云计算环境下存储安全与访问控制的研究.pptx

云计算环境下存储安全与访问控制的研究 Cloud computing environment storage security and access control 目录 CONTENTS PART ONE 研究背景 4 云计算是以网络服务和应用为中心的新兴服务计算模式，它通过管理、调度与整合分布在网络上的各种资源，以虚拟化的方式为用户提供可以缩减或扩展规模的计算资源。 面对不断变化的用户需求，在部署、管理和维护海量、异构的软硬件资源的基础上，提供安全、高质量的服务。 云计算 云服务提供商 公共云 公共云(public cloud)是基于标准云计算(cloud computing)的一个模式，在其中，服务供应商创造资源，如应用和存储，公众可以通过网络获取这些资源。 研究背景 5 2011 年11 月14 日,对云安全研究最为活跃的组织云安全联盟(cloud security alliance,简称CSA)[3]发布了最新版的云计算服务安全实践手册《云计算安全指南(v3.0)》,该指南总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系,确定了云计算安全的14 个焦点领域,对每个领域给出了具体建议,分别是云计算体系结构、政府和企业风险管理、法律问题、合规和审计、信息管理与数据安全、互操作性与可移植性、传统安全影响(业务连续性、灾难恢复)、数据中心运行、事故响应、应用安全、加密和密钥管理、身份授权与访问控制、虚拟化、安全即服务(SecaaS)等. 研究背景 6 云计算是以网当前,云安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素,各大云服务提供商的安全问题屡见不鲜:2009 年3 月,Google 发生大批用户文件外泄事件;2010 年底,微软Hotmail 出现了数据丢失现象,导致数万个邮箱账户被清空;2011 年3 月,谷歌邮箱再次爆发大规模的用户数据泄漏事件,大约有15 万Gmail用户发现自己的所有邮件和聊天记录被删除;2012 年,亚马逊北弗吉尼亚数据中心服务多次(4 月、6 月、10 月、12 月)宕机,导致托管的大量网站无法访问,相关企业营业收入受到很大的影响;2013 年2 月,微软云服务两次大规模中断,包括Windows Azure 云存储在内的很多服务都发生了故障,时间长达10 多个小时;2014 年9 月,詹妮弗·劳伦斯等好莱坞明星裸照泄露于网上,经证实,是黑客攻击了多个iCloud 账号所致;再加上上半年曝光的ios后门事件,让苹果云安全再次受到质疑.因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的各种安全问题.从重大安全事件可以看出:数据安全是云安全的核心,对数据资源的访问控制成为云安全问题的重中之重.络服务和应用为中心的新兴服务计算模式，它通过管理、调度与整合分布在网络上的各种资源，以虚拟化的方式为用户提供可以缩减或扩展规模的计算资源。 研究背景 7 云储技术是云计算领域的重要研究方向，由于存在隐私泄漏和安全问题，公共云存储服务在持有核心数据的组织(如创新型企业、军队)中往往难以得到广泛应用。 面临问题1 面临问题2 从数据的访问控制来讲，云对外部其实是不透明的。当计算服务是由一系列的服务商来提供（即计算服务可能被依次外包）时,每家服务商使用的技术其实是不可控的, 甚至有可能某家服务商会以用户未知的方式越权访问用户数据。 面临问题3 数据共享安全和访问控制在云计算的相关研究工作中是最具挑战的 2 个方面，这是因为用户将其敏感数据外包给了云服务提供商，现存的解决方案主要采用了单纯的加密技术来解决这些安全和访问控制问题，这样的方案对于数据拥有者来说必须承受巨大计算开销而对于云服务提供商来说密钥的分发和管理也面临着巨大的资源消耗。 PART TWO 基本概念 9 云计算环境下访问控制体系框架 基本概念 10 访问控制技术发展 基本概念 11 CP-ABE技术 密文策略属性基加密系统 Ciphertext‐Policy Attribute Based Encryption 密文关联着存取结构，适合于用户静态的场景。 所谓密文策略加密系统是指，密文对应于一个访问结构而密钥对应于一个属性集合，解密当且仅当属性集合中的属性能够满足此访问结构。 KP-ABE技术 密钥策略属性基加密系统 Key‐Policy Attribute‐Based Encryption 密钥关联着存取结构，适合于数据静态的场景。 当且仅当与密钥相关联的属性集满足相应的存取结构时，密钥才可以解密密文． ABE 属性基加密系统 Attribute-Based Encryption 以属性为公钥,将密文和用户私钥与属性关联,能够灵活地表示