胡传平

博士，研究员，博士生导师，公安部第三研究所所长、党委副书记（正厅级），一级警监工业控制系统信息安全产业联盟副理事长

（1960-），江苏扬州人，2007年11月调公安部第三研究所任所长至今，兼任公安部科技信息化委员会委员、公安部应用基础标准化委员会副主任委员、中国计算机学会计算机安全专业委员会副主任、ACM中国常务理事、ACM上海分会主席、工业控制系统信息安全产业联盟副理事长等职务。

长期从事警用装备、信息网络安全和公安物联网领域的高新、前沿技术研究，在特种机器人、柔性控制系统、eID网络身份认证、视频结构化描述技术等方面取得多项原创性成果，工程和实战应用效果显著。获国家科技进步二等奖2项，省部级科技进步奖9项、发表论文22篇、参编著作3本，获授权专利30余项。

1　安全问题是云计算领域的瓶颈

云计算是以虚拟化技术为基础，以网络为载体提供基础架构、平台、软件等服务为形式，整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作的超级计算模式^[1、2]。虽然各种机构都对云计算产业给出了令人激动的市场前景预测，但随着云计算的不断普及，对于使用云服务的用户而言，他们对安全问题的重要性日趋重视，尤其是数据安全性与隐私泄露风险的问题，已成为制约云计算发展的重要因素^[3]。例如，近年来Amazon、Google等云服务提供商不断爆出的各种安全事故，斯诺登事件、iCloud明星照片泄露更是将云中的安全问题与隐私关注推向了一个前所未有的高度。

苹果公司在iCloud照片泄露事件后，声明称：“泄露事件并非由iCloud服务漏洞引起，而是对特定账户的攻击，一些明星的账户在用户名、密码以及安全问题的设置上存在重大隐患。”美国FBI的调查也支持了苹果公司的声明，FBI表示黑客极有可能是利用钓鱼邮件，钓鱼网站等攻击方法骗得这些明星的iCloud用户名和密码信息。

美国信息技术研究和分析Gartner最近公布的2016年后的十大战略预测中，将用户责任作为影响云安全的首要因素^[4]。报告预测，“到2020年，95%的云安全事故将是由客户造成的”。这再次说明苹果公司iCloud信息泄露问题，不是云服务/应用的个别现象，而是云计算服务模式所引发的安全问题。

2　云计算安全模型与分析

云计算与传统的IT系统的安全有所不同。在传统的IT系统中，基础设施的拥有者和其服务对象是一体的；而云计算则不同，云计算服务提供商拥有用来提供计算服务的基础设施的所有权，而用户则拥有这些基础设施的使用权，这使得云服务提供商和用户的利益诉求不同，因此云服务提供商与用户之间信任关系异常脆弱。

一般情况下每个云服务提供商都有自己的一套安全保护方案，当与其他服务提供商进行协同工作时，都会根据自己的安全保护策略对云访问用户进行身份认证、访问授权。在数据交换时，云服务提供商会根据云访问用户特性对交换数据进行加密。自由的云协同工作环境带来了以下安全隐患^[5~7]：

一方面，从体系结构来看，用户运行环境中的程序或任务是运行在云服务提供商的平台之上的，而用户仅仅是远程连接云服务提供商管理的虚拟机，能够获得的云平台信息是有限的，无法了解云平台内部实现的细节；当用户或企业将所属的数据外包给云服务提供商，或者委托其运行所属的应用时，云服务提供商将获得该数据或应用的优先访问权。于是当发生由于内部人员失职、黑客攻击及系统故障导致安全机制失效等安全问题时，云服务商则没有充足的证据让用户确信其数据被正确地使用。例如，用户数据有没有被盗卖给其竞争对手？用户使用习惯、隐私、用户行为有没有被记录或分析？用户数据是否被正确存储在其指定的国家或区域，而不需要的数据已被彻底删除等。

另一方面，云提供商为了吸引潜在用户，倾向于证明自己是可信的，允许可信用户进入云资源中心获取数据。然而证明自身可信性的同时，势必会暴露敏感信息，一旦伪可信用户通过了身份认证获得访问授权，这些信息可能会被利用来发起对云平台的攻击。例如2011年7月，韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，造成了3500万用户信息泄漏。因此，如何收集云服务提供商的可信性证据，使其具有不可抵赖性且不会给云服务提供商增加更多潜在攻击，是一个两难问题。

尽管2010年由Novell与CSA共同发起的TCI（Trusted Cloud Initiative）计划是，旨在将企业身份管理服务延伸到云计算模式中；但由于目前的云生态系统并不成熟，需要对企业基于云的身份和访问管理（IAM）服务进行评估^[8]。TCI提出用第三方服务的形式为云计算提供身份管理功能，目的是建立云计算环境下用户身份管理规范，并明确其发展方向。TCI给出了每个具体的IAM功能在不同的云结构（如IaaS，PaaS，SaaS）中相关的IAM实施建议，并提出数字身份即服务的理念（IDaaS），认为IDaaS作为第三方服务提供身份管理功能，除了应具备原有身份管理功能和机制之外，还需要增强隐私性、数据完整性等。

云服务提供商需要向用户证明其服务的可信，而用户则需要通过云服务提供商的“证明”建立信心。因此要大规模、应用云计算平台，让用户将数据安心的交付于云服务提供商管理，就必须首先解决云服务提供商与用户之间的信任问题。

3　基于eID的可信云安全环境

自2009年起，公安部第三研究所根据公安部指示开展网络身份管理试点研究。在我国，eID是以密码技术为基础、以安全智能芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络身份标识，能够在不泄露身份信息的前提下在线远程识别身份^[9]。“公安部公民网络身份识别系统”于2011年投入正式运行，通过了国家密码管理局的系统安全性审查及权威技术鉴定，它向用户签发eID时，会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码，即用户的网络身份标识编码（eIDcode）。该编码不含任何个人身份信息，且不可逆推出个人身份信息。eID由一对非对称密钥（公钥和私钥）及相关电子信息文件组成，该密钥对由安全芯片内部产生，通过高强度安全机制确保无法被读取、复制、篡改或非法使用。eID在网络上远程使用时，使用上述密钥文件基于国家商用密码算法（SM2/SM3/SM4等）进行芯片内部的数字签名等密码运算。

因此eID具有三个功能，一是网络服务机构能在不获取身份信息的前提下远程有效识别持有者是否“人证合一”，在此过程中eID的发行机构是掌握持有者的身份信息的，具有保护隐私的特点；二是持有者能对eID进行有效挂失（eID使用时需要输入eID签名密码）；三是具有数字签名功能，从法律上使得eID持有者的网络行为不可抵赖。

基于eID具有的以上特质，本文提出了基于eID的可信云安全环境模型（如图1所示），主要包括以下部分:

（1）eID签发机构：连接公安部人口库的“公安部公民网络身份识别系统”，承担eID签发和管理职能。

（2）eID登记发行机构：承担eID载体的登记和发行职能，严格执行面对面审核用户身份和eID的现场签发，并提供加载eID的载体的机构。

（3）用户：通过eID登记发行机构面签后，用户持有eID载体（卡），并设置其PIN码。

（4）云服务提供商：连接eID签发机构并接入云应用的服务机构，承担eID网络身份识别基础服务和相关安全增值服务。

（5）线上应用：指泛在的云服务，是基于eID进行用户身份识别和安全服务的云应用。

图1 基于 eID的可信云安全环境模型

在云计算平台中，eID通过三大特质——即在云中能有效地证明“我是谁（通过严格的面对面审核）”、“我知道什么（eID签名密码校验）”、“我拥有什么（eID卡）”——来建立云服务提供商与用户的强可信关系。

而且用户使用eID通过网络向云应用方自证身份时，应用方会通过连接“公安部公民网络身份识别系统”的云服务提供商，请求验证核实用户网络身份的真实性和有效性。一旦用户的eID通过验证，应用方会得到一个与该应用相对应的用户网络身份应用标识编码（appeIDcode）。虽然用户拥有唯一的网络身份标识编码（eIDcode），但不同的云服务提供商得到是不同的网络身份应用标识编码（appeIDcode），这样即使在云服务提供商的平台上发生内部人员失职、黑客攻击及系统故障导致安全机制失效等安全问题时，都可以避免用户在不同云应用中的行为数据被汇聚、分析和追踪，最大程度地保护用户的身份、行为等隐私信息。

同时，云服务提供商既能知道权威的用户身份识别结果，又无需收集用户身份信息，避免了内盗或黑客攻击而泄露用户隐私的风险。

基于eID的可信云安全环境模型为云服务提供商与用户之间建立了可信的云计算环境，提高了云服务提供商提供的云应用服务的透明度，增强了云中用户隐私的安全性，使得用户能够验证云服务环境的可信以及云服务自身的可信，在用户和云服务提供商之间的信任能形成正向的促进增强，有利于整个云计算环境的安全、可持续发展。

4　结论与展望

云是一种分布式的、服务于智能协同系统的组织。就当前云安全服务的现状来说，云服务商对用户的身份认证环节是非常薄弱的，只通过用户名和口令的方式，认证强度远远不够。本文分析了云协同工作环境中存在安全隐患后，提供了一种基于eID的兼顾安全和用户体验的云端身份认证方式，使用户可以在个人隐私得到充分保护的前提下享受云服务带来的方便与快捷，降低自由协同云环境下的各种安全风险，建立起可信的云安全环境：

（1）有效提高云计算平台中用户身份认证方面的效率和安全性。eID签发机构作为一个可信第三方，对访问云的用户身份进行统一的严格的安全规范进行注册和认证，这样不仅减轻了各类云服务提供商的身份审核工作，而且减少由于云认证标准的差异性带来的短板效应，减少了非可信用户的比例。

（2）减少云计算平台数据泄露和云中资源被滥用的隐患。由于eID签发机构能够提供一个作为第三方可信云的访问控制机制，用户对云中资源的访问必须经过可信第三方的授权和监控，用户之间并不能从云服务提供商直接获取数据，这就避免了用户获取未授权数据的操作，减少了云中资源被滥用的风险。

参考文献:

[1] Armbrust M, Fox A, Griffith R, et al. Above the clouds: A Berkeley view of cloud computing[R]. Technical Report, UCB/EECS-2009-28, Berkeley: University of California at Berkley, 2009.

[2] Armbrust M, Fox A, Griffith R, et al. A view of cloud computing[J]. Commun ACM, 2010, 53(4): 50 -58.

[3]吴吉义,平玲娣,潘雪增,等.云计算：从概念到平台[J].电信科学, 2009, (12): 23 -30.

[4] Gartner Reveals Top Predictions for IT Organizations and Users for 2016 and Beyond [EB/OL]. http://www.gartner.com/newsroom/id/3143718. 2015/10/6.

[5] Bertino, E., Paci, F., Ferrini, R., Shang, N.: Privacy-preserving Digital Identity Management for Cloud Computing[J]. IEEE Data Eng. Bull. 2009, 32(1): 21 -27.

[6] Celesti, A., Tusa, F., Villari, M., Puliafito, A.: Security and Cloud Computing: InterCloud Identity Management Infrastructure[J]. WETICE, IEEE Computer Society , 2010: 263 -265.

[7] Sherman S. M. Chow, Yi-Jun He, Lucas C. K. Hui, et al. SPICE -Simple Privacy-Preserving Identity-Management for Cloud Environment[J]. Applied Cryptography and Network Security. The Series Lecture Notes in Computer Science, 2009, (7341): 526 -543.

[8] Cloud Security Alliance Announces Trusted Cloud Initiative White Paper [EB /OL].

https://cloudsecurityalliance.org/media/news/csa-announces-tci-white-paper, 2011 -10 -18.

[9]解读eID. http://eid.cn/knowabouteid.html[EB/OL]. 2015 -10 -18.

摘自《工业控制系统信息安全专刊（第二辑）》