基于无干扰理论的云服务行为可信模型

为解决云服务环境下存在的资源共享及特权安全威胁,将传统的无干扰理论引入云服务环境中,提出一种基于无干扰理论的云服务可信模型（NICTM）。该模型将云服务中域、动作、状态、输出等进行抽象,形式化地定义了云服务环境中域的可信;然后证明了用户域行为可信定理,符合定理的用户域可以被证明是可信的;最后在Xen虚拟化平台上实现了基于模型的原型系统,并通过实验验证了模型的可行性。     

一种面向多租户云存储平台的访问控制策略

云存储平台是多租户共享环境,能否实现其中不同租户数据之间的有效安全隔离成为了用户最为关心的问题.以RBAC(Role Based Access Control)策略为基础,结合组织标签和多种安全属性的逻辑组合,提出一种灵活的访问控制策略,它一方面保证云端不同企业之间数据的强隔离性,使某企业用户无法越权访问其他企业的用户数据;另一方面保证云存储企业内部数据的适度隔离,即可以根据公司自身的安全需求灵活定制企业内部策略.同时,引入虚拟组织的概念实现企业之间可能的数据共享;引入利益冲突的概念限制竞争企业之间的共享.给出了该策略在基于HDFS (Hadoop Distributed File System)的云存储架构中的原型实现.实验结果表明,该策略能够有效保障云存储平台多租户数据之间的恰当安全隔离.     

云主机可信技术研究

本文研究云主机可信技术主要关注云计算环境下云主机全生命周期的可信。随着云计算的普及,越来越多业务从传统的物理服务器迁移到云主机之上,云主机为业务提供了弹性的计算资源但同时为业务的可信带来了新挑战。面对新的云主机可信挑战,本文对云主机全生命周期内的可信进行研究,包括云计算服务可信、云主机镜像可信、云主机创建可信、云主机启动可信、云主机迁移可信、云主机销毁可信等,该研究对于云计算环境下的云主机的可信具有一定的指导意义和应用价值。     

面向云文件系统的隔离性度量方法研究

随着云计算的快速发展,云文件系统在云计算基础设施中扮演着越来越重要的角色。尽管目前业界已有不少面向云文件系统的性能评测工具,但大多数评测工具仅关注于传统的系统性能指标,比如IOPS和吞吐量,难以评估云文件系统在多租户环境下的性能隔离性。由于云环境I/O负载的动态性和异构性,所以准确评估云文件系统的隔离性变得更加具有挑战性。提出了一种新型的云文件系统隔离性度量模型,并在一个基准测试工具Porcupine中进行了实现。Porcupine通过模拟真实负载特征的I/O请求,实现对负载与性能的准确仿真并提高文件系统的测试效率。通过对Ceph文件系统的实验,验证了所提出的隔离性度量模型的有效性及准确性。     

一种多租户云数据存储缓存管理机制

随着云计算的普及,软件即服务(software as a service, SaaS)逐渐成为云计算的一种重要表现形式.云中数据节点的缓存是提高多租户应用数据访问性能的一种重要资源,缓存资源的共享和分配受到SaaS提供商的关注.对SaaS提供商而言,如何在多租户间有效地分配数据节点上的缓存资源,从而满足租户的服务水平协议(service level agreement, SLA),获得更高的收益已成为一项挑战.为此,提出了多租户云数据存储缓存管理机制,以实现服务提供商收益最大化的目标,结合SLA收益模型,评估不同缓存策略下服务提供商获取的收益值,将全局缓存管理问题定义为目标优化问题,并结合缓存分配特点,采用优化的遗传算法解决该问题.通过实验比较,该方法能保证SaaS服务提供商在多租户间有效利用缓存资源获取高收益.     

一个基于进程保护的可信终端模型

针对外包数据库系统中的隐私匹配问题,提出了基于分布针对计算机终端是网络系统中安全风险的根源问题之一,提出了一种新的基于进程保护的可信终端模型。该模型通过进程静态、动态保护和进程间无千扰来判定系统的可信性。进程静态保护的主要功能是确保进程代码和辅助文件的完整性,进程动态保护的主要功能是防止进程运行的相关数据被篡改,进程间无干扰的功能是基于无千扰理论判断进程交互的合法性。理论分析结果表明,该模型的可信性与基于可信根的无干扰可信模型等价。但该模型不仅有效克服了基于可信根的无千扰可信模型中的可信传递函数。Check( )的不合理性,而且将系统的状态、动作具体化,使得该模型更直观、具体,更容易理解,与实际的终端系统更相符。     

一种基于虚拟隔离的数据可信存储技术研究与实现

针对数据在开放式网络环境中存储和使用过程中存在的信息泄露风险,本文提出了一种基于虚拟隔离的数据可信存储体系结构。该结构借鉴可信计算技术中的信任根源的设计思想,通过可信存储根来验证用户身份合法性和管理数据访问权限,并将数据集中加密存储在服务器中;在终端用户对数据的使用过程中,利用本地内存和磁盘虚拟隔离技术保证数据在使用过程中的安全性,防止非授权用户和进程将数据泄漏到非保护区域。对本文所设计实现的基于虚拟隔离的数据可信存储系统的测试和安全性分析表明:该结构能够很好地保障开放网络环境中数据的存储、使用、流转和销毁的全生命周期的安全。     

基于无干扰理论的可信链模型

可信计算的相关研究已成为当前国内外信息安全方面的研究热点和趋势之一.可信计算技术也成为构建安全计算机系统行之有效的新技术.目前可信计算理论的发展滞后于技术的发展,针对可信计算中可信链传递缺乏理论模型的问题,将无干扰理论引入到可信计算领域,提出了计算机系统可信的基本理论.从动态的角度建立了基于无干扰理论的可信链模型,并对该模型进行了形式化描述和验证,而且实现了基于Linux操作系统内核的可信启动过程.其实现思路对于可信计算理论的发展和应用具有很好的参考价值.     

多租户环境下基于可信第三方的云安全模型研究

针对云计算中多租户环境特点,将可信第三方引入云计算的安全解决方案中,提出了一种新型的基于可信第三方的云安全模型。在该模型基础上,讨论了认证协议,并设计了基于TTP的多租户资源分配算法。采用CloudSim模拟工具进行仿真实验和性能比较分析,将短任务先行策略、先来先服务策略与本策略在资源成功执行率方面进行比较。实验结果表明,该模型能将可信度最高的云节点资源提供给云用户,有效构建了实体之间的信任网,可验证数据的正确性和数据交换的正确性,提供了多层次、分布式环境下端对端的安全服务。     

可信云——云时代的新生态

云计算已成为信息通信领域最具活力的增长点之一.云服务改变了以往的信息化模式,正引领软件、硬件和网络技术的深度融合与快速创新,深刻地影响着整个信息通信产业的发展格局.2013年10月,可信云服务认证正式启动,这标志着我国也拥有了自己的云服务质量评估体系.可信云服务认证的核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,并最终促进我国云计算市场健康、有序发展.     

可信云服务

云服务是一类依托于云计算平台的新兴网络服务,其外包服务模式以及云平台自身的安全风险引起了用户的信任问题.云服务可信与否成为用户业务向云迁移的最大顾虑.如何构建安全可信的云服务,成为近年来研究领域的热点之一.该文在分析云计算安全威胁的基础上,提出了可信云服务的定义,并从用户信任预期、安全威胁来源和技术针对的安全目标等角度对可信云服务研究技术的类型进行了划分;然后,系统地梳理了数据存储外包、计算外包、虚拟机外包等典型云服务的安全可信研究工作;最后,探讨了可信云服务的未来研究趋势.     

面向云计算模式运行环境可信性动态验证机制

如何为用户提供一个可证明、可验证的可信运行环境,是云计算模式面临的重要问题.提出一种动态的用户运行环境可信性验证机制TCEE（trusted cloud execution environment）.通过扩展现有可信链,将可信传递到用户虚拟机内部,并周期性地对用户运行环境的内存和文件系统进行完整性验证.TCEE引入可信第三方TTP（trusted third party）,针对用户虚拟机运行环境的可信性进行远程验证和审计,避免了由用户维护可信验证的相关信息和机制,同时也能够避免云平台敏感信息的泄露.实现了基于TCEE的原型系统,对TCEE的有效性和性能代价进行定量测试和评价.实验结果表明,该机制可以有效检测针对内存和文件系统的典型威胁,且对用户运行环境引入的性能代价较小.     

多租户模式的业务平台云安全体系设计与实现

云计算技术目前已成为实现业务平台基础设施的可选方式之一。基于云计算技术,可以提供规模弹性、应用快速部署、资源按需分配与动念管理的业务平台云。但是在发展初期,云资源池主要以能力建设为主,对于安全体系的考虑尚不充分。通过对云资源池网络安全、应用安全及虚拟化安全等方面的分析和研究,给出了一种基于多租户模式的业务平台云安全体系,该方案已经广泛运用于中国电信业务平台云资源池,取得了显著的效果。     

基于TCG规范信任链的无干扰特性建模

重点分析了TCG信任链的架构和实现细节,归纳总结了信任链的关键技术,并针对当前TCG规范信任链‘的建立过程进行无干扰特性建模,阐述了信任链建立的具体度量过程,从而达到对主机的信息流安全性进行分析。     

云环境中可信虚拟平台的远程证明方案研究

云环境中如何证明虚拟平台的可信,是值得研究的问题.由于云环境中虚拟平台包括运行于物理平台上的虚拟机管理器和虚拟机,它们是不同的逻辑运行实体,具有层次性和动态性,因此,现有的可信终端远程证明方案,包括隐私CA （privacy certification authority,简称PCA）方案和直接匿名证明（direct anonymous attestation,简称DAA）方案,都并不能直接用于可信虚拟平台.而TCG发布的Virtualized Trusted Platform Architecture Specification 1.0版中,可信虚拟平台的远程证明方案仅仅是个框架,并没有具体实施方案.为此,提出了一种自顶向下的可信虚拟平台远程证明实施方案——TVP-PCA.该方案是在虚拟机中设置一个认证代理,在虚拟机管理器中新增一个认证服务,挑战方首先通过顶层的认证代理证明虚拟机环境可信,然后通过底层的认证服务证明运行于物理平台上的虚拟机管理器可信,顶层和底层证明合起来确保了整个虚拟平台的可信,有效解决了顶层证明和底层证明的同一性问题.实验结果表明,该方案不仅能够证明虚拟机的可信,而且还能证明虚拟机管理器和物理平台的可信,因而证明了云环境中的虚拟平台是真正可信的.     

面向可信云计算的资源安全管理机制研究

数据所有权和控制权的分离对云中的程序和数据构成了严重的安全威胁,因此,云计算的可信性是决定其推广和普及程度的关键。本文认为,云计算资源管理机制对云计算可信性具有关键的影响作用;在此认识基础上,本文首先从资源安全管理机制本身及其实现的脆弱性两大方面分析了国内外的相关研究现状;然后,经分析得出,与普通网络环境相比,"共享与隔离"及"安全和性能"这两个矛盾在云计算环境中更为突出,且这两者的完美解决更加依赖于计算体系结构和计算模式的创新;最后,为有效提升云计算可信性,提出了云计算资源安全管理机制应优先着重关注的五个方面问题,并给出了相应思考。     

基于可信计算的云用户安全模型

随着云计算的发展,它的安全问题不容忽视。根据云用户所面临的数据安全及身份的隐私性问题,提出了基于可信计算的云用户安全模型。安全模型以可信计算技术为支撑,除了采用传统的安全策略外,提出了建立私有虚拟机,为用户提供一个私密的运行空间,防止其他恶意用户或管理员访问该虚拟机;给出了用户信息匿名化的方法,当高安全级用户申请服务和变更服务时保证用户身份信息的私密性,防止服务提供商恶意利用和泄露用户信息,为用户提供一个安全的运行环境。     

基于可信第三方的公有云平台的数据安全存储方案

近些年来,随着云计算的广泛应用,越来越多的企业、机构与个人开始使用云服务,将自己的数据放在云端。在云服务兴起的同时,随之而来的数据安全问题受到越来越多的关注。由于数据储存在云端,因此产生了许多突出的安全性问题。文章提出了一套基于可信第三方平台的公有云数据安全解决方案。该方案以独立的可信第三方平台为核心,在数据加密、密钥管理、数据感知、数据共享、事故责任等方面具有一定的优势。     

基于无干扰理论的虚拟机可信启动研究

云计算作为一种新型高价值计算系统,目前被广泛应用于各行业领域;等保2.0中也提出了对其应用主动免疫可信计算技术进行动态可信验证的要求.云计算模式下,虚拟机作为用户使用云服务的直接载体,其可信启动是虚拟机运行环境可信的基础.但由于虚拟机以进程的形式运行在物理节点上,其启动过程呈现出高动态性,且多虚拟机域间存在非预期干扰等特点;而现有的虚拟机可信启动方案存在虚拟机启动过程的动态防护性不足、缺乏多虚拟域间非预期干扰性排除等问题.针对上述问题,提出一种基于无干扰理论的虚拟机可信启动研究方案.首先,基于无干扰理论,提出了虚拟机进程的运行时可信定理;进一步地,给出了虚拟机可信启动的定义并证明了虚拟机可信启动判定定理.其次,依据虚拟机可信启动判定定理,基于系统调用设计监测控制逻辑,对虚拟机启动过程进行主动动态度量与主动控制.实验结果表明所提方案能够有效排除复杂云环境下多虚拟机间非预期干扰,保证虚拟机启动过程的动态可信性,且性能开销较小.     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.