發(fā)布時(shí)間：2020-12-17 07:39

　　隨著云服務(wù)結(jié)構(gòu)日趨復(fù)雜,在云中發(fā)現(xiàn)的漏洞也越來越多,目前在部署最為廣泛的基礎(chǔ)設(shè)施云平臺(tái)OpenStack中就已發(fā)現(xiàn)173個(gè)漏洞。而云環(huán)境的多租戶模式為攻擊者攻擊其他云租戶提供了機(jī)會(huì),攻擊者可以利用云服務(wù)漏洞竊取租戶隱私數(shù)據(jù)、入侵云服務(wù)等�，F(xiàn)有研究大多認(rèn)為云服務(wù)可信,在此假設(shè)前提下研究云存儲(chǔ)安全與云應(yīng)用安全等。而OpenStack曝出的173個(gè)漏洞充分證明了云服務(wù)實(shí)際上并不安全,并且用戶充分信任云服務(wù),授予云服務(wù)全部的權(quán)限。一旦云服務(wù)被入侵,攻擊者可以執(zhí)行任意操作,引發(fā)的安全威脅不容小覷。因此針對(duì)云服務(wù)漏洞攻擊的安全云服務(wù)構(gòu)建機(jī)制是一項(xiàng)十分值得研究的課題。基于細(xì)粒度動(dòng)態(tài)行為檢測(cè)的安全云服務(wù)構(gòu)建機(jī)制以O(shè)penStack為例,實(shí)現(xiàn)對(duì)云服務(wù)漏洞攻擊的主動(dòng)防御。首先,通過分析大量OpenStack設(shè)計(jì)文檔與CVE官網(wǎng)的漏洞說明,綜合考慮安全需求和風(fēng)險(xiǎn)等級(jí),定義了OpenStack五個(gè)核心組件(KeyStone、Nova、Cinder、Glance、Swift)中的安全敏感數(shù)據(jù)和安全敏感操作,為云服務(wù)安全研究提供細(xì)粒度的保護(hù)目標(biāo)。其次,根據(jù)安全敏感數(shù)據(jù)和操作列表,在云服務(wù)處理用戶請(qǐng)求前分析執(zhí)行用戶... 

【文章來源】：華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：58 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

漏洞攻擊Ⅰ攻擊示例

圖 2-2 攻擊Ⅲ攻擊示例3 設(shè)計(jì)目標(biāo)上一小節(jié)闡述了三種漏洞攻擊方式，通過這些方式，攻擊者可以實(shí)現(xiàn)竊取、讀/寫任意文件，甚至入侵云節(jié)點(diǎn)/云服務(wù)并將攻擊傳播至更多的云服務(wù)。Ⅰ產(chǎn)生的原因在于 OpenStack 原本的安全策略（訪問控制、身份驗(yàn)證、數(shù)）由不可信的云服務(wù)執(zhí)行，而由于云服務(wù)漏洞的存在，這些為了保持云租、數(shù)據(jù)完整性的安全策略沒有得到正確的執(zhí)行，造成隱私數(shù)據(jù)的泄露。漏利用節(jié)點(diǎn)入侵漏洞對(duì)云服務(wù)或云主機(jī)進(jìn)行攻擊，其根本原因在于云節(jié)點(diǎn)運(yùn)過多、同時(shí)管理所有的云資源，攻擊者利用云服務(wù)的 root 權(quán)限訪問用戶無文件，操控云服務(wù)管理的所有資源，甚至獲得控制權(quán)。漏洞攻擊Ⅲ產(chǎn)生的云服務(wù)之間互相信任，服務(wù)組件內(nèi)不會(huì)對(duì)請(qǐng)求來源和請(qǐng)求完整性進(jìn)行驗(yàn)證擊者在漏洞攻擊Ⅱ成功的基礎(chǔ)上利用云服務(wù)之間的交互擴(kuò)大攻擊范圍。因夠防御漏洞攻擊Ⅱ，漏洞攻擊Ⅲ也將隨之而解決。基于細(xì)粒度動(dòng)態(tài)行為檢測(cè)的安全云服務(wù)構(gòu)建機(jī)制的愿景是解決上述三種云

華 中 科 技 大 學(xué) 碩 士 學(xué) 位 論 文表 2-1 KeyStone 安全敏感定義服務(wù) 漏洞類型 安全敏感數(shù)據(jù) 安全敏感操服務(wù) - 密碼 -服務(wù) 身份驗(yàn)證漏洞 -令牌驗(yàn)證數(shù)字簽名服務(wù) 訪問控制漏洞 - 訪問控制（所有服務(wù) - - -- 憑證泄露漏洞 日志 -ova 計(jì)算服務(wù)a 計(jì)算服務(wù)的體系結(jié)構(gòu)如圖 2-3 所示，主要服務(wù)組件為 nova-api、noeduler、nova-conductor、消息隊(duì)列和數(shù)據(jù)庫(kù)。


本文編號(hào)：2921665