一种抵御内部人员攻击的云租户密钥保护方法 |
| |
作者姓名: | 何运 贾晓启 刘鹏 张伟娟 |
| |
作者单位: | 中国科学院信息工程研究所 北京 中国 100093;中国科学院大学网络空间安全学院 北京 中国 100049;宾夕法尼亚州立大学 宾夕法尼亚 美国 16802 |
| |
基金项目: | 本课题得到中国科学院网络测评技术重点实验室资助项目,网络安全防护技术北京市重点实验室资助项目,北京市科技计划课题(No.Z191100007119010),国家自然科学基金(No.61772078)资助。 |
| |
摘 要: | 云计算作为一种新兴计算模式,近几年来对传统IT架构产生了巨大影响。然而,云计算也面临着新的安全挑战,例如,存储在云虚拟机内存中口令、密钥等易受到云平台内部人员发起的攻击。恶意云运维人员可通过简单命令获取云虚拟机的内存快照,再从内存快照中提取敏感数据(称作内存快照攻击)。本文为保护虚拟机内的加密密钥免受内存快照攻击,提出HCoper方案,HCoper在CPU内部完成所有加密计算,保证密钥不被加载到RAM中。HCoper采用key-encryption-key结构实现密钥动态调度,以支持多应用多密钥场景。主密钥存储在CPU寄存器中,数据加密密钥由主密钥加密后存储在RAM中。HCoper执行加密计算时,数据加密密钥将被解密并直接加载到CPU寄存器进行加密计算。HCoper作为Xen的内核模块,可防止其他进程访问持有密钥的CPU寄存器。HCoper旨在为租户提供加密计算服务,同时保证密钥(即主密钥,数据加密密钥)不受内部恶意人员的攻击。实验结果表明,HCoper可有效地防御内部人员发起的内存快照攻击,其带来的性能开销不影响实用性。
|
关 键 词: | 内存快照攻击 内部人员攻击 密钥保护 云计算 |
收稿时间: | 2019/5/31 0:00:00 |
修稿时间: | 2019/9/22 0:00:00 |
|
| 点击此处可从《》浏览原始摘要信息 |
|
点击此处可从《》下载全文 |