一种安全可证明的PaaS架构

1、一种基于多重第三方的PaaS信任证明机制的研究苏航 | 2011级信安7班报告提纲21 研究简介3 方案设计4 实现及实验5 文章总结与展望1 研究简介1.选题背景及意义2.相关工作3.研究内容31.1 选题背景介绍4云计算安全恐慌云计算安全恐慌云计算已经得到充分的使用远程证明远程证明云计算安全不易控制用户不知道云服务或应用是否可信云服务供应商的承诺备受质疑1.2 研究意义建立更加稳定有效的远程证明通信机制减少攻击者影响远程证明的可能性确保用户数据的完整性保证云应用程序代码的完整性51.3 研究内容6 基于多重远程证明的PaaS的云应用管理身份识别证书安全会话建立验证者筛选算法多重远程证明基于

2、信誉的决策机制2 方案设计1.问题描述2.解决思路3.主体架构4.详细方案72.1 问题描述82.2 解决思路9安全的通信方式 通信信道应当保护通信者之间的隐私性 通信过程中不能遭受外界的干扰多重验证者 防止因单一验证者的失效而造成证明服务的不可用 防止因单一验证者的过失造成证明结果的错误合谋攻击 引入多重验证后，黑客仍然可以通过掌控多个验证者进行攻击 验证机制需要识别出正常的验证者和合谋者 单一远程证明者的局限性意外事故（停电、宕机）外界攻击（黑客获取权限）过失（机械故障）2.3 解决方案主体架构10提供应用程序提供远程证明提供计算和存储资源发起应用管理保证安全通信2.3 解决方案主体架构1

3、1基于多重第三方的远程证明身份证书的申请安全会话的建立验证者筛选算法 云应用管理基于信誉的抗合谋机制2.3 方案一身份证书的申请122.3 方案二安全会话的建立132.3 方案三多重验证者筛选14 验证者不能全部提供给一个用户一旦被攻击将危及所有用户浪费大量的存储和计算资源占用大量的带宽保证分散性保证稳定性2.3 方案四基于多重远程证明的云应用管理（）15用户可以感知完整性最终的执行决定由用户进行2.3 方案四基于多重远程证明的云应用管理（）16用户可以感知完整性最终的执行决定由用户进行2.3 方案五基于信誉的抗合谋机制17存在攻击者控制大量验证者的可能性同时给出虚假验证结果基于信誉的方式进行

4、投票用户可以对信誉进行反馈3 实现及实验1.实验环境2.安全性测试3.实验分析183.1 实验环境硬件平台硬件平台实验机的硬件配置：Intel奔腾双核E5400，内存2GB，硬盘剩余空间在1GB以上，并配有支持TCP/IP协议栈的网络设备。操作系统操作系统本实验选择的操作系统是Mac OSX Mountain Lion，并且程序将运行在Java虚拟机JVM之上。开发环境开发环境对于所有的参与者，本实验都采用Java语言进行编程开发，具体使用的开发工具包版本是Java SDK 1.7。开发的平台采用集成开发环境软件（IDE）Eclipse Juno。公有云平台公有云平台由于本实验涉及到云计算，其

5、中需要用到一个PaaS云计算平台。本实验采用的是谷歌云计算平台Google App Engine，它是一个对外的半免费性质的PaaS架构，并且有专门的基于Eclipse的插件及特有的管理工具，通过使用这些管理工具作者成功地构建了一个虚拟的云平台管理者服务器。 193.2 安全性测试（1）维持：参与验证者数目7，无抗合谋策略变化：每个验证者的验证成功率观测：500次验证的总成功数20010020030040050060010%20%30%40%50%60%70%80%90%不同单体概率下验证者集群的断言成功率不同单体概率下验证者集群的断言成功率3.2 安全性测试（2）21290310330350

6、37039041043045015111521不同数量下验证者集群的断言成功率不同数量下验证者集群的断言成功率维持：每个验证者70%的成功率，无抗合谋策略变化：参与验证的验证者的数目观测：500次验证的总成功数3.2 安全性测试（3）220102030405060708090100050100150200合谋者平均信任值感染者数目正常者数目引入基于信任抗合谋策略，初始信任为满值100验证者49个，每次验证中参与的验证者为7个，初始合谋者为14个。观测：合谋者的信任值、感染者（冤屈者），以及正常者的数目3.3 实验结论1. 当个体断言成功维持50%以上时，参与验证的验证增多时会引起集体远程证明的成功率不断增大。2. 当个体断言率增大时，集体远程证明的成功率也会增大。3. 当攻击者控制多个验证者后可以显著降低个体断言的成功率，但是基于信誉评价的投票机制可以快速地降低被控制的合谋者的信任度，并且及时恢复受冤屈者的信任。234 论文总结244 文