论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　在计算外包的可信性研究方面，主要考虑其计算结果可验证以及对于计算内容的隐私保护两个方面．当前的研究主要涉及计算理论、具体科学问题以及计算环境等３个层次．针对一般计算的验证主要为计算理论的交互式证明系统研究，通过验证方与证明方的博弈来证明计算的正确性．但是理论上的计算证明系统无论从计算复杂性方面考虑，还是基于全同态加密算法的设计，在计算开销以及可适用的计算范围方面都还存在不足，导致这类研究要在实际中应用还有一定距离，需要进一步提高方法的实用性．

　　而另外的一种外包计算验证的研究思路则针对具体的计算问题，研究计算验证方法．现有研究已针对在大规模数学计算、海量数据处理等计算类型，通过数据变换、副本验证等技术来对计算结果进行验证．但是，由于这类研究与要验证的具体问题计算类型相关，不同的计算问题相应的解决方案也不同，因此，在目标问题的多样性方面还需要进一步扩展，针对不同计算问题研究具体的验证方法，因此具有很大的研究空间．

　　４．３可信虚拟机外包

　　基础计算环境———虚拟机（ＶｉｒｔｕｅＭａｃｈｉｎｅ，ＶＭ）的外包服务利用虚拟化技术，为用户提供虚拟的基础计算环境，不同租户的数据与计算可能在相同的物理设备上完成．虚拟机技术在操作系统与底层硬件之间引入了新的虚拟机监控器（ＶｉｒｔｕｅＭａｃｈｉｎｅＭｏｎｉｔｏｒ，ＶＭＭ）层，整体计算系统的可信计算基（ＴｒｕｓｔｅｄＣｏｍｐｕｔｉｎｇＢａｓｅ，ＴＣＢ）界定发生了变化；物理资源的共享使恶意租户通过底层硬件环境对其他租户的虚拟机发起攻击成为可能．此外，虚拟机的外包使用模式下，如何向用户证明虚拟机中执行内容符合用户要求也成为一个需要解决的问题．

　　４．３．１ＶＭ执行验证

　　在虚拟机的外包服务模式中，虚拟机位于服务方，因此用户对于其具体操作在虚拟机上是否得到了正确执行、在其虚拟机上除了用户授权的服务外是否还存在其他服务等等问题都存在疑问，需要对虚拟机的执行过程进行验证．针对这个问题，具体有两方面的研究：一类是利用可信计算技术与ＶＭＭ相结合，向用户验证只有用户授权的应用在虚拟机上运行；另一种是记录虚拟机的行为，通过事后分析的手段来验证虚拟机的执行情况．

　　可信计算技术通过信任链为用户提供了远程验证功能，基于此项技术，Ｓａｎｔｏｓ等人设计了可信云计算平台，通过Ｔｅｒｒａ中的“封闭”式虚拟机，由可信的协调者利用ＴＶＭＭ的支持，为远程用户提供其虚拟机运行情况的执行验证信息．随着可信计算技术的发展，ＭｃＣｕｎｅ等人利用可信芯片的ＬａｔｅＬａｕｎｃｈ支持，提出了代码可信执行架构Ｆｌｉｃｋｅｒ，该机制的目标是追求可信基ＴＣＢ的最小化，通过２５０行代码即可完成系统执行的验证工作，并且同时可以向远程验证者提供代码执行情况的细粒度完整性度量．

　　Ａｎｄｒｅａｓ等人提出了可记录的虚拟机（ＡｃｃｏｕｎｔａｂｌｅＶｉｒｔｕａｌＭａｃｈｉｎｅ，ＡＶＭ）技术，将用户所需要的服务置于ＡＶＭ中执行，在服务过程中记录虚拟机的整个执行过程及通信消息．审计人员通过对虚拟机的回放，可以判断虚拟机中运行的软件系统行为是否按照预期执行，为判断系统的可信执行提供证据．由于虚拟机的回放过程中有可能涉及到用户的隐私，Ｒｉｃｈｔｅｒ等人对虚拟机回顾过程的隐私泄露问题进行了深入讨论，并提出了针对此问题的ＶＭ设计原则．

　　４．３．２ＶＭ安全监控与隔离

　　虚拟机环境允许在同一物理环境下运行多个虚拟机，与其他租户的物理共存（ｐｈｙｓｉｃａｌｃｏ－ｒｅｓｉｄｅｎｃｙ）成为潜在的危险．为保障用户虚拟机的安全运行，服务提供商必须具有对单个ＶＭ进行监控的能力，同时，还必须保证运行在同一物理机上的虚拟机之间相互隔离．

　　在ＶＭ监控方面，可以通过将安全相关的工具集中放置在一个可信虚拟机中，通过底层Ｈｙｐｅｒｖｉｓｏｒ的消息传递实现对其他非可信虚拟机的监控，这种做法带来了很大的运行环境切换开销．为解决该问题，Ｐａｙｎｅ等人提出一种利用虚拟化技术的安全监控体系结构，在非可信虚拟机中加入Ｈｏｏｋ函数，由Ｈｏｏｋ函数获取该虚拟机的执行情况，并将信息返回至安全监控器；而Ｓｈａｒｉｆ等人设计了ＳｅｃｕｒｅＩｎ－ＶＭＭｏｎｉｔｏｒ（ＳＩＭ），在ＶＭ内部实现监控工具，并利用硬件内存保护与硬件虚拟化技术来保护监控工具的执行空间，大大提高安全监控的执行效率；Ａｚａｂ等人则提出基于Ｈｙｐｅｒｖｉｓｏｒ的虚拟机监控机制，着重解决了系统安全监控的经典问题ＴｉｍｅｏｆＣｈｅｃｋｔｏＴｉｍｅｏｆＵｓｅ（ＴＯＣＴＴＯＵ），对客户虚拟机的内存布局的变化以及使用保护等方面进行完整性度量．

　　此外，复旦大学的陈海波等人利用嵌套虚拟化的技术来解决云计算多方租赁环境下的虚拟安全问题，提出了整体解决方案ｃｌｏｕｄｖｉｓｏｒ．该机制的主要方法是利用对虚拟化层的安全保护来实现对资源管理的隔离，并通过嵌套虚拟化技术，在商业的ＶＭＭ之下引入小型的安全监控器对虚拟机进行保护．

　　４．３．３ＶＭＭ完整性

　　作为虚拟机的管理中心，Ｈｙｐｅｒｖｉｓｏｒ在很多安全服务中起到了重要作用，上述对ＶＭ的安全监控等技术都是通过Ｈｙｐｅｒｖｉｓｏｒ来完成．如何保护Ｈｙｐｅｒｖｉｓｏｒ的完整性不被破坏，成为虚拟机安全的重要问题．这类问题的解决方案主要依赖于使用独立的系统组件来对更高特权级别的软件完整性进行度量．ＨｙｐｅｒＧｕａｒｄ与ＨｙｐｅｒＣｈｅｃｋ分别提出了Ｈｙｐｅｒｖｉｓｏｒ完整性度量框架，依靠ＣＰＵ的ＳＭＭ（ＳｙｓｔｅｍＭａｎａｇｅｍｅｎｔＭｏｄｅ）模式的辅助，在Ｈｙｐｅｒｖｉｓｏｒ之下建立新的特权软件层来维护上层软件的完整性；与ＨｙｐｅｒＧｕａｒｄ的本地分析机制不同，ＨｙｐｅｒＣｈｅｃｋ实现了远程的完整性信息分析，降低了分析工作对系统性能的影响．具体工作时，

　　ＨｙｐｅｒＣｈｅｃｋ在ＢＯＩＳ层利用ＣＰＵ的ＳＭＭ模式创建ＣＰＵ以及内存寄存器的状态快照，记录机器的状态信息并将其传输至远程分析服务器，分析验证目标机的安全性．

　　与上述两者在Ｈｙｐｅｒｖｉｓｏｒ之下添加一层可信监控的做法不同，ＨｙｐｅｒＳｅｎｔｒｙ通过一个与Ｈｙｐｅｒｖｉｓｏｒ隔离的软件组件，实现对其运行时完整性进行度量，并且这种度量工作十分隐蔽，能够避免攻击者察觉而隐藏其攻击行为．ＨｙｐｅｒＳｅｎｔｒｙ主要通过带外信道（如智能平台管理接口ＩＰＭＩ）来触发度量行为，并利用ＳＭＭ模式来保护其基本代码与关键数据．

　　４．３．４分析与小结

　　虚拟机外包服务导致ＶＭ的执行难以验证，并且由于在硬件与操作系统中新添加了ＶＭＭ层，ＶＭＭ的安全管理也成为必须解决的问题．可信虚拟机外包服务的主要技术总结．

　　在虚拟机外包服务中，虚拟机执行验证主要针对服务提供方可能没有真实地按照用户要求执行虚拟机的问题，通过可信计算芯片的验证执行或事后第三方追查的手段，来对虚拟机的执行行为进行控制；ＶＭ间的安全隔离问题则主要针对多租户服务的特点，通过监控ＶＭ间的行为来保证ＶＭ间不互相干扰．此外，作为系统结构中重要的一层，在解决ＶＭＭ完整性问题上，通过不同的ＴＣＢ划分，设计新的系统结构，引入安全验证模块来保护ＶＭＭ的完整性．

　　目前虚拟机的安全隔离研究主要根据信息在系统中的逻辑流转路径进行分析，然后在关键点设计安全机制，对虚拟机的行为进行监控．然而，由于运行在同一物理设备上的虚拟机之间存在内存、ｃａｃｈｅ等设备共享，攻击者可以通过硬件的记录特性等非直接的信息传输途径盗取信息．由于这类攻击行为不受系统安全逻辑的限制，造成防御上的难度．因此，针对虚拟机共享环境的旁路攻击与防御在后续研究中成为必须解决的问题．

　　５、未来研究趋势

　　通过分析总结可信云服务研究现状以及各个研究方向当前所存在的问题，可以将可信云服务未来的研究趋势概括为３个大的方向：首先，针对各类典型服务的可信性研究将进一步深化，在数据存储安全、计算外包验证以及系统安全等方面深入研究；其次，需要从云服务的总体结构上着眼研究，综合考虑各类云服务的一体化可信需求，建立面向多层服务间的服务监控体系；再次，由于当前情况下公有云的安全隐患阻碍了云服务的进一步扩展，业界与学术界期望能够从云结构上的改变来彻底提升云服务的可信性，提出了混合云的思想．因此，如何在新型云结构下建立可信云服务也成为了重要的研究趋势．下面，就对这些研究方向的新技术进行介绍．

　　５．１典型服务外包可信新技术

　　首先，针对当前情况下，在数据外包、计算外包与虚拟机外包等典型服务的可信性研究方面存在的不足，进一步深入研究，具体的新型技术包括：

　　（１）数据隐私保护新技术

　　数据机密性是隐私保护的重要研究内容，一直以来，数据加密存储都是保证数据机密性的主流方法．但是，随着外包存储的数据应用范围的扩大，数据需要在云上进行多样性的计算，而各类用户对数据的访问行为也日趋复杂，因此，隐私保护研究的范围进一步扩大，新涌现的研究方向主要涉及动态数据隐私保护和用户访问行为的隐私保护两个方面：

　　用户的隐私数据可以细分为静态数据和动态数据两种．静态数据指用户的文档、资料等不参与计算的隐私信息；而动态数据则指需要参与计算的隐私信息．对静态数据的隐私保护主要通过加密来完成，将密文数据保存在云端即可防止数据隐私的泄露．而对于用户动态数据的隐私保护还没有一个彻底的解决方案．全同态加密为动态数据隐私保护提供了一种理论支持，但其在解决任意计算问题方面的实用性上还存在很大的差距．因此，这方面的研究主要还是针对特定的计算类型，应用全同态加密、Ｇａｒｂｌｅｄ电路等新型技术，研究代价可以被实际应用所接受的隐私保护机制．Ｎｉｋｏｌａｅｎｋｏ等人针对在推荐系统等领域应用广泛的岭回归算法，将同态加密与Ｙａｏｇａｒｂｌｅ电路相结合，保护用户数据隐私；在数据库方面，ＣｒｙｐｔＤＢ将存储的数据嵌套进多个加密层，每个都使用不同的密钥，并利用化简的全同态加密技术允许对加密数据进行简单的ＳＱＬ操作．黄汝维等人则设计了一个基于矩阵和向量运算的可计算加密方案，支持对加密字符串的模糊检索和对加密数值数据的加、减、乘、除４种算术运算．除了数据隐私外，由于对数据的具体访问行为在云上完成，因此，用户对数据的访问行为也在一定程度上涉及用户的隐私．恶意攻击者可以通过对用户行为以及用户背景的总结来猜测数据的重要性、相关领域等信息．因此，对用户访问行为的隐私保护也逐渐受到研究者们的关注．Ｖｉｍｅｒｃａｔｉ等人将外包数据的隐私分为内容隐私、访问隐私以及模式隐私３类，并基于改进的Ｂ＋树技术对访问隐私与模式隐私的保护进行了研究；而Ｌａｉ等人则在利用基于属性加密机制对数据进行访问控制时，研究对访问控制策略的隐私保护问题．

　　（２）计算外包验证新技术

　　云服务的外包服务模式，使得外包计算的验证方面成为近年研究热点，得到了安全顶级会议的持续关注．针对通用计算模式的验证主要依赖密码学方法完成，在此方面的研究主要有两个目标：追求更小的计算开销和适用更大的计算规模．Ｓｅｔｔｙ等人对基于ＰＣＰ的论证系统ＰＥＰＰＥＲ进行改进，降低验证的网络与计算开销，设计能够支持不受限的、面向通用的、接近实际计算问题进行验证的ＰＣＰ系统；Ｐｉｎｏｃｃｈｉｏ方法则基于密码学假设，为用户创建一个公开评价密钥，而计算方法则使用该密钥生成证据证明计算的正确性；Ｋｒｅｕｔｅｒ等人则研究在恶意攻击模式下，如何对十亿级的门电路计算系统进行验证．

　　由于基于计算复杂性理论的验证方案计算开销巨大，并且目前的研究状态与大规模的实际应用还有一定的距离，因此，还有一部分研究针对各种特定的问题，致力于研究实际可行的验证方案．例如，Ｆｉｏｒｅ等人通过数学变换对高阶多项式与矩阵乘进行验证．Ｖｕ等人则将上述基于密码学的验证与针对特定问题的验证方式相结合，提出了混合式的验证方式，根据具体的问题类型在密码学方法与非密码学方法之间切换．

　　（３）旁路攻击技术

　　云服务的资源共享特征为导致旁路攻击提供了便利．旁路攻击是指利用物理实现等非直接传输途径的信息的攻击手段．由于旁路攻击不是利用系统本身逻辑漏洞进行攻击，因此很难防御．目前针对旁路攻击的研究主要从攻击手段以及防御机制两个方面双管齐下进行研究．Ｒｉｓｔｅｎｐａｒｔ等人在文章中分析了虚拟机方式带来的问题，通过在ＡｍａｚｏｎＥＣ２上的实验，证明可以通过外包的ＶＭ获得云基础设施的内部结构、目标ＶＭ的位置以及同一物理机上的其他虚拟机分布等信息，并进一步通过一系列攻击来获得其他虚拟机的信息．Ｗｕ等人则针对虚拟Ｘ８６平台研究基于旁路攻击的高带宽的攻击方式．随着虚拟机环境下的旁路漏洞研究的进一步深入，针对旁路攻击的防御机制也有了初步成果，Ｋｉｍ等人提出了针对旁路攻击的系统级的防护技术ＳＴＥＡＬＴＨＭＥＭ．而Ｚｈａｎｇ等人则对旁路攻击的思路加以正面利用，通过在Ｌ２ｃａｃｈｅ中分析ｃａｃｈｅ的使用情况来探测是否存在共存的虚拟机，从而监控服务方是否履行了物理机独享的服务承诺．

　　５．２云服务的全方位立体化监管

　　在云计算环境中，建立可控的云计算安全监管体系是云服务可信研究要解决的重要挑战．其中，面向多层服务的全方位监控体系与基于第三方的审计是实现安全监管的两个重要的研究方向．未来云计算的发展方向将建立以云基础设施为基础、涵盖云平台服务与云应用服务等多个层次的立体化服务架构，各个层次的服务之间既彼此独立又相互依存．因此，对于不同级别的服务，需要综合考虑服务在整个系统中的位置，研究层间、跨层的安全监控技术来保证系统的一体化安全．例如，在系统安全层面，ＶＭｗａｔｃｈｅｒ针对虚拟机内省技术的语义鸿沟问题，提出了客户视图映射机制，为用户在虚拟机之外全面重建虚拟机内部视图；而Ｓｒｉｎｉｖａｓａｎ等人则使用了进程嫁接技术，实现对单独进程的执行监控．在处理数据安全问题时，也将数据机密性保护与来自底层的安全监控技术相结合，例如，清华大学的侯清铧等人提出将存储服务底层平台的Ｄａｏｌｉ安全虚拟监控系统与分布式文件系统相结合，利用安全虚拟监督系统来阻止传统攻击及来自云管理员的攻击．而Ｓａｎｔｏｓ等人则利用商用ＴＰＭ与基于属性加密技术，控制数据只有在授权的服务器上才可以解密，从而保护用户数据的机密性．在针对服务行为的审计方面，当前主要使用基于密码学加密技术的验证方式，然而，随着云服务的进一步普及，针对云服务的监管体系将逐渐建立与完善，对云服务的第三方可信监管将逐渐取代用户自行验证．例如在云存储服务中，为了保证数据的准确性与完整性，会引入第三方机构对数据进行审计，而服务商也必须为第三方机构的审计行为提供支持．为此，Ｑｉａｎ等人针对云计算环境提出了基于第三方的数据存储公开验证方案；而在Ｃｏｎｇ等人的研究中，进一步研究在公开的第三方审计中，保护被审计数据的隐私不向审计方泄露．

　　５．３基于混合云结构解决服务信任问题