面向网络空间的计算安全与数据保护关键技术研究

林　华



面向网络空间的计算安全与数据保护关键技术研究

林华

（湖南科技学院，湖南 永州 425199）

在网络计算环境下，如果云服务器遭受破坏将较大规模地影响用户服务。来自云服务器本身的恶意攻击和监视也会造成用户服务过程的安全和隐私风险，同时因为用户对其自身存储在网络计算环境中的数据缺乏直接控制能力，导致用户难以信任云提供的服务。为有效地降低网络计算中的安全风险，基于可信计算技术、可信软件安全监控技术、数据安全分级保护技术，文章提出面向网络空间的计算安全与数据保护方法研究。

可信计算；计算安全；数据保护；安全监控

1　引　言

近年来，随着移动互联网技术迅猛发展，越来越多的操作系统和服务软件被部署在网络计算环境下。网络计算技术凭借其自身的强隔离性、高动态性和可扩展性等特点，为用户提供负载均衡、动态迁移、故障自动隔离等服务，有效地支撑着云计算、大数据、移动医疗等网络服务。

在网络计算环境下，如果云服务器遭受破坏将较大规模地影响用户服务。来自云服务器本身的恶意攻击和监视也会造成用户服务过程的安全和隐私风险，同时因为用户对其自身存储在网络计算环境中的数据缺乏直接控制能力，导致用户难以信任云提供的服务。为了提高网络计算服务的可信程度，网络服务提供商推出了多种安全策略，然而如果服务提供商过多地暴露自身安全机制，其信息一旦被恶意攻击者所利用，将会造成更大的安全风险。此外，网络计算环境处于动态变化过程中，用户需求变化、资源共享调度策略、虚拟机迁移等，都会导致计算环境软硬件配置变动。虽然当前防火墙、入侵检测、病毒防范技术在一定程度上可以保证网络计算过程中的安全，但是面对网络计算环境中层出不穷的攻击方法依然显得力不从心。

目前，针对网络计算安全的研究，学者们进行了很多研究工作，也取得了大量的成果，但是，由于网络环境自身的特点，对于网络计算环境安全性的研究依然存在如下三个方面的难题：

1.1如何有效监控网络计算环境下软件的安全运行

在传统网络计算环境中，病毒检测工具通常驻留在被监控系统中，因此容易遭到攻击者篡改，另外恶意程序也可以通过隐藏自身行为来逃避安全监控程序的检测。操作系统中的安全漏洞也经常被攻击者利用，从而以内核权限执行恶意代码窃取用户数据。因此，网络计算环境中软件的运行安全难以得到保障，也无法阻止在系统内部驻存的一些恶意程序向网络上肆意传播。

1.2如何对网络计算中的数据进行安全保护

在传统网络计算环境中，存储在云服务器上的数据仍然可能被恶意软件分析其关联关系和隐私信息，甚至部分恶意的软件能篡改或删除用户数据的情况；同时，也存在云服务提供商可能会对用户敏感数据进行监控和挖掘，导致用户数据隐私泄露等问题。

1.3如何提高网络计算环境的安全性

2　相关工作

目前对于面向网络计算的安全领域的研究包括多个层次，如Web安全代理、安全虚拟机、硬件检测等。文献[1]云平台从逻辑上对不同用户之间的虚拟机实施隔离策略，不同用户之间无法直接访问资源，一定程度上保证用户的安全。然而虚拟机之间存在物理设备和固件等资源共享机制，无法完全隔离，通过采用一定的技术手段仍然能够对用户虚拟机产生恶意攻击，破坏计算环境的完整性。

针对上述问题，文献[2]提出了基于虚拟可信平台技术（virtual Trusted Platform Module，简称vTPM）的安全技术，但该技术在计算需求变化、软硬件环境变动时，体系结构需要重新构建或调整，因此会导致开销变大且风险增加，同时来自底层的安全漏洞将导致上述方案不可信。

文献[3]提出采用可信第三方平台（Trusted Third Party，简称TTP）作为可信验证的基础，对云服务器提供的虚拟机进行动态完整性测量，针对用户虚拟机运行环境的可信性进行远程验证和审计，避免由用户安装、维护可信性验证的相关设施和信息，保证在其完整性遭到破坏时能够及时发现。该研究方案的特点在于操作系统检测的可信度取决于安全代理的可信程度，而事实意义上，真正完全可信的代理并不存在，同时操作系统内的应用程序均存在被特权级的指令修改风险，导致采集和上传的信息存在不可信的问题。

随着移动智能终端设备的广泛使用，在网络计算模式中移动云服务安全技术是重点研究领域。文献[4]指出在ARM结构中TrustZone技术提供了类似于系统管理模式（System Management Mode，简称SMM）的功能，通过硬件隔离技术构建可信执行环境，结合ARM虚拟内存保护机制，构造内核飞地，确保系统监控模块无法被不可信内核篡改或绕过，提供可执行文件完整性、运行时代码完整性、控制流完整性验证保护，确保设备只能执行符合授权的代码。文献[5]则基于TrustZone技术，结合实时内核保护方法，为ARM架构提供比虚拟机监控器更具特权和更强隔离性的安全计算环境。

即使系统自身提供有效的安全策略，仍然无法通过自身证明取得远程用户完全信任。因此，文献[6]通过采用可信远程证明模式检测系统的完整性并分析远程证明的安全性，将安全控制主体转移到用户信任对象并实时有效的度量操作系统的安全性，提升用户对系统的可信度。文献[7]中提出的净室云服务理论是解决云计算环境下云服务器端安全的有效方案之一，通过对云服务提供商分配的计算资源重新签订安全协议，防止非授权用户访问，保证计算的可信执行。然而安全协议存在执行力度有限性，需要研究协议保护方法并提供系统可信的验证基础。

总的来说，现有的安全技术在网络计算环境下，依然存在安全风险。为解决网络计算系统中层出不穷的可信问题和安全问题。在网络计算模式下，操作系统需要管理越来越多的复杂软件，以满足移动社交网络、医疗健康大数据、智慧城市等海量数据的信息化需求，致使操作系统变得愈发复杂和庞大，容易出现更多的安全漏洞。虽然现有的系统安全防护手段部分解决了安全问题，但是现有的网络安全防范技术面对网络中层出不穷的恶意攻击仍然是防不胜防，因此十分有必要研究面向网络空间的计算安全与数据保护关键技术。

3　研究方案

3.1面向可信计算的可信软件安全监控技术研究

面向可信计算和网络安全的软件监控技术，将可信软件加载到云服务器端及用户智能终端中执行。为保障云服务器端和用户智能终端运行环境的安全，需对云服务器端和用户智能终端工作的软件进行安全监控。

中国成人2型糖尿病发生率约为10%～11%，且因人口平均年龄增长、肥胖与高脂血症等相关疾病发生率上升、饮食结构的改变，2型糖尿病发生率也快速上升[1]。2型糖尿病可引起周围神经病变，引起外周感觉障碍已得到共识，社会大众认识程度较高，但2型糖尿病对心脏自主神经病变的影响不完全清楚。心脏自主神经病变的筛查也比较困难，因此分析2型糖尿病外周感觉神经病变和心脏自主神经病变关系非常必要。2017年1月—2018年6月，对医院内分泌科住院的2型糖尿病患者104例入组，进行周围神经病变检查、动态心电图检查，现报道如下。

当云服务器端和用户智能终端发出启动应用程序的请求时，操作系统将产生系统中断，并从用户态陷入内核态。通过将系统服务列表中地址映射到可信计算基的监控引擎中，监控引擎启动实时监控，主要包括主动监控，语义感知获取完整性测量结果，以及保护系统内存等。

具体来说，监控引擎中的系统事件截获模块在操作系统内核处理软件启动服务请求前，首先将启动截获程序捕获该进程信息，并且发起完整性检查，检测内容包括用户发起事件的上下文环境和输入，用户的寄存器、软件栈、软件堆等。检测信息包括事件类型、事件参数、运行程序的指令和栈指针。对于中断与异常，测量代理将返回一个非法地址，一旦返回非法地址，将直接陷入到系统保护模式。

获取完整语义感知的测量结果要求系统内核运行之前加载完整的程序，并且由可信计算基验证整个程序的完整性。因此，需要在内核运行程序之前加载完成完整程序，以保证能够获取完整的测量信息；当程序代码和初始数据加载到内存时，要求可信计算基中的完整性测量代理立刻计算整个程序的连续哈希函数值，并进行前后文比对，从而保证其完整性。

内存保护要求，用户只能执行被可信计算基测量过的程序，同时为避免被测量的程序被修改，经过可信计算基完整性测量的程序均标识为不可写，一旦攻击者试图修改程序的只读属性，将直接产生异常，并将该进程陷入到系统保护模式，从而保证整个系统的安全。

3.2面向可信计算的数据分级保护策略和安全保护技术研究

在网络计算服务过程中，采用数据分级保护机制，建立中心服务器、边缘服务器和用户智能终端的数据流分级保护机制，在私有数据的保护上，用户通过加密技术，加密个人的私有数据，并将加密的私有数据存储到云服务器中。当用户需要获取私有数据时，只有符合解密条件的用户才能解密和使用私有数据。而云服务器端无法进行解密运算，因而在云服务器端不存在私有数据泄露的风险。所述数据加密算法过程如下：

对于存储在用户终端的私有数据，必要时经过脱敏处理将其转换为公共数据，进而存储在云服务器上。公共数据仍然可能被恶意软件分析其关联关系和隐私信息，甚至部分恶意的软件能篡改或删除用户的数据。因此，本项目提出基于可信软件思想，对运行在云服务器端的软件进程进行实时分析和比对，阻止数据分析软件和非法软件运行，从而保证公共数据的安全。

3.3面向可信计算的可信计算基的远程证明方法

可信计算基中制定了用户计算环境内的合法软件以及安全执行规则，因此保证安全协议不被破坏是安全服务的前提。若可信计算基的安全性由本地操作系统进行证明，但本地操作系统的可信性并不能保证，所以无论是基于云服务器端或者用户智能终端，安全协议的证明过程及结果对用户而言均存在安全风险，因此研究本地操作系统外的可信计算基安全证明方案。采用硬件级中断方式的远程证明机制，将有效的保证证明结果的正确性。

基于硬件权限或CPU控制模式制定远程协议证明方法，如Intel的SMM模式、Android的TrustZone技术等，采用安全的通信链路进行指令传递，触发硬件底层的系统中断，从而保证安全模式下的协议模块检测。根据不同的安全需求，可以通过三类方案进行安全协议的远程证明。

所述远程证明算法过程如下：

结束语

网络空间安全技术研究是当前的一个研究热点。文章在移动互联网技术迅猛发展，越来越多的操作系统和服务软件被部署在网络计算环境的背景下，基于可信计算与密码学基础，提出面向可信软件安全监控技术、数据分级保护策略和安全保护技术、可信计算的可信计算基的远程证明技术。分别从监控进程、加密和分级保护数据、对远程软件进行安全证明几个方面来保证网络环境中的进程、数据与软件安全，可以构造安全的网络计算环境。

[1]陈浩,孙建华,等.一种轻量级安全可信的虚拟执行环境[J],中国科学:信息科学,2012,(5):617-633.

[2]刘川意,林杰,唐博.面向云计算模式运行环境可信性动态验证机制[J],软件学报,2014,(3):662-674.

[3]丁滟,王怀民,等.可信云服务[J],计算机学报,2015,(1):133-149.

[4]郑显义,李文,孟丹.TrustZone技术的分析与研究[J],计算机学报,2016,(9):1912-1928.

[5]Ahmed M.Azab,Peng Ning,Jitesh Shah,et al Hypervision Across Worlds:Real-Time Kernel Protection from the ARM TrustZone Secure World,Proceeding of the 21st ACM Conference on Computer and Communication Security,New York,USA,2014:90-102.

[6]王勇,方娟,等.基于进程代数的TCG远程证明协议的形式化验证[J],计算机研究与发展,2013,(2):325-331.

[7]王丽娜,高汉军,等.利用虚拟机监视器检测及管理隐藏进程[J],计算机研究与发展,2011,(8):1534-1541.

（责任编校：宫彦军）

2017－01－10

2016年永州市科技创新应用研究项目“个人健康大数据的安全和隐私保护研究”（永财企指【2016】26号）。

林华（1965－）女，黑龙江宾县人，湖南科技学院副教授，研究方向为大数据安全。

TP393

A

1673-2219（2017）10-0082-03