登入  |  English
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
源碼專案 專訪中央大學「支援行動裝置使用者與虛擬實驗平台之雲端技術研究」整合型計畫

專訪中央大學「支援行動裝置使用者與虛擬實驗平台之雲端技術研究」整合型計畫

進到捷運車廂,抬頭一望可以發現幾乎「人手一機」,有的人拿著智慧型手機使用即時通訊軟體、有的人拿著平板看電視,「低頭族」的名詞也應運時代而生。當行動裝置成為最普遍的雲端服務存取裝置之一,除了便利之外,其實也悄悄地帶來一些資安風險,因此,如何提昇行動裝置的安全性便成為當前許多開發者的關注焦點。中央大學的「支援行動裝置使用者與虛擬實驗平台之雲端技術研究」計畫便是利用雲端環境進行資訊安全的研究,並將研究內容分成三個子計畫,今天 OSSF 特派員四貓很榮幸訪問到這些計畫的主持人,中央大學的梁德容、陳奕明和王尉任老師,現在就立刻帶大家一起來看看這些計畫在做些什麼有趣的事情吧!

雲客端—手持行動裝置使用者識別機制

不知道大家有沒有過遇過這樣的情境:拿出手機想要和朋友分享有趣的照片,但是一群人圍上來看你輸入手機的解鎖密碼…是不是有點尷尬呢?現在以智慧型手機為主流的手持行動裝置,不僅僅可以通話,更可以隨時存取雲端服務,讓生活更加便利,但享受便利的同時也帶來新的資安議題:「手持行動裝置與雲端服務現存安全機制是否足以維護存取雲端服務上隱私與敏感性資訊的安全?」

目前的智慧型手機通常是以 PIN 碼、密碼、圖形鎖為主,也有採用指紋或臉部等生物特徵的識別技術。然而,密碼與指紋這類型的安全性機制皆需要使用者執行一個特定的認證程序,屬於侵入式驗證的方式,手續較為複雜,因此有許多用戶會因為侵入式認證的不便而~關閉該功能,但即便開啟了密碼認證的功能,還是有可能被旁人窺探,而導致隱私外洩。因此,他們團隊便以「非侵入式識別機制」作為研究主題,以增加行動裝置的安全性。根據團隊的觀察,發現使用者在抓握拿取手機的時候,每個人都有獨特的姿勢角度,而手持行動裝置內建感應器可擷取這些行為特徵,並建立一套非侵入性的使用者識別機制,代號叫「隱形二代鎖」,而雲端服務平台也可以利用像「隱形二代鎖」這樣的機制來防禦非法的存取。

計畫的主持人梁德容老師說明:「我們都知道,現在使用智慧型手機的人很多,這些人可能利用手機到雲端平台上進行交易行為,或會拿到敏感資料。目前利用手機做的安全服務大概就是帳號密碼,但密碼被盜在手機上被竊盜的風險特別高。」梁老師解釋,這是由於手機可攜的特性,如果是桌機上的帳號密碼,除非是電腦被植入木馬,否則竊賊就要想辦法侵入房間;但手持式的裝置,別人很容易從你的身後就窺視到你的帳號密碼。現在我們面臨的環境跟傳統的運算使用是不一樣的,過去我們傳統保護安全的方法到現在可能不再適用。那解決的方法呢?老師表示隱形二代鎖正是為了彌補過去傳統識別機制的不足而開發,假設我們現在要登入某個敏感性的服務,它一方面會記住你的密碼,一方面會在你操作的過程之中,收集使用者的慣用行為來判定是不是使用者本人。由於它是藉著分析使用者慣用手的姿勢、角度以及觸控的壓力變化等行為來進行驗證,但其實人不是機器,人的行為是會有變化的,每次手持的角度即使類似但還是會有分別,或是遇到雖然不同人但行為模式接近的情況,因此技術上的挑戰在於如何降低誤判、提高辨識率,換言之,就是「如何掌握一個人多樣的行為中具有代表性的行為」而這個代表性的行為又必須和別人有所區別。

具狀態回饋與互動功能之雲端虛擬實驗服務平台研究

陳奕明老師主持的這個虛擬實驗平台,則是因應人們對網路安全教育不斷提高的需求,為了讓安全概念落實到每一個使用者和管理者,因此他們建立了一個實驗平台,老師說這個虛擬平台就好比是網路上實驗室,想要進行練習的資安人員,不用準備成套的實驗設備、不用經歷繁複的安裝過程,只要進到這個雲端實驗室就可以獲得第一手的體驗和演練的機會。這個平台的特色是「安全且具彈性」,由於本身是一個以資安訓練為主要內容的實驗平台,它本身的安全性也特別受到關注,如果平台自己遭受攻陷或一些不當利用,那勢必會降低使用者對於平台內容的信心。陳老師表示,透過另一個子計畫的協助可以防治這些問題,比如說利用認證的機制,讓使用者在操作平台的時候不會受到外界的干擾,同時也提供了隔離的防護,萬一進行一些比較危險的實驗時(例如 DDos 實驗),真的有問題產生,也馬上可以聯絡網管隔離該區域網路防止事態擴大、降低風險。他們也設置了監控的機制,如果 CPU 的使用率太高,或者網路有不正常流量的時候,都可以在第一時間進行控制。為了慎重起見,目前平台仍限於學校或相關合作學校的帳號及ip使用,但未來希望可以發展成一個人人都可以使用的虛擬實驗平台。而平台的彈性則來自於虛擬機器,雖然實體設備有限,但利用虛擬機器則可以將資源進行最大的運用。

提供具高彈性化與高可用性之雲端平台研究與開發

由王尉任老師所主持的這個雲端平台,在支援另外兩個計畫的時候發揮了很大的功效,也可以說另外兩個計畫都是這個平台的用戶。但說到雲端平台,可能有人會馬上聯想到 Iaas, PaaS, Saas,這個平台是屬於哪一個分類,這幾個平台又有什麼差別?馬上來看看王老師的說明!

如同上面所提過的,雲端服務一般來說會分成三種類型:IaaS, PaaS, SaaS,其中 IaaS 是指 Infrastructure as a Service,是將基礎架構來當作雲端服務。所謂的基礎架構是指運算資源,包含 cpu, memory, 儲存空間等等。如果使用者需要這些類型的服務,則會使用到虛擬化 (virtualization) 的技術,也就是提供虛擬機器透過遠端連線讓使用者在雲端使用,可以在上面輕易地建立使用者想要的環境。PaaS 則是 Platform as a Service 的簡寫,它的概念比 IaaS 高一個層級,它提供的是雲端的平台。這裡的「平台」定義為要讓應用程式能在上面執行,還要有能力提供一些開發的工具、例如 API 或是 debugging, programing 的工具,這套解決方案越完整越好。如果它有對外提供服務的話,監控的機制也必須要足夠,例如有辦法紀錄使用者的使用的時數,才能準確的計算服務費用。所以 IaaS 和 PaaS 最大的不同在於平台要提供開發工具執行應用程式。最上層的 SaaS 是 Software as a Service, 它的概念就是透過標準的通訊協定和軟體溝通,即可進行操作。這種軟體可以有各式各樣的形式,舉例來說、大家常用的 Gmail 就是一個標準的 Software as a Service, 而在他們的計畫中,陳教授的虛擬實驗平台提供網路的攻防教學,也是一種 SaaS 的服務,而王老師的計畫發展的則是下面 PaaS 或 IaaS 層級的服務,兩者關係其實密不可分,底層沒有提供的功能上層就無法使用,或必須要換不同的方式來進行,由於沒辦法直接對底層網路控管,進而有可能造成安全上的疑慮。

當初發展這個計畫的概念,他們發現過去雲端在 IaaS 和 Paas 這兩個層級的服務,大部分都是考慮到單一的虛擬機器管理,但團隊在其中看到另一個需求,其實在這些計算資源管理上並不一定要侷限於一台機器,既然是虛擬的,應該更有彈性一點,例如採用虛擬叢集的概念。什麼是虛擬叢集呢?老師舉了一個例子是線上交易的服務,前端可能有 web server, 後端則有 data base 和檔案系統,這個東西串起來就是一個虛擬叢集,彼此之間會有頻繁的通訊,如果能將這樣的叢集變成一個範本,從中去衍生各種虛擬叢集的服務,也能夠快速部署已經建置好的虛擬叢集。另一個例子是最近 OpenStack 有一個名為 Sahara 的新計畫,它其實也帶入了虛擬叢集的概念,上面有進行大量資料管理系統所會用到的一些分析工具,它提供了 OpenStack用戶快速部署、啟動 Hadoop 叢集的解決方案。但王老師希望可以更加提昇電腦運算的智慧,除了監控實體機器的使用率之外,他們還會去監控虛擬機器之間的關係,看虛擬叢集間的機器是不是真的有密集的聯絡,因為被設定成同一個虛擬叢集的時候,我們會預期這些機器間應該有頻繁的溝通。收集這麼多各式各樣的數據,其實都只為了一個目的:找出最佳的解決方案。在虛擬機器、虛擬叢集上面,還能進一步發展成虛擬資料中心 (Data Center), 進行更大規模的支援。


看完了這三個台灣開放原始碼的專案,是不是覺得都很創意也有趣呢!趕快來看看這些專案的頁面唷!




自由軟體鑄造場電子報 : 第 246 期 專訪中央大學「支援行動裝置使用者與虛擬實驗平台之雲端技術研究」整合型計畫

分類: 源碼專案