国家自然科学基金(61202081) 作品数:10 被引量:139 H指数:8 相关作者: 刘川意 方滨兴 林杰 王国峰 王春露 更多>> 相关机构: 北京邮电大学 华中科技大学 广东邮电职业技术学院 更多>> 发文基金: 国家自然科学基金 国家科技重大专项 国家高技术研究发展计划 更多>> 相关领域: 自动化与计算机技术 更多>>
IVirt:基于虚拟机自省的运行环境完整性度量机制 被引量:13 2015年 完整性度量是检测程序篡改的重要方法,但是在虚拟化环境下传统的检测方法已体现出不足.例如,度量软件与被度量对象处于相同操作系统中易受攻击.该文从安全性和性能两方面出发,提出了一种基于虚拟机自省的完整性度量机制IVirt(Integrity for Virtualization).该机制从虚拟机外部通过地址转换和内容定位得到所需的虚拟机内存数据,从而对虚拟机内部的程序进行完整性度量,以检验程序是否遭到篡改.该文以典型的虚拟机监视器Xen为例实现了IVirt原型系统.相比于同类工作,IVirt一方面将度量软件与被度量对象分离,防止度量软件遭到攻击;另一方面采用地址转换来度量运行时状态,这区别于采用事件拦截机制的度量方法,以降低性能开销.实验结果表明,该方法能够检测出虚拟机运行时的软件篡改,而且在性能上不会引入过高的代价. 林杰 刘川意 方滨兴关键词:虚拟化 虚拟机监视器 运行时间 可信的云计算运行环境构建和审计 被引量:21 2016年 可信的云计算运行环境很大程度决定了云服务的推广和有效使用.采用可信计算技术的基本假设是所有在运行环境中安装的内核模块和应用程序都需要事先指定并已知其执行代码的完整性信息.这个假设在云用户实际使用时往往是不可能的.所以该文提出了一种将虚拟可信根vTPM和可信审计技术结合起来的用户可信运行环境构建与审计机制.对于体系结构栈中可事先固定的、在启动和运行时不变的组件,通过vTPM作可信根保证可信启动;对于运行过程中变化的、无法事先确定的组件,文中提出了一种可信审计的方法,即对用户虚拟机的运行态环境进行证据收集和证据审计,监测实际使用中用户运行环境的可信性.若用户运行环境处于不可信状态,则及时通知用户采取相应措施.最后文中基于该可信机制的原型系统对其有效性和性能代价进行定量测试和评价,实验结果表明:该机制针对典型的不可信威胁是有效的,且引入的性能代价对用户实际使用的影响可以忽略. 刘川意 王国峰 林杰 方滨兴关键词:云计算 可信计算 面向云计算模式运行环境可信性动态验证机制 被引量:19 2014年 如何为用户提供一个可证明、可验证的可信运行环境,是云计算模式面临的重要问题.提出一种动态的用户运行环境可信性验证机制TCEE(trusted cloud execution environment).通过扩展现有可信链,将可信传递到用户虚拟机内部,并周期性地对用户运行环境的内存和文件系统进行完整性验证.TCEE引入可信第三方TTP(trusted third party),针对用户虚拟机运行环境的可信性进行远程验证和审计,避免了由用户维护可信验证的相关信息和机制,同时也能够避免云平台敏感信息的泄露.实现了基于TCEE的原型系统,对TCEE的有效性和性能代价进行定量测试和评价.实验结果表明,该机制可以有效检测针对内存和文件系统的典型威胁,且对用户运行环境引入的性能代价较小. 刘川意 林杰 唐博关键词:云计算 可信计算 TPM 一种基础设施云系统——YUN 2012年 文章设计了一个虚拟化平台层——YUN系统,介绍了YUN系统的设计目标、系统架构及主要子系统的功能。YUN系统是一种基础设施云系统。YUN系统管理和虚拟化异构、分布的物理资源(包括服务器设备、网络设备、存储设备),并以即付即用的方式将这些资源按需提供给用户使用;通过虚拟化和网络技术,将操作系统功能边界扩展到网络侧,使得终端侧和网络侧能够在一个统一的架构内进行计算和资源的配置、调度、管理,实现网络化操作系统充分、合理地使用和共享网络系统内的资源。 刘川意 林杰关键词:云计算 基础设施即服务 虚拟机 云计算环境下密文搜索算法的研究 被引量:15 2013年 为确保数据私密性,用户选择将数据加密后再上传到云端,但云无法为密文数据提供管理和搜索等服务。密文搜索技术可以把保护用户数据私密性和有效利用云服务结合起来。在分析云环境下密文搜索算法的基础上,提出基于云环境的密文搜索体系结构,研究其中的关键技术,指出云环境应用密文搜索技术存在的问题和改进的方向。 项菲 刘川意 方滨兴 王春露 钟睿明关键词:倒排索引 BLOOMFILTER 基于可验证计算的可信云计算研究 被引量:17 2016年 云计算的可信性直接决定了其能否被广泛使用和推广.如果能使得云计算用户验证存储在云平台的数据的完整性或者在云平台执行的程序的正确性,将会大大加快云计算的应用.而可验证计算协议可检测出远程服务器返回的程序执行结果是否正确,且不需要将远程服务器所执行的程序再重新执行一遍.因此,近年来,可验证计算协议引起了学术界和工业界的广泛关注,成为实现可信云计算的一种建设性思路.文中在系统梳理和总结可验证计算协议国内外相关研究的基础上,依据可验证计算协议的实施流程对其按照编译处理和证明系统分类.其中,依据可验证计算协议使用的编译器的复杂程度,分为使用简单编译器的可验证计算协议和使用复杂编译器的可验证计算协议;依据证明系统的分类,主要研究基于交互式证明系统的可验证计算协议和基于论证系统的有预处理的可验证计算协议.随后对依据证明系统划分的每一分类,围绕基本定义、典型协议原理及流程、适用应用场景、性能分析等问题,对基于可验证计算的可信云计算进行了综述.最后,总结和展望了待解决的关键性问题和未来的研究方向.上述工作将对可验证计算协议在云计算中的应用起到一定推动作用. 王佳慧 刘川意 王国峰 方滨兴关键词:云计算 云安全 云计算虚拟机部署方案的研究 被引量:14 2015年 提出了一种虚拟机部署方案,该方案的目的是减少主机上的资源碎片。对不同规格的虚拟机在下一时间段内的增量进行了预测,根据预测结果对资源池中主机上的可用中央处理器(CPU)和内存(memory)进行动态规划。该方案考虑了用户的行为习惯,预先确定了资源的分配规则,当用户申请虚拟机时,直接将虚拟机部署到指定的主机上。最后在CloudStack平台上对该方案进行了实验验证,实验结果表明该方案能够有效地减少资源碎片。 张笑燕 王敏讷 杜晓峰关键词:虚拟机 动态规划 新的基于云计算环境的数据容灾策略 被引量:22 2013年 针对云提供商在保证数据可靠性的基础上,尽可能地降低自身的数据容灾成本这一需求,提出了一种基于"富云"的数据容灾策略——RCDDRS,该策略能够实现动态多目标调度,即在云提供商本身存储资源有限的情况下,合理地选择其他云提供商的资源储存数据备份,使得数据容灾成本尽可能的低且出现灾难后的恢复时间尽可能的短。仿真结果证明了该策略的可行性和有效性。 项菲 刘川意 方滨兴 王春露 钟睿明关键词:云计算 数据容灾 可靠性 云存储中利用属性基加密技术的安全数据检索方案 被引量:28 2016年 针对传统方法在对云存储的加密数据进行检索时效率不高的问题,提出了一种利用属性基加密(ABE)技术的安全数据检索方案。利用ABE提供丰富的索引词表达能力,从而确保数据安全性,通过平衡云服务提供商运行开销和其他用户参与基于云存储的信息检索服务,使用加密运算替代穷尽搜索,使得搜索过程与现存数据库管理系统机制更加兼容。分析结果表明,相比其他几种较新的方案,方案在访问控制和快速搜索中具有更好的性能,且能在数据检索过程中确保数据安全性和用户隐私,适合应用于具有大量数据的云存储系统。 杜朝晖 朱文耀关键词:数据安全 数据检索 基础设施云模块化解构 被引量:1 2013年 提出一种基础设施云模块化解构模型,将典型的基础设施云解构为5个子系统,即虚拟化运行环境子系统、云存储子系统、虚拟网络子系统、模块互联子系统、用户管理子系统.依据该模型对主流基础设施云的体系结构、主要模块、主要功能和性能指标等进行了对比分析,为系统构建、选型和关键技术研究提供参考. 刘川意 方滨兴 林杰关键词:云计算 虚拟网络