可信云服务

云服务是一类依托于云计算平台的新兴网络服务,其外包服务模式以及云平台自身的安全风险引起了用户的信任问题.云服务可信与否成为用户业务向云迁移的最大顾虑.如何构建安全可信的云服务,成为近年来研究领域的热点之一.该文在分析云计算安全威胁的基础上,提出了可信云服务的定义,并从用户信任预期、安全威胁来源和技术针对的安全目标等角度对可信云服务研究技术的类型进行了划分;然后,系统地梳理了数据存储外包、计算外包、虚拟机外包等典型云服务的安全可信研究工作;最后,探讨了可信云服务的未来研究趋势.     

可信平台模块在云计算中的应用

该文分析云计算的发展现状,以及用户的重要数据在云环境下的虚拟数据中心存储过程中所产生的一系列安全问题。针对数据存储过程中所产生的安全问题,我们在云计算中引入了可信平台模块、虚拟化技术以及二者结合的虚拟可信平台模块,并介绍了可信平台模块的基本功能,主机平台上可信链的建立,以及SHA-1算法在云计算中的应用。     

基于云理论的可信技术研究

针对云计算环境下信息的安全性和可靠性方面的欠缺, 为了建立灵活多适应性的安全机制, 将云与可信的概念相结合, 是现今安全领域的一个主要研究方向。为进一步解决云计算安全问题, 对云计算环境下的一些可信技术进行了研究, 并在此基础上提出了一种新的逆向云生成算法。该算法基于原一维逆向云算法, 使用主观信任云的期望和超熵对信任客体的可信度进行了评价, 为网上交易的信任决策提供了依据。对实验数据的分析表明, 与传统的算法相比, 此算法在信任度的可靠性和稳定性上存在比较明显的优势。     

基于可信计算机制的云计算盲数据处理

伴随着互联网络技术的不断发展,专业性强、应用广泛的以网络为依托的新型技术不断涌现,其中云数据、云计算、云服务的出现,为资源共享、信息传递、数据统计等网络活动提供便利.同时虚拟化网络下数据计算的工作方式,也为数据的安全性和隐私性带来挑战.基于可信计算机虚拟环境下的云计算问题,并结合云计算数据处理的重要意义,提出了可信计算虚拟化环境中云计算盲数据处理的具体应用.     

基于TPCM的容器云可信环境研究

容器技术是一种轻量级的操作系统虚拟化技术,被广泛应用于云计算环境,是云计算领域的研究热点,其安全性备受关注。提出了一种采用主动免疫可信计算进行容器云可信环境构建方法,其安全性符合网络安全等级保护标准要求。首先,通过 TPCM 对容器云服务器进行度量,由 TPCM 到容器的运行环境建立一条可信链。然后,通过在 TSB 增加容器可信的度量代理,实现对容器运行过程的可信度量与可信远程证明。最后,基于Docker与Kubernetes建立实验原型并进行实验。实验结果表明,所提方法能保障云服务器的启动过程与容器运行过程的可信,符合网络安全等级保护标准测评要求。     

云计算环境下的可信接入安全协议研究进展

随着云计算的蓬勃发展,越来越多的用户在云端使用计算和存储资源,然而各种安全问题接踵而来.云计算和可信计算技术的融合研究将成为云安全领域的重要趋势,通过设计安全协议来保障整个云计算环境的安全性和可生存性.主要针对在云计算环境下的可信接入安全协议及其形式化证明,进行了归类综述和对比分析,最后指出可信云平台所面临的研究问题.     

云计算环境下基于FANP的用户行为的可信评估与控制分析

云计算环境下,开放的运行环境使其面临重大的安全挑战,仅仅提供用户身份认证的安全控制已经不能完全适应云计算等新型计算机网络的应用。结合动态的行为可信的安全措施,有效地确定不可信云终端用户并正确分析云用户的异常行为是在复杂动态环境下保证云安全的基础。采用基于三角模糊数的模糊网络分析法(FANP),通过使用模糊数来反映专家评判的模糊性,弱化了单纯使用ANP方法存在的主观性,并对网络用户行为各属性的权重进行了量化计算,使评判结果更加客观。评价结果为基于动态信任的安全控制提供了量化分析的基础,为服务提供者采取更加安全的策略来响应用户请求提供了量化依据。     

一种云计算环境下代理TCM密码功能的方法

云计算已经成为当前计算机技术的研究热点,经过验证,可信计算技术可以有效地解决云计算环境下数据传输的安全性。但是,由于负责提供密码服务的可信密码模块是一枚SOC芯片,其处理速度有限,不能适应云计算环境下频繁数据传输和多用户连接的情况。论文提出了一种云计算环境下的可信密码模块密码功能授权代理的实现方法,通过一级密钥认证授权和保护一级密钥的方法,将可信密码模块的加解密和签名功能代理到每个虚拟机中,每个虚拟机当中能够拥有一个轻量级的密码代理模块完成相关密码功能,提高了整个平台的密码业务处理效率。     

基于可信第三方实现多云平台的交互和选择

随着云计算商业模式的成功推进,形成了三大主流的云计算服务模式:平台即服务、软件即服务和基础架构即服务。传统行业的供应商纷纷加入云计算的队伍。但由于激烈的竞争环境,使得云计算的标准化道路举步维艰,致使跨平台的交互和移植难以实现。同时,由于对不同的云平台没有形成统一可信的评价标准,使得众多的平台服务让用户无从选择。本文通过具体分析各种应用场景对跨平台服务的需求,得出构建"跨平台即服务"模式的必要性和必然性,提出利用可信第三方来实现"跨平台即服务"模式,给出跨平台的数据交互和移植行为在可信第三方监控下的规范化流程,并提出以可信第三方为中心的云平台安全和信誉评价标准,为企业选择合适的云平台提供参考。     

异构云环境中遥感数据资源的可信互操作模型研究

目前各个数据中心将遥感数据存储在不同云平台上，开放与互操作性是云计算的基础，为了构建协作共享、安全可信的互操作服务平台，本文构建了异构云环境互操作的可信系统架构，一方面解决不同环境之间的互操作服务问题，另一方面解决系统中存在的可信问题。据此，在介绍面向遥感数据资源存储和互操作的异构云环境的总体架构的基础上，探讨该平台下互操作的组成、服务流程等，并介绍遥感数据可信模型及资源的访问控制模型，以及其实现方法。最后，在示范验证平台中的应用实例表明该途径是切实可行的。     

基于云计算的IT数据中心安全问题研究

云计算的数据、资源、应用等服务功能,依赖于数据安全保障机制,为此,文章将针对IT数据中心面临的主要安全问题,结合云计算的开放性特点,在"可信云计算"的框架体系下提出了一种全新的解决方案,首先,在Eucalyptus环境下搭建了可信云计算平台,并引入3PAKE跨云认证机制,确保用户数据访问安全,以分散信息流控制方法和数据存储验证机制,用于弥补SaaS应用安全漏洞、监管数据可靠性存储,由此,全面、全过程的数据安全管控,为云计算数据安全提供应用支撑。     

可信基础设施云设计与实现

云计算正在加速应用到各行各业。然而在云计算模式下用户将数据和应用转移到云服务器或者虚拟机中,可能会受到来自云内部恶意管理员的攻击,加剧了云服务的可信性问题,阻碍了云计算的发展和推广。本文通过引入可信计算技术和第三方验证的方式,设计实现一种新的可信基础实施云模型T-IaaS。最后在Linux上实现原型系统,对其进行定量分析评估。实验结果表明,T-IaaS能够有效的保证基础设施云的可信性,而只引入很小的额外代价。     

云计算环境下数字化业务全链路监测关键技术

随着电力企业数字化架构向云平台+中台技术路线演进，传统的企业信息系统的运维模式已无法应对云原生技术环境下企业级信息系统应用的运维工作中面临的挑战。本文提出了一种面向云计算环境下数字化业务全链路监测平台，用于实现对端到端、全流程、全层级监控，帮助监测微服务状态、分析系统性能、理解系统行为，支撑业务运维运营。     

基于无干扰理论的虚拟机可信启动研究

云计算作为一种新型高价值计算系统,目前被广泛应用于各行业领域;等保2.0中也提出了对其应用主动免疫可信计算技术进行动态可信验证的要求.云计算模式下,虚拟机作为用户使用云服务的直接载体,其可信启动是虚拟机运行环境可信的基础.但由于虚拟机以进程的形式运行在物理节点上,其启动过程呈现出高动态性,且多虚拟机域间存在非预期干扰等特点;而现有的虚拟机可信启动方案存在虚拟机启动过程的动态防护性不足、缺乏多虚拟域间非预期干扰性排除等问题.针对上述问题,提出一种基于无干扰理论的虚拟机可信启动研究方案.首先,基于无干扰理论,提出了虚拟机进程的运行时可信定理;进一步地,给出了虚拟机可信启动的定义并证明了虚拟机可信启动判定定理.其次,依据虚拟机可信启动判定定理,基于系统调用设计监测控制逻辑,对虚拟机启动过程进行主动动态度量与主动控制.实验结果表明所提方案能够有效排除复杂云环境下多虚拟机间非预期干扰,保证虚拟机启动过程的动态可信性,且性能开销较小.     

可信云——云时代的新生态

云计算已成为信息通信领域最具活力的增长点之一.云服务改变了以往的信息化模式,正引领软件、硬件和网络技术的深度融合与快速创新,深刻地影响着整个信息通信产业的发展格局.2013年10月,可信云服务认证正式启动,这标志着我国也拥有了自己的云服务质量评估体系.可信云服务认证的核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,并最终促进我国云计算市场健康、有序发展.     

云计算可信性问题研究

系统地总结梳理了国内外云计算可信性研究现状,重点综述了云计算可信平台、框架与模型,可信机制,可信技术,可信管理,可信评估等方面,并得出若干结论:(1)较多文献往往借鉴传统信任管理和可信计算理论与方法;(2)针对云服务提供商的可信性评估研究较少;(3)可信服务度量与评估是云计算领域亟待突破的重要研究课题。     

基于无干扰理论的云服务行为可信模型

为解决云服务环境下存在的资源共享及特权安全威胁,将传统的无干扰理论引入云服务环境中,提出一种基于无干扰理论的云服务可信模型（NICTM）。该模型将云服务中域、动作、状态、输出等进行抽象,形式化地定义了云服务环境中域的可信;然后证明了用户域行为可信定理,符合定理的用户域可以被证明是可信的;最后在Xen虚拟化平台上实现了基于模型的原型系统,并通过实验验证了模型的可行性。     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

多租户环境下基于可信第三方的云安全模型研究

针对云计算中多租户环境特点,将可信第三方引入云计算的安全解决方案中,提出了一种新型的基于可信第三方的云安全模型。在该模型基础上,讨论了认证协议,并设计了基于TTP的多租户资源分配算法。采用CloudSim模拟工具进行仿真实验和性能比较分析,将短任务先行策略、先来先服务策略与本策略在资源成功执行率方面进行比较。实验结果表明,该模型能将可信度最高的云节点资源提供给云用户,有效构建了实体之间的信任网,可验证数据的正确性和数据交换的正确性,提供了多层次、分布式环境下端对端的安全服务。     

浪潮:将业务重点持续聚焦于云主机领域

1云数据中心 成长与安全的落差 伴随着云计算市场规模快速扩大,云计算的应用不断深入.作为云计算、大数据的载体,云数据中心建设成为企业IT发展的共识.由于云数据中心承载了企业的海量关键业务数据,安全保障的重要性非比寻常;并且由于云计算具有开放性和复杂性的特点,云数据中心面临的安全挑战比传统数据中心更加严峻. 与传统数据中心安全风险相比,云数据中心存在新的安全挑战:首先,正所谓“树大招风”,以窃取企业机密数据和情报为目的高级持续性威胁(APT),已经把拥有大量关键业务数据的云主机作为攻击目标,长期、有组织、有计划的窃取数据.其次,虚拟化、软件定义数据中心、BYOD等等这些新应用元素让云数据中心处于动态变化之中,传统安全防护很难防卫针对云主机的以“Guest OS镜像篡改”、“主机租户攻击”和“虚拟机篡改”为目的的恶意威胁.