面向PaaS云的信息流控制模型及關鍵技術研究.pdf

1、PaaS云作為一種重要的云計算模式，通常以可編程容器的形式交付一組軟件和基礎設施供云租戶開發(fā)、托管及部署應用程序或服務。PaaS平臺自身負責維護資源的動態(tài)擴展，可極大降低應用程序的開發(fā)成本和開發(fā)負擔，近年來在谷歌、亞馬遜和微軟等云巨頭的大力推動下迅猛發(fā)展，其商業(yè)價值也日益凸顯。然而，PaaS云在快速發(fā)展的同時也面臨著無法回避的數(shù)據(jù)安全和隱私保護問題。首先，用戶將數(shù)據(jù)存儲在云端，不再擁有對自己數(shù)據(jù)的完全控制能力，只能信任云服務商和平臺自身

2、的安全機制來提供數(shù)據(jù)安全保護，而云服務商和PaaS平臺的可信性不易評估。同時，為提高應用開發(fā)效率，PaaS云應用通常集成了大量第三方組件，但是組件代碼本身不可避免地會存在一些缺陷，組件間交互也可能會存在錯誤配置，進一步增加了應用的脆弱性。此外，PaaS云整合了多種分布式異構資源，為提高資源綜合利用率，多租戶多用戶之間通常共享計算與存儲資源，加劇了用戶數(shù)據(jù)被惡意用戶非法訪問的風險。這些都可能會威脅到整個平臺和用戶數(shù)據(jù)的安全，造成隱私數(shù)據(jù)泄

3、露、平臺完整性破壞等嚴重安全后果。因此，需要對PaaS平臺實施以數(shù)據(jù)為中心的端到端的安全防護，確保即使平臺本身或組件存在安全漏洞也不會導致用戶隱私信息泄露和完整性破壞。
　　本研究主要內容包括：⑴提出了一個面向PaaS云的分布式信息流控制模型PIFC，實現(xiàn)了以數(shù)據(jù)為中心的、靈活的、細粒度信息流控制，有效增強了PaaS平臺和用戶數(shù)據(jù)的機密性和完整性?，F(xiàn)有的云安全模型主要針對IaaS和SaaS的安全需求，不能很好地滿足PaaS云環(huán)境的

4、分布式、語言級細粒度信息流控制需求。對此，提出了一個面向PaaS的信息流控制模型(Information Flow Control Model for PaaS，PIFC)。該模型將實施IFC的實體與對象關聯(lián)，實施細粒度的信息流控制；定義了授權實體及其偏序關系，支持實體間特權傳遞以滿足最小權限原則；引入了能力概念，允許授權實體表達并實施獨立的安全需求，以實現(xiàn)分布式特權；引入了標簽授權約束集，以防止用戶利益沖突并支持職責分離。⑵基于SPA

5、語言描述了PIFC模型的形式化規(guī)范，提出一種基于SPA進程等價關系的可降級無干擾屬性，實現(xiàn)了對PIFC模型的無干擾性質的形式化證明和自動化驗證?；诎踩M程代數(shù)SPA的語法和語義形式化描述了PIFC模型，分析比較并證明了經(jīng)典無干擾屬性的偏序關系，基于進程等價關系提出了可降級的組合不可推斷性NDCD，分析并定義了PIFC系統(tǒng)的高級、低級和降級動作集，通過定理歸納證明及工具自動化驗證表明了PIFC模型是無干擾安全的。⑶設計了一種基于安全斷言

6、的高層策略描述語言，提出了基于遺傳算法的PIFC安全標記自動化配置方法，可有效挖掘出滿足PaaS云應用系統(tǒng)安全需求的近似最優(yōu)解方案。PIFC模型可以細粒度地控制信息的訪問和傳播，但其靈活性也增加了PaaS云策略管理的復雜性。設計了一種基于安全斷言的策略描述語言以表達 PaaS平臺的安全需求；形式化定義了信息流安全標記挖掘問題，分析并證明了該問題是 NP完全問題；提出了基于遺傳算法的標記挖掘近似最優(yōu)化算法。分析評估了影響算法效率的主要因素

7、，實驗結果表明，算法可自動挖掘出滿足PaaS云應用系統(tǒng)安全需求的策略配置近似最優(yōu)解方案。⑷形式化定義了基于計算樹時序邏輯CTL的PIFC信息流策略安全性分析問題，提出了基于分支限界和模型檢測的兩種策略驗證方法，可有效驗證 PaaS云信息流策略是否一致完備地滿足特定安全需求。PaaS云中安全策略的錯誤配置會造成權限泄露等影響系統(tǒng)安全運行的嚴重后果。策略的安全性分析判定系統(tǒng)的所有可達狀態(tài)是否都能保持特定的安全屬性，可以驗證策略是否一致完備的

8、滿足安全需求。形式化定義了基于Kripke結構和計算樹時序邏輯的信息流策略安全性分析問題，驗證信息流允許、禁止和授權管理三類信息流安全目標。提出了基于分支限界和模型檢測的策略驗證方法，有效增強了PaaS云中信息流策略的安全性和可靠性。⑸提出了一個面向 PaaS云的信息流控制框架 GIFC，結合了對象級、消息級和SQL級三種控制粒度，實現(xiàn)了PaaS云中用戶數(shù)據(jù)整個生命周期的端到端的信息流跟蹤和控制。現(xiàn)有的信息流控制機制存在控制粒度單一、需

9、要修改語言運行時環(huán)境等問題?；赑IFC模型，結合最典型的PaaS云平臺GAE，提出了一個信息流控制框架GIFC，結合了對象級、消息級和SQL級三種控制粒度。組件內利用Python的裝飾器和動態(tài)分發(fā)機制等高級特性，設計并實現(xiàn)了一個輕量、易用、簡潔的Python庫LPIFC，可以控制對象的方法調用所涉及實體間的信息交互，避免了傳統(tǒng)方式中修改解釋器的缺陷；組件間消息代理根據(jù)消息安全標記來過濾消息，以此限制組件可以接收的消息集；組件與GAE