2. 东莞迪赛软件技术有限公司, 东莞 523808;
3. 成都工业职业技术学院, 成都 610218;
4. 电子科技大学 广东电子信息工程研究院, 东莞 523808;
5. 广东省卫生厅政务服务中心, 广州 510060)
2. Dongguan Data Science Software Technology Co. Ltd., Dongguan 523808, China;
3. Chengdu Vocational and Technical College of Industry, Chengdu 610218, China;
4. Institute of Electronic and Information Engineering in Dongguan, University of Electronic Science and Technology of China, Dongguan 523808, China;
5. Government Affairs Service Center of Guangdong Provincial Health Department, Guangzhou 510060, China
基于云模式的健康服务是居民健康服务发展的必然趋势. 这种服务模式增加了数据和业务的共享利用, 同时节约了成本, 但也引入了新的安全威胁, 这些年来受到越来越多的关注和研究. 除了隐私安全保护[1,2], 云计算中的网络安全威胁也是重要研究方向, 如云平台自身的安全[3]、底层虚拟资源和系统的安全[4]、云服务商不可信[5]、链路攻击导致用户敏感信息的泄露[6]、共享安全漏洞等[7,8]等。
1 传统网络服务安全面临的挑战近年来, 这些问题得到了研究者们的大量关注[9–12], 然而, 在传统的云计算网络安全模式中, 由于云服务商对云用户的服务安全需求不了解, 无法按需提供安全服务, 如图1所示. 云计算提供成千上万种类型的服务, 即使相同类型的服务, 其安全需求也有差异. 传统的云模式缺乏自动安全规则配置[13,14], 服务商无法掌握每类服务的安全需求, 只能根据用户需求针对每个服务进行手工配置, 后期进行人工维护和管理, 这是几乎不可能完成的任务, 使得居民健康服务平台无法得到可信可控的云安全服务, 最终导致居民、医院医疗机构、政府卫生机构及第三方相关机构的网络安全仍面临很大的网络安全威胁. 针对这个问题, 本文结合文献[15]的思想, 提出一种定制化的健康云网络安全服务方案.
2 面向健康云的定制化网络安全 2.1 面向健康云的定制化设计思想及架构
健康云的用户主要有居民、医院医疗机构、政府卫生机构以及第三方机构等. 健康云应用如图2所示, 在健康云上实现移动终端和健康档案管理系统之间的数据传输服务; 健康档案管理, 包括健康档案查询服务、预约挂号服务、健康知识推送服务、居家健康服务、健康咨询服务、大数据智能分析等.
面向健康云的网络安全定制化服务主要由5个部件组成: SMG, SMD, Dom0, 服务域(service domains), 虚拟交换机(vSwitch). 为了保证服务域的网络安全, 无论何时访问服务域, 外部流量或内部流量需要通过所需的过滤域; 若网络受到攻击, 则将攻击日志存放在日志管理域(ELMD)中, 如图3所示.
SMG由反垃圾邮件(AS)组, 防火墙(FW)组, 防病毒(AV)组等安全组构成, 负责将检测和过滤产生的攻击日志和统计信息等保存到SMD中的事件和ELMD里.
SMD主要由管理域(MD)和ELMD组成. 其中, ELMD存储和管理来源于SMG的事件和日志. MD主要负责的功能为: 创建/删除SMG中的任何域; 下发转发规则到vSwitch, 让访问服务域流通过对应的安全检测链路(FMC), 进行安全检测过滤; 收集SMG中每一个组的状态信息(如负载, 失效)和接受来自vSwitch的转发信息(如流量).
Dom0缩减了权限, 不能创建/启动和停止/删除SMG中的任何域(domain), 但仍然保持权限去处理并管理服务器域中任何虚拟机, 包括按照时间片进行调度、I/O分配等.
Service domains承载多类型的基于网络的健康云用户服务, 如FTP服务, Web服务等.
vSwtich负责接受MD下发的转发规则, 并且转发内外流通过安全域进行检测和过滤.
MD主要由SPEC分析器和RouteGen转化器组成. SPEC分析器通过云用户SPEC、网络设备(Mbox)状态信息、Mbox拓扑和vSwitch信息进行分析, 生成FMC安全路径和安全过滤规则. RouteGen转化器将FMC安全路径转化为转发规则, 通过转发流到FMC链进行安全检测和过滤. 最终MD将转发规则下发到vSwitch中, 将安全过滤规则转发到对应的Mbox中.
为了便于虚拟Mbox日志的识别和标准化管理, 虚拟Mbox应该具备统一日志格式. 包括: 日志类型、Mbox唯一标识、事件标示、某个特定服务唯一标示、源IP、源端口、目的IP、目的端口、Protocol以及日志事件的详细描述. 当ELMD接受日志后, ELMD的日志分类器将这些日志进行分类便于基于用户权限访问. 面向健康云的定制化网络安全整体设计如图4所示.
针对健康云的网络安全服务要求, 定制化安全分析算法伪代码如下:
算法1. 定制化安全分析算法
1) 根据不同角色的健康云用户的网络安全需求填写提供的SPEC.
2) 对SPEC进行加密并提交给CNS.
3) MD根据SPEC, 自动生成FMC及其路径上对应的安全规则, 分别下发到vSwitch和对应Mbox中, 对访问流进行检测和过滤.
4) CNS将Mbox生成的日志发送给ELMD, 经分析后处理后, 存放在日志数据库中.
5) ELMD根据角色权限的不同, 分别为云服务商管理者和健康云用户提供不同的GUI管理界面, 不同角色的用户拥有不同的查询权限, 例如健康云用户只能查询自己相关服务的攻击日志, 而管理者可查询所有的攻击日志.
2.2 定制化网络安全实现算法SPEC安全模板的主要参数包括需要保护的IP和端口; 网络层、AV、AS、Web检查和安全传输, 每一项都对应相应的虚拟Mbox; 网络层和安全检查, 其结构如图5所示.
CNS系统对接收到的加密安全模板SPEC首先进行解密并分析它, 自动分析过程实现算法伪代码如下:
算法2. SPEC自动分析算法
输入: SPEC模板.
输出: 安全规则集合.
1) 提取IP和端口对, 获取一组云用户服务.
2) 初始化所有被保护对象的FMC和安全规则, 初始值置为空.
3) 根据被保护对象的SPEC中的yes项配置安全规则到对应的虚拟Mbox中.
4) 如果所有被保护对象的安全规则配置完, 转第5)步; 否则转到第3)步.
5) 添加为被保护对象提供网络安全服务的虚拟Mbox到FMC中.
6) 如果所有被保护对象的虚拟Mbox都添加到FMC中, 算法结束; 否则, 转到第4)步.
上述算法不但可以检测出光流扰动效应, 还可以判断是否检测到运动目标, 如果判断为检测到了运动目标, 就发出提示信息并且把当前帧图像保存下来, 如果仅仅检测光流扰动效应, 则可以把该算法简化, 省略第4)步.
3 仿真实验 3.1 实验环境与评价指标本实验采用6核超线程2.8 GHz Intel处理器、16 G内存DELL服务器作为云计算硬件服务器; IXIA和iperf作为性能测试工具; 使用3.4.2版本的XEN Hypervisor, 内核为2.6.31的Fedora16系统的Dom0; 使用2.6.27内核64位Fedora系统作为虚拟客户机, vSwitch带宽为1 G网络; 安全软件使用开源的IPFire、ModSecurity、OpenSSL、PacketFence作为实验软件.
实验以网络延迟、网络吞吐量、丢包率三个性能参数作为评价指标进行分析, 以Web服务为例, 检测该系统面对攻击的防护能力.
3.2 实验结果与分析本文对3种安全服务算法(UTM、CNS-unbind-core、CNS-bind-core)的网络安全系统性能进行实验对比. 实验基于UDP的数据包转发和基于TCP的网络访问两种服务类型对3种算法相对于无网络安全服务情况的网络延迟、吞吐量、以及丢包率的增大或减小程度进行对比, 延迟和丢包率增大的程度越低且吞吐量减少的程度越低, 说明性能越好.
第一组实验对比UTM和CNS-unbind-core的系统性能, 以此说明本文所提方法的有效性. CNS-unbind-core是使用本文所提出的CNS方法, 与UTM将所有安全软件移植到一个VM中不同, 它是将每个安全软件放在不同的VM中, 由多核系统自由调度. 表1、2、3显示了UDP在3种算法下相对无网络安全服务的网络延迟增大程度、吞吐量减小程度以及丢包率的增大程度比较. 表1的第一和、二行表明UTM相对于CNS-unbind-core的平均延迟增加了0.8%; 表2的第一、二行表明UTM相对于CNS-unbind-core平均吞吐量减少了0.9%; 表3的第一、二行表明UTM相对于CNS-unbind-core平均丢包率增加了0.8%. 基于TCP的网络访问, 除了数据包大小从1024 bit到65 536 bit之外, 实验方法类似于UDP转发. 表4、5、6显示了基于TCP的网络访问在三种算法下相对无网络安全服务的网络延迟增大程度、吞吐量减小程度以及丢包率的增大程度比较. 表4的第一、二行表明CNS-unbind-core相对于UTM的平均延迟降低了42.3%; 表5 的第一、二行表明CNS-unbind-core相对于UTM的平均吞吐量增加了6.4%; 表6的第一、二行表明CNS- unbind-core相对于UTM的平均丢包率降低了6.4%. 实验数据表明, TCP数据包大小与性能之间的关系类似于UDP转发, 但CNS-unbind-core的三个性能指标都高于UTM, 尤其是大幅度降低了平均延迟. 无论是UDP转发, 还是基于TCP的网络访问, CNS-unbind-core实现的系统性能都高于UTM. 因此, 采用CNS-unbind-core而不是UTM, 可以实现更好的系统性能.
由UTM和CNS-unbind-core基于TCP的网络访问这组对比实验可以得出, UTM的上下文切换和争用单个虚拟机上的共享资源(尤其是CPU资源)带统开销高于CNS-unbind-core中VM间通信和缓存无效带来的系统开销. 如果在多核虚拟平台上使用CNS执行并行检查, 则可以克服资源争用竞争, 能显着提高系统性能.
第二组实验对比了CNS-unbind-core与CNS-bind-core的系统性能, CNS-bind-core在CNS-unbind-core的基础上将每个VM绑定一个core. 表1至表6的第二、三行实验数据表明, CNS-bind-core在UDP转发和网络访问的延迟、吞吐量和丢包率上明显优于CNS-unbind-core. 在绑定多核时, 定制化网络安全服务充分利用系统资源是有利因素, 克服了单个虚拟机上共享资源的上下文切换; 但是增加了interVM之间的通信开销, 并导致VM间切换之间的缓存无效. CNS-bind-core可以充分利用硬件辅助的I/O虚拟化技术; 另外, 多核调度不断地在多个VM之间切换, 导致相应的缓存无效, 从而导致系统性能下降. 每个FD被绑定到CPU内核以克服缓存无效, 从而克服了缓存无效的缺点.
第三组实验对比了在健康云中使用CNS-bind-core保护网络安全和不采取任何措施保护健康云的网络安全的系统性能. 表1至表6的第三行实验数据表明, 不采用任何措施保护网络安全相比于CNS-bind-core而言, 表现出更好的系统性能, 但是如果不采取保护措施来保护云计算安全性, 可能导致无法估量的损失. 因此, 只要采用保护措施的性能开销在可接受范围内即可. 仍然用UDP转发、网络访问两组实验来评估CNS-bind-core的性能影响.
对于UDP转发, 表1、表2、表3的第三行实验数据显示, 在健康云中使用CNS比没有使用网络安全服务的平均延迟增加了7.11%, 平均吞吐量下降5.1%. 丢包率受到安全检查和过滤的影响, 这些性能开销是不可避免的检查和过滤UDP流量. 由于UDP流量必须经过FW检测和过滤, 才能转发到服务域中的UDP服务器. 在此过程中, 流量需要匹配FW中数百个过滤规则, 导致延迟增加和吞吐量下降. 与UTM相比, CNS-bind-core的性能已经有了很大的提升.
基于TCP的网络访问, 在健康云中使用CNS-bind-core与无网络安全服务情况比较, 延迟受影响较大, 吞吐量几乎不受影响. 表4、表5、表6的第三行实验数据进一步说明, 使用CNS-bind-core保证健康云网络安全后平均延迟增加4.6%, 平均吞吐量下降1.7%, 平均丢包率增加了0.34%. 其主要原因是: Web流量必须通过FW和WAF进行检查和过滤, 才能转发到服务域中的网站服务器. 在这个过程中, 流量需要匹配FW中的数百个过滤规则和WAF中的数千个签名, 从而导致增加的延迟和减少的吞吐量. 在没有网络安全服务的情况下, Web流量直接访问网站服务器, 以避免在系统开销方面进行检查. 因此, 与没有网络安全服务的情况相比, CNS的延迟变长, 吞吐量受到延迟的影响, 但是增加网络安全服务后的整体系统性能在可接受的范围内.
以Web服务为例. 检测该系统的防攻击能力, 针对Web的网络层进行了IP攻击、DDOS攻击以及使用了扫描器, 表7的实验结果表明该系统均能检测出攻击且成功进行防护. 针对Web的应用层进行了远程登录攻击、cookies欺骗和SQL注入, 表7的实验结果表明, 该系统均能检测出攻击且成功进行防护, 验证了本文方法在安全防护上的效果.
4 结论
在云计算服务中, 如果不采取保护措施来保护网络安全, 可能导致无法估量的损失, 然而传统的安全模式无法提供个性化的安全服务, 不能满足医疗健康云用户安全需求的多样性, 本文提出面向健康云的定制化网络安全服务可以自动根据云用户安全需求提供相应的安全服务, 同时也提供了攻击日志和统一管理功能, 保证安全的同时也能减少人力财力的开销. 延迟增加、吞吐量降低、丢包率增加等网络安全服务带来的负面因素, 因此未来可以进一步探索的工作是如何把网络安全服务在性能上的开销控制接受范围内即可.
[1] |
Takabi H, Joshi JBD, Ahn GJ. Security and privacy challenges in cloud computing environments. IEEE Security & Privacy, 2010, 8(6): 24–31.
|
[2] |
沈志荣, 薛巍, 舒继武. 可搜索加密机制研究与进展. 软件学报, 2014, 25(4): 880-895. |
[3] |
Cao N, Wang C, Li M, et al. Privacy-preserving multi-keyword ranked search over encrypted cloud data. Proceedings of 2011 IEEE INFOCOM. Shanghai, China. 2011. 829–837.
|
[4] |
何进, 范明钰, 王光卫. 自动探测和保护确保内核完整性. 电子科技大学学报, 2014, 43(4): 585–590.
|
[5] |
李攀攀. 云服务SLA合规性验证及性能优化研究[博士学位论文]. 哈尔滨: 哈尔滨工业大学, 2016.
|
[6] |
刘世辉. 基于SDN和NFV的链路洪泛攻击检测与防御[硕士学位论文]. 武汉: 武汉大学, 2017.
|
[7] |
Zissis D, Lekkas D. Addressing cloud computing security issues. Future Generation Computer Systems, 2012, 28(3): 583-592. DOI:10.1016/j.future.2010.12.006 |
[8] |
Subashini S, Kavitha V. A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, 2011, 34(1): 1-11. DOI:10.1016/j.jnca.2010.07.006 |
[9] |
He J, Dong MX, Ota K, et al. NetSecCC: A scalable and fault-tolerant architecture for cloud computing security. Peer-to-Peer Networking and Applications, 2016, 9(1): 67-81. DOI:10.1007/s12083-014-0314-y |
[10] |
Lin CH, Tien CW, Pao HK. Efficient and effective NIDS for cloud virtualization environment. Proceedings of the 4th IEEE International Conference on Cloud Computing Technology and Science. Taipei, China. 2012. 249–254.
|
[11] |
Nguyen A, Raj H, Rayanchu S, et al. Delusional boot: Securing hypervisors without massive re-engineering. Proceedings of the 7th ACM European Conference on Computer Systems. Bern, Switzerland. 2012. 141–154.
|
[12] |
Fayazbakhsh SK, Sekar V, Yu ML, et al. FlowTags: Enforcing network-wide policies in the presence of dynamic middlebox actions. Proceedings of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. Hong Kong, China. 2013. 19–24.
|
[13] |
Fayazbakhsh SK, Chiang L, Sekar V, et al. Enforcing network-wide policies in the presence of dynamic middlebox actions using flowtags. Proceedings of the 11th USENIX Conference on Networked Systems Design and Implementation. Seattle, WA, USA. 2014. 533–546.
|
[14] |
Sekar V, Ratnasamy S, Reiter MK, et al. The middlebox manifesto: Enabling innovation in middlebox deployment. Proceedings of the 10th ACM Workshop on Hot Topics in Networks. Cambridge, Britain. 2011. 21.
|
[15] |
He J, Ota K, Dong MX, et al. Customized network security for cloud service. IEEE Transactions on Services Computing, 1939, PP(99): 1-1. DOI:10.1109/TSC.2017.2725828 |