密码算法和密码协定发挥安全作用的基础是密钥安全,即攻击者不能获得密钥数据。一旦攻击者获得了密钥数据,就能够冒充正当用户进行各类操纵,密码算法和密码协定就无法提供安全保证。依据攻击者获得密钥的道理,密钥攻击大抵可以或许分为2类:直接的密钥数据读取攻击和直接攻击。
前者是指在计算机系统进行密码运算时,攻击者应用系统中的软硬件破绽,绕过各类安全措施、非受权地直接读取到密钥数据;后者是指攻击者系统进行密码运算时的外部信号特征信息,而后据此推测出密钥数据。
虚拟化是云计算服务中的代表性技术。应用虚拟化技术,云计算服务提供商可以在统一硬件平台下面部署多台虚拟机,完成对虚拟机计算资本的按需分配和可靠防护。典型的虚拟化解决方案有KVM[1]、XEN[2]和VMWare等。
因为虚拟化技术和云计算服务的高速成长,各类信息系统(如邮件系统、数据库系统、网站服务系统等)都已普遍部署在云计算环境中,虚拟化平台成为各类计算机系统运转的基本情况。与直接运转在硬件平台的传统计算机同样,部署在云计算虚拟化情况中的计算机系统异样依附密码算法和密码协定为其提供秘密性、完整性、非否定和辨别等安全功能。
计算机系统的运转情况从底层硬件平台变成虚拟化平台,原有的密钥攻击和防护也有了新的变更。当计算机系统(和其上的密码软件)运转在虚拟化平台上时,攻击者获得了新的密钥攻击机会:一方面,应用虚拟机监控器(VMM,也称为Hypervisor)的功能,可以获得虚拟机的一切内存数据和CPU状况数据,从中快速获得密钥;同时,因为不同虚拟机应用相同的底层物理硬件,攻击者可以构造基于虚拟化平台的新型侧信道,探测被攻击虚拟机中的密钥数据。
从密钥安全防护的角度,虚拟化技术也带来了新的机会。虚拟机监控器可以实行各类灵活的密钥数据掩护步伐;其次,应用多台虚拟机来实行门限密码算法和密钥按期从新拆分,也可以或许处置虚拟化平台的侧信道攻击成绩、并降低门限密码学的实行代价。
