技術領域

本發明屬于信息安全技術領域，尤其涉及一種云計算環境下的隱蔽通信方法，實現了機密信息的隱蔽傳輸。?

背景技術

云計算是一種全新的互聯網服務模式，為云客戶提供安全可靠、可動態調整的計算資源服務。典型的云架構分為基礎設施層、平臺層和應用層，虛擬化技術為其提供了計算資源的可伸縮性、可用性和基于數據隔離保障的安全性。數據保護是云計算面臨的首要安全問題。如何保障客戶數據不被泄漏，是云計算以及虛擬化技術的關鍵。虛擬化技術固有的隔離性為客戶數據提供了一定程度的保護；同時安全研究人員也提出多種安全策略技術以實現更高強度的訪問控制保障。例如，在Xen(Paul?Barham，Boris?Dragovic，Keir?Fraser，Steven?Hand，Tim?Harris，Alex?Ho，Rolf?Neugebauer，Ian?Pratt，Andrew?Warfield.Xen?and?the?art?of?virtualization.SOSP’03，Bolton?Landing，New?York，USA.2003：164-177.)虛擬平臺中，sHype實現了Chinese?Wall和Type?Enforcement等強制訪問控制策略來保證數據的機密性；Lares、HyperSentry、HyperSafe等機制實現了基于虛擬機監控器的完整性保護。在安全策略的保障下，同一硬件平臺上的多個虛擬機之間可以通過共享硬件資源進行授權通信。然而，機密信息能夠以授權通信為載體，實現隱蔽傳輸，在無法察覺的情況下，實現對系統的安全審計和電子取證。?

2009年，Thomas等研究人員(Thomas?Ristenpart，Eran?Tromer，Hovav?Shacham，Stefan?Savage.Hey，you，get?off?of?my?cloud：exploring?information?leakage?in?third-party?compute?clouds.CCS’09，Chicago，Illinois，USA.2009：199-212.)指出云計算環境下不同虛擬機之間的進程只要存在硬件資源共享就可能導致隱蔽通信。可能被利用的共享資源包括網絡接口、CPU分支預測表、指令Cache、內存總線、CPU調度器、CPU時間片、硬盤接口等。Thomas等人在Amazon?EC2平臺上實現了基于內存總線和硬盤訪問沖突的隱蔽通信方式。對于入侵者來說，通過隱蔽通信方式能夠判定多個虛擬機客戶系統是否運行在同一硬件平臺上，從而為下一步的攻擊做準備。對于系統管理者來說，隱蔽通信能夠用作安全審計和電子取證。?

2010年，Okamura和Oyama(Keisuke?Okamura，Yoshihiro?Oyama.Load-based?covert?channels?between?Xen?virtual?machines.SAC’10.Sierre，Switzerland.2010：173-180.)深入研究?了Thomas等人提到的基于CPU負載的隱蔽通信方式。入侵者用不同的操作響應時間表示不同的信息，通過控制CPU負載影響進程執行操作的響應時間，從而實現機密信息的隱蔽傳輸。他們的研究側重于定量地分析該傳輸方式的威脅，當云計算平臺存在一個或多個物理CPU時，虛擬CPU對操作的分配會影響信息傳輸的準確率；以及在存在干擾的情況下，隱蔽通信的效果會降低。?

2011年，(Yinqian?Zhang，Ari?Juels，Alina?Oprea，Michael?K.Reiter.HomeAlone：Co-Residency?Detection?in?the?Cloud?via?Side-Channel?Analysis.IEEE?S&P?2011.Oakland，USA.2011：313-328.)等人深入分析了基于Cache緩存的隱蔽通信方式，類似于基于CPU負載的信息傳輸方式，通過分析Cache緩存的響應時間能夠判斷同一硬件平臺上是否有其他的虛擬機存在。對于在云計算平臺存儲關鍵業務數據的云客戶，如果其系統部署方案被同一硬件平臺的競爭客戶發現，后果將會非常嚴重。?