面向云平台的运行环境可信性验证算法研究*

毛明扬 徐胜超

（广州华商学院数据科学学院 广州 511300）

1 引言

在互联网技术的支撑下，云平台借助虚拟化技术将资源进行转化，从而为用户提供多样化的资源，实现资源共享［1］。用户根据需求在云平台进行操作时，仅具有主机的使用权，不具备云平台服务商处理数据的知情权［2］，即缺少数据的物理控制权。云平台具备方便易用和低成本的优点，但是也存在着严重的安全威胁。在云平台多租户的情况下，彼此隔离的数据在物理存储过程中有可能是交叉的，为恶意攻击创造了潜在的攻击通道，因此云平台的运行环境安全可信问题属于目前学术界的关键问题［3］。

文献［4］为了验证云平台的可信性，提出了一种基于多特征融合的云平台异常检测方法，以特征约束条件为前提，采用迭代法对多特征进行融合处理，得到最优解；构建增量模型，运用该模型对云平台数据进行计算；将数据计算结果与融合结果相结合，实现平台异常检测，以此判断云平台的可信性。实验结果表明，该方法具有数据采集实时性的特点，能够获取云平台的实时运行状态，但是可信性验证结果的准确性不高。文献［5］提出一种云架构综合监控系统的可靠性验证方法，首先分析云架构综合监控系统的架构特点，然后建立故障树，获取系统可信性影响因素的底事件，最后根据分析结果验证系统的可信性。实验结果表明，该方法在可信性验证中对于系统故障问题能够获取较高的检测率，但是由于系统中数据量较大，无法实现准确的可信性验证结果。文献［6］提出了一种基于事件B的云平台服务验证方法，该方法从行为、语义、资源分配和结构四个层面进行验证，采用Event-B方法将复杂问题转换成简单问题。验证结果表明，该方法能够为验证问题提供严格的数学推理与证明，具有精细化的特点。

针对上述问题，本文设计一种云平台运行环境可信性验证算法，为提升云平台运行环境的可信性提供有力的数据支持，提升新形势下云平台快速发展的科技竞争力，确保云平台产业高速及稳定发展。

2 面向云平台的运行环境可信性验证算法

2.1 可信性验证算法总体架构

以云平台服务提供商、用户与云平台提供验证服务的可信第三方为主体，结合可信第三方主动与持续监控的可信性验证思想，为用户提供具备针对性的可信性验证服务。本文面向云平台的运行环境可信性验证算法的总体架构如图1所示。

图1 可信性验证算法总体架构

通过可信思想构建云平台可信性验证体系结构，该体系结构和已有云平台形成并立的双体系结构，实现共同保护可信性验证证据与可信性验证机制的目标；基于可信连接架构思想连接可信第三方和云平台网络，保护用户与云平台服务提供商的隐私，同时为双方提供中立与双向的可信性验证服务。可信性验证第三方执行云平台可信性验证的主体过程是将可信性证据收集代理安装于目标云平台内部，负责收集目标云服务与资源等信息。

2.2 可信性验证算法设计

云平台主要包含基础设施即服务层（Infrastructure as a Service，IaaS）、平台即服务层（Platform as a Service，PaaS）与软件即服务层（Software as a Service，SaaS），通过研究这三层的可信性动态验证算法，实现云平台的运行环境可信性验证。

2.2.1 IaaS层可信性验证

云平台的运行环境可信性验证需要IaaS层基础设施的支持，IaaS层的硬件会出现安全漏洞与潜在的侧信道，当攻击者利用IaaS层硬件的安全漏洞与潜在的侧信道，就会降低云平台运行环境的可信性［7］，破坏其安全。

利用基于漏洞特征信息流跟踪与关键过程重构的IaaS层固件安全性验证方法，挖掘IaaS层固件漏洞，验证IaaS层的安全性；该方法包含获取设备固件、初步分析设备固件与反汇编关键代码三部分。通过集成固件映像解析与目标文件平台识别等开源自动工具获取设备固件；观察云平台启动的关键服务，定位与分析云平台IaaS层运行环境内包含的配置文件与初始化脚本等重要文件的分布，判断并采集有关固件设备的全部重要信息，初步获取可能隐藏于脚本内的安全漏洞与缺省配置内的隐藏后门；反汇编关键服务程序与对外接口程序，逆向分析固件设备，发现其漏洞。

以侧信道为出发点，利用基于侧信道分析的云平台运行环境数据泄露检测方法，检测云平台运行环境内硬件基础设施是否存在泄露用户数据的风险，其检测原理如图2所示。

图2 数据泄露检测原理

基于侧信道分析的云平台运行环境数据泄露检测方法是通过硬件组件或数字设备的有意和无意发射信号，利用变体二进制频移键调制泄露数据，经由基于软件的虚拟示波器捕获与解码发射的信号。检索接收到的信息过程为：先提取及计算发射信号的尖峰；再平滑处理原始数据；最后解调平滑后的数据，使其形成真实有效的载荷数据。传输数据的接收步骤如下：

步骤1：预处理并归一化处理发射的信号；

步骤2：实施小波变换，计算归一化后发射信号的尖峰；

步骤3：计算原始数据的峰值间隔，将其转换成频率信号，利用低通滤波器平滑处理频率信号，估计并应用处理后频率信号的阈值，结合阈值计算脉冲宽度，提取原始数据位；

步骤4：进行比特帧报头检测与调制，并对比特帧荷载进行调节。

2.2.2 PaaS层可信性验证

云平台的PaaS层负责部署验证程序代理，如果程序代理被恶意破坏，那么云平台运行环境可信性验证过程将不可信，为解决这一问题，设计一种适用于云平台PaaS层运行环境可信性验证环境的agent保护机制（agent protection mechanism，APM）保障云平台运行环境可信性验证过程的可信性，其实施步骤如下：

步骤1：利用计算机架构构建的内存锁机制保护agent内核态保护模块的完整性；

步骤2：通过agent内核态保护模块保护可信性验证程序代理agent，利用云节点控制寄存器的状态，确保内存锁机制的安全性［8］，信任关系以信任链的形式，使其从写保护位的准确性扩展至agent内核态保护模块，再扩展至可信性验证程序代理agent，确保可信性验证程序代理agent在云平台内获取的验证数据的完整性，提升云平台运行环境可信性验证过程的可信度［9］；

步骤3：云平台服务提供商和可信第三方随机质询云节点控制寄存器内的写保护位状态，agent内核态保护模块对可信性验证程序代理agent实施完整性验证，并检查agent内核态保护模块执行命令的准确性，将质询与验证结果传输至可信第三方，借助第三方实现可信性验证。

2.2.3 SaaS层可信性验证

云平台的SaaS层负责直接为云用户提供可信性验证算法的计算服务。利用故障树分析法分析云平台运行环境的可信性与安全状况，通过可信第三方为SaaS层的故障树分析法提供可信性验证用例，确立顶事件。图3为具体的分析流程。

图3 故障树分析法的流程

故障树分析法的主要思想是利用逻辑代数以与门、或门以及非门的方式，连接基本事件、中间事件以及顶事件。通过该方法可以得到事故的最小割集，最小割集表示云平台运行环境的危险性［10］，各最小割集均能够导致顶事件出现，说明计算获取的最小割集越多，云平台运行环境越危险，即可信性越低。这种方法利于针对该事件及时制定解决方案，降低云平台运行环境中事故发生概率。

定量分析通过对比分析顶事件发生概率和预计目标值验证云平台运行环境的可信性，利用定量分析结果判断故障对云平台运行环境可信性造成的伤害，进而制定云平台运行环境可信性提升方法［11～12］。

在顶事件发生概率计算的过程中，首先用Bi表示独立事件，然后计算逻辑或门事件的概率：

其中，事件发生次数为n。

再通过式（2）计算逻辑与门事件的概率：

其中，i=1,2,…,n。

将基本事件发生概率进行划分，具体可以分为人为失误概率与运行环境元件故障概率［13］，其中，运行环境元件故障概率可以通过式（3）进行计算：

其中，γ表示单元故障率；μ表示单元修复率。由于真实环境内存在湿度与温度等影响因素［14～15］，因此，将综合修正系数设置成K，单元故障率的实验值设置成γ0，λ=Kλ0，那么元件平均故障时间与γ0之间的关系表达式如下：

其中，表示元件故障间隔的平均值，其计算公式如下：

其中，故障持续时间为ti。

故障分析树通过顶事件发生概率与预计目标值的对比结果获取云平台运行环境可信性验证结果，并传输至可信第三方，由可信第三方输出可信性验证等级至云用户，可信性验证等级分别是不可信与可信。

3 实验分析

为了验证面向云平台的运行环境可信性验证算法的有效性，进行仿真实验验证。

3.1 实验环境设计

实验在Matlab软件下进行验证，首先搭建一个仿真实验平台，平台架构如图4所示。

图4 仿真实验平台

具体实验参数设置如表1所示。

表1 实验平台参数

实验中用到的数据来自KDD CUP-99数据集，该数据集中包含大量的网络攻击类型，并生成了网络攻击的真实数据集，共包含500万条以上的数据。在该数据集中抽取部分数据，形成4个数据集，用于本文实验研究。表2为具体的实验数据。

表2 实验数据参数

在上述实验环境下，对云平台的可信性进行验证，为了确定本文方法是否具备有效性，将文献［5］方法和文献［6］方法作为对比方法，分析不同方法的应用效果。

3.2 实验结果分析

以云平台为实验对象，在该云平台运行环境内随机选取10个应用程序，利用wu-ftpd的攻击实验方法攻击这10个应用程序，利用本文算法验证该云平台运行环境内所选的10个应用程序的可信性，“√”表示该程序受到攻击，验证结果如表3所示。

根据表3可知，该云平台运行环境内的10个应用程序在8种攻击类型下均受到不同程度的攻击，破坏其可信性，本文算法能够验证出该云平台运行环境的不可信状态。实验证明：本文算法能够有效验证出云平台运行环境是否可信。

表3 云平台可信性验证结果

利用本文算法对云平台运行环境的主要故障事件导致顶事件发生所占的概率、结构重要度与概率重要度实施计算，结构重要度表示影响云平台可信性主要故障事件指标的重要程度。影响云平台运行环境可信性的主要故障事件指标如表4所示；主要故障事件结构重要度与概率重要度的计算结果如图5、图6、图7所示。

图5 导致顶事件发生所占的概率

表4 影响云平台运行环境的可信性指标

根据图5可知，云平台故障对云平台运行环境不可信性的影响明显高于应用软件故障，原因是应用软件故障能够自行修复时间较短并不影响云平台的运行环境。

根据图6、图7可知，本文算法分析得出：结构重要度最高的故障类型为缓存服务器故障；概率重要度最高的故障类型为数据库服务器故障，最低的故障类型为浏览器故障。综合分析可知，应用故障中人为操作失误导致云平台运行环境不可信的值最高，原因是出现人为操作失误的频率较高，浏览器故障导致云平台运行环境不可信的值最低，原因是浏览器故障能够自行修复且修复时间较快。实验证明：本文算法能够有效获取影响云平台运行环境可信性的故障事件，进而验证云平台环境是否可信；同时本文算法还分析得出云平台故障对云平台运行环境可信性的影响明显高于应用软件故障。

图6 结构重要度

图7 概率重要度

为了进一步验证本文方法的有效性，将文献［5］方法和文献［6］方法作为对比方法，将验证结果准确性作为实验指标，对比不同方法的验证效果，结果如图8所示。

图8 验证结果准确性对比结果

分析图8可知，随着迭代次数的增加，本文方法的可信性验证结果准确率呈现出持续增长的趋势，并且准确率较传统方法优势明显，其准确率最高值接近90%。而文献［5］方法和文献［6］方法的验证结果准确率存在波动，准确率最高未超过65%。通过上述实验结果可知，本文方法的云平台运行环境可信性验证结果更加可靠，这是因为本文方法采用故障树分析法验证云平台运行环境可信性，该方法可以得到事故的最小割集，并且通过IaaS层、PaaS层和SaaS层分层的形式，对可信性进行验证，进一步提升了验证结果的可靠性。

4 结语

目前云平台属于信息技术领域重要的技术趋势之一，以后会有更多的服务应用于云平台内。影响服务向云平台内迁移的关键障碍为云平台运行环境的可信性，为此以提升云平台运行环境可信性为目的，本文提出面向云平台的运行环境可信性验证算法，设计云平台运行环境中IaaS层、PaaS层与SaaS层的可信性验证算法，验证出导致云平台运行环境不可信的因素并及时改进，有利于提升云平台的可靠性。