云計算信息安全問題研究

云計算信息安全問題研究

1可信計算技術(shù)問題為了解決云計算中的信息安全問題，信息安全行業(yè)根據(jù)不同的技術(shù)視角，提出了基于訪談控制、數(shù)據(jù)加密、內(nèi)容監(jiān)控、篩選、虛擬化和各種技術(shù)的解決方案。然而，數(shù)據(jù)安全事件仍在繼續(xù)，而且變得越來越激烈。究其原因,現(xiàn)有的終端平臺采用開放的體系架構(gòu),無法從根本上避免和杜絕一切可能的安全威脅,并且現(xiàn)有的安全解決方案存在缺乏良好的平臺可信及安全驗證機制,缺乏高性能、高可靠性的可信網(wǎng)絡(luò)域建立機制,缺乏滿足可信性、適應性和兼容異構(gòu)性的安全策略管理機制,缺乏輕量級的密鑰管理中心等問題?？尚庞嬎慵夹g(shù)為解決上述問題提供一種新的思路?？尚庞嬎慵夹g(shù)核心思想是從終端、從平臺根源解決現(xiàn)有的安全問題,通過基于硬件級的密鑰管理中心、可信認證、可信度量、可信存儲和可信網(wǎng)絡(luò)連接等技術(shù),為安全應用終端平臺和可信網(wǎng)絡(luò)域的建立提供了技術(shù)基礎(chǔ)。2相關(guān)工作2.1計算漏洞的可用技術(shù)可信計算2.2云計算的安全體系云計算技術(shù)因為云計算的流行而迅速發(fā)展,云存儲是數(shù)據(jù)存儲和業(yè)務(wù)訪問的平臺,所以它越來越被學術(shù)界、工業(yè)界所重視。云存儲的技術(shù)發(fā)展雖然非常迅速,但伴隨而來的安全隱患問題也越來越多,很多大型服務(wù)商已經(jīng)根據(jù)需要設(shè)計相應的安全存儲方案,但還是有很多大公司都發(fā)生用戶資料外泄,說明云存儲的安全問題依然非常值得人們好好研究。因此,根據(jù)云技術(shù)的技術(shù)和結(jié)構(gòu)特征,提出一套安全的數(shù)據(jù)安全與保密方案,有著不同尋常的意義。云計算之所以受到用戶大力的推崇,因為它具有性價比高、分布式應用、可靠性強、可擴展性好、靈活等特點。云計算的服務(wù)類型不同它的任務(wù)也就不盡相同,云計算的服務(wù)形式有:(1)平臺服務(wù)(PaaS):用戶需要的服務(wù)類型是按需提供的,PaaS主要功能是營造一個定制研發(fā)的中間平臺,創(chuàng)造一個良好的平臺環(huán)境。(2)軟件服務(wù)(SaaS):SaaS通過網(wǎng)絡(luò)將軟件提供給用戶,用戶也可根據(jù)自己的需求,向供應商定制自己的應用軟件,也可向供應商租用Web軟件。(3)基礎(chǔ)設(shè)施服務(wù)(IaaS):IaaS是利用自己的資源池為用戶提供所需求的資源和虛擬化的服務(wù),用戶只需要付費就可以使用供應商的硬件設(shè)施。(4)管理服務(wù)提供商(MSP):管理服務(wù)主要功能是用于管理桌面系統(tǒng),如病毒掃描,程序監(jiān)控等。3基于身份和屬性證書的遠程證明方案3.1基于身份和屬性證書的遠程證明模型包括四個主體:(1)CA:生成和撤消平臺的AIK證書并對證書進行發(fā)布的權(quán)威機構(gòu);(2)ACC:生成和撤銷屬性證書并對其發(fā)布的權(quán)威機構(gòu);(3)User:用戶平臺,包括用戶主機和TPM模塊;(4)Verfier:驗證者可以是云服務(wù)提供商,主要對用戶平臺進行驗證;(5)M:制造TPM的商家?；谏矸莺蛯傩宰C書的遠程證明模型如圖2所示:當用戶想要訪問云服務(wù)時,需先向驗證者進行遠程證明。用戶首先向CA發(fā)送身份證明請求,CA收到請求后,對其所在的平臺證書進行身份認證。如果認證通過,CA發(fā)送相應的身份證書給User;User再將身份證書發(fā)送給Verfier。然后,User向ACC申請屬性證書,讓Verfier對平臺的屬性證書進行簽名,認證和簽名之后,ACC將屬性證書發(fā)送給User,然后用戶再將屬性證書發(fā)送給Verfier進行屬性認證,Verfier通過策略判定,屬性證明成功,遠程證明完成?；谏矸莺蛯傩宰C書的遠程證明的流程圖,如圖3所示。3.2模型完成模型大致分為四個模塊:申請身份證書模塊、驗證身份證書模塊、申請屬性證書模塊、驗證屬性證書模塊。3.2.1系統(tǒng)的網(wǎng)絡(luò)發(fā)送(1)用戶平臺利用TPM模塊生成隨機數(shù);(2)TPM模塊再利用模塊采用的簽名方案對隨機數(shù)進行加密;(3)TPM將簽名結(jié)果發(fā)送給所在主機;(4)主機再通過網(wǎng)絡(luò)發(fā)送給權(quán)威機構(gòu)CA;(5)CA接收到簽名后,再生成一個隨機數(shù),并用公鑰進行加密并發(fā)送給主機;(6)主機接收到加密數(shù)據(jù)轉(zhuǎn)發(fā)給TPM;(7)TPM利用加密數(shù)據(jù)進行解密,并對期進行驗證,從而得到CA的認證證書。3.2.2云服務(wù)提供商驗證請求(1)用戶將接收到的認證證書發(fā)送給云服務(wù)提供商,請求云服務(wù)提供商驗證;(2)云服務(wù)提供商接受到請求后,提出驗證請求;(4)TPM生成隨機數(shù)并進行簽名,并將簽名結(jié)果發(fā)送給主機;(5)主機將簽名結(jié)果發(fā)給云服務(wù)商;(6)云服務(wù)提供商將接受到簽名結(jié)果進行驗證;3.2.3簽名結(jié)果的接收(1)用戶所在的TPM對平臺進行動態(tài)度量,得到度量值;(2)TPM利用私鑰對度量值進行簽名,并將加密后的簽名結(jié)果發(fā)送給主機;(3)主機再將接收到的簽名結(jié)果發(fā)送給ACC;(4)ACC收到簽名結(jié)果,并利用公鑰進行解密判斷是否有效;(5)ACC判斷結(jié)果有效,則會生成相應的屬性證書,并對證書進行加密,然后將結(jié)果發(fā)送給主機;3.2.4包稅系統(tǒng)tpm的發(fā)送(1)用戶需向Verfier提供屬性證書,主機生成數(shù)據(jù)包,并將數(shù)據(jù)包發(fā)送給TPM;(2)TPM對收到的數(shù)據(jù)包和屬性證書進行加密,并發(fā)送給主機;(3)主機收到加密數(shù)據(jù)發(fā)送給云服務(wù)提拱商;(4)云服務(wù)提供商收到屬性證書后進行驗證,如果驗證通過,完成遠程證明。4第三方權(quán)威機構(gòu)的身份認證和簽名在基于身份和屬性證書的遠程證明方案中,最終目的就是希望用戶的終端平臺安全可信,并且在認證過程中保證數(shù)據(jù)的機密性。在身份證書請求階段,CA收到的數(shù)據(jù)是經(jīng)過TPM私鑰進行加密的。然而第三方權(quán)威機構(gòu)CA,并不知道這些加過密的數(shù)據(jù)的用處。只是對這些數(shù)據(jù)認證和簽名。這些驗證工作TPM、主機和CA均利用零知識證明協(xié)議來認證和簽名,使主機有一個合法的簽名和身份的證明。零知識證明過程如圖4所示:5核心能力:tpm為了保證用戶終端平臺與云服務(wù)器之間認證訪問的安全性,提出基于可信計算技術(shù)身份和屬性的遠程證明的方案,該方案首先驗證主機平臺的身份,再驗證主機的屬性證書,進行可信技術(shù)的判定來確保用戶平臺的可信性和安全性,論文使用方案可以提高證明效率。提出的方案中平臺身份證書的建立和驗證是不可偽造性,