云安全中的可信识别技术研究.docVIP

云安全中的可信识别技术研究 摘 要：针对云计算固有的虚拟性和透明性不足导致的认证困难，在本文，作者将可信特征信息和关键的云安全技术相融合构造可信的云安全技术。这其中，可信识别技术将识别技术和识别行为密钥相结合，克服识别技术中存在的误识率和拒识率的固有矛盾。可信融合验证将可信识别技术和可信密码学技术相融合，身份无法伪造，一旦应答，双方均不能否认。 关键词：云计算；可信认证；安全 云计算是继同构计算、异构计算、元计算、网格计算、普适计算之后最有希望的计算模式。云计算的初始定义来自IBM公司2007底的云计算计划，在该计划中将云计算平台定义为：按用户的需求动态地部署、配置、重配置以及取消服务等伸缩性平台。 看到其中蕴含的巨大商机和潜力，一些知名的IT企业相继推出自己的云服务。典型SaaS如：Google的APP Engine、Microsoft的Live Meeting、Office Live；典型的Paas如：Google Code、Facebook developers以及Saleforce提供的；典型的IaaS如：IBM的“兰云”，Microsoft的Azure、Amazon的EC2/S3/SQS等等，而且一些新的应用还在不断的推出。但在这云应用繁荣的背后，隐藏大量以风险。以前的风险依然存在，在新的环境中还可能造成更大的危害。新出现的风险表现在：1）传统的安全域的划分无效，无法清楚界定保护边界及保护设备和用户；2）用户的数量和分类不同，变化频率高，动态特性和移动特性强；3）数据、服务，通信网络被服务商所控制，如何确保服务的可用性，机密性等，使用户相关利益得到保护。 可信云是可信技术在云计算中的扩展，相关技术即可信云安全技术。本文对可信云环境中三种关键的安全技术即：可信识别技术、可信融合验证技术做了一些研究。这两种安全技术不仅把设备作为可信计算根，更把设备使用人作为可信计算的根，以信任根计算为计算手段，达到可信跟计算认证目的。可信识别技术将识别技术和识别行为密钥技术的相结合，将识别行为产生的密钥编码和设定的行为密钥进行来进行判别，克服误识率和拒识率的矛盾，增强防范身份假冒，身份伪造能力；可信密码学技术是对由可信根生成的可信点集矩阵进行基于拓扑群分形变换操作。可信密码学的密钥和算法都是随机可信的生物特征信息，因此密钥和算法凭都具有可验证性。采用可信模式识别技术和可信密码学技术，结合“零知识”，身份无法伪造，一旦应答，双方均不能否认。 1 可信识别技术 传统的模式识别技术是指对用户的生物特征进行测量，和预留的模板数据进行比较，依据匹配结果进行识别。这些生物特征包括指纹、声音，人脸、视网膜、掌纹、骨架、气味乃至于签名笔迹、图章印痕等等。传统的识别技术具有“拒识率”和“误识率”的缺陷，具体说就是：匹配阀值增大，拒识率升高，“误认率”下降；匹配阀值减小，拒识率降低，“误认率”升高。生物特征采样点的数量有限，容易引起误判。在云计算环境中，其固有的虚拟性特征以及透明性不足，使身份认证，可信登录更是面临着比传统计算环境更大的风险。 可信识别技术是传统识别技术和识别行为密钥技术的结合。识别行为或自然形成或人为设定，如人为设定的2次人脸对比规则是先张嘴、后闭嘴，指纹对比规则是先拇指、后食指等。将识别行为编排成组，为每组识别行为秘密设定一个数，该数是该组累积成功识别次数。可信识别失败并不是以一两次失败就断定此次识别失败，而是把失败的次数记录下来，直到超过预先设定的阀值才断定识别失败。可信识别成功也不是依靠一两次成功就断定识别成功，而是累计该组的成功识别次数，直到等于该组秘密设定的成功次数为止，才断定本组识别成功。而非法用户不能猜出识别的组数以及每组识别的次数，因此不能假冒合法用户。只有指定的每组识别都达到要求。才能最终判别是真正的合法用户。 传统的识别行为中特征信息的阀值起着关键作用，阀值给定，拒识率和误视率是存在难以克服的矛盾。可信的识别行为密钥，并不取决于个别识别行为“误识率”的高低，而取决于客户设置的有效识别行为密钥编码。 可信识别的技术优势：可信识别模式在传统的模式识别的基础上，结合组间识别行为特征，非识别数，编组识别设定数，各组识别行为总数等措施，从而具有一下优势：1）可以设置可信识别策略设计；2）具有区别错误拒识设置；3）具有区别误识和仿冒设置；4）具有统计结论模式。从而弥补了传统识别就“拒识率”和“误识率”的技术缺陷。 2 可信验证 可信融合验证技术采用可信模式识别技术和可信密码学技术，结合“云端零知识证明”，实现可信云端“零知识”认证，PKI等功能。 本文对云计算的一些关键安全技术作了一些探讨。可信云计算的识别技术是以可信的特征信息和识别行为相结合，通过判断对各组识别行为识别的成功数，克服识别模式中的拒识率和误识率的技术缺陷。可信融合