可信控制九篇

可信控制 篇1

关键词：可信计算,信息安全,访问控制,组织结构,TORBAC

1 可信计算

1.1 可信计算的定义和基本思想

1.1.1 可信计算的定义

对于可信计算并没有统一的定义。ISO/IEC15408标准定义为:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的, 并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏。它强调行为的可预测性, 能抵抗各种破坏, 达到预期的目标。

1.1.2 可信计算的基本思想

可信计算的基本思想是在计算机系统中建立一个信任根, 再建立一条信任链, 一级测量认证一级, 一级信任一级, 把信任关系扩大到整个计算机系统, 从而确保计算机系统的可信。其中一个可信计算机系统由可信硬件平台、可信操作系统和可信应用组成。如图1所示:

1.2 可信计算技术

1.2.1 可信平台的信任根

TCG (trusted computing group) 是一个国际性的可信计算平台联盟。在其规范中, 可信计算平台的信任根由3个根组成, 它们是可信度量根、可信存储根和可信报告根。可信度量根是平台开机后要首先执行的一段程序, 不可绕过、不可篡改。在可信度量过程中要对度量的结果数据进行记录存储, 以便以后应用。这个存储实体就是可信存储根。可信计算平台应当对授权访问的实体提供平台的可信状态报告。提供平台的可信状态报告的实体就是可信报告根。可信存储根和可信报告根由可信平台模块TPM充当。

1.2.2 TCG密钥管理

每个TPM对外都通过一对公私钥AIK (attestation identity key) 标识自己的身份, TPM通过AIK私钥对信息签名, 证明其来源。除了证明身份的密钥之外, TPM还可以生成和保存数据加密密钥。在TPM的硬件支持基础上, TCG软件栈 (TCG software stack, TSS) 维护一个层次化的密钥结构, 对系统和用户密钥进行有效安全管理, 并为上层应用和TPM芯片之间提供一个有用接口。在该层次化的密钥结构中, 有一个被称之为SRK (storage root key) 的根密钥, 该密钥是在系统确定或更换拥有者时由TPM产生。TCG对密钥的管理和保护方式是采用一种层次化的树形结构, 其中SRK以外的每个密钥都由其父密钥加密保护, 如图2所示:

TCG强调并从技术上支持系统拥有者和使用者角色的分离。TPM中的一些组织资源、对象和功能只能被系统拥有者访问和操作;一般使用者只能访问属于自己的对象资源。

2 传统的ORBAC模型

2.1 ORBAC模型

ORBAC模型中组织结构与角色配合使用, 大大简化系统管理员的工作复杂程度。ORBAC包含了RBAC的全部内容:核心、层次关系、责任分离。除此之外, 还加入了组织结构的层次关系, 以及组织结构与RBAC模型中各部分内容的关系。

与角色层次的关系的相同之处在于, 组织机构层次也是一个数学意义上的偏序关系, 它定义了组织结构间的等级关系, 级别高的组织可获得下级组织的权限。角色层次的关系的区别在于它是从组织的角度控制用户的访问权限。ORBAC模型如图3所示:

模型中各部分的含义在下面各定义中分别说明。引入组织结构后, 原来的RBAC模型的形式化定义中, 要增加组织结构层次的定义, 并且除受限的层次关系定义2b保持不变外, 其它定义都要进行相应改变。

2.2 ORBAC模型存在的问题

ORBAC是目前在组织结构方面得到广泛关注和大量应用的访问控制模型, 许多应用系统的权限设计都受到了它的影响。但在某些场合下, 应用起来不方便。下面将结合本文研究主题来谈一个应用ORBAC时遇到的问题。

在传统的非可信计算环境下的访问控制中, ORBAC模型只能利用设置用户的权限来实现访问控制的安全性和保密性, 然而对于来自于内部的安全威胁, 这种访问控制技术很难发挥其功效。因为这种技术只是从用户的非法操作和越权操作来进行控制, 但是内部人员可能有合法的、不受限制的访问权限, 甚至系统审计无法对这类活动进行追踪。

上述这个问题是基于可信计算技术的, 由此我们可以产生这样的设想如何将可信计算技术与传统的ORBAC访问控制结合起来, 来减少ORBAC访问控制的安全性、可靠性和保密性。针对此问题, 提出的改进的模型—TORBAC模型。其中提到的可信计算平台的信任根和信任链技术, 是基于这样的考虑:若部门希望企业中的每个员工都有权访问某个权限, 则可将这个权限授给每个员工。这时企业中的所有子部门都会继承这个权限。但是在进入的时候必须通过身份验证。可信平台开机后要首先执行的一段程序, 不可绕过、篡改。在可信度量过程中要对度量的结果数据进行记录存储。利用可信计算会进一步简化降低系统安全性和可靠性, 与目前的组织机构情况是一致的。

3 可信ORBAC模型

3.1 TORBAC (Trusted Organized RBAC) 模型

基于以上的原理分析, 我们给出改进后的访问控制模型, 如图4所示:

其中上述模型 (可信计算机终端平台可以使不同的, 不是唯一的) 各个组成部分的表示方法如下所示:用户就是在访问控制各组织的各个成员;可信计算机终端平台是用户对组织模型进行访问控制的可信平台;KMC是系统内部的可信实体, 它负责产生并向各可信计算终端平台分发密钥加密密钥 (wrapping key, WK) ;ROLES、ORGS、OPS、OBS、SSD、DSD分别代表角色集、组织结构集、操作集、资源对象集、静态责任分离、静态责任分离。UAR USERS×ROLES:用户集到角色集的分配关系的多对多映射。UAO USERS×RGS:用户集到组织结构集的分配关系的多对多映射。UA UAR∧UA:UAR与UAO的交集。RH ROLES ROLES:角色层次关系;OH ORGS ORGS:组织结构层次关;SESSIONS:会话集;User_sessions:用户会话集;Session_roles会话角色集。

3.2 TORBAC模型的工作流程

3.2.1 模型工作原理

当用户访问组织模型时, 首先从可信计算终端访问组织资源, 通过可信计算平台信任链机制验证后, 再通过系统的访问权限验证来访问组织资源, 这样达到了双重验证的效果。当从终端平台通过移动介质等读入信息时, 终端平台自动根据文件附加加密信息和解密信息。TORBAC的关键是在TPM的硬件保护和可信计算信任跟的支持下, 访问控制组织资源对用户是开放的, 并且在系统范围之外不可能获得这些组织资源。

3.2.2 基于模型的访问控制算法

基于模型访问控制算法: (1) 根据当前所请求的资源, 找出对应的角色集和部门集; (2) 检查当前用户是否在上一步中找出的角色集和部门集中; (3) 若当前用户在这个集合中, 进行下一步的检查;否则拒绝当前用户对当前所请求资源的访问; (4) 对于设置为动态冲突的系统, 检查角色冲突和部门冲突情况; (5) 若有角色冲突, 确定当前用户的当前角色。否则进行下一步; (6) 若有部门冲突, 确定当前用户的当前部门。否则进行下一步; (7) 若当前角色与当前部门仍然有冲突, 按系统规定的优先级确定当前用户是否有当前所请求资源的使用权限;否则进行下一步; (8) 若当前用户具有当前所请求资源的使用权限, 进行下一步的检查;否则拒绝访问; (9) 检查当前用户是否有使用当前所请求的使用该资源的方式; (10) 若有权按所请求方式使用该资源, 则执行 (11) 访问操作, 否则拒绝访问; (11) KMC自动从本平台中选择密钥对可信终端组织资源加密, 访问结束。

4 TORBAC模型的可行性和优越性分析

4.1 可行性分析

根据对改进模型的研究, 可知在TORBAC模型中凡是组织资源都受到收到双重保护, 首先通过可信计算机系统的可信根 (TPM) 机制。完成可信度量的存储、可信度量的报告、密钥产生、加密、数据安全存储等功能。由于TPM的保护能力, 任何人都不可能从用户终端平台获得相关的密钥加密密钥, 因此, 只要KMC保护好其密钥加密密钥, 其次, 基于组织和角色两个角度的访问控制技术对系统访问进行权限验证和身份验证。这样就使是模型的安全性、可行性得以实现。

4.2 优越性分析

(1) 防止内部人员对组织内部资料泄露。确保组织资源的保密性和安全性。

(2) 安全事件追踪。从任何一个可信终端平台访问的组织资源都会以该平台的AIK签名, 一个作用是保证信息的完整性, 其次通过该签名就可以很容易追踪出信息具体是从哪个平台泄露组织资源的, 更好的防止内部人员泄露系统内部宝贵资源, 进而体现了TORBAC模型的安全性。

(3) 应用模式不变。在可信计算环境下修改得到的TOR-BAC模型仅在传统的访问控制模型中加入了可信计算机技术;从应用和使用人员角度看, 对组织资源的访问控制仅在可信终端进行, 还有组织资源的加解密只在访问者对其在系统范围的过程中自动完成, 它在系统范围内部的存储、处理以及表现形式都保持已有模式不变。

5 TORBAC模型的应用

本节通过一个实例来说明模型应用。例:一个全国性的商业组织的组织结构, 该组织在每个主要城市都有其分支结构, 每个分支结构的组成和管理的信息资源类型都是相同的。如图5所示:

怎样有效的防止公司内部人员向外泄露内部资源, 这样就弥补了传统的访问控制的缺憾?如图6所示:

解决方案:各分公司的成员从相应的计算终端平台访问组织系统资源;公司成员用相应的身份访问组织资源;执行上文中3.2.2中的算法, 访问流程见下图 (图中其他用户和上海用户的访问方案一致, 图6中只给出来一个用户访问的情况) 。

6 结束语

TORBAC是对ORBAC的扩展, 它通过将可信计算技术融入传统的ORBAC模型中, 这样就有效地防止组织内部人员泄露内部资源, 从而提高了组织内部资源的安全性, 减少了系统管理员的设置和维护权限的工作量。而简化TORBAC模型的复杂性将作为下一步研究的重点。

参考文献

[1]李晓勇, 左晓栋, 沈昌祥.可信计算环境下敏感信息流的安全控制[J].计算机工程与设计, 2007 (15) .

[2]李帆, 郑纬民.基于角色与组织的访问控制模型[J].计算机工程与设计, 2005 (8) .

[3]徐震, 冯登国.一种使用组织结构的访问控制方法[J].计算机工程, 2006 (13) .

[4]马新强, 黄羿, 李丹宁.可信计算发展研究[J].计算机应用, 2009 (4) .

[5]TCG.TCGsoftware stack (TSS) specification, version1.10Golden[S].2003-08-20.https://www.trustedcomputinggroup.org.

[6]F.CUPPENS, P.BALBIANI, S.BENFERHAT, Y.DESWARTE, A.ABOU EL KALAM, R.ELBAIDA, A.MIGE, C.SAUREL, AND G.TROUESSIN.Organization Based Access Control.In Proceedings of IEEE4th Inter-national Workshop on Policies for Distributed Systems and Networks (POLICY2003) , Lake Come, Italy, June2003.

[7]F.CUPPENS AND A.MIGE.Modelling Contexts in the Or-BAC Model.In Proceedings of19th Applied Computer Security Associ-ates Conference (ACSAC2003) , as Vegas, Nevada, December2003.

[8]R.SANDHU AND Q.MUNAWER.How to do discretionary access control using roles[C].In:Proc.the Third ACM Workshop on Role Based Access Control.Barkley:ACM Press, 1998.

可信控制 篇2

可信软件研究已经进行了很多年[1], 成果颇多, 但是大部分文章的研究内容是怎样保证软件自身行为的可信, 即保证软件自身不出现错误, 保证软件自身在被攻击时或被误操作时依然能提供可靠的服务。而由于操作软件的主要是用户, 攻击或破坏软件的也是用户, 所以为了给用户提供可信的软件服务, 防止用户不可信的行为对软件造成破坏, 研究用户的行为就显得非常重要。目前对行为可信的研究主要有以下几个方面。

基于信任链的可信软件设计方法对信任链进行了扩充, 提出了由可信引擎驱动的信任链模型[2], 在系统运行时, 这种模型可以对系统进行动态的可信性检测。借用这个模型提出了可信软件设计方法及软件可信性评价方法。但是这种方法只考虑到软件自身可信性, 没有考虑用户行为的可信性。因为即使软件可信, 由于用户行为不可信, 用户能通过一些不正常的操作获取系统的保密信息;而且用户还可以恶意增加系统的访问量, 使系统因承载不了太大的负荷而崩溃, 因此用户行为可信对整个软件系统的可信是非常重要的。

可信网络中用户行为可信评价的研究[3]主要是从用户可信方面解决整个网络的可信问题, 研究内容是用户行为可信。这种方法只考虑到用户行为的可信性, 没有考虑到软件自身的可信性。针对以上对可信软件设计方面的分析, 本文提出了基于用户行为可信的可信软件设计方法。

1 基于用户行为可信的可信软件设计方法

笔者认为用户行为可信[4]主要是指在软件系统中用户的身份是真实的, 用户的行为是规范的, 在用户权限范围之内的, 不是他人冒充的, 不是恶意攻击的, 不是盗取系统重要信息的。

用户行为可信是软件系统可信的重要组成部分。基于用户行为可信的可信软件设计思路是:在保证用户行为可信的基础上设计可信软件。如图1所示, 要使用户行为可信, 首先要保证用户身份可信, 所以需要进行用户身份可信设计, 在此基础上进行用户行为可信设计, 具体包括用户行为可信评价的设计和用户行为监控的设计。用户行为可信评价可以评价用户行为是否可信, 为用户行为监控提供评价结果。用户行为监控分为用户行为跟踪和用户行为控制。其中用户行为跟踪是为了给用户行为可信评价提供数据支持, 同时为用户身份可信验证提供数据;用户行为控制是根据用户行为可信评价结果对用户行为进行控制, 保证用户可信行为通过, 防止用户不可信行为通过。

综上所述, 本文中基于用户行为可信的可信软件设计内容包括: (1) 用户身份可信设计; (2) 用户行为评价设计; (3) 用户行为监控设计。

这是一套动态控制 (用户行为可信) 与静态控制 (用户身份可信) 相结合的双重控制方法, 可以有效提高用户行为的可信性。同时, 这种设计方法屏蔽了很多来自用户行为对软件的攻击和破坏, 从而有效提高了软件的可信性。

1.1 用户身份可信设计

用户身份可信主要是指在软件系统中用户的身份确定是真实的, 不被他人冒充。

用户身份可信是用户行为可信[5]的前提, 也是用户可信的基础。运用传统的安全技术, 通过一些验证方法就能保证用户身份的可信。但是总体上用户身份的级别要与用户身份的可信级别相一致, 而且要与用户的安全级别和验证的复杂度相一致。比如用户身份级别很高, 那么用户身份的可信级别也很高, 用户的安全级别和验证的复杂度就高。现有的关于用户身份的安全技术和验证方法有: (1) 静态密码; (2) 动态口令; (3) 智能卡 (IC卡) ; (4) USB Key; (5) 生物识别技术。在实际应用中, 为了提高用户身份的可信性, 可以将不同的验证方式进行组合使用。在本文设计软件时, 为了使用户身份可信, 我们使用的方式是动态口令牌加静态密码方式。

1.2 用户行为可信设计

用户行为声明就是软件系统对用户的预期行为。可信是指软件的行为与预期行为一致。只有有了预期行为, 才能检验软件行为与预期是否一致, 才能判断软件是否可信。同理, 用户行为声明是对用户行为的预期。有了用户行为声明, 相当于有了用户行为预期, 然后才能检验用户的真实行为与用户的预期行为是否一致, 从而判断用户行为是否可信。

用户行为声明[6]内容一般包括: (1) 用户角色与权限; (2) 系统对用户约定的操作步骤和操作规范; (3) 用户的常用功能和操作习惯。操作习惯包括用户IP、访问频率、访问速度和访问数据量的大小。

1.2.1 用户行为可信评价设计

用户行为可信评价流程如图2所示。

用户行为轨迹就是用户的一组有序操作。在本文中, 笔者认为用户历史行为轨迹的规律就是系统给用户约定的操作步骤, 用户一般会操作到第几步。

在此追加特别重要的一项:用户行为轨迹。对于系统约定的操作步骤, 要求记录用户一般会操作到第几步, 这是对用户的历史行为做的基本统计。例如用户登录之后, 会查看用户基本信息, 然后查看用户详细信息, 但是有些用户可能只查到基本信息就结束了。统计出用户的行为轨迹规律后, 以此来判断此用户是否可信。

用户行为可信性评价流程分为3步: (1) 用户身份可信验证; (2) 用户行为可信验证; (3) 二次用户行为可信验证。

通过用户行为声明中的内容判断用户行为是否可信, 如果可信, 则用户行为通过;如果不可信, 则让用户进行二次验证。

在用户行为轻微不可信时, 让用户重新输入静态密码和动态口令, 若用户行为较不可信, 则要让用户回答与用户行为特征相关的3个问题, 如果用户输入正确, 则认为用户行为可信, 这时可更改用户行为声明的相关内容, 用以适应用户的使用习惯;如果用户输入不正确, 则认为用户行为不可信。

1.2.2 用户行为监控设计

如图3所示, 首先进行用户行为跟踪, 为用户行为可信评价模块提供数据支持, 然后根据用户行为可信评价的结果对用户行为进行控制。

(1) 用户行为跟踪的设计。用户行为跟踪的目的是为了向用户行为评价模型中传值, 从而评价用户行为的可信性。用户行为跟踪的方法是记录用户的每一次操作行为。在这里会用到监听器技术、拦截器技术和面向切面编程技术。

客户端监听器技术:主要是监听用户的鼠标、键盘事件。当用户点击鼠标或者敲击键盘时, 设置相应的鼠标监听事件即可捕获用户的行为。

服务器端拦截技术:主要是拦截用户每次访问系统的路径。由于一个路径代表用户的一次系统访问行为, 这样就记录下了用户所有的访问行为。

服务器端面向切面编程技术:此技术可以在系统的任何一个地方插入可执行的代码, 而且对于具有简单逻辑的功能使用起来非常方便, 所以将此技术拦截的用户数据提交给服务器。

在设计软件时, 可以单独设置一个模块用于拦截用户所有的操作行为, 并且记录下来, 然后传递给用户行为评价模型。对于这个模块可以采用监听器技术、拦截器技术和面向切面编程技术。对于用户的非访问系统行为, 如鼠标点击次数, 在客户端采用监听器技术;对于用户访问系统的行为, 在服务器端采用拦截器技术;对于用户的操作行为, 如输入框填写规则 (字符串过长、过短、格式或者包含了特殊字符) 和必填项是否填写完整等, 采用面向切面编程技术。

(2) 用户行为控制设计。如果用户身份可信, 则允许用户继续访问系统, 否则, 禁止用户继续访问系统。

如果用户权限和角色可信, 则允许用户继续访问系统, 否则, 让用户进行二次行为验证, 如果验证通过, 则允许用户继续访问系统, 否则禁止用户继续访问系统, 用户操作步骤也是如此。

如果用户每秒访问频率超过10次, 或每分钟读取文字的数据量超过3M, 则认为用户行为不可信, 让用户进行二次行为验证。如果验证通过, 则允许用户继续访问系统, 否则禁止用户继续访问系统。

其它指标作为综合指标分别赋予权重, 根据用户真实的行为轨迹计算各个指标的权值, 然后得出用户行为的综合可信值, 如果比用户设定的阈值大, 则认为用户行为可信, 否者认为用户行为不可信, 让用户进行二次行为验证。如果验证通过, 则允许用户继续访问系统, 否则禁止用户继续访问系统。

在具体的控制时, 我们设置单独的登陆模块用于用户身份验证。使用用户权限代理模块, 根据用户权限控制用户行为, 用可信评价模块根据用户行为可信性评价结果控制用户行为。

2 结语

本文从用户行为的可信性入手, 通过防止不可信用户行为, 避免其对软件的攻击和破坏。本文提出的基于用户行为可信的可信软件设计方法, 可以有效增强软件的可信性。

摘要：目前可信软件的研究内容主要是保证软件自身的可信, 即保证软件自身在被攻击时依然能提供可靠的服务。由于操作软件的是用户, 攻击或破坏软件的也是用户, 所以研究用户的行为就显得非常重要。对用户行为可信及软件可信进行了研究, 提出了在软件开发过程中, 尤其是在软件设计过程中如何关注用户行为的方法, 以增强软件的可信性。提出的基于用户行为可信的可信软件设计方法, 可以有效增强软件的可信性。

关键词：用户行为可信,软件可信,可信软件设计

参考文献

[1]沈昌祥, 张焕国, 王怀民, 等.可信计算的研究与发展[J].中国科学:信息科学, 2010, 40 (2) :139-166.

[2]TRUSTED COMPUTING GROUP.TCG specification architecture overview[EB/OL].2007-08-02.http://www.trustedcomputinggroup.org/files/resource_files/AC652DE1-1D09-3519-ADA026A0C05CFAC2/TCG_1_4_Architecture_Overview.pdf

[3]蒋泽.可信网络中用户行为可信评价的研究[J].重庆大学学报, 2011 (6) .

[4]林闯, 田立勤.可信网络中用户行为可信评价的研究[J].计算机研究与发展, 2008 (12) .

[5]TRUSTED COMPUTING GROUP.TCG Architecture overview specifi-cation revision 1.2[EB/OL].2009-03-08.http://www.trustedcomputinggroup.org.

一种可信身份验证技术 篇3

门禁控制系统正在摆脱传统卡片和读卡器的限制, 迈入可配置凭证卡、非接触式技术的全新领域。在新领域中, 手机及其他设备可携带通过空中下载或互联网接收的“数字密钥”。随着人们移动性的与日俱增, 对身份验证的安全性及可靠性的新需求应运而生, 推动虚拟身份验证取代密钥卡门禁。为了应付无间断连接及完全分布式智能设备的爆炸式增长所带来的挑战, 有必要制定一种基础架构方案来支持不断演变的门禁控制系统应用, 并推动所有相关的新产品开发工作。近距离无线通信 (Near Field Communications, 以下简称NFC) 是有望实现上述目标的技术, 但要确保其安全性, 业界就必须建立一种基于综合监管链的身份验证方法——通过这种方法, 系统或网络中的所有端点都能够得以验证, 从而让各端点之间的身份验证信息在任何时候都能够可靠传输。接下来, 本文将以HID Global最近开发的Trusted Identity Platform (以下简称TIP) 为例对此加以介绍。

2 系统简介

TIP是一种安全可信的网络, 可提供身份验证传输框架, 实现安全产品和服务的交付。它是一种用于创建、交付和管理安全身份验证的综合性框架。简单来说, 该基础架构是一个中央安全库, 通过安全的网络连接, 并以公开的加密密钥管理安全政策为依据, 为已知端点 (如凭证卡、读卡器和打印机) 服务交付。HID Global将其称为“受规限”系统——连接到该系统的所有设备都是已知的, 因而能够可靠安全地交换信息。TIP架构具有充分的可扩展性, 其传输协议和加密模式符合各种标准, 可支持多种应用。TIP系统还可以实现虚拟化及云端基础模式, 因而能够在不影响安全性的情况下通过互联网提供服务交付。

TIP提供一种受保护的身份验证传输网络, 可对网络中的所有端点或节点进行验证, 因而各节点之间的信息传输都是可信的。

TIP模型 (如图1所示) 包含三个核心要素, 即安全库 (Secure Vault) 、安全通信 (Secure Messaging) 方法、密钥管理策略和规范 (Key Management Policy and Practices) 。安全库为已知且可信的端点提供加密密钥安全存储功能, 安全通信方法即使用符合行业标准的对称密钥方法将信息传输至各个端点, 密钥管理策略和规范即设定“安全库”的访问规则以及向各端点分发密钥的规则。

下面就让我们更细致地了解如何建立端点及可靠的信息传输。

只有在实施TIP节点协议后, 端点才会启用, 进而被“安全库”识别并注册为可靠的网络成员。而后, 该端点就可与“安全库”进行通信。

凭证卡、读卡器及打印机等端点按照软件工作流程与“安全库”进行通信, 其访问和处理规则都受到HID Global的“密钥管理策略和规范”的严格管控——只有经认证的设备才能够加入该网络 (与任何计算机都可访问任何网站的互联网不同) , 从而形成了隐性的、严格的身份验证机制。

各端点之间的TIP消息采用符合行业标准的加密方法进行加密, 以便进行符合公开安全政策的安全信息传输。这些TIP信息数据包由两个嵌套的对称密钥进行保护, 其中含有“安全身份验证对象” (Secure Identity Object, 简称SIO) 信息。多个SIO可嵌套到一个TIP信息中, 向各种不同的设备 (如门禁卡、智能手机及计算机) 提供多种指令。如有必要, 每个设备都可具有不同的门禁控制特性。例如, 最简单的SIO就是模拟iCLASS卡上的凭证程序数据。

端点设备与“安全库”之间的验证通过后, 该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信, 可以独立工作。在这种方式下, 各端点 (如凭证卡及读卡器) 之间的信息传输是“可信的”, 而由此产生的信息传输 (例如打开一道门或登录到计算机) 也就被视为是“可信的”。

在近距离无线通信技术的支持下, 应用该技术的手机就可作为TIP端点而受到支持, 因而能够使用不同的SIO进行编程, 进而实现模拟卡片或者更为复杂的应用, 不但可以授权通过门禁系统, 还可实施由其自身进行解释的复杂门禁控制规则。

3 发展现状及前景

落实等级保护筑可信安全网络 篇4

天融信等级保护服务

等保定级服务在用户等级保护建设的定级阶段提供, 天融信将协助用户对信息系统进行划分, 并根据信息系统的价值确定信息系统的保护等级, 等级确定后协助用户完成保护等级的备案工作。

等保评估服务在用户等级保护建设的规划阶段提供, 天融信针对用户的信息系统进行全面的评估, 根据评估的结果和信息系统确认的保护等级, 结合“信息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求, 调整相应的安全保护措施, 并完成安全保障系统的整体规划。

等保管理整改服务在用户等级保护建设的整改阶段提供, 天融信将根据等级保护基本管理要求, 结合用户的实际需求, 协助用户建设相应的组织体系、策略体系、运行体系, 从而全面提升用户安全管理的层次和能力。

等保技术整改集成在用户等级保护建设的整改阶段提供, 天融信将根据等级保护基本技术要求, 结合用户的实际需求, 协助用户完成安全设备的选型、采购、安装、策略配置等活动, 协助用户搭建完善的技术防护系统, 保障应用系统的安全可靠。

等保测评支持服务在用户等级保护建设的测评阶段提供, 在完成等级保护整改活动后, 天融信将协助用户, 准备测评材料, 在测评过程中提供技术支持服务。

天融信等级保护服务优势

解除用户的后顾之忧通常等级保护所涉及的安全技术和安全管理措施的引进和部署并不是普通机构能够轻易完成的, 而信息安全产业作为一个发展迅速的产业, 新事物层出不穷且更新速度快。如果对等级保护涉及的政策、指南、新技术以及管理的方向的理解和把握不足, 将会制约等级保护的顺利实施以及无味的投资浪费。

保证用户最大投资回报率天融信自建的一整套符合等级保护制度要求的程序, 注重于定级、评估和规划, 更重视实施、测评等各种关键因素, 帮助用户实现最大投资回报率, 保障等级保护建设的顺利实施, 具有以下几方面特点。

更符合特定业务需求:针对特性业务需求, 将帮助用户随时了解项目进度和所处的阶段周期, 保证规范统一的服务质量。

更严密的等保建设过程:拥有丰富安全评估、信息资产分析、系统定级规划经验的天融信安全, 能够协助用户完成科学的分析和定级任务, 使用户的等级保护建设正确地推进和执行下去。

更贴近业务总体目标:天融信顾问咨询服务从定级、规划到实施要经历几个阶段, 在整个过程中天融信的安全专家都将协助用户寻求最有效的方式, 以实现既定业务目标。

更高效的项目建设:天融信在等级保护实施中的成功经验将在帮助用户在竞争中处于领先地位, 并有助于降低成本、提高效率、提升政绩。

云计算可信性问题研究 篇5

云计算环 境中 , 用户不需 投资基础 设施就可 获得强大 的计算能 力[1], 只要向服 务商提出 请求和交 纳低廉的 费用即可。 它使得用户从基础设 施投资、管理与维护的沉重压力中 解放出来,可以更专注于自身 核心业务发展[2]。 因此 ,云计算具 有美好的 前景和优 势 。 以云计算 为驱动力 的绿色低 碳和公共 效用IT已受到世 界各国政 府的极大 关注和重 视[2], 世界各强 国都把云 计算作为 未来战略 产业的重 点 ,如表1所示 ,云计算已 成为国家 战略需要 。

1 可信性已成为云计算发展的桎梏

然而 , 虽然云计 算有很好 的前景和 优势 , 但是 , 目前用户 对其接受 程度很低 ,更多人抱 以观望态 度 ,它在

应用推广 上遭遇到 了巨大困 难 ,这种谨慎 来自于对 云服务安 全性和可 信性的考 虑 。 云计算意 味着数据 、应用均被 转移到用 户掌控范 围之外的 云服务提 供商手中 ,如何保证 所提供的 服务是可 信的 ? 这种担心 从来没有 停止过 。 由于对云 服务可信 性的质疑 ,很多人不 愿接受云 计算平台 。 一些研究 者对云服 务可信性 问题的研 究结论如 表2所示 。

可见 ,云服务的 可信性问 题已经成 为云计算 发展的桎 梏 ,是很多人 不愿意采 用云计算 服务的重 要原因[3]。

2 云计算可信性研究现状

2 . 1 综 述

( 1 ) 可信平台 、 框架与模 型

Nuno Santos等人设计 提出了可 信云计算 平台 , 包括一系 列信任结 点 、 信任协调 者 、 非信任云 管理者和 外部信任实体[4]。 陈海波从计算机硬件、操作系统与应用级三 个方面对 云计算系 统平台可 信性进行 研究 ,以提高云 计算平台 的可用性 、可维护性 、可信性 、安全性与 容错性[5]。 KO R K L等人探讨 了通过使 用侦探控 制方法实 现可信云 的关键问 题和挑战 , 并提出了 一个可信 云框架[6]。 Jemal Abawajy研究混合 云环境中 信任建立 问题 , 提出一个 能使云消 费者与云 服务提供 者基于信 任进行交 互的完全 分布式框 架[7]。 Rosa Sanchez Guerrero提出一个 基于隐私 和声誉的 信任意识 体系结构Id M[8]。 Edna Dias Canedo等人讨论 了云计算 环境中的 信任 、 声誉等安 全问题 , 提出了一 个信任模 型 , 以确保私 有云中用 户文件交 换的可靠 性[9]。 Li等人给出 云应用过 程中基于 域的可信 性模型 ,并建立了 基于可信 管理模块 的云安全 性监管框 架[10]。 谢晓兰等 人针对云 计算环境 下存在的 信任问题 , 提出基于 双层激励 和欺骗检 测的信任 模型 (CCIDTM)[11]。 任伟等人 提出一种 云计算中 可信软件 服务的通 用动态演 变鲁棒信 任模型[12]。

( 2 ) 可信机制

Mahbub Ahmed介绍了一 个Saa S中信任与 安全保障 机制 ,它采用信 任入场券 来帮助数 据所有者 建立云服 务提供商 与注册用 户之间的 联系[13]。 胡春华等 人针对当 前云计算 中因服务 提供者(SP)的信任保 障机制缺 失而容易 被不可信 服务消费 者(SC)滥用的现 象 , 提出面向SC实体的服 务可信协 商及访问 控制策略[14]。 王小亮等 人通过计 算可信机 制减少的 攻击危害 以及产生 的性能代 价来量化 和评估云 可信机制 的有效性[15]。 孔华锋等 人提出了 一种云计 算环境中 柔性易扩 展的信任 协商机制[16]。 Gaofeng Zhang等人探讨 了有噪声 困惑情况 下的云计 算可信机 制[17]。 Wei Wang等人在贝 叶斯感知 模型和社 会网络信 任关系的 启发下 ,提出了一 个基于感 知信任模 型的新贝 叶斯方法 ,设计了一 个可信动 态级调度 算法Cloud-DLS,它集成了 现有的DLS[18]。

( 3 ) 可信技术

Christian Cachin等人研究 可信云 , 探讨了关 于密码技 术和分布 式计算的 最新研究[19]。 Hwang Kai等人研究 安全资源 的可信云 计算 ,提出用数 据着色和 软件水印 技术保证 云计算环 境中数据 的隐私和 完整性[20]。 Khan Khaled M等人研究 云计算环 境中云服 务提供者 如何获得 用户的信 任 ,指出通过 改进新兴 可信保障 技术来提 升客户的 信任度[21]。 Son T.Nguyen等人综述 了云计算 的安全挑 战 , 探讨了不 可信云服 务商中的 可信数据 共享问题[22]。 Rajagopal、Chitra研究基于 协同安全 协议的格 和云计算 信任问题 ,认为格和 云计算环 境中的安 全协议不 必分开[23]。 吴吉义等 人总结了 云安全领 域的最新 研究进展 ,指出云计 算与可信 计算技术 的融合研 究将成为 云安全领 域的重要 趋势[24]。 李虹 、 李昊系统 地叙述了 采用可信 云安全技 术解决云 计算可信 和安全问 题的方法 , 重点介绍 了可信密 码学技术 、可信融合 验证技术 、可信模式 识别技术 等[25]。 吴遥 、赵勇分析 了可信云 计算平台 中可信实 体可能遭 到的威胁 ,提出了通 过应用可 信计算技 术处理威 胁的解决 方法[26]。 季涛 、李永忠针 对云计算 环境下数 据处理时 敏感数据 易受非授 权访问和 非法篡改 的问题 ,利用可信 平台模块 在云计算 环境中建 立可信根 ,提出一种 基于可信 计算机制 的盲数据 处理方法[27]。

( 4 ) 可信管理

HABIB S M , RIES S , MUHLHAUSER M提出一个 多元可信 管理系统 体系结构 ,它根据不 同属性鉴 别云服务 提供商的 可信性[28]。 Kai Hwang等人从客 户的角度 分析了公有云的安全性问题,提出了考虑信任管理的集成云服务系统架构[29]。 ZISSIS D、LEKKAS D认为云计算环境中的可信性很大程度上取决于所选择的部署模型,并建议引入可信第三方的服务机制[30]。 信任管理是云安全的重要组成部分,Mohamed Firdhous等人总结了 现有各种 分布式系 统的信任模型,提出一个能用于度量云计算系统性能的可信计算机制[31]。 Zhang Hengxi回顾了信 任 、动态信任 以及基于本体的动态信任管理模 型,对典型的PTM和TMV动态信任模型作了评论和对比分析[32]。 Sun Xiaodong等人介绍了一个基于模糊集理论的信任管理模型,该模型涉及直接信任度量和推荐信任链的计算等[33]。

( 5 ) 可信评估

Sun Dawei指出信任 问题阻碍 着云计算 发展 , 建立云计 算信任评 估框架十 分必要[34]。 Foster等人强调 云计算环 境中的可 信机制评 估十分重 要[35]。 ALHAMAD M等人提出 了基于SLA准则和客 户经验的 可信评估 模型 ,用于支持 多种云应 用模式下 云消费者 的计算资 源选择[36]。 Guo Qiang介绍了云 系统可信 性的定义 , 分析了可 信性的属 性 , 基于这些 属性和可 信语义 , 提出了一 个可扩展 信任评估 模型ETEC[37]。 田立勤 、林闯等人 研究云计 算环境中 用户行为 的可信性 , 建立了包 含可信层 、 子可信层 和行为证 据层的可 信评估指 标系统[38]。 周茜 、于炯结合 可信云的 思想 ,提出一个 云计算下 基于信任 的防御系 统模型和 一种新的 基于模糊 层次分析 法的用户 行为信任 评估方法[39]。 高云璐提出一种信任评估和信任协商方法, 用于构建 用户与云 计算服务 提供商之 间的信任 关系[40]。 高云璐 、 沈备军等 人提出一 个基于服 务等级协 议 (SLA) 与用户评价的云计算信任模型[41]。 王磊、黄梦醒以灰色系统理论为基础,将层次分析法与灰色 评估法相结合 ,提出一种 基于灰色AHP的云计算 供应商信 任评估模 型[42]。

( 6 ) 其他

DYKSTRA J等人建立 了一个模 型 , 以显示云 中需求的 可信层[43]。 Sheikh Mahbub Habib等人将可 信性和声 誉的概念 集成到云 计算中 ,给出了较 为具体的 定义和可 信性参数[44]。

2 . 2 评 论

( 1 ) 云计算可 信性研究 起步不早 , 但已有很 多论文和 著作发表 。 在可信平 台 、框架与模 型 ,可信机制 ,可信技术 ,可信管理 ,可信评估 等方面均 有较多研 究 。

( 2 ) 较多文献 往往借鉴 传统信任 管理和可 信计算理 论与方法 。 传统的信 任管理理 论已经较 为成熟 ,尤其是E - commerce 、 Ad Hoc Networks 、 P2P 、 Social Networks等领域 , 典型的模 型有基于 声誉的信 任模型 、 基于证据 理论的信 任模型 、 基于模糊 数据的信 任模型 、 基于概率 论的信任 模型 、基于主观 逻辑的信 任模型等 。 在可信电 子服务领 域 , 典型的代 表作有Elizabeth[45]的著作 , 它对服务 环境下的 信任与信 誉进行了 全面的介 绍 ,被潘云鹤 院士推荐 、浙大陈德 人教授翻 译为中文 。 将可信计 算理论融 入云计算 是解决云 计算信任 问题的途 径之一 ,有很多学 者已采用 可信密码 学 、 可信融合 验证 、 可信模式 识别等可 信云安全 技术解决 云计算可 信性问题 。

( 3 ) 针对云服 务提供商 的可信性 评估研究 极为罕见 。 可信评估 已成为目 前研究热 点之一 ,很多学者 已认识到 云计算可 信服务度 量与评估 的重要性 和紧迫性 ,但这些文 献往往针 对用户行 为的可信 性进行评 估 , 如Edna Dias Canedo[9]、 田立勤[46]和林闯等[47]所作文献 , 专门评估 云服务供 应商的极 为罕见 , 笔者仅发 现Habib[28]、 高云璐[41]和王磊[42]的3篇 ,而且存在 不足 。

3 结束 语

云计算的 优势和前 景毋庸置 疑 , 云服务的 可信性问 题严重阻碍着云计 算的发展, 其根源在 于云计算 的特点和 云计算可 信服务理 论研究的 不完善[13]。 云计算的 核心模式是服 务,服务的前提是用户 和服务提供方建立信 任 , 但目前云 计算信任 机制还不 健全[48]。 用户缺乏 对云计算 服务可信性和服务质 量的了解, 自然对云 计算服务 缺乏信任, 而云计算服务是否 可信需要一 套有效的 测试系统 对其可信性进行度量与评估[7],但这方面的研究工作 尚展开不多。 因此 ,要大规模应用云计算 技术与平台 ,发展更多用 户,推进云计算产业发 展,就必须开展云计算可 信服务理论研究,度量和评估云服务可信性刻不容缓[7,35]。

总之 ,云计算可 信服务机 制的不健 全已严重 制约着云 计算的发 展和应用 ,可信服务 度量与评 估是云计 算领域亟 待突破的 重要研究 课题 。

摘要：系统地总结梳理了国内外云计算可信性研究现状,重点综述了云计算可信平台、框架与模型,可信机制,可信技术,可信管理,可信评估等方面,并得出若干结论:(1)较多文献往往借鉴传统信任管理和可信计算理论与方法;(2)针对云服务提供商的可信性评估研究较少;(3)可信服务度量与评估是云计算领域亟待突破的重要研究课题。

同行评议结果的可信度研究 篇6

1 同行评议制度的缺陷

现有的同行评价制度中一般都采用双盲式评审, 这一制度因为评价方与被评价方之间的信息不对称而能基本保证评价的公正性, 但又因为双方信息不对称, 导致评价人的权利和责任不对称, 对评价人缺乏有效的激励与监督机制。评价人在评价活动中处于绝对独立、自由的地位, 其承担评价工作既无经济、声誉等方面的激励 (评价人得到的报酬相对于其正常收入往往微不足道, 而匿名评审使得其无法得到声誉方面的利益) , 又缺乏有效监督。评价人的工作是否客观公正, 是否忠实勤勉, 缺乏切实有效的评价措施, 更缺乏奖惩监督机制。忠实勤勉的评价人付出辛苦的劳动却得不到应有的奖励, 故而忠实勤勉的成本过高而收益微不足道;而懈怠谋私的评价人得不到应有的惩戒, 故懈怠谋私的收益巨大而成本几乎为零。这是导致评价制度中非公正性的根本原因。此外, 评价制度的机械化 (专家遴选的呆板、过分依赖历史信息的马太效应、迷信知人的光环效应、刻板遵循评价标准的教条主义) 与非系统性 (信息不能共享、评价结果不可反馈、评价不需负责) , 以及评价环境的缺陷 (缺乏公正、公平的学术评价氛围、“贤人不闲, 闲人不贤”现象的泛滥、评价条件的限制) , 又可导致评价过程中产出了非客观性和非合理性。

上述原因导致同行评议制度中存在如下的缺陷:

1.1 非公正性

公正性, 是指评价人作出判断的依据仅仅基于评价对象的学术价值, 而不受评价对象的身份、地位等一切其他因素的影响。评价行为可能有如下类型的非公正性: (1) 因经济利益而导致的非公正性:即评价人因为获得以各种方式给予的经济利益而对某些评价对象给予过高的评价或对另一些评价对象给予过低的评价, 支付经济利益一方的目的是为了使得己方的项目申报、论文发表、荣誉评定等评价事宜得以通过, 或者使竞争方的相关事宜得以拒绝。支付经济利益的方式有多种, 既包括直接支付 (金钱、物品、其它有价物等) , 也包括间接支付 (如互相支持以共同获益、给予其它好处以牟取长期经济利益等) 。 (2) 因社会关系而导致的非公正性:评价人与被评价方可能存在各种直接或者间接的社会关系, 亲近的关系往往导致评价结果偏高, 而敌对的关系往往导致评价结果的偏低。这些社会关系包括如亲属、子女等亲缘关系;同事、隶属等工作关系;朋友、仇怨等私交关系。 (3) 因竞争关系而导致的非公正性:在评价活动中, 如果评价人也同时在申报类似的项目、论文、荣誉或者职称, 而评价对象与自身处于竞争关系, 他可能倾向于给予竞争对手以较低的评价。这种现象不仅存在于竞争方与自己较为接近的情形, 也可能存在于竞争方与自己并不十分接近的情形, 尤其在在总体经费或者名额不充裕的时候。 (4) 因个人好恶而导致的非公正性:评价人可能因为个人好恶而对一些评价对象给予偏高或者偏低的评价, 这种好恶的原因可能包括:研究内容合乎自己胃口或者为自己所忌讳;对被评价人的身份 (国家、民族、种族、籍贯、隶属机构、职务、社会兼职等) 的偏好或厌恶;对被评价人的历史背景 (荣誉、政治倾向、经历或事件等) 的好感或者恶感。 (5) 因各种压力而导致的非公正性:评价人在评价活动中可能遭受来自各种社会关系所施加的压力, 使得其不得不作出不公正的评价结果。

1.2 非客观性

这里所称的非客观性, 指的是评价人虽秉承公正原则, 处于无利益冲突的独立地位, 但因为各种原因仍对评价对象作出了不正确的评价。非客观性有如下表现: (1) 因虚假称述而导致的非客观性:评价人的评价基础是评价对象的事实陈述, 如果评价基础存在缺陷, 评价人将无法作出正确评价。评价对象的事实称述的缺陷可能表现为:真实性缺陷 (即虚假称述) ;完全性缺陷 (即重要遗漏) ;准确性缺陷 (即模糊称述或者误导称述) ;表达性缺陷 (即未充分、突发的表达出自身优势) 。 (2) 因能力缺陷而导致的非客观性:评价人的能力不足, 也将导致评价结果的不客观。这可能表现为:评价人学术水平不够;评价人对评价对象的研究方向不熟悉;评价人对评价结果的表述不当;等等。 (3) 因个人习惯而导致的非客观性:苛刻的评价人往往对所有评价对象都倾向于给予较低的评价, 而宽容的评价人往往均给予较高的评价。 (4) 因怠于勤勉而导致的非客观性:评价人未勤勉履行评价指责, 或随意给出评价结果, 或委托不合适的他人进行评价, 将导致评价结果的不客观。 (5) 因条件缺陷而导致的非客观性:评价人不具备足够好的评价条件与环境, 也无法作出客观评价, 主要体现在:无法获得足够的、正确的参考文献等资源;评价任务过重或者评价期限过短导致完成评价工作困难;本职工作过忙、健康或者其它原因导致不事宜完成评价任务;等等。 (6) 因制度缺陷而导致的非客观性:制度缺陷导致评价结果的非客观性可能包括:评价标准不清晰细致导致评价人很难作出客观判断;经费或者名额限制导致评价人不得不割舍部分优秀的评价对象;依据评价机构预先设置的大概筛选率, 评价人可能对数个评价对象作出符合该筛选率的评价结果, 这可能偏离客观性。

1.3 非合理性

这里所称的非合理性, 是指公正、客观的评价结果也可能偏离评价目的。同行评议中的非合理性有如下表现: (1) 评价标准和程序的机械化导致的非合理性:评价标准和程序往往适合于多数评价对象, 但不一定适合于所有评价对象, 这可能导致部分优秀项目无法得到较高评价。例如, 有的学术期刊甚至对参考文献 (如参考文献总数、来自本刊的参考文献数量、来自国外期刊的参考文献数量等) 都进行了机械化的规定, 这是不合理的。 (2) 对创新思维弱于保护而导致的非合理性:重大创新思维提出之初, 往往是粗糙的, 优点和缺点同样突出, 评价人一般不愿承担风险对此类对象给予较高评价, 使之错过了被大力支持的机会。这就偏离了评价活动的根本目的。 (3) 专业歧视导致的非合理性:正如理瞧不起工、文瞧不起哲的思维习惯, 即便在同一个领域内也可能存在研究方向或者方法上的歧视。例如, 在管理科学领域, 评价人往往倾向于支持包含有复杂数学过程的研究项目, 而忽略有创新思维但没有复杂数学模型的项目。这种倾向并非来自个别评价人的能力缺陷, 而是所有评价人共同的倾向。 (4) 热点追逐导致的非合理性:追逐热点的项目容易被接纳, 而来自传统基础领域的项目容易被忽略。事实上, 很多热门研究只是空有创新的噱头, 并无创新的实质。

2 同行评议结果可信度评价的指标体系

2.1 指标体系

同行评议结果是否可信, 取决于各个专家所给出的评价结果的非公正性、非客观性和非合理性的综合程度。上一节的分析显示, 影响评价结果的公正性、客观性和合理性的因素众多, 这些因素共同构成了同行评议结果可信度评价的指标体系, 包括13个一级因素指标和31个二级因素指标, 见表1所示。

2.2 评分规则

对专家评价结果的可信度进行再评价, 就是对非公正性、非客观性和非合理性所对应的各个二级因素进行评分, 评分规则如下:

对二级因素进行评价要综合参考表1第4列中的各种表现进行, 应以确切事实为依据。评分以负面评价进行, 依据负面行为的严重程度进行评分。评分结果应位于区间[0, 1]内。例如, 对“直接获取经济利益”二级因素进行评价时, 如果认定该专家收取了大量金钱、物品或其它有价物而严重影响评价可信程度时, 视严重程度给予0.5-1之间的评分;如果认定得到较少经济利益而微弱影响评价可信程度;则视其程度给予0-0.5之间的评分;如果无法认定其收取经济利益的情形或者认定其为收取, 则给予评分为0。

2.3 权重体系

在分别对非公正性、非客观性和非合理性进行评价时, 需要参考对应的一级评价指标因素, 按照每种一级因素以及对应的权重综合评价;在对每一种一级因素进行评价时, 需要参考对应的二级因素和对应的权重;在对每一种二级因素进行评价时, 依据上述评分规则进行。

在分别对对非公正性、非客观性和非合理性的程度进行评价时, 所参考的各个一级因素的影响程度、普遍程度与认定难度是不同的。对于影响程度较大、较为普遍、较容易认定的因素, 规定较高的权重;对于影响程度较小、较为少见、较不容易认定的因素, 则规定较低的权重;各个一级因素的权重之和为1。同样的, 各个二级因素对应的权重也据此规定。

例如, 在对非公正性的评价中, 需要参考五种因素:经济利益因素和社会关系因素是最为常见且容易认定的两种因素, 故这两种一级因素的参考权重为30%;个人好恶因素与承受压力因素较为少见且不容易认定, 故参考权重均为10%;竞争关系因素的普遍程度介于以上两类之间, 故参考权重定为20%。

又如, 对“经济利益因素”一级因素进行评价时, “直接获取经济利益”因素与“间接获取经济利益”因素的重要程度相近, 故其二级参考权重均规定为50%;对“社会关系因素”一级因素进行评价时, “亲缘关系”与“工作关系”二级因素是主要影响因素且容易认定, 规定二级权重为40%;“私交关系”二级因素较为不普遍且不容易认定, 规定二级权重为20%。

对于每一个二级因素而言, 其对应的综合权重, 为一级权重与二级权重之乘积。例如, “直接获取经济利益”因素的综合权重, 为对应的一级权重30%与二级权重50%的乘积, 即为15%。所有二级因素的综合权重都据此得到。

3 同行评议结果可信度的评价

对于某一个专家而言, 为评价其评价结果的可信程度, 首先对与其评价结果可信性相关的31个二级因素进行评分, 记31个分值分别为x1, x2, …, x11, y1, y2, …, y15, z1, z2, …, z5。

则该专家评价结果的非公正程度可以通过下式计算而得:

NF=30%×50%× (x1+x2) +30%× (x3×40%×+x4×40%+x5×20%)

+20%×50%× (x6+x7) +10%× (x8×40%×+x9×40%+x10×20%)

+10%+x11×100% (1)

= (x1+x2) ×15%+ (x3+x4) ×12%+x5×6%+ (x6+x7) ×10%

+ (x8+x9) ×4%+x10×2%+x11×10%

同样的, 该专家评价结果的非客观程度可以通过下式计算而得:

NO= (y1+y2+y3+y4) ×2.5%+ (y5+y6) ×12%+y7×6%+y8×10%

+ (y9+y10) ×9%+y11×12%+ (y12+y13+y14+y15) ×5% (2)

该专家评价结果的非合理程度可以通过下式计算而得:

NR=20%× (z1+z2+z3+z4+z5) (3)

于是, 该专家评价结果的可信度可以通过下式计算得到:

undefined

表2给出了6个专家评价结果的可信度评价的例子。在此例中, 专家1的公正性、客观性和合理性都比较好, 故其评价结果最为可信;专家6的公正性、客观性和合理性都比较差, 因此其评价结果最不可信;专家2的客观性、专家3的合理性与专家5的公正性都令人怀疑, 故他们的评价结果的可信度都不如专家1。

4 结束语

以上针对同行评议制度的存在的缺陷, 研究了专家评审意见的可信性问题。通过类似研究, 可以甄别不同专家意见在综合评价中的重要程度, 也有助于甄选最合适的专家参与科学评价。

摘要：详细描绘现有同行评议制度的缺陷, 研究专家评审意见的可信性问题, 促进科学评价的改进。

关键词：科研管理,同行评议,缺陷,可信度

参考文献

[1]周颖, 王蒲生.同行评议中的利益冲突分析与治理对策[J].科学学研究, 2003, 21 (3) .

[2]龚旭.同行评议公正性的影响因素分析[J].科学学研究, 2004, 22 (6) .

[3]刘圣中.不信任文化中的非人格化管理———匿名评审、年龄界限与一刀切现象的综合分析[J].公共管理学报, 2007, 4 (2) .

[4]江新华.论我国学术评审制度的缺陷与创新[J].科学学研究, 2005, 23 (5) .

浪潮云服务:安全可信才是王道 篇7

2013年6月, 斯诺登事件爆发, 信息时代的安全问题一时成为各大媒体热议的话题。

随着云计算的蓬勃发展, 关于云计算的安全问题也众口纷纭。

天空白云朵朵, 哪朵才是安全的、可信的云?

人无信不立, 云计算亦如此。

浪潮云的快速成长亦得益于此。

“国字号”云服务雄起新契机

国字号, 是浪潮云一直以来的坚持的品牌定位。

“进口设备技术完全不可控, 由此将给国家信息安全带来隐患。”中国工程院院士倪光南曾这样表示。

2014年4月, 美国法院裁定谷歌、微软等公司不管将数据存储在哪里, 必须向美国提交数据。这意味着使用外资背景厂商的云服务, 无法保障业务系统和数据的安全性, 会给国家信息安全造成潜在的威胁。这为“国字号”云服务商的发展提供了千载难逢的契机。

以浪潮云为代表的本土云服务供应商, 依托安全可信的优势与外来巨头展开竞争, 通过持续创新与大胆突破, 打开了云服务市场的新局面。

“行业云”打造创新型云服务模型

行业云, 是浪潮云突破藩篱的创新之作。

针对中国国情与信息化市场的发展需求, 浪潮云创新性地提出了行业级云服务, 在激烈的市场博弈中独树一帜。

浪潮行业级云服务以领先的核心装备为基础, 衍生于浪潮云基础架构平台之上, 输出弹性云安全池服务, 这也是浪潮独特严谨的云安全原则。同时浪潮云以先进的数据加密技术为核心, 依托符合国家A级标准和三级等保要求的云计算中心, 建设起了环境安全、平台安全、应用安全、数据安全及运维安全五大安全体系。

基础环境安全体现在供电、制冷以及网络等资源性服务均采用先进技术和高标准建设, 保障业务的平稳、不间断运行, 并定期由专业机构进行监测;平台安全则主要凭借浪潮关键主机、海量存储、云服务管理平台以及云操作系统等先进的自主研发产品, 为政府以及金融、能源等核心行业运行关键业务;业务应用安全通过物理隔离与逻辑隔离, 实现将不同类型的业务系统部署在不同区域;数据安全体系采用了数据加密、容灾备份与双活模式的架构实现数据的存储、传输与应用安全;运维安全是针对业务的重要性, 实施分级运维, 并对运维人员实行科学管理。五大安全体系全方位、多角度保障了浪潮云的安全可信。

浪潮还成功组织了国内首次云数据中心安全渗透评估与技术交流活动, “浪潮云中心攻防实验室”将成为开放的、领先的云数据中心安全解决方案和安全产品实验平台。

“中国正在建立自己的可信云标准化体系, 浪潮提供了宝贵的实践经验。对于浪潮云应用的”中国制造”, 工信部电信研究院互联网中心主任、数据中心联盟常务副理事长何宝宏给予了极高的评价, 也帮助浪潮云在可信云时代抢占了制高点, 并引领了云服务发展的变革。

“浪潮云”引领政务云浪潮获认可

“浪潮云”正在持续推动中国云生态的完善。

以市场需求为导向而诞生的浪潮行业级云服务, 迅速在发展中收获丰硕成果。这在对云安全更为重视的政务云领域尤其明显。

政府采购云服务要建立在自主可控的基础上, 确保政府信息系统、数据资源的安全可靠。浪潮云依托多年的政府IT服务经验, 将更多的精力专注于为政府和行业技术部门提供安全可信的解决方案与运维服务, 成功绘制完成了浪潮政务云安全保障路线图, 即首先提供场外专享模式, 再进行安全顶层设计, 并通过安全评测对标, 达到政务系统要求的高标准安全目标。

在政府购买云服务的道路上, 浪潮勇于探索, 并积极参与国家标准制定。先后打造了包括济南、贵州、海淀、国家质检总局等在业内享有盛誉的政务云示范项目, 已经成为中国政务云服务市场领导者。截至目前, 浪潮云已为全国52个地市提供了云服务, 随着服务能力与产品线的完善, 陆续得到国内外权威机构、云服务产业专家与广大用户的普遍认可与信赖。

2014年, 浪潮的云主机产品首批通过了国家可信云服务认证;

2015年, 浪潮的在线应用舆情分析云服务再获可信云服务认证;

2015年, 浪潮云正式加入CSA云安全联盟。

云安全中的可信识别技术研究 篇8

看到其中蕴含的巨大商机和潜力, 一些知名的IT企业相继推出自己的云服务。典型Saa S如:Google的APP Engine、Microsoft的Live Meeting、Office Live;典型的Paas如:Google Code、Facebook developers以及Saleforce提供的force.com;典型的Iaa S如:IBM的“兰云”, Microsoft的Azure、Amazon的EC2/S3/SQS等等, 而且一些新的应用还在不断的推出。但在这云应用繁荣的背后, 隐藏大量以风险。以前的风险依然存在, 在新的环境中还可能造成更大的危害。新出现的风险表现在:1) 传统的安全域的划分无效, 无法清楚界定保护边界及保护设备和用户;2) 用户的数量和分类不同, 变化频率高, 动态特性和移动特性强;3) 数据、服务, 通信网络被服务商所控制, 如何确保服务的可用性, 机密性等, 使用户相关利益得到保护。

可信云是可信技术在云计算中的扩展, 相关技术即可信云安全技术。本文对可信云环境中三种关键的安全技术即:可信识别技术、可信融合验证技术做了一些研究。这两种安全技术不仅把设备作为可信计算根, 更把设备使用人作为可信计算的根, 以信任根计算为计算手段, 达到可信跟计算认证目的。可信识别技术将识别技术和识别行为密钥技术的相结合, 将识别行为产生的密钥编码和设定的行为密钥进行来进行判别, 克服误识率和拒识率的矛盾, 增强防范身份假冒, 身份伪造能力;可信密码学技术是对由可信根生成的可信点集矩阵进行基于拓扑群分形变换操作。可信密码学的密钥和算法都是随机可信的生物特征信息, 因此密钥和算法凭都具有可验证性。采用可信模式识别技术和可信密码学技术, 结合“零知识”, 身份无法伪造, 一旦应答, 双方均不能否认。

1 可信识别技术

传统的模式识别技术是指对用户的生物特征进行测量, 和预留的模板数据进行比较, 依据匹配结果进行识别。这些生物特征包括指纹、声音, 人脸、视网膜、掌纹、骨架、气味乃至于签名笔迹、图章印痕等等。传统的识别技术具有“拒识率”和“误识率”的缺陷, 具体说就是:匹配阀值增大, 拒识率升高, “误认率”下降;匹配阀值减小, 拒识率降低, “误认率”升高。生物特征采样点的数量有限, 容易引起误判。在云计算环境中, 其固有的虚拟性特征以及透明性不足, 使身份认证, 可信登录更是面临着比传统计算环境更大的风险。

可信识别技术是传统识别技术和识别行为密钥技术的结合。识别行为或自然形成或人为设定, 如人为设定的2次人脸对比规则是先张嘴、后闭嘴, 指纹对比规则是先拇指、后食指等。将识别行为编排成组, 为每组识别行为秘密设定一个数, 该数是该组累积成功识别次数。可信识别失败并不是以一两次失败就断定此次识别失败, 而是把失败的次数记录下来, 直到超过预先设定的阀值才断定识别失败。可信识别成功也不是依靠一两次成功就断定识别成功, 而是累计该组的成功识别次数, 直到等于该组秘密设定的成功次数为止, 才断定本组识别成功。而非法用户不能猜出识别的组数以及每组识别的次数, 因此不能假冒合法用户。只有指定的每组识别都达到要求。才能最终判别是真正的合法用户。

传统的识别行为中特征信息的阀值起着关键作用, 阀值给定, 拒识率和误视率是存在难以克服的矛盾。可信的识别行为密钥, 并不取决于个别识别行为“误识率”的高低, 而取决于客户设置的有效识别行为密钥编码。

可信识别的技术优势:可信识别模式在传统的模式识别的基础上, 结合组间识别行为特征, 非识别数, 编组识别设定数, 各组识别行为总数等措施, 从而具有一下优势:1) 可以设置可信识别策略设计;2) 具有区别错误拒识设置;3) 具有区别误识和仿冒设置;4) 具有统计结论模式。从而弥补了传统识别就“拒识率”和“误识率”的技术缺陷。

2 可信验证

可信融合验证技术采用可信模式识别技术和可信密码学技术, 结合“云端零知识证明”, 实现可信云端“零知识”认证, PKI等功能。

本文对云计算的一些关键安全技术作了一些探讨。可信云计算的识别技术是以可信的特征信息和识别行为相结合, 通过判断对各组识别行为识别的成功数, 克服识别模式中的拒识率和误识率的技术缺陷。可信融合验证技术是利用可信识别技术和可信加密/解密技术。实现双方“零知识”。具备身份无法伪造, 保密性高, 具有不否认性的特点。这些可信云安全技术的进一步研究以及随之而来的应用的展开。一定可以缓解客户对云计算的忧虑, 催进云计算这种新的计算模式的发展。

摘要：针对云计算固有的虚拟性和透明性不足导致的认证困难, 在本文, 作者将可信特征信息和关键的云安全技术相融合构造可信的云安全技术。这其中, 可信识别技术将识别技术和识别行为密钥相结合, 克服识别技术中存在的误识率和拒识率的固有矛盾。可信融合验证将可信识别技术和可信密码学技术相融合, 身份无法伪造, 一旦应答, 双方均不能否认。

关键词：云计算,可信认证,安全

参考文献

[1]Weichao Wang, Zhiwei Li, Rodney Owens.Secure and Effcient Access to Outsourced Data.CCSW'09:Proceedings of the2009 ACM workshop on Cloud computing security, pages 55-65.November 2009.

[2]Cloud Security Alliance.Security guidance for critical areas of focus in cloud computing.http://www.cloudsecurityalliance.org/, April 2009.

可信控制 篇9

2006 年亚马逊首先推出了弹性计算云EC2(Elastic Computing Cloud)和简单存储服务S3(Simple Storage Service)[1],企业可以根据其自身的特点购买其计算和存储服务。随后,Google,微软以及IBM相继推出自己的云计算模式,Google推出了GFS、Map Reduce和Bitable[2],IBM推出了“蓝云”云计算平台[3]。微软于2008 年10 月推出了Windows Azure[4]操作系统。Azure通过在互联网架构上构建云计算平台,让Windows真正由PC延伸到互联网上。

云计算以互联网为中心,提供安全、快速、便捷的数据存储和网络计算服务,让互联网成为每一个用户的数据中心和计算中心,云计算模式中,用户所需的应用程序并不运行在用户的个人计算机、手机等终端设备上,而是运行在互联网上大规模的服务器集群中。云计算可包括Iaa S、Paa S和Saa S三个层次的服务[5],云计算以互联网为中心具有虚拟化、通用性、高可扩展性、按需服务、数据共享方便等特点。

云计算给用户带来巨大方便的同时,同时产生了相应的安全问题。云服务是从云计算实体化而来的,用户的程序和数据存储将全部转移到“云”里。也就是说用户的应用程序并不需要运行在用户的个人电脑、PDA等终端设备上,而是运行在云端服务器中,用户所处理的数据也并不存储在本地,而是保存在云的数据中心,通常,用户都希望自己所存放的数据时私密的,是把数据交给云服务器之后,数据掌控者的已不再是用户本身,而是云服务商,理想状态下云服务商不应具备查看、修改、删除、泄露这些数据的权利,但实际操作中却具有这些操作的能力。如此一来,就不能排除数据被泄露出去的可能性。除了云服务商之外,还有大量黑客们觊觎云计算数据,同时互联网上充斥着大量的病毒木马以及恶意程序,甚至只需一个账号便可打开所有程序和数据。

简而言之,当前用户并不能充分信任云服务器,同时云服务器也不能自我证明其自己的安全性,为了增强云服务器的安全性,本文提出了一种云服务器动态可信平台模块构造方法,在可信平台模块的基础(Trusted Platform Module)之上,使用虚拟隔离技术构建动态虚拟可信平台模块(Dynamic virtual Trusted Platform Module:DVTPM)同时采用无干扰信任链传递机制,从而达到提高云服务器可信性,保护客户数据的目的, 本文第2节介绍可信计算关键技术以及相关理论;第3节提出云计算模式下动态可信平台模块的构建模型;4节基于虚拟机实现了一个非传递无干扰原型系统;第5 节给出结论和下一步研究重点。

2 相关研究

1)可信平台模块(Trusted Platform Module)

TPM的架构如图所示:

TPM由计算引擎、非易失性存储器、输入/输出模块、随机数产生器、RRSSAA计算引擎、SSHHAA--11 计算引擎、平台配置寄存器(PPllaattffoorrmm CCoonnffiigguurraattiioonn RReeggiisstteerr,, PPCCRR)和嵌入式操作系统等部件组成。TTPPMM的嵌入式系统支持TTPPMM规范所制定的功能,接收相关的参数,然后返回相应的处理结果。

2)虚拟化可信平台模块技术

当前可信平台模块虚拟化技术分为三种,分别为TPM软件虚拟化,TPM硬件环境扩展虚拟化[7],TPM的半虚拟化[8]。TPM通过扩展TPM环境上下文实现硬件环境扩展虚拟化;TPM半虚拟化方式需要更改少数的设备接口;而TPM虚拟化通过软件的形式则更接近于真实硬件TPM,而且TPM软件虚拟化与硬件平台无关。因此,目前大多数应用主要采用软件式TPM虚拟化方式[9,12]。

当前软件TPM软件虚拟化技术取得了巨大的进展,比较有代表性的包括瑞士苏黎士技术联合研究所[10]的软件式TPM模拟器、Berger[11]提出的多映像TPM虚拟化方法以及Frederic[12]提出的可信虚拟平台构建方案,瑞士苏黎士技术联合研究所的方案虽然实现了TPM的绝大部分功能,但TPM模拟器仅面向单个平台环境,并不能虚拟出多个TPM以供每个虚拟机专用;Berger在此基础上,提出了TPM虚拟化的方法,能够将一个物理TPM映射成多个v TPM(virtual TPM),Berger提出了四种构建v TPM证书链的设计思路,但他并没有做出进一步的实现。随后,Frederic提出了一种构建可信虚拟平台方案,并实现了v TPM和物理TPM的绑定以及v TPM证书链的构建,但该方案在构建证书链的过程中直接采用物理平台的身份证明密钥AIK(Attestation Identity Key,AIK)证书对虚拟平台的v AIK(virtual AIK)进行签名操作,与TCG的TPM Main规范中AIK密钥只能进行密钥认证(Certify)与引证(Quote)操作相冲突,因而可能存在兼容性问题。

3)Xen虚拟技术

Xen是运行于X86 上的遵循GNU许可的开源VMM,它支持多个客户操作系统(Operation System,OS),性能接近直接在硬件上运行的操作系统和支持隔离性以及同时运行。Xen直接运行在硬件上,并采用了半虚拟化技术,要求对客户OS进行修改,但不要求改变系统调用接口,结果应用程序不需要修改。

3 DVTPM在云端服务器的实现

本文在基于开源的虚拟机监视器(VMM)系统Xen[13]上.实现了一个云计算可信环境的实例,首先在云端服务器将一个物理TPM映射成多个DVTPM,DVTPM可为每个虚拟机提供一个专用的基于软件的信任根;同时为了使DVTPM具备远程证明等能力,实现了DVTPM和物理TPM的绑定。

在云服务器使用XEN平台实现DVTPM,XEN为每一个用户创建一个DVTPM,用户以DVTPM为基础构建可信虚拟环境,下图XEN服务器位用户创建DVTPM的示意图,DVTPM实例与客户虚拟机一一对应,为用户提供绑定、密封、密钥存储等一系列与物理TPM相同的功能。DVTPM永久存储区(Persistent Storage, PS)用来保护每个DVTPM实例的状态结构DVTPM-SS(v TPM State Structure),其中保存了DVTPM的永久状态信息。DVTPM管理器负责DVTPM实例的创建与管理,为客户虚拟机与DVTPM实例间以及DVTPM实例与物理TPM间提供了通信信道。虚拟TPM管理器便会产生一个DVTPM实例并将其与新建的虚拟机关联。它通过监听虚拟TPM驱动的后端(Back-End),将来自虚拟机的TPM命令转发至与它相关联的DVTPM实例中。

DVTPM创建流程可以描述如下:

假设XEN总共需要创建和启动N个虚拟机,标记为VM1,VM2........VMn,为方便起见,每个用户的服务单独运行在一个由DVTPM为可信基的虚拟机中,Xen为这些虚拟机提供隔离。

(1)Xen作为通信介质,作为用户和用户的虚拟机,以及DVTPM和TPM之间通信的桥梁。

(2)每个VM都有一个虚拟网络接口,被称为Xen VMNIC,用于和用户进行通信

(3)各VM通过其Xen VMNIC互联成一个计算机网络,称为Xen VMNet。

(4) VM有两个虚拟网络接口:一个是连接Xen的宿主机的网络接口,该接口用于和TPM通信;另一个是Xen VMNIC,与其他VM相连。

4 动态可信平台模块的构建模型

4.1 模型描述

传统的可信计算是在用户终端上构建可信环境,而在云计算模式下,用户不需要在本机构建可信环境,可信环境在云端构建,当用户使用云服务的时候,云服务器给用户动态的建立一个可信环境,当用户服务结束,云服务器撤销用户在云端可信环境,在这个过程中云端服务器不应具备查看、修改、删除、泄露用户数据的权利,云服务器应该仅仅是一个管理者,只能为用户建立和撤销用户的可信环境,因此每个用户的可信执行环境逻辑上应该相互隔离,而每个用户当且仅当通过安全的数据链路访问其自身的可信执行环境,该执行环境如图3 所示,该模型的可以描述如下:

在这个云可信虚拟执行环境中,动态可信平台模块构成了用户可信执行环境的可信基( TCB)等概念,运服务器由DVTPM开始为用户构建可信执行环境。

定义4-1 云可信环境

云可信环境E由(VTCB,I,O,AP,D) 组成,其中VTCB是虚拟可信基,I是用户的输入,O为环境E的输出,D是该环境所隶属的域,AP为用户应用程序集合。

定理4-1 动态可信平台模块是一个确定性多带图灵机

证明:由于VTCB在执行环境中为DVTPM ,而DVTPM逻辑上具有物理TPM的一切功能,其拥有多个输入和输出,所以DVTPM为确定性多带图灵机

4.2模型安全性定义

由于云动态可信平台模块的构建本质上一簇协议的执行过程,因此该模型的安全性等同于协议的安全性因此可以使用通用可组合协议分析方法分析该模型的安全性。

Ran Canetti提出了一种新的协议安全性的公理证明框架[9],这种证明体系能够用一种统一的同步框架定义密码协议的安全性,而且在这个框架里可以使用作协议复合理论来证明复杂协议的安全性。

定义4-3理想函数Ideal Function:

理想函数可以定义为实际协议功能的理想世界的映像,其作为一个可信方T ,接受诚实方和被入侵方以及攻击者的输入,并把得到的输入运算后的输出结果给环境Z,理想函数在模型中是不可攻破的。

定义4-4 伪随机函数[14]

令H ={Hn}n ∈ N为l比特的函数族,一个l比特F ={Fn}n ∈ N是伪随机的当且仅当对任何PPT的攻击者存在一个可忽略的概率v A ,对于足够大的k ,

定理4-4独立协议的安全性定理[15]:

如果存在协议 π ,功能函数f以及运行环境Z ,实际模型的攻击者A ,以及理想模型的攻击者SA ,有成立,协议 π 是安全的,记做 π UC-realize f 。

定理4-5复合协议的安全性定理[14]:

给定安全参数k ,n ∈ k ,π UC-realize g ,如果协议 π 执行过程中需要调用辅助计算函数f1,f2...fn ,如果存在协议ρ1,ρ2...ρn UC-realize f1,f2...fn ,那么有 πρ1,ρ2,.....ρnUC-realize g 。

由以上定理可以得出密码协议安全性证明框架图,如下图所示:

如图中所示,攻击者是非自适应的,它所控制的入侵方在协议执行前就被确定了,计算能力是概率多项式级的,协议运行环境Z可以观察到诚实方和攻击者的输出。

4.3 动态TPM安全性分析

理想函数在UC框架中有着非常重要的地位,理想函数扮演着一个不可攻陷的可信第三方的角色, 能够完成协议所执行的特定功能目前己经定义了多个最基本的理想函数, 如认证消息传输FAUTH、密钥交换FKE、公钥加解密FPKE、签名FSIG、承诺FCOM、零知识证明FZK、不经意传输FOT、匿名Ha sh认证FCRED和可否认认证FCDA等。

定义4-5 理想函数FCDVTPM

本文所提出的动态TPM需要由虚拟机创建完成,设FCDVTPM为动态TPM创建的理想函数,在FDVTPM中,(DVTPM Created,sid, ⊥) 表示云服务器为用户DVTPM创建失败,(DVTPM Created,sid ,sk) 表示创建DVTPM成功,用户和云服务器之间的会话密钥为sk ,设云服务器的授权用户集合为Lcset ,一个用户只有满足u ∈ Lcset ,云服务器才能为这个用户建立动态TPM理想函数。

FCDVTPM设授权用户集合为Lcset ,云服务器为Cserver ,DVTPM虚拟机为VM ,安全参数为k ,用户为u

当VM收到(DVTPM Creat Re quest,sid, u,Cserver,VM)

记录VM为active,给Cserver发送

(DVTPM Creat Re quest,sid, u,Cserver,VM)

当Cserver收到(DVTPM Creat Res ponse,sid, u,Cserver,VM) ,

标记Cserver为active,发送

(DVTPM Creat Res ponse,sid, u,Cserver,VM)给VM

如果FCDVTPM从攻击者收到

(DVTPM Creat Re quest,sid, u,p,sk) ,

其中p∈{VM,Cserver}且p为active,则存在以下情形:

1.存在sk,然后(DVTPM Created,sid ,sk)给p

2. 如果攻击者控制VM , 则记录sk',(DVTPM Created,sid ,sk') 给p

3. 如果u ∈ Lcset ,然后再{0,1}k计算一个sk ,然后(DVTPM Created,sid ,sk) 给p

4.如果1,2,3均不成立则输出(DVTPM Created,sid, ⊥) 给p

理想函数FCDVTPM满足用户认证的基本需求,如果未被攻陷的队是非授权用户, 即u ∉ Lcset ,那么用户认证不会成功, FDVTPM输出(DVTPM Created,sid, ⊥) ,即仅当一个u ∈ Lcset ,云服务器才可以为用户建立可信执行环境。攻击者只能伪装攻击和攻陷服务器,除此之外攻击者没有其他有效的攻击手段,FDVTPM使用u ∈ Lcset完成用户认证,然后FDVTPM生成一个会话密钥。

定理4-2 虚拟机安全创建了动态TPM

证明:设A为真实环境下的攻击者,通过构造理想环境的攻击者S,使得任何环境Z都以可以忽略的概率区分虚拟动态可信TPM及攻击者A组成的现实环境以及FCDVTPM和攻击者S组成的理想环境。以下是攻击者S的操作:

1. S从FCDVTPM收到

(DVTPM Creat Re quest,sid, u,Cserver,VM) ,仿真A从VM到Cserver传递的信息(DVTPM Creat Res ponse,sid, u,Cserver,VM) ,当S从FCDVTPM收到(DVTPM Creat Res ponse,sid, u,Cserver,VM) ,S仿真A从Cserver到VM的信息

(DVTPM Creat Res ponse,sid, u,Cserver,VM) 。

2. 当A由VM给Cserver发送信息(DVTPM Created,sid ,sk) ,S从VM给Cserver发送信息(DVTPM Created,sid ,sk) 。

3. 当p ∈{VM,Cserver} 输出信息(DVTPM Created,sid ,sk') ,攻击者S将会发送(DVTPM Created,sid ,sk') 给FCDVTPM 。

4. 当A发送(Corrupt - platform,sid ,p) ,S将会发送(Corrupt - platform,sid ,p) 给FDVTPM。

根据攻击者S,可以得出,当VM攻陷时,攻击者S可以完美仿真攻击者A此时Re al和Ideal是不可区分的,当Cserver被攻陷时候,Re al和Ideal此时建立动态TPM都会失败,所以Rea l和Ideal也是不可区分的,当动态TPM建立成功时,由Re al过程中的会话密钥是根据TPM中随机数生成数生成的,而TPM随机数生成器是伪随机数生成器,而Ideal过程中密钥是由FCDVTPM使用真随机数生成,如果环境Z能够区分TPM和FCDVTPM生成的随机数,而这与定义3-4 矛盾,因此Ideal和Re al不可区分,因此根据定理3-4,虚拟机安全创建了动态TPM。

可信平台模块为计算平台提供了三个基本功能:数据保护(可信存储),平台身份证明,平台完整性保护,数据保护依靠加密实现,而平台身份证明通过对平台状态信息的签名对外证明自身的可信性,而平台完整性保护通过哈希函数完成,因此定义了理想加密函数FEDVTPM,理想签名函数FSDVTPM,以及理想的哈希函数FHDVTPM,如果动态TPM能够在UC框架下安全实现这三个函数,那么根据定理3-5 动态TPM在UC框架下安全实现了TPM的数据保护,平台身份证明以及平台完整性保护的三大基本功能。

定义4-6理想加密函数FEDVTPM

在FEDVTPM中,存在三个实体,分别是加密者E ,解密者D以及敌手A ,敌手A负责生成加密算法和机密算法(e,d) ,(e,d)为概率多项式复杂度(PPT )的算法。

设M为明文消息域,令u ∈ M为给定的明文消息。

理想函数FEDVTPM

密钥生成:当FEDVTPM从D收到(key Gen,sid) 请求,FEDVTPM验证sid =(D,sid') ,如果sid ≠(D,sid') ,FEDVTPM忽略这个请求,否则将(key Gen,sid) 交给敌手A ,当FEDVTPM从敌手收到(A lg ori th ms,sid,e,d) ,将(Encryption A lg ori th ms,sid,e) 给D .

加密:当FEDVTPM从加密请求者收到(Encrypt,sid,m,e') ,如果m ∉ M输出一个错误信息给E ,否则如果e ≠ e',说明D被敌手控制,此时令c = e'(m) ,如果D未被敌手控制令c = e'(u) ,FEDVTPM记录(m,c) ,将(Ciphertext,sid,c) 给E

解密:当FEDVTPM从D收到(Decrypt,sid,c) ,如果FEDVTPM存在记录(m,c) ,输出(Plaintext,m) 给D ,如果FEDVTPM不存在记录(m,c) ,说明D被敌手控制,输出(Plaintext,d(c)) 给D

动态TPM安全实现了加密函数FEDVTPM

证明:设A为真实环境下的攻击者,通过构造理想环境的攻击者S ,使得任何环境Z都以可以忽略的概率区分动态可信TPM及攻击者A 、加密者E以及解密者D组成的现实环境以及FEDVTPM和攻击者S 、加密者E以及解密者D组成的理想环境。以下是攻击者S的操作:

1. S从FEDVTPM收到(key Gen,sid) ,仿真A传递到D的信息(A lg ori th ms,sid,e) 。

2. S从FEDVTPM收到(Encrypt,sid,m,e') ,访真A传递到E的信息(Ciphertext,sid,c) 。

3. S从FEDVTPM收到(Decrypt,sid,c) ,仿真A传递到D的信息(Plaintext,d(c)) 。

根据攻击者S ,可以得出,当D攻陷时,攻击者S可以完美仿真攻击者A此时Re al和Ideal是不可区分的,当E被攻陷时候,Re al和Ideal此时加密的密文是一致的,所以Re al和Ideal也是不可区分的,当D ,E都没有被攻陷由Re al过程中的会话密钥是根据TPM中RSA算法生成,如果环境Z能够区分TPM和FEDVTPM的密文,意味着攻击者A破解了RSA大模数问题而这TPM使用的RSA算法的安全性相背,因此Ideal和Re al不可区分,因此根据定理3-4,虚拟机安全实现了加密函数FEDVTPM 。

定义4-7理想签名函数FSDVTPM

在FSDVTPM中,存在三个实体,分别是签名者S ,验证者V以及敌手A ,敌手A负责生成签名算法和验证算法(s,v) ,(s,v)为概率多项式复杂度(PPT )的算法。

设M为消息域,令m ∈ M为给定的明文消息。

理想函数FSDVTPM

密钥生成:当FSDVTPM从S收到(key Gen,sid) 请求,FEDVTPM验证sid =(S,sid') ,如果sid ≠(S,sid') ,FSDVTPM忽略这个请求,否则将(key Gen,sid) 交给敌手A ,当FSDVTPM从敌手收到(A lg ori th ms,sid,s,v) ,将(Verification A lg ori th ms,sid,v) 给S .

签名:当FSDVTPM从签名请求者收到(Sign,sid,m) ,令σ = s(m) ,然后验证v(m,s)= 1 ,如果v(m,s)= 1 输出(Signature,sid,m,σ) 给S ,FSDVTPM记录(m,σ) ,否则将输出一个错误信息给S ,并且停止签名运算。

验证:当FSDVTPM从V收到(Verify,sid,m,σ,v') ,如果v'= v ,签名者S没有被攻击者控制v(m,s)= 1 ,如果FSDVTPM不存在(m,σ)这条记录,否则将输出一个错误信息给S ,并且停止验证运算,否则输出(Verified,sid,m,v'(m,σ)) 给V

动态TPM安全实现了签名函数FSDVTPM

证明:设A为真实环境下的攻击者,通过构造理想环境的攻击者S ,使得任何环境Z都以可以忽略的概率区分动态可信TPM及攻击者A 、签名请求者S以及签名验证者V组成的现实环境以及FEDVTPM和攻击者S'、签名请求者S以及签名验证者V的理想环境。以下是攻击者S的操作:

1. S'从FEDVTPM收到(key Gen,sid) ,仿真A传递到S传递的信息(Verification A lg ori th ms,sid,v) 。

2. S'从FEDVTPM收到(Sign,sid,m) ,访真A传递到S传递的信息(Signature,sid,m,σ) 。

3. S'从FEDVTPM收到(Verify,sid,m,σ,v') ,仿真A传递到V信息(Verified,sid,m,v'(m,σ)) 。

根据攻击者S ,可以得出,当S攻陷时,攻击者S'可以完美仿真攻击者A此时Re al和Ideal是不可区分的,当V被攻陷时候,Re al和Ideal验证过程一致,所以Re al和Ideal也是不可区分的,S ,V都没有被攻陷由Re al过程中的签名密钥以及加密密钥对是根据TPM中RSA算法生成,如果环境Z能够区分TPM和FEDVTPM的签名,意味着攻击者A破解了RSA大模数问题而这TPM使用的RSA算法的安全性相背,因此Ideal和Re al不可区分,因此根据定理3-4,虚拟机安全实现了加密函数FEDVTPM 。

由于动态TPM安全实现了加密函数FSDVTPM ,动态TPM安全实现了签名函数FSDVTPM,根据定理3-5复合协议安全性定理,动态TPM安全在UC安全框架下实现了TPM的功能。

5 结论

本文当前云计算存在的问题,提出了一种云服务器中动态可信平台模块的构建方法,在可信平台模块的基础上,基于虚拟隔离技术构建动态虚拟可信平台模块(Dynamic virtual Trusted Platform Module:DVTPM),以DVTPM构建动态可信平台模块,从而达到提高云服务器可信性,保护客户数据的目的,同时使用通用可组合协议分析方法论述了模型的安全性,并且在XEN实现了云计算模式下可信环境的一个实例。

摘要：在当前云计算模式下,云服务器并不能向客户证明其充分可信,也不能自我证明其自己的安全性,为了增强云服务器的可信性,该文提出了一种面向云计算模式的动态可信平台模块构造方法,在可信平台模块的基础上,使用虚拟隔离技术构建动态虚拟可信平台模块(Dynamic virtual Trusted Platform Module:DVTPM),实现信任链在虚拟机中的延伸,虚拟机可以有效地利用TPM提供的相关功能,从而达到提高云服务器可信性,保护客户数据的目的,同时使用通用可组合协议分析方法论述了该模型的安全性,并且在XEN平台下构建了云计算模式下动态虚拟可信平台模块构。

关键词：云计算,可信计算,动态虚拟可信平台模块,通用可组合协议

参考文献

[1]PUSKA H,SAARN ISAAR IH,IINATTI J.Serial searchcode acquisition using smart antennas with single correlator or matched filter[J].IEEE Transact ions on Communications,2008,56(2):299-307.

[2]Soltis,Steven R;Erickson,Grant M;Preslan,Kenneth W(1997),“The Global File System:A File System for SharedDisk Storage”,IEEE Transactions on Parallel and Distributed Systems