我国首个云服务质量评估体系建成

正2014年1月16日,在工业和信息化部的指导下,可信云服务认证结果今日正式出炉。世纪互联凭借Windows Azure全球领先云平台技术支撑和其强大的运营能力,以其开放性的平台、高质量的SLA服务等级协议(Service Level Agreement)、强大的数据恢复能力、最佳的客户收益,成为首批通过可信云服务认证的10家国内云服务供应商之一。云服务的安全性和稳定性一直业界关     

可信云来了

7月15—16日,2014可信云服务大会在北京召开。会议期间,工业和信息化部正式发布了第一批通过可信云认证的云服务名单并颁发证书,云主机服务、对象存储服务、云数据库服务、云引擎服务和块存储服务五大类19家云服务商的35项云服务通过了该项认证。会上还发布了中国云服务最佳实践报告,并颁发了＂可信云——2013-2014年度云服务＂奖。     

可信云——云时代的新生态

云计算已成为信息通信领域最具活力的增长点之一.云服务改变了以往的信息化模式,正引领软件、硬件和网络技术的深度融合与快速创新,深刻地影响着整个信息通信产业的发展格局.2013年10月,可信云服务认证正式启动,这标志着我国也拥有了自己的云服务质量评估体系.可信云服务认证的核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,并最终促进我国云计算市场健康、有序发展.     

基于云计算环境的平台可信度认证问题研究

为了搭建可信的云计算环境,云平台和用户平台之间需要进行相互认证。鉴于云环境的基本特征,提出一种基于云环境的平台可信度认证模型(CCEBA)。该模型引用可信计算平台远程证明的思想,将改进的基于模块和组件属性的可信证明方案应用于云平台的可信度认证中。用户平台认证则采用改进的基于系统行为的可信证明方案。实验结果表明,该认证模型有效地提高了云平台和用户平台之间认证的可信度,并且提高了远程证明的效率,从而搭建了可信的云计算环境。     

基于可信计算的云安全研究与分析

云计算主要是依靠基于互联网的超强计算能力,使得众多的云终端用户都能够按照需要享受云提供的服务,同时以强大的管理平台及其超级计算模式实施多种应用。但是云计算的横空出世也带来了云的安全问题。为了弥补云存在的安全缺陷,文章提出了以可信计算技术为基础的涉及多个平台、多个系统的可信云安全解决方案,引入一种可信云安全架构,对云系统进行安全风险评估,将云安全划分等级,对云安全系统进行全面研究与分析,以期对同行在可信云的安全性认识方面提供帮助,促进云服务提供商向云终端用户提供更安全的服务,同时以服务的形式部署到云中。     

可信云服务

云服务是一类依托于云计算平台的新兴网络服务,其外包服务模式以及云平台自身的安全风险引起了用户的信任问题.云服务可信与否成为用户业务向云迁移的最大顾虑.如何构建安全可信的云服务,成为近年来研究领域的热点之一.该文在分析云计算安全威胁的基础上,提出了可信云服务的定义,并从用户信任预期、安全威胁来源和技术针对的安全目标等角度对可信云服务研究技术的类型进行了划分;然后,系统地梳理了数据存储外包、计算外包、虚拟机外包等典型云服务的安全可信研究工作;最后,探讨了可信云服务的未来研究趋势.     

云环境中可信虚拟平台的远程证明方案研究

云环境中如何证明虚拟平台的可信,是值得研究的问题.由于云环境中虚拟平台包括运行于物理平台上的虚拟机管理器和虚拟机,它们是不同的逻辑运行实体,具有层次性和动态性,因此,现有的可信终端远程证明方案,包括隐私CA （privacy certification authority,简称PCA）方案和直接匿名证明（direct anonymous attestation,简称DAA）方案,都并不能直接用于可信虚拟平台.而TCG发布的Virtualized Trusted Platform Architecture Specification 1.0版中,可信虚拟平台的远程证明方案仅仅是个框架,并没有具体实施方案.为此,提出了一种自顶向下的可信虚拟平台远程证明实施方案——TVP-PCA.该方案是在虚拟机中设置一个认证代理,在虚拟机管理器中新增一个认证服务,挑战方首先通过顶层的认证代理证明虚拟机环境可信,然后通过底层的认证服务证明运行于物理平台上的虚拟机管理器可信,顶层和底层证明合起来确保了整个虚拟平台的可信,有效解决了顶层证明和底层证明的同一性问题.实验结果表明,该方案不仅能够证明虚拟机的可信,而且还能证明虚拟机管理器和物理平台的可信,因而证明了云环境中的虚拟平台是真正可信的.     

基于可信第三方实现多云平台的交互和选择

随着云计算商业模式的成功推进,形成了三大主流的云计算服务模式:平台即服务、软件即服务和基础架构即服务。传统行业的供应商纷纷加入云计算的队伍。但由于激烈的竞争环境,使得云计算的标准化道路举步维艰,致使跨平台的交互和移植难以实现。同时,由于对不同的云平台没有形成统一可信的评价标准,使得众多的平台服务让用户无从选择。本文通过具体分析各种应用场景对跨平台服务的需求,得出构建"跨平台即服务"模式的必要性和必然性,提出利用可信第三方来实现"跨平台即服务"模式,给出跨平台的数据交互和移植行为在可信第三方监控下的规范化流程,并提出以可信第三方为中心的云平台安全和信誉评价标准,为企业选择合适的云平台提供参考。     

中国云服务认证体系构建日趋成熟

正早在2013年年中,由数据中心联盟和云计算发展与政策论坛联合组织的,我国唯一针对云服务可信性进行认证的组织,"可信云服务工作组"成立。工作组由工业和信息化部电信研究院、三大电信运营商、主要互联网企业和设备提供商组成。在2014年年初的可信云服务认证首轮(第一批企业)评估     

基于双滑动窗口的云服务可信评估

随着云计算的不断发展, 越来越多的云服务商利用云平台提供服务, 供云用户进行使用. 由于云平台无法得知云服务的配置和实现, 所以会产生信任缺失问题. 针对这个问题, 国内外提出了各种方法评估云服务的可信度, 但都较少的考虑了评价的客观性问题. 本文提出环境指标的概念, 使用滑动窗口结合主客观评价的方式对云服务进行可信评估, 并通过实验证明该评估方法提高了云服务可信评估的准确性.     

基于无干扰理论的云服务行为可信模型

为解决云服务环境下存在的资源共享及特权安全威胁,将传统的无干扰理论引入云服务环境中,提出一种基于无干扰理论的云服务可信模型（NICTM）。该模型将云服务中域、动作、状态、输出等进行抽象,形式化地定义了云服务环境中域的可信;然后证明了用户域行为可信定理,符合定理的用户域可以被证明是可信的;最后在Xen虚拟化平台上实现了基于模型的原型系统,并通过实验验证了模型的可行性。     

基于贝叶斯网络的遥感云用户行为认证方法

针对遥感云服务平台中不可信用户的入侵现象，结合遥感云用户行为特点和贝叶斯网络算法设计了一种用户行为认证方案。该方案论述了遥感云平台用户的行为认证机制，并且根据用户行为特点建立了用户行为认证集，结合贝叶斯网络算法预测特点和用户行为属性建立了用于认证等级预测的贝叶斯网络模型，把该模型中分析得出的用户行为属性的权重信息应用到用户等级预测算法中，使该算法针对遥感云用户认证更安全准确，从而实现对用户行为认证等级的预测。仿真实例表明该方法能够准确识别出不可信用户，有效保证遥感云服务平台的安全性。     

软件服务化背景下的云服务可信评估研究

针对云服务应用的新特点,从云服务可信机理、云服务可信评估、组合云服务可信建模与评估、云服务供应商信誉评价与选择等方面,系统总结了软件服务化背景下云服务可信评估研究的相关进展,并展望了云服务可信评估未来的研究方向.     

一种SOA云服务平台架构研究与应用

在完美SOA分布式系统架构平台基础上,面向服务进行云架构模式的分析,建立以云端用户、云服务平台中心和云服务提供者构成的云架构模式,实现SOA云平台体系架构,将云服务提供者分成云服务接口层、云服务调度管理层、云计算服务层和云物理服务层。经过改进提高了云平台的服务能力和执行效率,并给出了提高该云平台调度效率的调度算法。通过数字校园云进行了云平台实例演示,显示了SOA云服务平台的架构和调度算法的快速服务响应能力。     

云制造环境下基于可信评价的云服务选择

针对云制造环境下因存在大量功能相同或相似的制造云服务而导致用户很难获得合适云服务的问题,提出了一种基于可信评价的制造云服务选择方法。对问题进行了抽象,将可靠性、可用性、时效性、价格和诚信度纳入可信特征集,并考虑评价时间、评价者的诚信度对可信值的影响,采用加权平均的方法计算制造云服务的整体可信度;在此基础上,综合考虑制造云服务的功能、任务负载、当前状态和物理距离等因素,通过匹配功能、任务负载和价格,并结合可信评价值来指导云服务的选择。仿真结果表明,所提方法能够有效地识别云制造环境下的制造云服务实体,可提高交易活动的成功率,满足用户的功能需求和非功能需求。     

基于滑动窗口的云服务可信评估模型优化

随着云服务的需求日益增强,云服务市场得到了快速的发展,但也产生了云服务的可信问题.国内外针对这个问题提出了各类的云服务可信评估模型,使用直接间接可信,用户评价、偏好相似度等因素参与云服务可信评估的流程中,然而现有研究中的云服务可信评估模型在流程中针对信任评估中并不能满足像是缓慢增加和快速下降等基本性质.本文引入云服务可信滑动窗口的方式加强整个云服务可信评估的流程,通过滑动窗口满足了缓慢增长等性质解决了问题,而后通过模拟实验验证了确实能够有效解决该问题.     

一种可信第三方医学影像数据云平台身份认证

身份认证是云计算安全应用的挑战之一。针对Hadoop医学影像数据平台,提出改进的双服务器模型,并采用基于三角形原则的密码存储方法存储口令。其次,在该模型的基础上提出基于可信第三方的云存储架构。安全分析表明：基于双服务器模型的身份认证机制能够一定程度上改善口令认证的不足,加强口令存储安全,基于可信第三方的云存储架构能够实现用户信息管理和数据存储的分离,保护用户隐私。两者有机结合加强了医学影像平台的身份认证安全,防止攻击者访问云平台,窃取Dicom数据用于非法途径。     

面向可信服务的移动可信终端研究

针对移动终端中的安全问题,提出了基于可信平台模块的、面向服务应用的移动可信终端整体设计方案。在软件层面,借助可信技术、应用环境分析、网络服务、错误检测和容错机制等关键技术,构建出面向服务的可信体系及可信接入认证方案;在硬件层面,基于TPM芯片,结合多处理器并行计算架构,提出了分布式存储机制的设计,实现分布式存储区之间共享数据的安全自动拷贝。     

TPM匿名认证机制的研究与应用

分析了可信平台模块身份认证方案的匿名性机制,在修改直接匿名证言方案的基础上,提出了一个称为TOSS的可信在线服务系统设计方案.与传统在线服务系统相比,该系统是基于用户等级的,支持匿名访问、服务分级和时限控制,具有更好的安全性和服务进化功能.     

一种基于端对端平台可信性互认证的可信迁移框架及协议

针对计算平台间的对象(如进行/线程、服务和移动代理)迁移的安全问题,提出了一种基于端对端平台可信性相互认证的迁移框架.从受保护的底层硬件开始,使用可信平台模块TPM的完整性度量机制来实现计算平台间、平台与服务以及封存状态数据的可信认证.通过提出的认证协议可保证迁移对象在可信的计算环境中转移.该迁移框架及认证协议为网格计算、集群和分布式计算取得高可用性、高安全性提供了一种可行性现实方案.