云计算与大数据--配套习题(徐小龙) 第5章 云计算安全-习题答案

1、第5章云计算平安习题5.1选择题1、云计算平安问题主要来源于（D ）oA.合法云计算用户的不法行为B.提供商管理的疏漏C.提供商滥用职权D.以上都是2、以下哪项不属于云计算典型平安问题的是（C ）。A.平安攻击问题B.可信性难题 C.系统漏洞D.多租户隐患3、以下哪项属于云计算平安目标（D ）oA.保障合法访问行为B.防止越权访问行为C.禁止非法访问行为D.以上都是4、用户合法获取云服务的第一道关卡是（A ）。A.身份认证 B.隔离机制 C.数据加密D.数据完整性保障5、防止不同用户间相互影响、降低被攻击平安风险的平安技术是（BA.身份认证机制B.隔离机制 C.数据加密技术 D.数据完整性保障

2、技术6、以下哪项不属于身份认证方案的类型（D ）。A.基于秘密信息的身份认证B.基于信任物体的身份认证C.基于生物特征的身份认证D.基于用户管理的身份认证7、以下不需要借助可信服务器的访问控制机制是（CA. XACMLB. SAML C. CP-ABED. KP-ABE8、KP-ABE与CP-ABE的不同之处关键在于（B ）。A.平安管理访问权限B.是否依赖于可信服务器C.客户端加密控制D,混合加密密钥管理9、多租户在共享资源时的隔离平安主要包括（D ）。A.数据平面的隔离平安B.程序平面的隔离平安C.网络平面的隔离平安D.以上都是10、基于区块链的数据完整性验证通过（B ）计算哈希值并判断其

3、与根哈希值是否一致。A. TEAB.默克尔哈希树C.椭圆曲线加密 D.CSP11、TEA主要的运算是（C ）。A.乘法B.取反C.移位和异或D.以上都是 12、证明云计算系统中的活动符合内部或外部要求的合规性机制是（C ）0A.数据加密技术 B.数据完整性验证C.云计算审计 D.椭圆曲线加密5.2填空题1、（访问控制机制）用于在鉴别用户的合法身份后，通过某种途径准许或限制用户访问 信息资源的能力及范围。2、CP-ABE的（不需要可信服务器）特点在云存储环境下具有很大优势，可以实现不 同用户对于存储在云服务提供商提供的不可信服务器上特定数据的不同权限的访问和处理。3、多租户在共享资源时的隔离平安

4、可分为（数据平面的隔离平安）、（程序平面的隔 离平安）、（网络平面的隔离平安）。4、（云平安基础服务）为各类云应用提供共性的信息平安服务，是支撑云应用满足用户 平安目标的重要手段。5.3简答题.请简述主要的云计算平安保障技术。答：身份认证机制。云计算身份认证是云服务提供商验证服务使用者身份的过程，在互 联网中，用户拥有的数字身份是由一组特定数据表示的，云服务服务商会对这一数 字身份进行认证和授权。不同于每个人独一无二的物理身份，数字身份可能会遭受 复制、代替等攻击，云服务提供商需要鉴别真实的授权用户并为其提供服务。访问控制机制。云计算访问控制用于在鉴别用户的合法身份后，通过某种途径准许 或限制

5、用户访问信息资源的能力及范围，特别是关键资源的访问，防止因非法用户 的侵入或者合法用户的非法操作而造成破坏0隔离机制。云计算隔离机制使得用户业务运行于封闭、平安的环境中，便于云服务 提供商管理用户；从用户的角度来看，可防止不同用户间的相互影响，降低受到非 法用户攻击的平安风险。数据加密技术。云计算数据加密技术可通过适合云计算的加密算法在数据的传输、 存储、使用过程中对数据进行加密处理，确保数据的私密性。数据完整性保障技术。云计算数据完整性保障技术用于在数据传输、存储和处理过 程中，确保其不被破坏或丧失，如果被破坏或丧失，也能及时发现并恢复数据。审计与平安溯源技术。云计算审计与平安溯源技术用于在

6、云计算系统中记录各用户 以及管理的活动过程，以便后期查询，在发现异常时可以通过查询系统日志来进行 平安溯源与修复。2、云计算系统使用数字平安身份管控模块来到达集中身份管理及统身份认证的目的，主 要应满足哪些需求？答：支持单点登录。集成多种认证及密码服务。提供不同强度的认证方式。支持分布式可扩展架构。支持身份生命周期管理。3、请简述典型的云平安基础服务。答：云身份认证与管理服务。云身份认证与管理服务主要涉及身份的创立、注销以及身 份认证过程。云访问控制与隔离服务。云访问控制与隔离服务的实现依赖于如何妥善地将传统的 访问控制模型（如基于角色的访问控制、基于属性的访问控制、强制/自主访问控 制模型等

7、），以及各种授权策略语言标准（如SAML等）扩展后移植入云计算系统 中。云审计与平安溯源服务。由于用户缺乏平安管理与举证能力，要明确平安事故责任 就要求云服务提供商提供必要的支持，因此，由第三方实施的审计就显得尤为重要。云加密与数据完整性验证服务。云计算系统中的各种应用与数据普遍存在加/解密 需求。云加密服务除了最基本的加/解密算法服务，密码运算中的密钥管理与分发、 证书管理及分发等都能以云平安基础服务的形式存在。5.4解答题1、OpenlD是一种开放、去中心化的网络身份认证系统。OpenlD主要由哪些局部构成？当 用户使用OpenlD登录时，系统的认证流程包含哪些步骤？ 答：OpenlD 主

8、要由标识符（Identifer）、依赖方（Relying Party, RP）和 OpenlD 提供方（OpenlD Provider,OP）组成。其中，标识符为“ /htlps”形式的 URI或可扩展的资源标识符（extensible Resource Identifier, XRI）, XRI是一套与URI兼容的抽象标识符体系。RP是需要对访问者 的身份进行验证的Web系统或受保护的在线资源，依赖于OP提供的身份认证服务。OP作 为OpenlD认证服务器，在为用户提供和管理标识符的同时，还可为用户提供在线身份认证 服务，是整个OpenlD系统的核心。OpenlD的认证流程如下：（1）用户请

9、求OpenlD的RP,并选择以OpenlD方式登录。（2） RP同意用户采用OpenlD方式登录。（3）用户重新以OpenlD方式登录，并让RP向自己提供标识符。（4） RP对标识符进行规范化处理，将用户的标识符规范化为OP确定的格式。（5）建立RP与0P之间的关联，并在网络中建立一条平安的密钥交换通道。OP处理RP的关联请求。RP向0P发送身份认证要求，同时将用户重定向到OP的身份认证入口处。（8）假设用户是首次认证，那么OP要求用户提交必要的认证信息，以便对其身份进行验 证。（9）用户登录，并向0P提交必要的身份认证信息。（10）通过对用户的身份认证后，OP将结果通知RP,并缓存该用户的登

10、录信息，以实 现单点登录。（ID RP对OP的反应结果进行判断，决定是否允许该用户访问其资源。（12）当通过身份认证后，用户便可以使用该RP提供的服务。在合理的时间范围内（具体根据用户与系统之间的交互需求，由OP设定），当该用户 登录平安逻辑域中其他受该OP保护的RP时，由于OP发现该用户的登录信息已经在缓存 区中并与之建立了关联，所以不再要求用户提交认证信息，而是直接将结果告知RP，从而实现单点登录。2、基于ABE的云访问控制模型时包含哪几个参与方？请进一步描述基于ABE的云访问控 制模型的工作流程。答：基于ABE算法的云访问控制模型，包括4个参与方：数据提供者、可信授权中心、云 存储服务器、用户。基于ABE算法的云访问控制模型工作流程：（1）可信授权中心生成主密钥和公开参数，将系统公钥传给数据提供者。（2）数据提供者收到系统公钥之后