖書館學術資源安全探討[J].數字圖書館論壇，2015（10）：8-13.

[5]羅東俊.基于可信計算的云計算安全若干關鍵問題研究[D].廣州：華南理工大學，2014.

[6]常方舒.基于TPM聯盟的可信云平臺管理模型[M].保定：河北大學，2015.

[7]周驊.嵌入式系統可信計算的硬件安全機制研究[D].貴陽：貴州大學，2015.

[8]張少華.基于云平臺可信根關鍵技術的研究[M].北京：北京工業大學，2015.

（責任編輯：孫 娟）

英文摘要Abstract：This paper introduces the concept of cloud computing and analyzes the cloud computing security in digital library.Proposed a trusted cloud security mechanism which use the trusted computing technology in digital library.Analyzed the key technologies need to be solved in the trusted cloud security mechanism which constructing cloud security environment from bottom hardware to top applications.

英文關鍵詞Key Words： Cloud Security； Digital Library； Trusted Computing； Trusted Cloud