胡傳平

博士，研究員，博士生導師，公安部第三研究所所長(cháng)、黨委副書(shū)記（正廳級），一級警監工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟副理事長(cháng)

（1960-），江蘇揚州人，2007年11月調公安部第三研究所任所長(cháng)至今，兼任公安部科技信息化委員會(huì )委員、公安部應用基礎標準化委員會(huì )副主任委員、中國計算機學(xué)會(huì )計算機安全專(zhuān)業(yè)委員會(huì )副主任、ACM中國常務(wù)理事、ACM上海分會(huì )主席、工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟副理事長(cháng)等職務(wù)。

長(cháng)期從事警用裝備、信息網(wǎng)絡(luò )安全和公安物聯(lián)網(wǎng)領(lǐng)域的高新、前沿技術(shù)研究，在特種機器人、柔性控制系統、eID網(wǎng)絡(luò )身份認證、視頻結構化描述技術(shù)等方面取得多項原創(chuàng )性成果，工程和實(shí)戰應用效果顯著(zhù)。獲國家科技進(jìn)步二等獎2項，省部級科技進(jìn)步獎9項、發(fā)表論文22篇、參編著(zhù)作3本，獲授權專(zhuān)利30余項。

1　安全問(wèn)題是云計算領(lǐng)域的瓶頸

云計算是以虛擬化技術(shù)為基礎，以網(wǎng)絡(luò )為載體提供基礎架構、平臺、軟件等服務(wù)為形式，整合大規?？蓴U展的計算、存儲、數據、應用等分布式計算資源進(jìn)行協(xié)同工作的超級計算模式^[1、2]。雖然各種機構都對云計算產(chǎn)業(yè)給出了令人激動(dòng)的市場(chǎng)前景預測，但隨著(zhù)云計算的不斷普及，對于使用云服務(wù)的用戶(hù)而言，他們對安全問(wèn)題的重要性日趨重視，尤其是數據安全性與隱私泄露風(fēng)險的問(wèn)題，已成為制約云計算發(fā)展的重要因素^[3]。例如，近年來(lái)Amazon、Google等云服務(wù)提供商不斷爆出的各種安全事故，斯諾登事件、iCloud明星照片泄露更是將云中的安全問(wèn)題與隱私關(guān)注推向了一個(gè)前所未有的高度。

蘋(píng)果公司在iCloud照片泄露事件后，聲明稱(chēng)：“泄露事件并非由iCloud服務(wù)漏洞引起，而是對特定賬戶(hù)的攻擊，一些明星的賬戶(hù)在用戶(hù)名、密碼以及安全問(wèn)題的設置上存在重大隱患?！泵绹鳩BI的調查也支持了蘋(píng)果公司的聲明，FBI表示黑客極有可能是利用釣魚(yú)郵件，釣魚(yú)網(wǎng)站等攻擊方法騙得這些明星的iCloud用戶(hù)名和密碼信息。

美國信息技術(shù)研究和分析Gartner最近公布的2016年后的十大戰略預測中，將用戶(hù)責任作為影響云安全的首要因素^[4]。報告預測，“到2020年，95%的云安全事故將是由客戶(hù)造成的”。這再次說(shuō)明蘋(píng)果公司iCloud信息泄露問(wèn)題，不是云服務(wù)/應用的個(gè)別現象，而是云計算服務(wù)模式所引發(fā)的安全問(wèn)題。

2　云計算安全模型與分析

云計算與傳統的IT系統的安全有所不同。在傳統的IT系統中，基礎設施的擁有者和其服務(wù)對象是一體的；而云計算則不同，云計算服務(wù)提供商擁有用來(lái)提供計算服務(wù)的基礎設施的所有權，而用戶(hù)則擁有這些基礎設施的使用權，這使得云服務(wù)提供商和用戶(hù)的利益訴求不同，因此云服務(wù)提供商與用戶(hù)之間信任關(guān)系異常脆弱。

一般情況下每個(gè)云服務(wù)提供商都有自己的一套安全保護方案，當與其他服務(wù)提供商進(jìn)行協(xié)同工作時(shí)，都會(huì )根據自己的安全保護策略對云訪(fǎng)問(wèn)用戶(hù)進(jìn)行身份認證、訪(fǎng)問(wèn)授權。在數據交換時(shí)，云服務(wù)提供商會(huì )根據云訪(fǎng)問(wèn)用戶(hù)特性對交換數據進(jìn)行加密。自由的云協(xié)同工作環(huán)境帶來(lái)了以下安全隱患^[5~7]：

一方面，從體系結構來(lái)看，用戶(hù)運行環(huán)境中的程序或任務(wù)是運行在云服務(wù)提供商的平臺之上的，而用戶(hù)僅僅是遠程連接云服務(wù)提供商管理的虛擬機，能夠獲得的云平臺信息是有限的，無(wú)法了解云平臺內部實(shí)現的細節；當用戶(hù)或企業(yè)將所屬的數據外包給云服務(wù)提供商，或者委托其運行所屬的應用時(shí)，云服務(wù)提供商將獲得該數據或應用的優(yōu)先訪(fǎng)問(wèn)權。于是當發(fā)生由于內部人員失職、黑客攻擊及系統故障導致安全機制失效等安全問(wèn)題時(shí)，云服務(wù)商則沒(méi)有充足的證據讓用戶(hù)確信其數據被正確地使用。例如，用戶(hù)數據有沒(méi)有被盜賣(mài)給其競爭對手？用戶(hù)使用習慣、隱私、用戶(hù)行為有沒(méi)有被記錄或分析？用戶(hù)數據是否被正確存儲在其指定的國家或區域，而不需要的數據已被徹底刪除等。

另一方面，云提供商為了吸引潛在用戶(hù)，傾向于證明自己是可信的，允許可信用戶(hù)進(jìn)入云資源中心獲取數據。然而證明自身可信性的同時(shí)，勢必會(huì )暴露敏感信息，一旦偽可信用戶(hù)通過(guò)了身份認證獲得訪(fǎng)問(wèn)授權，這些信息可能會(huì )被利用來(lái)發(fā)起對云平臺的攻擊。例如2011年7月，韓國三大門(mén)戶(hù)網(wǎng)站之一Nate和社交網(wǎng)站“賽我網(wǎng)”遭到黑客攻擊，造成了3500萬(wàn)用戶(hù)信息泄漏。因此，如何收集云服務(wù)提供商的可信性證據，使其具有不可抵賴(lài)性且不會(huì )給云服務(wù)提供商增加更多潛在攻擊，是一個(gè)兩難問(wèn)題。

盡管2010年由Novell與CSA共同發(fā)起的TCI（Trusted Cloud Initiative）計劃是，旨在將企業(yè)身份管理服務(wù)延伸到云計算模式中；但由于目前的云生態(tài)系統并不成熟，需要對企業(yè)基于云的身份和訪(fǎng)問(wèn)管理（IAM）服務(wù)進(jìn)行評估^[8]。TCI提出用第三方服務(wù)的形式為云計算提供身份管理功能，目的是建立云計算環(huán)境下用戶(hù)身份管理規范，并明確其發(fā)展方向。TCI給出了每個(gè)具體的IAM功能在不同的云結構（如IaaS，PaaS，SaaS）中相關(guān)的IAM實(shí)施建議，并提出數字身份即服務(wù)的理念（IDaaS），認為IDaaS作為第三方服務(wù)提供身份管理功能，除了應具備原有身份管理功能和機制之外，還需要增強隱私性、數據完整性等。

云服務(wù)提供商需要向用戶(hù)證明其服務(wù)的可信，而用戶(hù)則需要通過(guò)云服務(wù)提供商的“證明”建立信心。因此要大規模、應用云計算平臺，讓用戶(hù)將數據安心的交付于云服務(wù)提供商管理，就必須首先解決云服務(wù)提供商與用戶(hù)之間的信任問(wèn)題。

3　基于eID的可信云安全環(huán)境

自2009年起，公安部第三研究所根據公安部指示開(kāi)展網(wǎng)絡(luò )身份管理試點(diǎn)研究。在我國，eID是以密碼技術(shù)為基礎、以安全智能芯片為載體、由“公安部公民網(wǎng)絡(luò )身份識別系統”簽發(fā)給公民的網(wǎng)絡(luò )身份標識，能夠在不泄露身份信息的前提下在線(xiàn)遠程識別身份^[9]?！肮膊抗窬W(wǎng)絡(luò )身份識別系統”于2011年投入正式運行，通過(guò)了國家密碼管理局的系統安全性審查及權威技術(shù)鑒定，它向用戶(hù)簽發(fā)eID時(shí)，會(huì )以用戶(hù)個(gè)人身份信息和隨機數計算出一個(gè)唯一代表用戶(hù)身份的編碼，即用戶(hù)的網(wǎng)絡(luò )身份標識編碼（eIDcode）。該編碼不含任何個(gè)人身份信息，且不可逆推出個(gè)人身份信息。eID由一對非對稱(chēng)密鑰（公鑰和私鑰）及相關(guān)電子信息文件組成，該密鑰對由安全芯片內部產(chǎn)生，通過(guò)高強度安全機制確保無(wú)法被讀取、復制、篡改或非法使用。eID在網(wǎng)絡(luò )上遠程使用時(shí)，使用上述密鑰文件基于國家商用密碼算法（SM2/SM3/SM4等）進(jìn)行芯片內部的數字簽名等密碼運算。

因此eID具有三個(gè)功能，一是網(wǎng)絡(luò )服務(wù)機構能在不獲取身份信息的前提下遠程有效識別持有者是否“人證合一”，在此過(guò)程中eID的發(fā)行機構是掌握持有者的身份信息的，具有保護隱私的特點(diǎn)；二是持有者能對eID進(jìn)行有效掛失（eID使用時(shí)需要輸入eID簽名密碼）；三是具有數字簽名功能，從法律上使得eID持有者的網(wǎng)絡(luò )行為不可抵賴(lài)。

基于eID具有的以上特質(zhì)，本文提出了基于eID的可信云安全環(huán)境模型（如圖1所示），主要包括以下部分:

（1）eID簽發(fā)機構：連接公安部人口庫的“公安部公民網(wǎng)絡(luò )身份識別系統”，承擔eID簽發(fā)和管理職能。

（2）eID登記發(fā)行機構：承擔eID載體的登記和發(fā)行職能，嚴格執行面對面審核用戶(hù)身份和eID的現場(chǎng)簽發(fā)，并提供加載eID的載體的機構。

（3）用戶(hù)：通過(guò)eID登記發(fā)行機構面簽后，用戶(hù)持有eID載體（卡），并設置其PIN碼。

（4）云服務(wù)提供商：連接eID簽發(fā)機構并接入云應用的服務(wù)機構，承擔eID網(wǎng)絡(luò )身份識別基礎服務(wù)和相關(guān)安全增值服務(wù)。

（5）線(xiàn)上應用：指泛在的云服務(wù)，是基于eID進(jìn)行用戶(hù)身份識別和安全服務(wù)的云應用。

圖1 基于 eID的可信云安全環(huán)境模型

在云計算平臺中，eID通過(guò)三大特質(zhì)——即在云中能有效地證明“我是誰(shuí)（通過(guò)嚴格的面對面審核）”、“我知道什么（eID簽名密碼校驗）”、“我擁有什么（eID卡）”——來(lái)建立云服務(wù)提供商與用戶(hù)的強可信關(guān)系。

而且用戶(hù)使用eID通過(guò)網(wǎng)絡(luò )向云應用方自證身份時(shí)，應用方會(huì )通過(guò)連接“公安部公民網(wǎng)絡(luò )身份識別系統”的云服務(wù)提供商，請求驗證核實(shí)用戶(hù)網(wǎng)絡(luò )身份的真實(shí)性和有效性。一旦用戶(hù)的eID通過(guò)驗證，應用方會(huì )得到一個(gè)與該應用相對應的用戶(hù)網(wǎng)絡(luò )身份應用標識編碼（appeIDcode）。雖然用戶(hù)擁有唯一的網(wǎng)絡(luò )身份標識編碼（eIDcode），但不同的云服務(wù)提供商得到是不同的網(wǎng)絡(luò )身份應用標識編碼（appeIDcode），這樣即使在云服務(wù)提供商的平臺上發(fā)生內部人員失職、黑客攻擊及系統故障導致安全機制失效等安全問(wèn)題時(shí)，都可以避免用戶(hù)在不同云應用中的行為數據被匯聚、分析和追蹤，最大程度地保護用戶(hù)的身份、行為等隱私信息。

同時(shí)，云服務(wù)提供商既能知道權威的用戶(hù)身份識別結果，又無(wú)需收集用戶(hù)身份信息，避免了內盜或黑客攻擊而泄露用戶(hù)隱私的風(fēng)險。

基于eID的可信云安全環(huán)境模型為云服務(wù)提供商與用戶(hù)之間建立了可信的云計算環(huán)境，提高了云服務(wù)提供商提供的云應用服務(wù)的透明度，增強了云中用戶(hù)隱私的安全性，使得用戶(hù)能夠驗證云服務(wù)環(huán)境的可信以及云服務(wù)自身的可信，在用戶(hù)和云服務(wù)提供商之間的信任能形成正向的促進(jìn)增強，有利于整個(gè)云計算環(huán)境的安全、可持續發(fā)展。

4　結論與展望

云是一種分布式的、服務(wù)于智能協(xié)同系統的組織。就當前云安全服務(wù)的現狀來(lái)說(shuō)，云服務(wù)商對用戶(hù)的身份認證環(huán)節是非常薄弱的，只通過(guò)用戶(hù)名和口令的方式，認證強度遠遠不夠。本文分析了云協(xié)同工作環(huán)境中存在安全隱患后，提供了一種基于eID的兼顧安全和用戶(hù)體驗的云端身份認證方式，使用戶(hù)可以在個(gè)人隱私得到充分保護的前提下享受云服務(wù)帶來(lái)的方便與快捷，降低自由協(xié)同云環(huán)境下的各種安全風(fēng)險，建立起可信的云安全環(huán)境：

（1）有效提高云計算平臺中用戶(hù)身份認證方面的效率和安全性。eID簽發(fā)機構作為一個(gè)可信第三方，對訪(fǎng)問(wèn)云的用戶(hù)身份進(jìn)行統一的嚴格的安全規范進(jìn)行注冊和認證，這樣不僅減輕了各類(lèi)云服務(wù)提供商的身份審核工作，而且減少由于云認證標準的差異性帶來(lái)的短板效應，減少了非可信用戶(hù)的比例。

（2）減少云計算平臺數據泄露和云中資源被濫用的隱患。由于eID簽發(fā)機構能夠提供一個(gè)作為第三方可信云的訪(fǎng)問(wèn)控制機制，用戶(hù)對云中資源的訪(fǎng)問(wèn)必須經(jīng)過(guò)可信第三方的授權和監控，用戶(hù)之間并不能從云服務(wù)提供商直接獲取數據，這就避免了用戶(hù)獲取未授權數據的操作，減少了云中資源被濫用的風(fēng)險。

參考文獻:

[1] Armbrust M, Fox A, Griffith R, et al. Above the clouds: A Berkeley view of cloud computing[R]. Technical Report, UCB/EECS-2009-28, Berkeley: University of California at Berkley, 2009.

[2] Armbrust M, Fox A, Griffith R, et al. A view of cloud computing[J]. Commun ACM, 2010, 53(4): 50 -58.

[3]吳吉義,平玲娣,潘雪增,等.云計算：從概念到平臺[J].電信科學(xué), 2009, (12): 23 -30.

[4] Gartner Reveals Top Predictions for IT Organizations and Users for 2016 and Beyond [EB/OL]. http://www.gartner.com/newsroom/id/3143718. 2015/10/6.

[5] Bertino, E., Paci, F., Ferrini, R., Shang, N.: Privacy-preserving Digital Identity Management for Cloud Computing[J]. IEEE Data Eng. Bull. 2009, 32(1): 21 -27.

[6] Celesti, A., Tusa, F., Villari, M., Puliafito, A.: Security and Cloud Computing: InterCloud Identity Management Infrastructure[J]. WETICE, IEEE Computer Society , 2010: 263 -265.

[7] Sherman S. M. Chow, Yi-Jun He, Lucas C. K. Hui, et al. SPICE -Simple Privacy-Preserving Identity-Management for Cloud Environment[J]. Applied Cryptography and Network Security. The Series Lecture Notes in Computer Science, 2009, (7341): 526 -543.

[8] Cloud Security Alliance Announces Trusted Cloud Initiative White Paper [EB /OL].

https://cloudsecurityalliance.org/media/news/csa-announces-tci-white-paper, 2011 -10 -18.

[9]解讀eID. http://eid.cn/knowabouteid.html[EB/OL]. 2015 -10 -18.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》