公共云计算环境下用户数据的隐私性与安全性保护

摘要

云计算作为未来IT业主要技术趋势之一,其市场潜力已远远超过了Web2.0概念。云计算将大量的、可规模化的IT资源以服务的形式通过因特网提供给多个用户。通过对于大规模计算资源的高效灵活调度,云计算能够为用户提供按需动态扩容和收缩的计算服务,同时为云计算服务商提供巨大的资源优化调度空间,用规模化效应最大程度地降低成本。
　　除了成本的节省,云计算的另一个卖点是将计算资源以网络服务的形式提供给用户,将用户从复杂的IT软硬件维护中解放出来。通过网络提供的计算服务使得用户能够随时随地获得服务,打破了时间和地域的束缚。然而,基于网络的服务存在一个负面问题,即用户数据在网络上的隐私与安全问题。事实上,作为目前公认的最大阻碍因素,数据的隐私性与安全性问题给云计算的发展推广提出了巨大挑战。
　　在公共云计算环境中,数据安全主要有以下四个问题:
　　1.在公共云环境中,用户担心其数据的隐私性会受到来自于云服务商、其他云用户或网络黑客的损害,会丧失对数据的创建、传播与销毁等控制权。
　　2.虚拟化技术以及虚拟机动态迁移是云计算中的核心技术,用于计算资源动态调度。虚拟机迁移过程的复杂性和动态性给系统带来了单机数据保护技术所没有覆盖的安全隐患。
　　3.作为云计算软件层的核心,虚拟机监控器本身的体积正在爆炸性增长,其本身的安全隐患正日益突出。一旦虚拟机监控器被攻破,上层的所有虚拟机及其中的用户数据将被攻击者控制。
　　4.云计算服务器存在被直接接触与对硬件的攻击,例如总线与内存探测,甚至存在攻击者用被篡改的硬件替换正常硬件的可能。
　　针对来公共云环境的数据安全和数据控制权问题,DissolVer系统结合了虚拟机监控器的安全加强和可信计算技术,提出了用户数据在云服务器端从创建到销毁全程的隐私性保护,并且提供了用户按需强制销毁在云中的数据的系统支持。DissolVeI。系统的数据保护粒度为整个进程,包括进程的可执行代码和数据。在没有受到直接接触硬件的物理攻击的情况下,Dissolver系统能够保证即使操作系统和上层软件都己被成功入侵,在云端的用户数据也不会被非法读取或篡改。
　　针对用户数据在虚拟机迁移时的安全问题,我们分析了安全迁移的可行性和其中可能的安全隐患,并设计了安全迁移协议,实现了PALM原型系统,保证受保护的用户数据在虚拟机动态迁移过程中和迁移之后仍旧保持其隐私性和完整性。
　　针对虚拟机监控器的安全隐患,MOON系统将数据隔离保护职能从虚拟机监控器中分离,使用特权级别高于虚拟机监控器的微型监控器,在不依赖于虚拟机监控器完整性的前提下为上层的用户虚拟机提供私有内存和I/O的隔离保护。MOON系统能够在虚拟机监控器被完全入侵的情况下,保持对用户虚拟机中数据的隐私性保护。
　　针对对云计算服务器硬件的直接物理攻击,在只有CPU可信的假设前提下,我们提出了Diamond技术对CPU进行安全增强设计,使得所有用户虚拟机及其中数据仅在CPU内部解密,在内存等CPU之外区域都以密文形式存在,从而高强度地对数据的隐私性和完整性作出保护。Diamond技术的数据保护粒度为整个虚拟机。
　　本文的主要贡献包括:
　　1.提出了用户数据在云服务器端从生成到销毁全过程完整的隐私保护技术,并且威胁模型达到实用意义。
　　2.提出了用户数据在云服务器端的强制自我销毁技术,能够保证在云计算平台受到恶意攻击的情况下用户数据仍然能够按时销毁。
　　3.针对基于虚拟机监控器的用户进程保护系统,提出了虚拟机安全动态迁移协议,保证用户数据在迁移的全过程的隐私性和完整性。
　　4.在虚拟机监控器不受信任的前提下,首次提出通过运行在最高特权级的资源监控层来保护整个用户虚拟机的数据。这种技术对现有系统的修改极小,是目前能够运行商用虚拟机的最小TCB,并且保护粒度十分适合IaaS类型的云计算环境。5.借助在CPU中加入安全模块,首次提出基于CPU对整个用户虚拟机的数据的隐私性与完整性实施保护。这种保护技术比其他相关研究逻辑商更简单,保护粒度更适合IaaS类型的云计算环境。