云計算與大數(shù)據(jù)--配套習(xí)題(徐小龍) 第5章 云計算安全-習(xí)題答案

1、第5章云計算平安習(xí)題5.1選擇題1、云計算平安問題主要來源于（D ）oA.合法云計算用戶的不法行為B.提供商管理的疏漏C.提供商濫用職權(quán)D.以上都是2、以下哪項不屬于云計算典型平安問題的是（C ）。A.平安攻擊問題B.可信性難題 C.系統(tǒng)漏洞D.多租戶隱患3、以下哪項屬于云計算平安目標(biāo)（D ）oA.保障合法訪問行為B.防止越權(quán)訪問行為C.禁止非法訪問行為D.以上都是4、用戶合法獲取云服務(wù)的第一道關(guān)卡是（A ）。A.身份認(rèn)證 B.隔離機(jī)制 C.數(shù)據(jù)加密D.數(shù)據(jù)完整性保障5、防止不同用戶間相互影響、降低被攻擊平安風(fēng)險的平安技術(shù)是（BA.身份認(rèn)證機(jī)制B.隔離機(jī)制 C.數(shù)據(jù)加密技術(shù) D.數(shù)據(jù)完整性保障

2、技術(shù)6、以下哪項不屬于身份認(rèn)證方案的類型（D ）。A.基于秘密信息的身份認(rèn)證B.基于信任物體的身份認(rèn)證C.基于生物特征的身份認(rèn)證D.基于用戶管理的身份認(rèn)證7、以下不需要借助可信服務(wù)器的訪問控制機(jī)制是（CA. XACMLB. SAML C. CP-ABED. KP-ABE8、KP-ABE與CP-ABE的不同之處關(guān)鍵在于（B ）。A.平安管理訪問權(quán)限B.是否依賴于可信服務(wù)器C.客戶端加密控制D,混合加密密鑰管理9、多租戶在共享資源時的隔離平安主要包括（D ）。A.數(shù)據(jù)平面的隔離平安B.程序平面的隔離平安C.網(wǎng)絡(luò)平面的隔離平安D.以上都是10、基于區(qū)塊鏈的數(shù)據(jù)完整性驗證通過（B ）計算哈希值并判斷其

3、與根哈希值是否一致。A. TEAB.默克爾哈希樹C.橢圓曲線加密 D.CSP11、TEA主要的運(yùn)算是（C ）。A.乘法B.取反C.移位和異或D.以上都是 12、證明云計算系統(tǒng)中的活動符合內(nèi)部或外部要求的合規(guī)性機(jī)制是（C ）0A.數(shù)據(jù)加密技術(shù) B.數(shù)據(jù)完整性驗證C.云計算審計 D.橢圓曲線加密5.2填空題1、（訪問控制機(jī)制）用于在鑒別用戶的合法身份后，通過某種途徑準(zhǔn)許或限制用戶訪問 信息資源的能力及范圍。2、CP-ABE的（不需要可信服務(wù)器）特點在云存儲環(huán)境下具有很大優(yōu)勢，可以實現(xiàn)不 同用戶對于存儲在云服務(wù)提供商提供的不可信服務(wù)器上特定數(shù)據(jù)的不同權(quán)限的訪問和處理。3、多租戶在共享資源時的隔離平安

4、可分為（數(shù)據(jù)平面的隔離平安）、（程序平面的隔 離平安）、（網(wǎng)絡(luò)平面的隔離平安）。4、（云平安基礎(chǔ)服務(wù)）為各類云應(yīng)用提供共性的信息平安服務(wù)，是支撐云應(yīng)用滿足用戶 平安目標(biāo)的重要手段。5.3簡答題.請簡述主要的云計算平安保障技術(shù)。答：身份認(rèn)證機(jī)制。云計算身份認(rèn)證是云服務(wù)提供商驗證服務(wù)使用者身份的過程，在互 聯(lián)網(wǎng)中，用戶擁有的數(shù)字身份是由一組特定數(shù)據(jù)表示的，云服務(wù)服務(wù)商會對這一數(shù) 字身份進(jìn)行認(rèn)證和授權(quán)。不同于每個人獨一無二的物理身份，數(shù)字身份可能會遭受 復(fù)制、代替等攻擊，云服務(wù)提供商需要鑒別真實的授權(quán)用戶并為其提供服務(wù)。訪問控制機(jī)制。云計算訪問控制用于在鑒別用戶的合法身份后，通過某種途徑準(zhǔn)許 或限制

5、用戶訪問信息資源的能力及范圍，特別是關(guān)鍵資源的訪問，防止因非法用戶 的侵入或者合法用戶的非法操作而造成破壞0隔離機(jī)制。云計算隔離機(jī)制使得用戶業(yè)務(wù)運(yùn)行于封閉、平安的環(huán)境中，便于云服務(wù) 提供商管理用戶；從用戶的角度來看，可防止不同用戶間的相互影響，降低受到非 法用戶攻擊的平安風(fēng)險。數(shù)據(jù)加密技術(shù)。云計算數(shù)據(jù)加密技術(shù)可通過適合云計算的加密算法在數(shù)據(jù)的傳輸、 存儲、使用過程中對數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)的私密性。數(shù)據(jù)完整性保障技術(shù)。云計算數(shù)據(jù)完整性保障技術(shù)用于在數(shù)據(jù)傳輸、存儲和處理過 程中，確保其不被破壞或喪失，如果被破壞或喪失，也能及時發(fā)現(xiàn)并恢復(fù)數(shù)據(jù)。審計與平安溯源技術(shù)。云計算審計與平安溯源技術(shù)用于在

6、云計算系統(tǒng)中記錄各用戶 以及管理的活動過程，以便后期查詢，在發(fā)現(xiàn)異常時可以通過查詢系統(tǒng)日志來進(jìn)行 平安溯源與修復(fù)。2、云計算系統(tǒng)使用數(shù)字平安身份管控模塊來到達(dá)集中身份管理及統(tǒng)身份認(rèn)證的目的，主 要應(yīng)滿足哪些需求？答：支持單點登錄。集成多種認(rèn)證及密碼服務(wù)。提供不同強(qiáng)度的認(rèn)證方式。支持分布式可擴(kuò)展架構(gòu)。支持身份生命周期管理。3、請簡述典型的云平安基礎(chǔ)服務(wù)。答：云身份認(rèn)證與管理服務(wù)。云身份認(rèn)證與管理服務(wù)主要涉及身份的創(chuàng)立、注銷以及身 份認(rèn)證過程。云訪問控制與隔離服務(wù)。云訪問控制與隔離服務(wù)的實現(xiàn)依賴于如何妥善地將傳統(tǒng)的 訪問控制模型（如基于角色的訪問控制、基于屬性的訪問控制、強(qiáng)制/自主訪問控 制模型等

7、），以及各種授權(quán)策略語言標(biāo)準(zhǔn)（如SAML等）擴(kuò)展后移植入云計算系統(tǒng) 中。云審計與平安溯源服務(wù)。由于用戶缺乏平安管理與舉證能力，要明確平安事故責(zé)任 就要求云服務(wù)提供商提供必要的支持，因此，由第三方實施的審計就顯得尤為重要。云加密與數(shù)據(jù)完整性驗證服務(wù)。云計算系統(tǒng)中的各種應(yīng)用與數(shù)據(jù)普遍存在加/解密 需求。云加密服務(wù)除了最基本的加/解密算法服務(wù)，密碼運(yùn)算中的密鑰管理與分發(fā)、 證書管理及分發(fā)等都能以云平安基礎(chǔ)服務(wù)的形式存在。5.4解答題1、OpenlD是一種開放、去中心化的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)。OpenlD主要由哪些局部構(gòu)成？當(dāng) 用戶使用OpenlD登錄時，系統(tǒng)的認(rèn)證流程包含哪些步驟？ 答：OpenlD 主

8、要由標(biāo)識符（Identifer）、依賴方（Relying Party, RP）和 OpenlD 提供方（OpenlD Provider,OP）組成。其中，標(biāo)識符為“ /htlps”形式的 URI或可擴(kuò)展的資源標(biāo)識符（extensible Resource Identifier, XRI）, XRI是一套與URI兼容的抽象標(biāo)識符體系。RP是需要對訪問者 的身份進(jìn)行驗證的Web系統(tǒng)或受保護(hù)的在線資源，依賴于OP提供的身份認(rèn)證服務(wù)。OP作 為OpenlD認(rèn)證服務(wù)器，在為用戶提供和管理標(biāo)識符的同時，還可為用戶提供在線身份認(rèn)證 服務(wù)，是整個OpenlD系統(tǒng)的核心。OpenlD的認(rèn)證流程如下：（1）用戶請

9、求OpenlD的RP,并選擇以O(shè)penlD方式登錄。（2） RP同意用戶采用OpenlD方式登錄。（3）用戶重新以O(shè)penlD方式登錄，并讓RP向自己提供標(biāo)識符。（4） RP對標(biāo)識符進(jìn)行規(guī)范化處理，將用戶的標(biāo)識符規(guī)范化為OP確定的格式。（5）建立RP與0P之間的關(guān)聯(lián)，并在網(wǎng)絡(luò)中建立一條平安的密鑰交換通道。OP處理RP的關(guān)聯(lián)請求。RP向0P發(fā)送身份認(rèn)證要求，同時將用戶重定向到OP的身份認(rèn)證入口處。（8）假設(shè)用戶是首次認(rèn)證，那么OP要求用戶提交必要的認(rèn)證信息，以便對其身份進(jìn)行驗 證。（9）用戶登錄，并向0P提交必要的身份認(rèn)證信息。（10）通過對用戶的身份認(rèn)證后，OP將結(jié)果通知RP,并緩存該用戶的登

10、錄信息，以實 現(xiàn)單點登錄。（ID RP對OP的反應(yīng)結(jié)果進(jìn)行判斷，決定是否允許該用戶訪問其資源。（12）當(dāng)通過身份認(rèn)證后，用戶便可以使用該RP提供的服務(wù)。在合理的時間范圍內(nèi)（具體根據(jù)用戶與系統(tǒng)之間的交互需求，由OP設(shè)定），當(dāng)該用戶 登錄平安邏輯域中其他受該OP保護(hù)的RP時，由于OP發(fā)現(xiàn)該用戶的登錄信息已經(jīng)在緩存 區(qū)中并與之建立了關(guān)聯(lián)，所以不再要求用戶提交認(rèn)證信息，而是直接將結(jié)果告知RP，從而實現(xiàn)單點登錄。2、基于ABE的云訪問控制模型時包含哪幾個參與方？請進(jìn)一步描述基于ABE的云訪問控 制模型的工作流程。答：基于ABE算法的云訪問控制模型，包括4個參與方：數(shù)據(jù)提供者、可信授權(quán)中心、云 存儲服務(wù)器、用戶。基于ABE算法的云訪問控制模型工作流程：（1）可信授權(quán)中心生成主密鑰和公開參數(shù)，將系統(tǒng)公鑰傳給數(shù)據(jù)提供者。（2）數(shù)據(jù)提供者收到系統(tǒng)公鑰之后