CN110768966B

CN110768966B - 一种基于拟态防御的安全云管理系统构建方法和装置

Info

Publication number: CN110768966B
Application number: CN201910959245.XA
Authority: CN
Inventors: 扈红超; 李凌书; 陈福才; 刘文彦; 程国振; 霍树民; 仝青; 徐水灵; 周梦丽; 倪思源
Original assignee: Information Engineering University of PLA Strategic Support Force; Network Communication and Security Zijinshan Laboratory
Current assignee: Information Engineering University of PLA Strategic Support Force; Network Communication and Security Zijinshan Laboratory
Priority date: 2019-10-10
Filing date: 2019-10-10
Publication date: 2022-03-25
Anticipated expiration: 2039-10-10
Also published as: CN110768966A

Abstract

本发明提供一种基于拟态防御的安全云管理系统构建方法和装置。该方法包括：利用多样化编译工具搭建多个云管理系统，多个云管理系统之间功能相同但结构不同；构建请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至多个云管理系统；构建请求代理裁决单元用于按照预设的请求处理及部署裁决流程对多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；构建响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和多个云管理系统对执行结果的响应进行处理。本发明可以保证管理员对网络的操作信息不被窃取和恶意篡改，保证对云系统的操作安全可靠。

Description

一种基于拟态防御的安全云管理系统构建方法和装置

技术领域

本发明涉及云计算网络空间安全技术领域，尤其涉及一种基于拟态防御的安全云管理系统构建方法和装置。

背景技术

随着计算机的普及和发展，人们对于计算和存储等功能的依赖已经深入到工作和生活的各个方面。然而，传统的本地计算模式受限于昂贵的硬件成本和复杂的管理操作等，越来越难以满足个人、企业和政府等对于廉价、高效、便捷和灵活的计算服务的需求。因此，一种新型的计算模式—云计算应运而生。云计算具有按需服务、便捷访问、计量收费、快速部署和灵活管理等特点和优势。OpenStack的出现在云计算的发展历程中具有里程碑式的重要意义。

然而，云计算同时也面临着非常严重的安全问题，特别是针对Openstack本身的安全性问题国内外缺乏足够的关注与研究。一旦攻击者通过漏洞后门等方式越权访问了Openstack等云管理系统，攻击者可以对整个系统进行“销毁”式破坏，也可以利用高权限合法地窃取其他租户的隐私信息或篡改云服务，或者进一步修改网络配置及部署策略进行各种其他类型的攻击，如共存攻击、逃逸攻击等。

当前政府、企、事业单位搭建云平台时往往采用基于Openstack进行增量开发，Openstack作为开源软件，其源码漏洞容易被攻击者获取。当前公有云提供商为了管理和开发的便利，大多采用单一架构，如文献（陈其云, 陈志康. 基于模型分析的公有云安全风险与对策研究[J]. 现代电信科技, 2012(8):6-10）中所讲，云管理系统的单一性、同质性、漏洞与后门存在的普遍性放大了云管理系统遭受攻击的可能性与危害。针对云管理系统的安全问题是一个亟待解决的新的安全问题，是云服务安全可靠的基础，但云管理系统的可用性、可信性、安全性和可靠性，不能仅仅依靠Openstack等云管理系统本身的代码优化和漏洞修补，还应该从体系设计上进行安全优化。

发明内容

为应对Openstack等云管理平台自身遭受攻击而带来的安全风险问题，本发明提供一种基于拟态防御的安全云管理系统构建方法和装置，保证管理员对网络的操作信息不被窃取和恶意篡改，保证对云系统的操作安全可靠。

本发明提供一种基于拟态防御的安全云管理系统构建方法，该方法包括：

步骤1：利用多样化编译工具搭建多个云管理系统，所述多个云管理系统之间功能相同但结构不同；

步骤2：构建请求代理转发单元，所述请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至所述多个云管理系统；

步骤3：构建请求代理裁决单元，所述请求代理裁决单元用于按照预设的请求处理及部署裁决流程对所述多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；

步骤4：构建响应转发单元和回复响应裁决单元，所述响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和所述多个云管理系统对所述执行结果的响应进行处理。

进一步地，步骤1包括：

步骤1.1：选择预设Openstack版本作为初始源码，根据所述初始源码基于随机化技术和代码混淆技术利用多样化编译工具生成多个版本Openstack管理软件；

步骤1.2：配置云基础设施，在所述云基础设施上安装所述多个版本Openstack管理软件；

步骤1.3：基于最小特权原则对所述云基础设施进行服务配置，使每个版本Openstack管理软件可单独对外服务。

进一步地，所述随机化技术包括代码序列随机化、指令集随机化和堆布局随机化中的至少一种：所述代码混淆技术包括布局混淆、数据混淆和控制混淆中的至少一种；所述多样化编译工具包括LLVM编译工具。

进一步地，所述云基础设施包括：多个异构虚拟机、单个云服务器和多个异构云服务器中的至少一种。

进一步地，步骤2中构建的请求代理转发单元对用户显示固定的URL和调用方式。

进一步地，所述建立请求队列具体为：按照用户请求的到达时间和用户优先级对用户请求进行标记、编号。

进一步地，所述预设的请求处理及部署裁决流程包括：

步骤3.1：请求代理裁决单元接收所述多个云管理系统针对同一用户请求的响应，对接收到的多个响应的非语义部分进行语法统一，对语法统一后的多个响应进行拟态裁决；并对拟态裁决结果进行消息封装和补充认证信息，以匹配Openstack执行组件的资源调用格式，并将匹配后的拟态裁决结果转发至Openstack执行组件；

步骤3.2：Openstack执行组件接收匹配后的拟态裁决结果，根据所述拟态裁决结果执行相应的资源操作。

进一步地，所述预设的响应拟态裁决及输出流程包括：

步骤3.3：响应转发单元收集Openstack执行组件的执行结果，对所述执行结果进行消息封装和补充认证信息，以匹配所述多个云管理系统各自的消息格式，并将匹配后的执行结果转发至所述多个云管理系统；

步骤3.4：多个云管理系统同时对执行结果进行处理，并将各自的响应转发至回复响应裁决单元；

步骤3.5：回复响应裁决单元对多个云管理系统的响应进行拟态裁决，将拟态裁决结果返回至用户。

本发明还提供一种基于拟态防御的安全云管理系统，包括：多个云管理系统、请求代理转发单元、请求代理裁决单元、响应转发单元和回复响应裁决单元；其中：

利用多样化编译工具搭建所述多个云管理系统，所述多个云管理系统之间功能相同但结构不同；

请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至所述多个云管理系统；

请求代理裁决单元用于按照预设的请求处理及部署裁决流程对所述多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；

响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和所述多个云管理系统对所述执行结果的响应进行处理。

进一步地，所述利用多样化编译工具搭建所述多个云管理系统具体为：

选择预设Openstack版本作为初始源码，根据所述初始源码基于随机化技术和代码混淆技术利用多样化编译工具生成多个版本Openstack管理软件；

配置云基础设施，在所述云基础设施上安装所述多个版本Openstack管理软件；

基于最小特权原则对所述云基础设施进行服务配置，使每个版本Openstack管理软件可单独对外服务。

本发明的有益效果：

本发明提供的一种基于拟态防御的安全云管理系统构建方法和装置，首先，基于多样性、动态性的思想，基于多样化编译工具获得的代码多样性，充分利用了云环境中的异构资源；其次，结合裁决方式的灵活性，综合多个云管理平台的输出结果采用拟态裁决的方式以解决网络空间安全领域中的“拜占庭将军”问题，确保对云资源的调用的安全可靠，防止攻击者直接攻破云管理系统，然后自上而下的进行渗透攻击；再者，多个云管理系统的特殊结构表征可以造成攻击者对Openstack等云操作系统的运行环境或防御场景形成认知困境，增加系统指纹探查、漏洞后门发现或定位、上传病毒木马、隐蔽通联等攻击操作的难度，且给针对漏洞后门等的攻击包的准确输送带来严峻挑战。综上，基于拟态防御的安全云管理系统构建方法和装置面临安全威胁时，服务提供商能更好保证云服务任务执行的可靠性和安全性，保证管理员对网络的操作信息不被窃取和恶意篡改，保证对云系统的操作安全可靠，从而提升了云服务的内生安全性能。

附图说明

图1为本发明实施例提供的一种基于拟态防御的安全云管理系统构建方法的流程示意图；

图2为本发明实施例提供的一种搭建云管理系统的流程示意图；

图3为本发明实施例提供的一种请求代理转发单元的工作流程图；

图4为本发明实施例提供的一种请求代理裁决单元的请求处理及部署裁决流程示意图；

图5为本发明实施例提供的一种响应转发单元和回复响应裁决单元的响应拟态裁决及输出流程示意图；

图6为本发明实施例提供的一种基于拟态防御的安全云管理系统的结构示意图；

图7为本发明实施例提供的一种基于拟态防御的安全云管理系统响应虚拟机创建请求的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供一种基于拟态防御的安全云管理系统构建方法，包括以下步骤：

S101：利用多样化编译工具搭建多个云管理系统，所述多个云管理系统之间功能相同但结构不同；

S102：构建请求代理转发单元，所述请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至所述多个云管理系统；

S103：构建请求代理裁决单元，所述请求代理裁决单元用于按照预设的请求处理及部署裁决流程对所述多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；

S104：构建响应转发单元和回复响应裁决单元，所述响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和所述多个云管理系统对所述执行结果的响应进行处理。

本发明实施例提供的一种基于拟态防御的安全云管理系统构建方法，基于多样化编译工具生成多个版本的云管理系统，采用输入代理、转发、响应裁决等机制构建对应的功能单元，保证了运行在不同云上的多个云操作系统可提供安全可靠的云管理服务。

在上述实施例的基础上，结合图2至图4所示，本发明实施例提供又一种基于拟态防御的安全云管理系统构建方法，包括搭建多个云管理系统，构建请求代理转发单元和构建响应拟态裁决及输出单元等步骤。其中：

搭建多个云管理系统（包括步骤S201~S203），如图2所示：

S201：选择预设Openstack版本作为初始源码，根据所述初始源码基于随机化技术和代码混淆技术利用多样化编译工具生成多个版本Openstack管理软件；

具体地，预设Openstack版本最好功能完备、性能稳定。所述随机化技术包括代码序列随机化、指令集随机化和堆布局随机化中的至少一种：所述代码混淆技术包括布局混淆、数据混淆和控制混淆中的至少一种；所述多样化编译工具包括LLVM编译工具。所述多个版本Openstack管理软件功能等价、行为相同，但内部结构细节不同。

S202：配置云基础设施，在所述云基础设施上安装所述多个版本Openstack管理软件；

具体地，在实际部署过程中，根据安全需求和开销预算可以采用多种安全基线的云基础设施配置方式，即Openstack管理软件的安装及承载环境（即云基础设施）也可以是异构化的，比如在操作系统、部署位置及物理硬件层次进行异构。例如，在物理硬件层次，所述云基础设施包括：多个异构虚拟机、单个云服务器和多个异构云服务器中的至少一种。此外，在同一种云基础设施上，还可针对安全性进行配置，如不同操作系统、不同的hypervisor等，使申请的云主机、云服务器间有一定的差异性。

S203：基于最小特权原则对所述云基础设施进行服务配置，使每个版本Openstack管理软件可单独对外服务。

具体地，基于最小特权原则进行服务配置，可以在保证基本服务的前提下提高整个系统的安全性能。所谓的最小特权原则包括但不限于以下方式：仅开放必要的端口，禁止其他无关服务；仅接受来自请求代理转发单元的请求并返回响应，以尽可能地减小攻击面等。

根据组合方式的不同，可以至少获得三种安全基线的多样化云管理系统配置方案。

S204：构建请求代理转发单元；所述请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至所述多个云管理系统；

具体地，如图3所示，所述请求代理转发单元的处理过程如下：

S2041：所有云管理用户对云管理系统发起的操作指令（即用户请求）首先到达请求代理转发单元，请求代理转发单元对外显示固定的URL和调用方式；所谓的“对外”即“对用户”。此处的调用方式是指用户经由请求代理转发单元对云管理系统的调用方式。

S2042：请求代理转发单元保持对用户的连接，对用户请求进行预处理，按照要素提取请求关键信息，建立请求队列；

对用户请求进行预处理是指进行消息过滤，以及对请求消息协议的消息域本身可能存在自定义的成分(如通联序列号、优先权、版本信息等)进行标准化处理。

按照要素提取请求关键信息是指提取用户请求中预设的参数信息。在实际应用中，只有云管理系统开发者内定好的参数项目才会被请求代理转发单元接收，例如请求代理转发单元只接收id参数项目，如果用户请求中还加了其他参数项，请求代理转发单元也只会接收id参数，而不会接收除id参数外的其他参数项。）

所述建立请求队列具体为：按照用户请求的到达时间和用户优先级对用户请求进行标记、编号。

S2043：请求代理转发单元根据控制信息，将不同时段不同用户的请求转发至N个云管理系统（Openstack-1，Openstack-2，…，Openstack-N）进行处理；

具体地，在实际应用中，控制信息中携带有控制策略，控制策略用于指示请求代理转发单元将用户请求转发至哪些云管理系统。例如，设N=3，控制策略1可为：将用户请求转发至Openstack-A、B、C三个云管理系统；控制策略2可为：将用户请求转发至Openstack-C、D、E三个云管理系统。

S2044：N个在线云管理系统同时独立处理用户请求，并将响应发送至请求代理裁决单元。

从上述请求代理转发单元的处理过程可知，从用户角度来看是请求代理转发单元对其进行服务，而对实际执行服务的云管理系统而言请求代理转发单元则相当于唯一的访问者。也就是说，请求代理转发单元既对内部异构云管理系统表现出透明性，还满足对外部世界实现透明性的要求，易于本发明提供的安全云管理系统与其他现有的软件或系统进行对接。

S205：构建请求代理裁决单元，所述请求代理裁决单元用于按照预设的请求处理及部署裁决流程对所述多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；

如图4所示，所述预设的请求处理及部署裁决流程包括：

S2051：请求代理裁决单元接收所述多个云管理系统针对同一用户请求的响应，对接收到的多个响应的非语义部分进行语法统一，对语法统一后的多个响应进行拟态裁决；并对拟态裁决结果进行消息封装和补充认证信息，以匹配Openstack执行组件的资源调用格式，并将匹配后的拟态裁决结果转发至Openstack执行组件；

具体地，多个云管理系统基于自身的规则和算法对同一请求产生各自的调度或配置指令，并发送至请求代理裁决单元；

由于不同云管理系统虽然功能相同，语义一致，但是可能局部响应内容有差异（例如，多样化云管理系统的输出矢量至少存在响应时间、语法、选择项、默认值等因素的差异），在请求代理裁决单元对响应进行比较和表决之前，需要对响应的非语义部分进行非一致性处理以屏蔽语法的不一致，便于后续裁决过程中进行比较。

例如，请求代理裁决单元对n个响应进行拟态裁决，即比较各个响应并进行投票表决，根据一定的准则决定最终的输出，如请求代理裁决单元中包括多模裁决器，多模裁决器将n个响应中多数一致的响应返回给用户。

请求代理裁决单元可以采取同步裁决的方式或异步裁决的方式，采用不限于大数表决的丰富裁决方式（例如，为提高防御等级，在多模裁决器中设置一致性比较、择多选择、策略参数等组合或迭代判决方式）进行拟态裁决得到输出结果，并对其中的响应异常进行处理。此外，还可根据情况在多模裁决器中设置其他功能，如：可以动态随机的改变参与判决的执行体数量与对象等功能。

一般而言，同步或集中式裁决难度要小于异步或分布式裁决，但同步或集中式裁决对目标系统服务性能的影响程度较大，容易造成用户服务体验的下降。可以采用异步裁决的方式，基于“先来先输出，追加式判决，允许更正纠错”的原则，对目标系统的服务性能影响较小，且可迷惑或干扰隧道穿越攻击行动。

S2052：Openstack执行组件接收匹配后的拟态裁决结果，根据所述拟态裁决结果执行相应的资源操作。

具体地，Openstack执行组件包括但不限于Nova-compute、Glance等组件。资源操作包括但不限于分配资源实例化虚拟机。

如图5所示，所述预设的响应拟态裁决及输出流程包括：

S2053：响应转发单元收集Openstack执行组件的执行结果，对所述执行结果进行消息封装和补充认证信息，以匹配所述多个云管理系统各自的消息格式，并将匹配后的执行结果转发至所述多个云管理系统；

S2054：多个云管理系统同时对执行结果进行处理，并将各自的响应转发至回复响应裁决单元；

S2055：回复响应裁决单元对多个云管理系统的响应进行拟态裁决，将拟态裁决结果返回至用户。

例如，回复响应裁决单元对多个响应进行多数一致表决，并对异常进行处理，将表决一致的结果发送至用户。

如图6所示，本发明实施例提供一种基于拟态防御的安全云管理系统，包括：多个云管理系统、请求代理转发单元、请求代理裁决单元、响应转发单元和回复响应裁决单元；其中：

具体地，所述利用多样化编译工具搭建所述多个云管理系统具体为：选择预设Openstack版本作为初始源码，根据所述初始源码基于随机化技术和代码混淆技术利用多样化编译工具生成多个版本Openstack管理软件；配置云基础设施，在所述云基础设施上安装所述多个版本Openstack管理软件；基于最小特权原则对所述云基础设施进行服务配置，使每个版本Openstack管理软件可单独对外服务。

需要说明的是，本发明实施例提供的基于拟态防御的安全云管理系统是按照上述方法实施例所述的构建方法得到的，其功能可参考上述方法实施例，此处不再赘述。

下面以用户请求为虚拟机创建为例，如图7所示，介绍本发明实施提供的基于拟态防御的安全云管理系统的工作流程：

S701：按照步骤S201~S203进行承载多样化云管理系统的云基础设施的选型配置，在其上搭建基于多样化编译工具生成的多个版本Openstack管理软件，形成由云管理员控制的可对外提供云资源管理服务的拟态化Openstack云管理系统池；

S702：租户发起虚拟机创建请求；虚拟机创建请求被请求代理转发单元获取，请求代理转发单元根据控制信息将该租户的虚拟机创建请求转发至在线的n个Openstack云管理系统；

S703：基于多样化编译工具生成的n个Openstack云管理系统同时独立处理该租户的虚拟机创建请求，不同云管理系统各自给出调度结果，并将响应发送至请求代理裁决单元；

S704：请求代理裁决单元对调度结果进行裁决，选择多数一致的目的计算服务器进行部署，将裁决之后的调度和配置消息发送至Nova-compute、Glance等Openstack执行组件；

S705：响应转发单元捕捉Openstack执行组件的执行结果反馈，获取新建虚拟机运行状态等参数信息，转发至多个在线云管理系统。

S706：多个Openstack云管理系统独立对Openstack执行组件反馈的信息进行处理，更新数据库中的虚拟机实例列表，并将更新后的虚拟机状态信息记录发送至回复响应裁决单元；

S707：回复响应裁决单元对来自多个Openstack云管理系统的虚拟机状态信息进行比对和裁决，并对异常进行处理，最后将表决一致的新建虚拟机的IP等参数信息和状态信息发送至申请该虚拟机的租户。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于拟态防御的安全云管理系统构建方法，其特征在于，包括：

步骤1：利用多样化编译工具搭建多个云管理系统，所述多个云管理系统之间功能相同但结构不同；包括：

步骤1.3：基于最小特权原则对所述云基础设施进行服务配置，使每个版本Openstack管理软件可单独对外服务；

2.根据权利要求1所述的方法，其特征在于，所述随机化技术包括代码序列随机化、指令集随机化和堆布局随机化中的至少一种：所述代码混淆技术包括布局混淆、数据混淆和控制混淆中的至少一种；所述多样化编译工具包括LLVM编译工具。

3.根据权利要求1所述的方法，其特征在于，所述云基础设施包括：多个异构虚拟机、单个云服务器和多个异构云服务器中的至少一种。

4.根据权利要求1所述的方法，其特征在于，步骤2中构建的请求代理转发单元对用户显示固定的URL和调用方式。

5.根据权利要求1所述的方法，其特征在于，所述建立请求队列具体为：按照用户请求的到达时间和用户优先级对用户请求进行标记、编号。

6.根据权利要求1所述的方法，其特征在于，所述预设的请求处理及部署裁决流程包括：

7.根据权利要求6所述的方法，其特征在于，所述预设的响应拟态裁决及输出流程包括：

8.一种基于拟态防御的安全云管理系统，其特征在于，包括：多个云管理系统、请求代理转发单元、请求代理裁决单元、响应转发单元和回复响应裁决单元；其中：

利用多样化编译工具搭建所述多个云管理系统，所述多个云管理系统之间功能相同但结构不同；所述利用多样化编译工具搭建所述多个云管理系统具体为：

基于最小特权原则对所述云基础设施进行服务配置，使每个版本Openstack管理软件可单独对外服务；