云计算信息系统等级保护框架研究

安全问题是制约云计算发展的重要因素,需要一种基准来判断云服务安全性是否可以达到安全要求.文中总结国内外云计算要素,结合云计算特征与安全需求,在国内信息系统等级保护体系下提出基于服务的云服务框架,研究框架面临的威胁和云运营特点,对现有等保框架进行扩展,提出不同等保级别下云计算的基本要求,为中国等级保护工作推广到云环境做出探索.     

云计算安全:架构、机制与模型评价

计算机网络时代的飞速发展,促使云计算时代和大数据时代到来,目前云计算几乎应用在生产生活的各个领域中,极大地方便了人们对储存信息、计算数据等需求.但是,随着云计算的快速发展,云计算的安全问题被人们广泛关注,现在,云计算的安全已经成为影响云计算服务的关键因素之一.因此,对云计算安全的架构、机制以及模型评价进行分析,提高云计算的安全性,在很大程度上能够推动云计算的发展和完善.     

基于虚拟散列安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法

防御分布式拒绝服务DDoS（distributed denial of service）攻击是云计算平台安全保护中的一个关键问题。在研究大规模网络防御DDoS攻击的安全覆盖服务SOS（security overlay service）方法的基础上,揭示了SOS在节点被攻击时的退出机制存在的安全漏洞,根据云计算路由策略改进了一致性散列算法Chord,提出了适用于云计算路由平台三层架构的虚拟散列安全访问路径VHSAP（virtualization hash security access path）,在安全访问路径中引入了心跳机制,利用虚拟机技术实现弹性的虚拟节点,完成在云平台中被攻击节点之间的无缝切换,保证用户对云计算平台的安全访问。针对VHSAP防御DDoS的性能进行了仿真实验,重点研究了在散列安全访问路径HSAP中被攻击节点数和切换时延等参数,并将实验结果与SOS方法进行了比较。实验结果表明在DDoS攻击下,VHSAP具有较高的数据通过率,可以提高云计算平台的安全性。     

云计算环境下基于无证书的匿名用户认证协议

云计算的安全问题是云计算技术的核心问题之一。近年来,针对云计算中用户访问的安全问题提出了多个安全认证方案。但是,这些方案大都存在安全漏洞、流程复杂等缺陷,因此不适用于云计算环境。文章首先对一个高效的基于身份云计算认证协议进行分析,指出其算法的错误,并对其进行修正。其次提出一个适用于云计算环境下安全的用户认证方案。方案基于无对运算的无证书密码体系,避免基于身份认证方案的密钥泄露问题。在尽可能简化运算的前提下,提升了安全性。同时,方案使用临时身份代替用户真实身份,从而实现了用户匿名性。为了避免重放攻击,在方案中使用时戳以进一步增强了安全性。与现有相关协议相比,提出的方案有更高的安全级别和尽可能小的认证时延,因此更适合于云计算环境。     

美军云计算应用安全发展趋势研究

与传统的计算基础设施相比,云计算具有超强的计算能力、高可靠性、高拓展性和良好的经济性等优势,同时也表现出不同的风险和安全特征,这些特征对军队信息化建设具有重大影响。本文介绍了美军云计算应用的主要军事需求,总结了美军对云计算及安全性的评估与认识,阐述了美军在云计算应用安全方面的发展趋势,为我国加强军队信息化建设提供有益借鉴。     

云存储中的数据安全研究

由于社会分工和资源共享的必然,公共云平台必将成为和电网、互联网等同等重要的国家基础设施。云计算面临的安全问题制约着云计算的广泛使用,数据安全在云计算中尤为重要,保证数据的安全性是云计算安全的核心。文章从数据的完整性检查、数据的加密存储、数据访问权限控制以及云数据的安全删除等方面,对已有研究工作进行了分类和总结,为后续云计算中数据的安全性研究提供参照。     

基于Montgomery型椭圆曲线密码的RFID安全认证方案

针对现有基于椭圆曲线密码（elliptic curve cryptography,ECC）体制的 RFID（radio frequency identification device）安全认证方案不能满足相互认证、隐私保护和前向安全性等要求,提出一种基于Montgomery型椭圆曲线密码的认证方案。利用Montgomery型椭圆曲线来降低计算量,并提供标签和服务器之间的相互认证,具有匿名性和前向安全性。通过分析表明,该方案能够抵抗重放攻击、标签伪装攻击、服务器欺骗攻击、DoS攻击、位置跟踪攻击和克隆攻击。与现有方案相比,该方案在保证较低的内存、计算和通信需求的情况下,提供了较高的安全性能,能够满足RFID系统的安全性要求。     

基于生物特征标识的无线传感器网络三因素用户认证协议

为满足高安全级别场景（如军事、国家安全、银行等）的应用需求,进一步提高无线传感器网络用户认证协议的安全性,提出了基于生物特征识别的三因素用户认证协议.针对Althobaiti协议无法防御节点妥协攻击、模拟攻击、中间人攻击和内部特权攻击的安全缺陷,增加智能卡和密码作为协议基本安全因素,并利用生物特征标识信息生成函数与回复函数处理的生物特征标识作为附加安全因素;在密钥管理中,为每个节点配置了与网关节点共享唯一密钥,保证认证过程的独立性与安全性;实现用户自主选择与网关节点的共享密钥,提高公共信道通信的安全性;在网关节点不参与的情况下,设计密码和生物特征标识更新机制,保证二者的新鲜性.通过Dolev-Yao拓展威胁模型的分析与AVISPA的OFMC分析终端的仿真,结果证明该认证协议克服了Althobaiti协议安全缺陷,且对计算能力的需求小于公钥加密.权衡安全性与计算成本,该协议适用于资源受限且安全需求高的无线传感器网络应用.     

一种适用于NFC移动设备的双向认证安全方案

近场无线通信(NFC)是一种已经被广泛应用的短距无线通信技术.其中最常见的是将NFC技术应用于移动支付和门禁访问控制等应用.从技术上讲,这些应用利用NFC模拟卡模式将NFC设备模拟成银行卡或门禁卡,然后等待外部阅读器验证.在这类应用场景下,选取合适的安全认证方案是非常重要的.首先,介绍了现有的NFC认证系统和安全方案并分析了系统安全需求和潜在的安全风险.然后,采用Hash、AES和口令Key动态更新机制,提出了一种适用于NFC移动设备的双向认证安全方案,并设计了自同步机制.最后,利用GNY逻辑以形式化证明的形式证明了方案的安全性,分析表明该方案能解决伪造、重放攻击、窃听、篡改、异步攻击等安全问题.     

企业私有云平台安全技术研究

云计算作为一种新兴的计算机网络应用技术,近几年飞速发展,主要IT企业如Google,Microsoft,IBM,Amazon等纷纷推出其云计算解决方案,学术界也不断对云计算平台进行深入研究,取得了大量研究成果和实用技术,但是安全问题始终困扰着云计算的发展。这里主要讨论的是云安全的问题,借助企业私有云平台,开展云安全研究,重点在于研究如何结合企业现有的网络安全措施补充提高云平台安全性和可靠性,包括身份认证、访问控制、数据存储和入侵检测等方面的。提出了切合实际的云安全方案,形成满足企业安全需求的安全体系,实现安全和经济效益的双赢。     

Continuous leakage–resilient IBE in cloud computing

Cloud computing is an efficient tool in which cloud storage shares plenty of encrypted data with other data owners. In existing cloud computing scenarios, it may suffer from some new attacks like side channel attacks. Therefore, we are eager to introduce a new cryptographic scheme that can resist these new attacks. In this work, we exploit a new technique to build leakage‐resilient identity‐based encryption and use the stronger existing partial leakage model, such as continual leakage model. More specifically, our proposal is based on the underlying decisional bilinear Diffie‐Hellman assumption, but proven adaptively secure against adaptive chosen ciphertext attack in the standard model. Above all, a continuous leakage–resilient IBE scheme with adaptive security meets cloud computing with stronger security.     

云计算若干安全问题的研究

随着云计算的快速发展,更多的企业和个人依赖于云技术实现他们的存储和计算需求。云计算的安全问题一直是当前研究者关注的重点问题。论文首先介绍云计算的体系结构及其特点。然后针对云计算体系结构中的安全问题作重点详细分析。     

云计算安全需求综述

云计算已成为全球未来信息产业发展的战略方向和推动经济增长的重要引擎,而云计算的安全问题是影响其发展的主要障碍。文中结合云计算的服务模型和技术特点,分析了云计算的技术特性和安全目标,并重点从基础设施服务安全、平台服务安全、应用软件服务安全、终端安全防护、安全管理以及法规监管等方面的安全需求,系统性地分析了通用云计算架构下云计算存在的安全风险与安全需求,最后给出了建设云安全系统的建议。     

A User-Centric Data Secure Creation Scheme in Cloud Computing

Due to the use of the cloud computing technology, the ownership is separated from the adminis-tration of the data in cloud and the shared data might be migrated between different clouds, which would bring new challenges to data secure creation, especially for the data privacy protection. We propose a User-centric data secure creation scheme (UCDSC) for the security requirements of resource owners in cloud. In this scheme, a data owner first divides the users into different domains. The data owner encrypts data and defines different secure managing poli-cies for the data according to domains. To encrypt the data in UCDSC, we present an algorithm based on Access con-trol conditions proxy re-encryption (ACC-PRE), which is proved to be master secret secure and Chosen-ciphertext attack (CCA) secure in random oracle model. We give the application protocols and make the comparisons between some existing approaches and UCDSC.     

5G边缘计算商用部署和运维关键技术

由于部署地点和应用场景的差异,边缘计算系统存在一体化和云化两种部署模式,导致系统架构、关键技术要求以及运维方式也各不相同。首先分析了两种模式下的应用场景、特征及对系统的需求,其次,从硬件、云化基础设施平台、边缘PaaS平台、安全以及运维等方面对两种模式做了深入分析,最后在上述分析基础上,从商用角度明确了边缘计算在两种部署模式下的系统架构、关键组件技术要求及规格。     

云环境中抵御内部关键字猜测攻击的快速公钥可搜索加密方案

随着云计算的发展,以密文检索为核心的安全和搜索性能问题成为研究的重点。在传统的加密方案中,大多只解决了抵御外部关键字猜测攻击问题,往往忽视了诚实且好奇的云服务器问题。为了提高密文安全性,该文提出快速搜索的抵御内部关键字攻击方案。首先,引入高效的加密倒排索引结构的公钥密文搜索方案,实现关键字的并行搜索任务。其次,在构建密文倒排索引时加入数据拥有者的私钥抵御恶意云服务器的关键字攻击。与传统的公钥可搜索加密相比,该方案在很大程度上增强了搜索系统的安全性和搜索效率。     

云计算安全威胁分析

随着云计算技术应用的进一步深入,云安全也成为业界关注的焦点.云安全不仅是广大用户选择云计算服务的首要考虑因素,也是云计算实现健康可持续发展的基础.为了能更好地了解、掌握云计算环境下的安全问题,详细分析了云环境在基础设施、数据、身份及访问管理、安全管理、隐私、审计与合规等方面面临的安全威胁,认为只有云计算服务提供商以及用户双方协力合作,在提供及监测安全功能方面取得一致认同,并重新调整传统的安全模式,才能处理云计算所面临的威胁.     

SAPA-based approach for defending DoS attacks in cloud computing

Denial of service (DoS) attack was one of the major threats to cloud computing.Security access path algorithm (SAPA) used node route table (NRT) to compose security access path.It simplified role nodes of traditional secure overlay services (SOS),and periodically updated role nodes,and cached security access paths.Therefore,SAPA was more appropriate for cloud computing to defend DoS attacks.Based on the turn routing architecture of cloud computing,the mathematical model of SAPA was built and its performance was analyzed in theory.The performance of SAPA was tested in OMNeT++ experimental platform.Also,the Test-bed experiments were performed to evaluate the effectiveness of SAPA for defending DoS attack.Experimental results show that comparing with SOS,SAPA can degrade the impact of communication success rate caused by DoS attack effectively,and guarantees the access delay small enough.     

电信运营商公有云平台安全解决方案研究

云安全是云计算技术的一个重要分支,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出。本文针对公有云业务自身特性和安全需求,结合电信运营商云平台业务场景和安全要求,阐述公有云平台资源池的安全架构和关键技术,分析各类云安全问题并提供解决方案,为后续云平台建设提供参考。     

云计算标准化现状概览

云计算风起云涌,目前已经进入了推广实施阶段,云计算产业链生态系统各主要角色（服务提供商、设备提供商、用户等）均已经认识到云计算是未来IT服务发展的重要趋势。但云计算领域缺乏统一、普遍接受的国际标准,导致云计算服务缺乏兼容性、可移植性保障,可能影响云计算产业的发展。本文从云计算基本定义、需求、架构、安全等方面介绍了当前主要云计算标准化组织的工作和输出。