5桂小林-云计算系统中的安全问题.ppt

桂小林,1,云计算系统中的安全问题,桂小林 西安交通大学计算机科学与技术系 陕西省计算机网络重点实验室 2011.11.22,桂小林,2,主要内容,2,云计算面临的安全挑战,云计算的安全体系与关键技术,云计算安全实验平台,进一步的研究工作建议,云计算的特征与与安全挑战,桂小林,3,云计算的特征-1/2,单租户 到 多租户 数据和服务外包,桂小林,4,云计算的特征-2/2,计算和服务虚拟化 大规模数据并行处理,云计算资源池,存储能力,监控管理,计算能力,桂小林,5,桂小林,6,云计算面临的安全挑战-1/4,云计算特有的数据和服务外包、虚拟化、多租户和跨域共享等特点,带来了前所未有的安全挑战。云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务。但在已经实现的云计算服务中，安全问题一直令人担忧。安全和隐私问题已经成为阻碍云计算普及和推广主要因素之一。 2011年1月21日，来自研究公司ITGI的消息称，考虑到自身数据的安全性，很多公司正在控制云计算方面的投资。在参与调查的21家公司的834名首席执行官中，有半数的官员称，出于安全方面的考虑，他们正在延缓云的部署，并且有三分之一的用户正在等待。 由于云计算环境下的数据对网络和服务器的依赖，隐私问题尤其是服务器端隐私的问题比网络环境下更加突出。客户对云计算的安全性和隐私保密性存在质疑，企业数据无法安全方便的转移到云计算环境等一系列问题，导致云计算的普及难以实现。,桂小林,7,云计算面临的安全挑战-2/4,桂小林,8,云计算面临的安全挑战-3/4,实际上，对于云计算的安全保护，通过单一的手段是远远不够的，需要有一个完备的体系，涉及多个层面，需要从法律、技术、监管三个层面进行。 传统安全技术，如加密机制、安全认证机制、访问控制策略通过集成创新，可以为隐私安全提供一定支撑，但不能完全解决云计算的隐私安全问题。 需要进一步研究多层次的隐私安全体系（模型）、全同态加密算法、动态服务授权协议、虚拟机隔离与病毒防护策略等，为云计算隐私保护提供全方位的技术支持。,桂小林,9,云计算面临的安全挑战-4/4,由此可见，云计算环境的隐私安全、内容安全是云计算研究的关键问题之一，它为个人和企业放心地使用云计算服务提供了保证，从而可促进云计算持续、深入的发展。,Trust & Security,桂小林,10,主要内容,10,云计算面临的安全挑战,云计算的安全体系与关键技术,云计算安全实验平台,进一步的研究工作建议,云计算的特征与与安全挑战,桂小林,11,云计算的安全体系-1/1,图1A 云计算系统的体系框架 图1B 云计算安全架构,桂小林,12,云计算安全技术-动态服务授权与控制-1/2,桂小林,13,云计算安全技术-动态服务授权与控制-2/2,桂小林,14,云计算安全技术-数据隐私保护-1/4,桂小林,15,云计算安全技术-数据隐私保护-2/4,(1) 加密字符串的精确检索 基于离散对数的密文检索技术 基于Bilinear Map的密文检索技术 (2) 加密字符串的模糊检索 基于BloomFilter的密文检索技术 基于矩阵和向量变换的密文检索技术 (3) 加密数值数据的算术运算 基于矩阵和向量变换的密文计算技术 含加/减/乘/除运算 (4) 加密数值数据的排序运算,桂小林,16,云计算安全技术-数据隐私保护-3/4,桂小林,17,桂小林,18,云计算安全技术-数据隐私保护-4/4,桂小林,19,云计算安全技术-虚拟机安全-1/3,(1) 多虚拟机环境下基于Cache的侧通道攻击的实现 (2) 基于行为监控的侧通道攻击识别方法 (3) 基于VMM的共享物理资源隔离算法的研究 (4) 侧通道信息模糊化算法的研究与实现,桂小林,20,云计算安全技术-虚拟机安全-2/3,通过在物理机、虚拟机和虚拟机管理程序三个方面增加功能模块来加强虚拟机的安全， 包括云存储数据隔离加固技术和虚拟机隔离加固技术等。,桂小林,21,云计算安全技术-虚拟机安全-3/3,桂小林,22,设计适合虚拟环境的软件防火墙 选择NAT技术作为虚拟机的接入广域网(WAN)技术。 每个虚拟机在宿主机上都有其对应的一个虚拟网卡，所有的虚拟机网卡通过NAT技术连接在一起， 选择宿主机的虚拟网卡与虚拟机的网卡(eth0)连接的主干道路作为关键路径，并在该路径上布置防火墙,在虚拟机上部署一个精灵程序，用于监控虚拟机的文件系统, 拦截恶意数据与程序,桂小林,23,云计算安全技术-法律法规-1/1,云计算应用模式下的互联网安全的法律与法规问题。 云计算平台的安全风险评估与监管问题。 西安交通大学法学院成立了云计算安全法律研究中心。,桂小林,24,主要内容,24,云计算面临的安全挑战,云计算的安全体系与关键技术,云计算安全实验平台,进一步的研究工作建议,云计算的特征与与安全挑战,桂小林,25,西安交通大学青云计算平台,(1)基于本体论的多决策因子动态信任关系量化模型; (2)基于机器学习的、具有可扩展性的动态信任评估与演化模型;,(1)支持用户使用各种加密算法； (2)加密算法具有不确定性； (3)支持模糊检索。,虚拟机通过读取内存的时间来反映物理CPU Cache的变化情况，从而间接反映CPU的负载。,(1)采用两层AHP层次分析法定义各种行为的权值。 (2)能防御DOS攻击和僵尸网络的攻击。,桂小林,26,虚拟环境的部署； 隐私防护体系的部署； 云终端的隐私保护软件； 测试与验证指标的筛选与确定； 实验结果的风险和反馈等。,青云实验平台v3.0演示视频,桂小林,27,主要内容,27,云计算面临的安全挑战,云计算的安全体系与关键技术,云计算安全实验平台,进一步的研究工作建议,云计算的特征与与安全挑战,桂小林,28,进一步的研究工作,（1）三防系统在虚拟机中有效运用 （2）移动互联网终端安全 （3）轻量级数据保序加密与快速检索 （4）虚拟化软件安全漏洞监测与保护 （5）物理虚拟化带来的安全问题,桂小林,29,谢谢大家!,