推荐星级:
- 1
- 2
- 3
- 4
- 5
基于双层信息流控制的云敏感数据安全增强
资料介绍
已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后,综合动态污点跟踪和虚拟机自省技术,设计并实现了原型系统IFCloud,可为云租户提供信息流跟踪与控制即服务,为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后,给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护.
部分文件列表
| 文件名 | 大小 |
| 基于双层信息流控制的云敏感数据安全增强.pdf | 952K |
部分页面预览
(完整内容请下载后查看)9
Vol. 46 No. 9
Sep. 2018
第
期
电
子
学
报
2018
9
ACTA ELECTRONICA SINICA
年
月
基于双层信息流控制的云敏感数据安全增强
1,2
1,2
1
1
,
,
,
吴泽智 陈性元 杜学绘 杨 智
( 1.
,
450001; 2.
,
100094)
信息工程大学密码工程学院 河南郑州
密码科学技术国家重点实验室 北京
:
、
。
,
摘
要
已有的云安全防护方法如加密 访问控制和虚拟机隔离等不能够提供数据端到端的安全防护 首先
,
、
、
提出了一个面向云环境的双层信息流控制模型 给出了模型的关键要素定义 集中式与分布式信息流控制规则 能力
、
.
,
,
标记调整规则 标记传播规则和降密规则 然后 综合动态污点跟踪和虚拟机自省技术 设计并实现了原型系统
IF-
Cloud,
,
、
可为云租户提供信息流跟踪与控制即服务 为云平台提供常见系统攻击如栈溢出 缓冲区溢出等攻击的防护机
.
制 最后 给出了原型系统
,
IFCloud . IFCloud
的功能测试结果 表明
、 、
能够灵活 正确 实时地跟踪和控制云下敏感数据
.
流 可应用于云平台下面向软件即服务的细粒度数据安全保护
.
:
;
;
;
;
关键词
中图分类号
URL: http: / /www. ejournal. org. cn
云数据安全 信息流控制模型 动态污点跟踪 虚拟机自省 栈溢出攻击
TP309
0372-2112 ( 2018) 09-2245-06
DOI: 10. 3969 /j. issn. 0372-2112. 2018. 09. 028
:
:
A
:
文章编号
文献标识码
电子学报
Enhancing Sensitive Data Security Based-on
Double-Layer Information Flow Controlling in the Cloud
1,2
1,2
1
1
WU Ze-zhi ,CHEN Xing-yuan ,DU Xue-hui ,YANG Zhi
( 1. College of Cryptogram Engineering,PLA Information Engineering University,Zhengzhou,Henan 450001,China;
2. State Key Laboratory of Cryptology,Beijing 100094,China)
Abstract: The existing security methods in the cloud such as encryption,access control,and VM isolation can not
guarantee end-to-end data security. To address this problem,a double-layer information flow control model is proposed. The
definition of key element,centralized and decentralized information flow rules,capability adjustment rules,label propagation
rules,and declassification rules of the model are presented. Then,taking the advantages of dynamic taint tracking and virtual
machine introspection technologies,a prototype system named IFCloud are designed and implemented. IFCloud achieves in-
formation flow tracking and controlling as a service for cloud tenant and provides detection methods against common system
attacks such as stack and buffer overflow attack for the cloud provider. Finally,IFCloud is demonstrated to be a flexible and
accurate system that tracks and controls the sensitive data flow in the cloud at runtime from the function test results,and it
can be applied to protect data security at a fine-grained level for the software as a service cloud.
Key words: cloud data security; information flow control model; dynamic taint tracking; virtual machine introspec-
tion; stack overflow attack
SafetyNet
. Cloud-
缺乏云租户虚拟机内数据安全机制
1
引言
[5]
Fence
pin
基于
插装平台实现了云下敏感数据流的跟
云计算在方便人们生活的同时也带来了严重的敏
, ,
踪 有效保证了云中租户数据隔离与安全共享 但其缺
. [1]
感数据安全问题 文献 研究了云数据完整性验证方
,
乏有效的信息流控制模型 不支持灵活可用的信息流
[6]
控制策略
和
[7] 在操作系统层实现了进
.
[2]
,
案 文献 综述了基于属性的云数据安全 文献 介
[3]
. FlowK
FlowR
.
绍了云应用安全相关研究进展 但上述工作都不能为
,
程级别粗粒度的信息流控制 不能提供细粒度的信息
云计算提供端到端数据安全保障
[4]基于
.
流控制机制 文献
[8]
实现云下基于信息流的审计 文
.
. CloudSafetyNet
.
网络通信保证了云租户之间数据与隐私安全 但
Cloud-
[9]
献
将可信平台技术与分散式信息流控制技术相结
: 2017-08-29;
: 2017-12-28;
:
收稿日期
修回日期
责任编辑 覃怀银
:
( 863) ( No. 2015AA016006,No. 2012AA012704)
基金项目 国家高技术研究发展计划
2246
2018
电
子
学
报
年
.
合并应用云数据安全增强 以上工作仅在租户层面考
、
、
要包括进程 数据 标记 操作四个要素和信息流发送和
、
, .
虑数据安全 未考虑为云服务提供商提供保护机制 综
、
接收控制规则 进程创建规则与标记传播规则
.
,
,
,
上 有必要研究细粒度的信息流控制机制 对于云租户
,
既能够保证云租户虚拟机内部数据安全 又能够保证
.
,
云租户之间的数据安全与共享 对于云服务提供商 能
.
够保护云平台不受恶意租户攻击
2
双层信息流控制模型
2. 1
模型安全标签设计
信息流控制机制实现的核心思想是将标签附着在数
,
,
据上 标签随着数据在整个系统中传播 即数据派生出的
.
对象也将会继承原有数据标签 利用这些数据标签能够
.
限制程序间的数据流向 本文安全标签设计如下
:
1
l
基础标签 表示某一类型的敏感数据或恶
1
定义
规则
信息流发送控制规则
i
S
. ,
意数据类型 在机密域 某一种基础标签可表示某一类
A
D if ( SL ( D) × SL ( D) ) ( SL ( A) × SL ( A) )
≤
→
C
I
C
I
. ,
秘密数据 在完整域 某一种基础标签可表示某一类恶
( 1)
.
L
l
,
意数据 标签 由不同种 组成集合 代表某一类或者
i
i
( 1)
A
D
:
D
式
表示进程 发送数据 的必要条件是 数据
的
.
多类敏感数据或恶意数据类型
( L, , , ) ,
∧ ⊥ Τ 标签值域是
A
标记与进程 的发送能力标记满足偏序关系
.
2
定义
一个乘积格 表示所有标签的集合 对于任意标签值
L,
标签格 表示为
2
规则
信息流接收控制规则
. L
,
x
R
,
A
D if ( RL ( D) × RL ( D) ) ( RL ( A) × RL ( A) )
≤
属于标签值域 交汇运算∧取集合并集∪ 其顶元素
→
C
I
C
I
,
.
是空集 表示为 Τ 交汇运算符定义了标签值域上的
( 2)
(
一个偏序 记为≤ 若有
) , L ,L L = L .
L
L
≤
≤
则有
( 2)
A
D
:
D
式
表示进程 接收数据 的必要条件是 数据
的
1
2
2
1
1
2
3
L ,
:
定义
格的顶元素是标签格的底元素⊥
反转标签格 表示为 定义为 反转标签
A
标记与进程 的接收能力标记满足偏序关系
.
re
= T,
反转标签格的
3
规则
进程创建规则
re
T =
, ,
⊥ 同理 通过对称方法
底元素是标签格的顶元素
可求反转标签格中其它元素值 其有如下性质 反转标
L = L ,
if A copyB then ( L ( B) = L ( A) ) and ( L ( B) = L ( A) )
re
C
C
I
I
→
.
:
( 3)
L
L
L
签的值域仍然是原标签格值域
L .
且
≤
1
2
1
re
2
2
( 3)
A
B
,
B
式
表示通过复制方式进程 创建进程 后 进程
,
若标签格的偏序性质用于机密性保护 则反转标
≤
1
A
.
:
fork
安全标记继承进程 安全标记 例如 通过
创建的
.
签格偏序性质可用于完整性保护
.
进程可采用该规则标记新进程
4
L = L × L .
i
定义
标签格卡尔笛积 表示为
×
c
if A exeB then( L ( B) = P( B) ) and( L ( B) = P( B) )
C
I
→
,
安全系统通常需要机密性和完整性保护 因而需
( 4)
.
要统一机密性标签和完整性标签 标签格卡尔笛积有
( 4)
A
B
,
B
式
表示通过执行方式进程 创建进程 后 进程
: ( L × L ) ( L × L ) = ( ( L
≤
L ) ( L
∧
如下性质
≤
c1
i1
c2
i2
c1
c2
i1
P( Policy) exec
.
:
安全标记由其策略文件
决定 例如 通过
L ) ) ,
≤
若机密性标签格满足偏序关系且完整性标签
i2
,
加载的特定的可执行二进制程序时 可使用该规则标
,
格满足偏序关系 则标签格卡尔笛积满足偏序关系
.
.
记新创建的进程
5
定义
标签互斥 标签互斥是指在需要约束的标
4
规则
标记传播规则
R
签集 中 对于任意保密性或完整性标签
, X,
需满足
if D D then ( L ( D ) = L ( D ) L ( D ) )
∪
→
a
b
C
b
C
a
C
b
R
X
< 2.
X
即标签 不能同时具备互斥约束集
R
∣
∩
∣
and( L ( D ) = L ( D ) L ( D ) )
∪
( 5)
I
b
I
a
I
b
.
中两个或以上的基础标签
通过标签互斥可有效地实现最小特权原则和职责
( 5)
D
D
,
时 数据
D
式
表示信息流从数据
流向
的标
a
b
b
D
D
( ) .
标记相并 标记格内交汇运算
记更新为
标记传播分为两种情形 第一 进程执行过程中内
b = a
与
a
b
. ,
分离原则 制定最小特权原则时 仅给该主体标签分配
:
,
;
,
相应的基础标签 制定职责分离原则时 将不同的基础
.
,
,
时 信息
部的标记传播 例如 程序执行赋值指令
.
标签分配给不同主体标签
a
b,
b
流从数据 流向了数据 需要将 的标记进行更新 第
.
2. 2
集中式信息流控制
,
.
,
二 进程之间通信产生的标记传播 例如 进程 向进程
A
1
,
集中式信息流控制主要元素和规则如图 所示 主
B
a,
B
通过套接字发送了信息 进程 接收该信息并保存
全部评论(0)