云计算安全防护若干理论与关键技术研究

密级:博士学位论文云计算安全防护若干理论与关键技术研究作者姓名：姜政伟指导教师:刘宝旭研究员中国科学院高能物理研究所计算中心学位类别:工学博士学科专业:计算机应用技术研究所:中国科学院高能物理研究所2014年4月ResearchonSeveralTheoryandKeyTechniquesforCloudComputingSecurityProtectionByJIANGZhengweiDirectedbyProfessorLIUBaoxuADissertationSubmittedtoUniversityofChineseAcademyofSciencesInpartialfulfillmentoftherequirementForthedegreeofDoctorofEngineeringInComputerApplicationTechnologyAttheInstituteofHighEnergyPhysicsChineseAcademyofSciencesBeijing,P.R.ChinaApr,2014研究生学位论文声明本人郑重声明：所呈交的学位论文，是本人在导师指导下独立进行研究工作所取得的成果，除文中已经注明引用的内容外，本学位论文的研究成果不包含任何他人享有著作权的内容。对本文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明。签名：_____________日期：_____________关于学位论文使用授权的说明本人完全了解中国科学院高能物理研究所“关于中国科学院高能物理所研究生论文及研究成果使用权的规定”（2001）高发研生字第315号文件，即：高能物理研究所拥有在著作权法规定范围内学位论文的使用权，其中包括：（1）已获学位的研究生必须按规定提交学位论文，高能物理研究所可以采用影印、缩印或其他复制手段保存研究生上交的学位论文；（2）为教学和科研目的，高能物理研究所可以将公开的学位论文作为资料在图书馆、资料室等场所供科研人员阅读，或在所内网站供科研人员浏览部分内容；（3）根据《中华人民共和国学位条例暂行实施办法》，向国家图书馆等相关部门报送可以公开的学位论文。签名：_____________日期：_____________i摘要具有诸多优点的云计算已经成为不可逆转的IT服务趋势，但在发展与应用中面临众多挑战。挑战之一是建立有效的云计算服务安全性的量化评估方法，另外是设计相应的访问控制模型，以满足云计算中的身份与访问控制管理的需求。本文在多个国家、部委级项目的支持下，对云计算安全防护过程中“事前安全评估，事中访问控制”的若干理论与关键技术进行了研究，主要完成了以下几方面的工作与创新成果：(1).提出了一套反映云计算特点的安全评估指标体系CSecSLA。该指标体系可作为云计算服务水平协议的补充，可用于云平台的安全性评价及安全防护体系建设的参考。(2).设计了结合CSecSLA与欧式距离的云平台静态安全评估模型。该模型对平台的服务可用性、安全性、合规性、兼容性、价格等进行综合对比；模型中的主客观综合集成赋权以及数据规范化处理的过程增强了多准则相比的可信度，能以较清晰的计算结果区分不同云平台对客户的适用程度，并能消除云供应商夸大自评数据的影响。(3).提出了基于Agent与云计算隐马尔可夫链的动态安全评估模型。该模型通过对云平台所有终端Agent采集数据的多轮处理，能进行实时的风险值与变化趋势的量化计算。有利于管理员对各节点安全性的横向对比及对整个云平台安全态势的直观把握，提升安全运维效率。(4).构建了一个面向云计算访问控制授权的动态决策模型DDAMC。该模型抽象地呈现了云计算服务流程的共性因素，体现了多方参与、开放性、动态弹性变化等特点，能进行持续的访问权限判决与检验，能对包括云服务在内的多种访问控制场景进行形式化表达。本文定义了访问控制模型的安全性，并提出了DDAMC安全性检测算法，解决了同类研究的不足。(5).将DDAMC理论模型与OpenNebula开源云框架相结合，进行了原型系统的实现。设计的原型系统体系架构与流程具有通用性，可在其它云平台中进行实现。功能及性能测试的结果表明了DDAMC模型的有效性，且该模型对原云平台的性能影响较小，具有实用意义。本文完成的工作可为我国云计算安全防护技术的研究提供借鉴和参考，在如何通过云计算安全评估与访问控制来提升云平台安全性方面做出一定的贡献。关键词：云计算，安全评估，指标体系，访问控制，动态决策iiiiiAbstractCloudcomputinghasbecomeanirreversibleITservicestrendforitsplentifuladvantages;nevertheless,therearemanychallengesinthedevelopmentandapplication.Onechallengeistobuildsecurityquantitativeassessmentmethodsforcloudservice,theotheristodesignthecorrespondingaccesscontrolmodel,soastomeettherequirementsoftheidentityandaccesscontrolmanagementincloudcomputing.Supportedbyafewnationalandministries’projects,thispaperstudiedseveraltheoryandkeytechniquesinthepriorphasewithsecurityassessmentandgoingonphasewithaccesscontrolforcloudcomputingsecurityprotection.Themainworkandinnovationsareasfollows:(1).PutforwardasecurityassessmentindexsystemcalledCSecSLAreflectingthecharacteristicsofcloudcomputing,theCSecSLAcanworkasthesupplementofthecloudcomputingservicelevelagreement,itisalsoausefulreferenceforthesecurityevaluationandsecurityprotectionsystemconstructionforcloudcomputing.(2).DesignedastaticsecurityassessmentmodelforcloudplatformbycombiningtheCSecSLAandEuclideandistance,whichcancarryoutasyntheticalcomparisoncoveringserviceavailability,security,compliance,compatibility,priceandsoon.Thesubjectiveandobjectiveintegratedweightingandthedatastandardizationprocessinginthismodelenhancethereliabilityofmultiplecriteriacomparisonaswellasdistinguishdifferentcloudplatforms’suitabilitytothecustomerwithrelativelyclearcalculationresults,itcanalsoeliminatetheexaggerationinfluencefromthesuppliers’self-reporteddatapartly.(3).RaisedadynamicsecurityassessmentmodelbasedonagentsandcloudorientedhiddenMarkovchain,itcancomputetheriskvalueandtrendsquantificationallyinreal-timeafteracoupleofprocessingofdatacollectedthroughallterminalagentsinthecloudenvironment.Itisbeneficialfortheadministratortocomparethenodes’securityhorizontallyandperceivetheentirecloudplatform’ssecuritysituationintuitively,whichenhancesthesecurityoperationalefficiency.(4).EstablishedadynamicdecisionmodelcalledDDAMCforcloudcomputingaccesscontrolauthorization,itcanpresentthecommonentitiesincloudcomputingserviceprocessabstractlyandexpressthefeaturesofcloudcomputing,suchasmulti-stakeholder,openness,ivdynamicelasticitychangeandsoon,itcanconductcontinuousaccesspermissionsjudgmentandinspectionaswellastheformalexpressionforseveralaccesscontrolscenarioincludingcloudservices.ThesecurityqualityofaccesscontrolmodelswasdefinedalongwiththeDDAMCsecuritydetectionalgorithm,whichsolvedthedeficiencyofthesimilarresearch.(5).TheprototypesystemwasimplementedbyintegratingtheDDAMCtheorymodelwiththeopen-sourcecloudframeworkOpenNebula.Thesuggestedprototypesystemarchitectureandtheworkflowareversatileinothercloudplatform.ThefunctionandperformancetestsshowedthattheDDAMCmodeliseffective,andtheperformancereducingontheoriginalcloudplatformcausedbyDDAMCissmallaswell,whichalsoindicateditspracticability.Theworkcompletedinthisdissertationcanbelessonsfortheresearchofcloudcomputingsecurityprotectiontechniquesinourcountry,anditwillmakeacertaincontributionincloudsecurityassessmentandaccesscontrolforthecloudplatformsecuritypromotion.Keywords:cloudcomputing,securityassessment,indexsystem,accesscontrol,dynamicdecision-makingv目录摘要...................................................

云计算安全防护若干理论与关键技术研究

免费阅读已结束，点击付费阅读剩下 ... 页

阅读已结束，您可以下载文档离线阅读

3yzex60xrhml智能电网-电力通信的机遇和挑战(孙毅)

广西壮族自治区药品网上集中采购卖方交易系统

工业品买卖合同范本规定

美国价值工程协会价值管理方法标准(英文pdf19页)

广州到锡林浩特专线物流

农村创业时代记一个返乡创业人的故事

《公安机关办理行政案件程序规定》新旧条文对照

上市公司对外担保业务内部控制体系的构建

第05章企业所得税税收筹划

外墙保温装饰一体板施工方案

相关文档

相关搜索