虚拟化安全服务机制研究

虚拟化技术为数据中心带来更高的灵活性和安全性。这些安全性若能得到充分利用,虚拟机需要提供网络和存储等安全服务,而这些安全服务必须确保所用的密钥基于可信计算根。提出了一种安全的密钥传递和管理机制,为虚拟机提供安全服务,并描述了一个与虚拟化系统底层的绑定密钥管理体系结构。     

基于Xen的虚拟化访问控制研究综述

虚拟化作为云计算的核心技术,在广泛应用与迅速发展的同时,其安全威胁也日益凸显,严重阻碍了虚拟化的发展,是亟待解决的重要问题。学术界提出各种解决方案,其中访问控制技术作为虚拟化安全的重要屏障,获得广泛关注和研究。首先回顾了访问控制技术的发展及其对比,其次分析了Xen虚拟化环境中的安全问题以及所采用的访问控制技术,最后对目前国内外虚拟化安全访问控制的研究进行了总结。     

基于虚拟化的服务备份技术

文章提出了一种基于虚拟化的服务备份技术,该技术能够以较低的成本投入实现在提供的服务崩溃时迅速恢复服务,提高用户对服务的满意度,同时,文章对就影响该技术实现效果的服务备份速度、服务恢复速度、负载均衡三个因素进行了研究,提出了解决方案。     

基于虚拟化架构的USB访问控制研究

虚拟化架构下的多个虚拟机共享同一个硬件平台,这会给USB外部设备的使用带来安全隐患。当虚拟机用户将USB存储设备连接到平台时,设备可能被没有使用权限的虚拟机访问,造成设备中重要隐私数据失泄密。本文基于虚拟化架构平台提出了一种USB设备安全访问机制,通过身份认证技术,阻止非授权虚拟机使用USB设备,保证USB设备中数据的机密性。     

基于完全虚拟化的安全监控技术探析

近几年来随着计算机虚拟化技术的迅速发展,基于完全虚拟化技术的安全监控应运而生,它不仅能确保监控工具的有效性、牢固性,而且监控技术易于实现.本文将从安全监控架构中内核、内核可加戢模块两个方面存在的问题对基于完全虚拟化的安全监控技术进行探析.     

基于Oracle数据库的作战数据虚拟化安全应用方法研究

随着作战数据库应用系统中大量重要、敏感数据的增长,数据库中数据的安全显得极为重要。本文尝试基于Oracle的数据库管理系统进行作战数据安全访问控制,重点介绍通过虚拟专用数据库(Virtual Private Database,VPD)实现多个相关数据库间共享表的安全,以达到"细"粒度访问控制。     

基于属性的Web服务安全访问控制方案

本文基于Web服务的典型应用的安全需求,将Web服务安全规范协同使用设计了基于属性的Web服务安全访问控制方案.将安全应用于SOAP消息,为Web服务安全提供整体的解决方案,既满足端到端的消息安全要求,又提供访问控制.方案充分考虑Web服务跨组织、动态交互的特点,使用SAML断言传递安全信息以实现信任传递,针对PKI部署复杂以及不同PKI解决方案之间难于互操作的缺点,使用XKMS服务提供PKI功能.     

虚拟化系统安全的研究与分析

虚拟化技术是目前云计算最为重要的支撑技术,云计算系统的运行需要在虚拟化环境中的存储、计算及网络安全等资源的支持。利用虚拟化技术可以提升系统组织能力、降低系统代价、提升硬件资源应用效率和利用率,而由于虚拟化技术本身引入的云计算系统安全问题也值得重视。文章从虚拟机访问控制、安全度量、动态监测等方面进行了系统的分析,以期提升云计算系统的安全水平。     

存储虚拟化安全防护技术研究

从资源隔离和访问控制、数据加密、入侵检测、自安全存储设备以及数据删除等方面描述了存储虚拟化中应用的各项安全防护机制.     

虚拟化环境中服务监控调度系统的设计与实现

针对虚拟化环境中因服务访问量的不同导致个别节点负载过大的现象,设计并实现了虚拟化环境中服务的监控调度系统,该系统主要包括对虚拟机的监控,对部署在虚拟机上的Web Services服务的监控以及对服务的迁移和调度。本文搭建了虚拟化实验环境并设计了整个系统的功能模块,实现了在个别虚拟机过载时,通过上报Web Services服务信息至调度中心,由调度中心决定服务迁移的目的节点,进行服务的迁移调度。     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

一种基于可信计算的分布式使用控制系统

随着互联网络等分布式环境的发展,如何控制已经分发的数据成为一个重要的安全问题.最近提出的使用控制概念和模型虽然适用于描述该类问题,但其实施机制研究仍处于起步阶段.文中给出一种基于可信计算技术的分布式使用控制系统,有效地支持和实现了使用控制模型的3个特点:丰富的策略决策因素、控制的持续性和主客体属性的变异性.实验证明该方案具有较高性能,是一种分布式计算环境下的行之有效的使用控制实施解决方案.     

一种基于安全优先架构的细粒度可信监测度量方法

Linux下的Rootkit通常使用修改系统内核关键位置数据的手段破坏系统内核完整性。可信计算是保护系统内核完整性的重要方法,可以使用它对Rootkit攻击进行监测。相较传统的被动可信计算体系,主动可信计算体系因其对上层应用透明、安全机制与计算功能充分隔离、可信根完全受硬件保护等特点,可以更有效地进行系统内核完整性保护。但目前的主动可信监测度量方法存在监测结果粒度较粗的问题,不能为防御者进行攻击对抗提供更详细的信息。针对这一问题,本文提出了一种基于安全优先架构的细粒度可信监测度量方法,安全域通过解析计算域内存语义信息,实现符号级别的细粒度可信度量,得到可用来对攻击进行分析的监测结果。实验表明,该方法可以在计算域受到Rootkit攻击时检测到全部被篡改的.text和.rodata段的符号,使用该方法得到的细粒度监测结果可以用来分析Rootkit的攻击手段和攻击目的,同时该方法对计算域的性能几乎没有影响。     

基于可信计算的带外网络存储虚拟化模型的实现

随着网络数据量的飞速发展,更多的企业开始着眼于利用虚拟化技术来降企业的存储成本,存储虚拟化技术正在被广泛应用,其中采用带外的网络存储虚拟化技术是今后的趋势。带外虚拟化与带内虚拟化相比具有性能高和扩展性好等优点,但是在安全性方面还有所欠缺,因为带外方式会在每台服务器上都安装虚拟化客户端软件,此时它就有可能受到攻击。在此,可信计算理论可以解决这一问题,通过结合可信理论,将设计出一种合理、安全的带外网络存储虚拟化的模型。     

面向客户端上下文隐私保护的可信分散式访问控制

隐私保护问题是当前访问控制研究领域的一个热点问题.为此提出一种可信分散式访问控制机制,以实现面向客户端上下文隐私保护的访问控制.可信分散式访问控制中包含了私有可信引用监视器和主引用监视器.私有可信引用监视器在安装了可信计算环境的客户端运行,用于评估客户端的访问控制请求,签署临时访问控制凭证;主引用监视器在服务端运行,用于评估临时访问控制凭证,决定客户端的访问是否被授权.由于具体的客户端上下文数据不会发送到服务器端,因此应用可信分散式访问控制,实现如简单位置相关的基于角色的访问控制,可以在客户端上下文相关的访问控制中很好地保护客户端的上下文数据隐私;此外,由于在该机制中客户端上下文是在客户端获取和处理的,因此可信分散式访问控制也可以减轻服务器端获取访问端的上下文的负担.安全性分析和性能实验表明,文中的访问控制机制可以有效地保护客户端上下文数据隐私.     

可信服务链安全架构研究

针对网络功能虚拟化中服务链的安全性问题,提出一种基于可信计算的安全服务链架构。首先,基于可信计算为网络功能虚拟化架构设置可信管理中心模块,为虚拟网络功能实例的生成、服务链的生成和调整提供可信认证;然后,针对服务链的生成和调整设计了相关安全协议;最后,将HOTP协议引入模型之中,实现了服务链各实例之间的安全认证与安全传输,并支持服务链节点的动态扩充和调整。经过架构仿真分析表明,本安全架构在保证服务链动态性的同时提高了安全性。     

可信安全虚拟机平台的研究

文章在对虚拟化技术的安全性以及现有虚拟化安全增强技术分析的基础上,基于可信计算技术提出了一种新的可信安全虚拟机平台架构TSVPA,并对其体系结构和安全机制进行了设计。     

基于网络编码的可信网络连接改进模型与协议设计

可信网络连接(TNC)模型用于保证网络接入的安全,随着TNC模型研究和应用的不断深入,TNC架构自身的安全性问题显得非常重要.本文首先对传统TNC的模型和工作流程进行分析,指出由于下层传输协议的安全措施缺失,传统TNC模型存在安全隐患.然后,针对该隐患,设计基于网络编码的可信网络连接模型(NCBTNC)和协议,在不降低...     

基于区块链的外包服务公平支付方案

随着外包计算服务的快速发展,云计算吸引了越来越多的个人和企业使用外包服务提供商的服务.而雾计算进一步将云计算扩展到网络边缘,在雾计算中,用户由于受计算资源的约束,所以将计算任务外包给雾节点.然而,用户和雾计算节点之间的相互不信任,将会导致公平支付的问题.现有的大多数解决方案采用的是传统的支付机制,需要依赖银行来实现支付.为了实现外包服务的公平支付问题,本文提出了基于区块链的外包服务公平支付方案,通过区块链智能合约支付报酬.同时本文提出的方案可以确保如果雾计算节点完成了计算任务,则用户必须支付报酬给雾计算节点.而如果雾计算节点没有完成计算任务,则用户可以获得赔偿.系统分析表明本方案实现了外包服务的正确性和公平性,并且其消耗在可接受范围内.     

基于状态保持的Web服务组合可信度度量方法

本文对Web服务的可信性问题进行了研究与分析。针对互联网上Web服务组合缺乏可信性验证方法的问题,提出一种基于状态保持的完整性测量方法。通过对完整性的测量与验证,使得可信性可以在平台及服务之间进行传递。首先讨论了在可信计算平台上原子服务可信性测量及验证方法,该方法可以将信任从平台扩展至服务,这是一种静态的测量方法。对于动态性较强的服务组合,在静态测量的基础上提出了基于状态保持的完整性测量方法。针对实际应用中服务组合环境不固定的状况,提出一种锁定服务提供者平台的方案,使服务提供者平台的状态得以保持,维持了服务的可信性。