隨著云服務(wù)結(jié)構(gòu)日趨復(fù)雜,在云中發(fā)現(xiàn)的漏洞也越來越多,目前在部署最為廣泛的基礎(chǔ)設(shè)施云平臺OpenStack中就已發(fā)現(xiàn)173個漏洞。而云環(huán)境的多租戶模式為攻擊者攻擊其他云租戶提供了機會,攻擊者可以利用云服務(wù)漏洞竊取租戶隱私數(shù)據(jù)、入侵云服務(wù)等�，F(xiàn)有研究大多認為云服務(wù)可信,在此假設(shè)前提下研究云存儲安全與云應(yīng)用安全等。而OpenStack曝出的173個漏洞充分證明了云服務(wù)實際上并不安全,并且用戶充分信任云服務(wù),授予云服務(wù)全部的權(quán)限。一旦云服務(wù)被入侵,攻擊者可以執(zhí)行任意操作,引發(fā)的安全威脅不容小覷。因此針對云服務(wù)漏洞攻擊的安全云服務(wù)構(gòu)建機制是一項十分值得研究的課題�；诩毩６葎討B(tài)行為檢測的安全云服務(wù)構(gòu)建機制以O(shè)penStack為例,實現(xiàn)對云服務(wù)漏洞攻擊的主動防御。首先,通過分析大量OpenStack設(shè)計文檔與CVE官網(wǎng)的漏洞說明,綜合考慮安全需求和風險等級,定義了OpenStack五個核心組件(KeyStone、Nova、Cinder、Glance、Swift)中的安全敏感數(shù)據(jù)和安全敏感操作,為云服務(wù)安全研究提供細粒度的保護目標。其次,根據(jù)安全敏感數(shù)據(jù)和操作列表,在云服務(wù)處理用戶請求前分析執(zhí)行用戶... 

【文章來源】：華中科技大學湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：58 頁

【學位級別】：碩士

【部分圖文】：

漏洞攻擊Ⅰ攻擊示例

圖 2-2 攻擊Ⅲ攻擊示例3 設(shè)計目標上一小節(jié)闡述了三種漏洞攻擊方式，通過這些方式，攻擊者可以實現(xiàn)竊取、讀/寫任意文件，甚至入侵云節(jié)點/云服務(wù)并將攻擊傳播至更多的云服務(wù)。Ⅰ產(chǎn)生的原因在于 OpenStack 原本的安全策略（訪問控制、身份驗證、數(shù)）由不可信的云服務(wù)執(zhí)行，而由于云服務(wù)漏洞的存在，這些為了保持云租、數(shù)據(jù)完整性的安全策略沒有得到正確的執(zhí)行，造成隱私數(shù)據(jù)的泄露。漏利用節(jié)點入侵漏洞對云服務(wù)或云主機進行攻擊，其根本原因在于云節(jié)點運過多、同時管理所有的云資源，攻擊者利用云服務(wù)的 root 權(quán)限訪問用戶無文件，操控云服務(wù)管理的所有資源，甚至獲得控制權(quán)。漏洞攻擊Ⅲ產(chǎn)生的云服務(wù)之間互相信任，服務(wù)組件內(nèi)不會對請求來源和請求完整性進行驗證擊者在漏洞攻擊Ⅱ成功的基礎(chǔ)上利用云服務(wù)之間的交互擴大攻擊范圍。因夠防御漏洞攻擊Ⅱ，漏洞攻擊Ⅲ也將隨之而解決�；诩毩６葎討B(tài)行為檢測的安全云服務(wù)構(gòu)建機制的愿景是解決上述三種云

華 中 科 技 大 學 碩 士 學 位 論 文表 2-1 KeyStone 安全敏感定義服務(wù) 漏洞類型 安全敏感數(shù)據(jù) 安全敏感操服務(wù) - 密碼 -服務(wù) 身份驗證漏洞 -令牌驗證數(shù)字簽名服務(wù) 訪問控制漏洞 - 訪問控制（所有服務(wù) - - -- 憑證泄露漏洞 日志 -ova 計算服務(wù)a 計算服務(wù)的體系結(jié)構(gòu)如圖 2-3 所示，主要服務(wù)組件為 nova-api、noeduler、nova-conductor、消息隊列和數(shù)據(jù)庫。


本文編號：2921665