Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

云计算可信评估方法研究

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 39 Anzeige
Anzeige

Weitere Verwandte Inhalte

Anzeige

Ähnlich wie 云计算可信评估方法研究 (20)

Aktuellste (20)

Anzeige

云计算可信评估方法研究

  1. 1. 博士学位论文开题报告 云计算安全增强的关键技 术研究 开题人姓名:林凡 指导教师: 曾文华 教授
  2. 2. 主要内容  课题意义及国内外研究现状综述  课题研究目标、研究内容和拟解决的关键性问 题  拟采取的研究方法、技术路线、试验方案及其 可行性分析  课题的创新性  计划进度、预期进展和预期成果
  3. 3. 主要内容  课题意义及国内外研究现状综述  课题研究目标、研究内容和拟解决的关键性问 题  拟采取的研究方法、技术路线、试验方案及其 可行性分析  课题的创新性  计划进度、预期进展和预期成果
  4. 4. 课题意义及国内外研究现状综述  课题意义  云计算现状  云计算突出的安全问题  云计算现有安全增强方法
  5. 5. 课题意义  “云计算一词用来同时描述一个系统平台或者一种类型的 应用程序。(简称平台化应用,也是IBM此前”按需应用”的 进化).CSA联盟给出的定义则是:一个云计算的平台按需 进行动态地部署(provision)、配置(configuration)、重新 配置(reconfigure)以及取消服务(deprovision)等。  云计算的推出,特有的带来全新安全问题: 分布式环境下的 数据完整性问题; 数据恢复与容错; 数据隐私; 以及由于全 球化的数据分散存放导致各方面的延伸法律问题地方法 规差异化而导致的策略分区内容审计.  由于过于依赖internet技术,不仅在云计算接入和网络访问 上,在协议层服务Qos等方面,安全问题也显得更加独特并 且突出
  6. 6. 主要的商业云计算 名称 提供者 发布时间 主要硬件架构 主要软件架构 目标服务 Blue cloud IBM 2007 BladeCenter 和 Pwoer VM 和 Xen集群 Hadoop RESERVOIR IBM,EU 2008 N/A N/A 异 构 IT 服 务 的 部署及在线服 务 EUCALYPTUS UCSB2008 2008 X86 Linux/Xen 虚拟主机与服 务租赁 EC2 Amazon 2006 X86 N/A Web服务开发 Cloudware 2Tera 2008 X86 Linux 虚拟数据中心 Network.com SUN 2008 X86 Sun grid 高性能计算 compute utility SkyDrive microsoft 2008 N/A Windows live 在线存贮 xDrive AOL 2008 N/A Windows live 在线存贮 Google Apps Google 2007 Google cluster Mapreduce,big 在线应用 table DaoLi EMC 2008 X86 Xen and 云 计 算 安 全 研 CHAOS 究 vCloud VMware 2008 X86 VMware 虚拟数据中心
  7. 7. 主流的开源云计算 Abicloud Eucalyptus Nimbus OpenNebula Cloud character Public/private Public Public Private Scalability Scalable Scalable Scalable Dynamical,scalable Cloud form IaaS IaaS IaaS IaaS Compatibility Not support EC2 Support EC2,S3 Support EC2 Open,multi- platform Deployment Pack and redeploy Dynamical Dynamical Dynamical deployment deployment deployment Deployment Web interface drag Commandline Commandline Commandline manager Transplantability easy common common common VM support VirtualBox,Xen,V vMware,Xen,KVM Xen Xen,VMware M ware,VM Seb interface Libvirt Web service EC2 WSDL,WSRF Libvrt,EC2,OCCI, API Structure Open platform Module Lightweight module Encalsulate core components Reliability - - - Rollback host and VM OS support Linux Linux Linux Linux Development Rube,C++,python Java Java,python java language
  8. 8. 云计算的核心特性—影响安全的要素  相对于传统的计算平台而言,云计算对计算机 系统的可信提出更高的挑战。这是因为,云计 算平台将超大规模的计算机系统进行整合,并 且通过Internet的方式提供给多个不同组织的 用户。总体而言,云计算相对传统的计算平台 具有以下特性: 
  9. 9. 云计算影响安全的特性  超大规模:大规模的采用这些不可靠部件对整 个云计算平台的可用性、可维护性以及容错性 提出了重要挑战。  单一接口:统一接口带来安全挑战.  跨组织性:数据隐私/隔离/安全性与完整性  以服务为中心: Ddos与服务可信  可管理/可用性与容错
  10. 10. Gartner 提出云计算七大风险:  用户特权访问风险,对于第三方云计算供应商而言,企业客 户关注到他们的托管应用和数据对于user要部署严格的权 限审计,以获得其认可的管理安全性.  地方法规的遵从与监管风险: 决定了数据的分布式存储策 略,地理位置的分布导致与当地法律将产生不可避免的关 联.  数据位置风险:不管是优化end user的访问路由还是前一条 原则,数据定位直接导致了云计算架构的实际部署状况.  数据隔离,包括各类信息安全技术的应用,数据加密技术  災备和恢复,  对内容的审查  可持续的服务能力
  11. 11. 十个主要矛盾  服务可用性问题:Ddos和IDS  Data Lock-in  数据安全: 认证验证保密  数据传输、迁移的瓶颈  性能的不可预测性,SLA与Qos 服务可信  超大规模的可扩展存储 :数据失效  大规模/对等/分布式虚拟系统的可信根  采用机器学习策略的快速可扩展性  资源和服务的信用评级  软件许可问题
  12. 12. 现有解决方法  云计算是全新事务,大部分安全和可信问题,虽 然存在于已有网格系统,但云计算其特点决定 了需要采用更适合的方法解决  对等网格与服务网格的可信计算技术  以SOA架构为特点的网络安全技术  以虚拟化技术为基础的安全增强手段
  13. 13. 1. 基于组合公钥密码的身份认证策略  1)组合公钥密码体制CPK解决网格中PkI认证问题  公开密钥与私有密钥矩阵,采用散列函数和密码变换将实 体的标识映射为矩阵的行坐标与列坐标序列,用以对矩阵 元素进行选取与组合,生成数量庞大的由公开密钥与私有 密钥组成的公私钥对,从而实现基于标识的超大规模的密 钥生产与分发。  2)网格安全群组通信框架-DGSGC  群组密钥体系在密钥的生成、管理、传播、回收整个 生命周期上引入对等网格的复杂组策略,并进一步设 计了群组消息确认方案,三重签名确认的机制保证了 系统额高强度抗攻击能力,包括外部攻击和内部攻击 均能取得较好的效果
  14. 14.  3)PKI的安全服务中心SSC方案  集成密钥管理、密码服务、硬件设备于一体,并对CA、 proxy、ssh等公共协议进行改进;加入了group组合授 权模型,设计了非证书安全架构,仅通过密码完成对服 务可信委托的全过程,强化了新密钥管理体系下的权鉴、 身份认证、加密、传输等环节的计算效率。总体上是对 密码体系在网格环境下的改进  综上此类研究,皆为网格环境下的PKI体系升级和 改造。利用密码学体系为网格引入认证、授权、 传输、访问的可信增强措施。对商用化云计算系 统而言,并没有从整体上进行考虑。在pay by use应用模式下的弹性计算中,仅具有单一体系是 远不足的。
  15. 15. 2、开放服务架构下的各种动态组合访问控制策略  代表性访问控制策略的包括以下几种:  1)基于角色的多域安全互操作策略;  2)分布式跨域互操作访问控制策略;  3)基于联合的多域安全互操作模型。  基于任务和角色的计算网格访问控制模型和传 统访问控制策略实现模型相比,其区别主要是 增加了任务管理模块和外部条件参考。由于任 务是主体获得权限的关键,因此任务管理模块 应成为参照监控器(Reference Monitor)的一部 分,防止用户篡改或绕过其控制。。
  16. 16. 3 基于量化可信度模型的TaCS ,可信感 知协约监督的互信架构  TaCS将可信度分三类。针对服务网格环境,在 TaCs中将主要关注如下三类可信度:  服务提供可信度  资源访问可信度  给评可信度  在 TaCs 架构中,引入了两大网格服务:网格可 信度服务(GTS,Grid Trustworthiness Service) 与网格协约服务(GCS,Grid Contract Service),它们的基本运作遵循网格服务相关规 范。
  17. 17. 二、基于虚拟化技术的安全增强  基于动态先验规则的代码验证技术  信任管理  行为约束机制  基于VMM的安全监管和审计措施  虚拟资产的冗余  事务语义引入广泛的服务操作
  18. 18. 2.1 基于动态先验规则的代码验证 技术  Chang 等人提出了 ConCert 软件框架,利用验证代码 (certified code)的理念来支撑安全和隐私策略,通过代 码的验证过程将信任传递给代码。具体做法是检查欲运行 于网格环境下远程机器上的本地代码的一些本质属性,以 判断其是否有故意或无意执行非法操作的企图。一旦通过 验证,该段代码即被认为是可信的。  作者宣称,除此之外无需任何其它的信任机制来确保在远 程资源上执行代码的安全性。该系统通过验证代码的概念 提供了信任关系的创建。但是,  这种验证过程非常耗时,对于大规模程序而言尤其明显, 这将为网格环境带来极大的开销,有悖于网格环境高效性 的本质要求
  19. 19. 2.2 信任管理由AT&T实验室的 Blaze等人首先提出  为解决分布式环境中新应用形式的安全问题提供了新思路,Wins borough 等 人称这类信任管理系统为基于能力(capability-based)的授权系统,但是它 们仍需服务方预先为请求方颁发指定操作权限的凭证,无法与陌生方建立动 态的信任关系。为此,人们提出了基于属性证书(attribute certificate)的认 证授权方法,为陌生实体间信任关系的建立提供了思路,所谓的属性证书就 是一种经权威中心(证书颁发机构)签名的数字断言。但是,在证书的交互 过程中,可能会导致一些主体隐私或敏感信息的泄漏。考虑到这个问题,同 时为了适应网格这类“服务计算”环境中信任的动态创建、调整问题, Winsborough 等人提出了自动信任协商(Automated Trust Negotiation,简 称ATN)的概念,“通过凭证、访问控制策略的交互披露,在资源请求方和提 供方间自动建立起信任关系”但是,在网格环境中,由于各管理域的自治性, 缺乏公共认可的中心权威,因此凭证本身也存在着可信性问题。
  20. 20. 2.3行为约束机制在云计算中的应 用  (l) 对于云计算平台外部的行为制约机制而言,其约束主体是云计算用 户,客体是云计算平台。云计算用户和云计算平台之间的关系是不可 靠的。一方面云计算用户需要确定云计算平台所提供的服务是正确的 ,用户的数据或者应用程序在云计算平台中被正常地存储或是执行。 另一方面,云计算平台中存在有多个用户,云计算平台需要确定云计 算用户所使用的服务对平台的安全攻击不会影响到云计算平台本身, 同样要保证其他用户的数据或应用程序不能被恶意使用。  (2) 在云计算内部:首先,多个用户的数据或应用程序要存储或是运行 于云计算的平台中,云计算如何解决多用户数据之间的数据保护问题 ,这也就是多用户文件的隔离问题。其次,由于现有云计算所采用的 操作系统都是基于传统计算模式的操作系统,传统的操作系统都多多 少少存在缺陷与安全漏洞,有可能被恶意用户取得控制。要保护云计 算应用的隐私性,就必须要考虑云计算平台中操作系统的不可靠问题 。
  21. 21. 2.4基于VMM的安全监管和审计措 施  在Terra平台中,“ OpenBox”虚拟机用于执行日常操作系 统与通常应用,而“CloseBox”虚拟机则用于执行安全敏感 的产品。Terra提出通过安全启动与认证等方式提供用户 与应用之间的可信路径。  微软的NGSCB也提出使用系统虚拟化来实现可信计算平 台,并保证软件的后向兼容性。具体而言,NGSCB提供 两个虚拟机,一个运行安全敏感的应用,另一个用于日常 应用。运行安全敏感应用的虚拟机上的软件栈都将通过虚 拟机监控器进行认证。同时,虚拟机监控器将严格控制两 个虚拟机之间的通讯。
  22. 22. 2.5虚拟资产的冗余  硬件实现冗余需要重新设计新的硬件,成本比较高,周期 也比较长。在操作系统中实现冗余的困难是成熟的操作系 统往往比较复杂,实现难度高.在虚拟机监控器中实现冗 余解决了上述问题。  优点: (1)首先,在虚拟机监控器中实现成本比较低,兼容 性比较好,能够支持相同体系结构的多种硬件实现; (2)虚 拟机监控器的简单性降低了实现冗余的难度; (3)第三,通 过虚拟机监控器向上层操作系统提供冗余服务,保证了透 明性,避免了对所有操作系统进行修改;最后,在虚拟机 监控器中实现冗余减轻了程序员的负担。
  23. 23. 2.6 将事务语义引入广泛的服务操 作  虚拟机监控器可以通过检查点(checkpoint)与回滚 (rollback)等方式较方便地控制操作系统中的状态,从而减 少操作系统状态的不一致性,进而为故障的重现提供较好 的帮助。  TTVM使得程序员可以任意浏览操作系统在特定运行下的 任意状态,从而为故障重现与分析提供了较好的帮助。  具体而言,TTVM对操作系统的CPU、内存与1/0设备的状 态进行记录并与调试器进行整合,以供之后的分析与调试 。而Revert对虚拟机上操作系统及其运行环境进行记录并 支持指令级别的重现以支持对攻击与病毒的分析。
  24. 24. 3、隐私保护和动态审计技术  3.1 CHAOS系统  CHAOS为云计算应用透明地创建一个行为约 束层,以提供对云计算应用的完整性保护。  (1) 基于VMM增强改进的中间截获机制  (2) 隔离保护  (3) 1/O数据加密
  25. 25.  从CHAOS主要实现方式来看,基于VM虚拟化 技术是完成其安全强化措施的关键. 这种做法 在于部署和实施相对成本较低, 仅在虚拟化层 进行软件改造即可满足;但由于增加了较多的 运算负担, 云应用执行代码的路径加长,实际上 增加了较大的性能压力给整体的云计算系统. 考虑到目前大部分商用云计算都是以VM作为 基础架构的核心层次, CHAOS技术必须在性能 上做出较大改进才能够更广泛被应用.
  26. 26. 3.2 Shepherd系统的架构  Shepherd通过三个相互配合的组件来防范, 检测以及隔离云计算应用的进程对关键的系统 资源的破坏。  (1)权限审计  (2)异常检测器  (3)隔离管理器
  27. 27. 三、主要研究方法 3.1 信任评估模型  随着云计算的SLA遵从原则,以Qos质量为优 先导向,必然要求具备一种或者多种动态组合 的计算信用评估体系。可设计采用 price、 history、time的三元评估模型,可进一步引 入privacy、location、isolation 等复合辅助 维度评估.
  28. 28.  1)设定信任度阈值策略  2) 相近信任度策略  3) 请求竞争的策略  3.1)最高信任度策略  3.2)基于信任度的概率公平策略
  29. 29. 3.2基于多代理机制的DDos—入侵 检测跟踪与过滤系统  CTF既可以用于网络结构,也可以用于网格结构。CTF在 虚拟机中实现, 以保证放置在云网络中的兼容性,灵活 和可扩展,但仍然是SOA安全产品。  CTF被布署在边缘路由器,以便更靠近云网络的源端。通 常,如果网络服务没有安全服务,系统就会变得非常容易 受到攻击。图2展示了为了在CTF头标记建立一个云跟踪 及过滤标记(CTFM),如何通过在网络腬务之前安装 CTF弥补这种不足。这是通过附加Web服务定义语言( WSDL)到CTF而不是Web服务器实现的。
  30. 30. 云盾牌  云盾牌是一个训练过的带反馈的神经网络,帮 助发现和过滤基于XML的DOS消息。一个神 经网络是由一系列的相互连接的输入层,隐层 和输出层组成的。网络中的每一个连接都有一 个权重。神经网络的重点是阈值逻辑单元( TLU),TLU为输入对象插入一系列权重,并 将它们相加,判断是否超过了阈值。
  31. 31. CTF的服务模型有一系列的属性 和特点。  松耦合:CTF是由基于XML的语言建立的。这意味着它可以在不同的 平台上运行,无需考虑编程语言。  基于消息的交互:客户,CTF,及服务提供者之间的交互都是基于消 息的。  动态发现:WSDL依赖于CTF,所以所有的服务被认为是公开的,这 意味着任何一个客户可以在任何时候通过网络连接CTF获得服务。  后期连接:CTF和服务提供者都是实时运行的。这就可以允许客户在 任何时候任何地方获得服务。  基于策略的行为:将来会一个CTF策略,与WS安全策略遵照相同的 准则,这一策略将决定程序的信息标识。  CTF在SOA模型内的角色为一个代理,是服务描述的知识库,就像 WSDL及UDDI。
  32. 32. 3.3、基于动态信息流混淆技术的 系统安全增强技术  (1)基于预测执行的信息流跟踪方法  标记不信任源:  不信任标签的传播: 蚁群算法  异常检测:  (2)基于动态信息流跟踪技术的二进制混淆
  33. 33. 3.4基于虚拟机超级管理器的安全 自审  1) 构建基于VMM的相对可信根TPM,虚拟化管 理器代替硬件TPM.构建信任链  2) 对托管OS验证潜在的内部攻击风险,可采用 虚拟化蜜罐技术实现对VMM同一个监管域下 的客户OS进行蜜罐引诱与攻击检测.研究不同 的虚拟蜜罐伪装算法。  3) 植入式rootkit中间代码检测,主要针对中间语 言层实现,可适用于大多数中间代码系统 C#,java,python等.
  34. 34. 主要创新点如下:  (1)提出云计算边界防御概念—云盾牌  由于云计算的四种部署模式实际上导致计算域之间的边界很难界定。本研究结合 REST/SOAP语义网络实现可动态部署和高扩展性的边界防御服务体系,用盾牌的概念 实现对入侵的防御  (2)提出一种针对云计算的服务信用评估体系  结合云计算尤其是商业云计算的特点,引入成本/服务历史评价/服务平均响应时间 客观 动态量化指标,和隐私程度/数据位置/数据隔离性 主观评价指标实现对某一云计算平台 的服务信用和服务质量的新评估体系.  (3)CTF跟踪与过滤机制防御分布式攻击  采用链式追溯跟踪机制和仿生算法对潜在攻击实行分布式跟踪与预测,并对云计算环境 下的域间访问设立REST/SOAP基础的过滤机制消除分布式攻击风险.  (4)基于VMM的虚拟化行为自省体系  基于通用的VMM系统(Xen /virtualbox)设计一款系统内服务接口行为自省系统,包括虚 拟化蜜罐系统对盲目攻击的捕获和分析;在攻击的采用聚类分析和行为规则挖掘实现预 测算法;采用中间代码检测机实现rootkit威胁检测
  35. 35. 计划进度、预期进展  (1)2008年9月至2010年9月  准备阶段。学习云计算的基本理论,了解云计算的发展和研究方向,寻找、 选择课题研究的方向。查阅相关资料,研究目前最新的云计算可信增强/安全 防御/审计和入侵检测方法。  (2)2010年9月  完成开题报告。  (3)2010年10月至2011年4月  提出一种合理的入侵检测体系,包括对攻击行为的链式跟踪措施和边界过滤系 统.实现包括云盾牌/CTF 在内的入侵检测方法中间件系统  (4)2011年5月-2011年10月  提出一种云计算的安全和服务可信评估矩阵,通过主观评价参数和客观估值,实 现对云计算服务的相对全面的评估模型。  (5)2011年11月至2012年4月  完善前面的工作,总结整理资料,撰写完成学位论文。
  36. 36. 预期成果  毕业前预期发表EI检索论文3篇,一般核心刊物论文4篇,并设计完成 一个基于Xen虚拟化平台和OpenNubla的的云计算试用统。  论文的发表工作主要从以下几个方面着手:  (1)基于CTF架构的云计算下DDos检测与防范机制(2篇)。  (2)云计算跨域边界防御机制(1篇)。  (3)基于主客观参数的多维度服务信用评估模型(1篇)。  (4)基于VMM的云计算安全自省机制(1篇)。  (5)其他相关问题(2篇,2篇EI, 已完成)。
  37. 37. 开题前主要完成以下工作:  (1)学习了与研究方向相关的课程,并发表 了两篇论文。  (2)研究了云计算领域的主流安全研究方向, 包括服务信用评价体系/可信增强技术/VMM虚 拟化管理技术等。整理了研究思路  (3)寻找研究突破点。在边界防御机制、云 计算系统的跨域攻击行为的跟踪和检测、 DDos、多维的综合评估体系方面进行下一步 的深入研究。
  38. 38. 已经发表  Lin, Fan ; Zeng, Wenhua ; Chen, Guowu ; Jiang, Yi,The embedded product testing using cleanroom statistical method,2009 WRI World Congress on Computer Science and Information Engineering, EI 20094712464424  Lin, Fan ; Chen, Guowu ; Zeng, Wenhua ; Chen, Qian ,The time- scaling and pitch-shifting algorithms for blackfin DSP, Proceedings of 2008 IEEE International Symposium on IT in Medicine and Education, ITME 2008, EI 20091411998201
  39. 39. 即将发表  Lin, Fan ; Zeng, Wenhua ; Jiang, Yi, Cloud security defense against Denial of Service  林金鹏 ,陈启安 ,林 凡 ,基于嵌入式SOA的 Nunit软件测试  吕钊钘, 江弋, 林凡, 基于色彩映射的车牌定位 算法及其多核优化  梁麒 , 达力 ,林凡 , 一种改进的DS数据融 合方法在室外通信机柜监控系统中的应用

×