第10章云安全机制讲解.pptVIP

移动云计算导论 授课教师：吴宇亭 Email 第10章云安全机制 本章内容 10.1 加密 10.2 哈希 10.3 数字签名 10.4 公钥基础设施 10.5 身份与访问管理 10.6 单一登录 10.7基于云的安全组 10.8 强化的虚拟服务器映像 10.1 加密 明文 plaintext 密文 ciphertext 加密机制 encryption（加密部件 cipher） 密钥 encryption key 对称加密 非对称加密 10.1.1 对称加密 10.1.2 非对称加密 Symmetric encryption Cipher: shift 3 places and capitalize Encrypt the message “I love cloud computing” L ORSH FORXG FRPXWLQJ Asymmetric encryption – Public key = (323, 11) – Private key = 131 – Plaintext = “ABC” –“ABC”????123?????????????? – Ciphertext = (123)11 mod 323 = 81 – Decryption: (81)131 mod 323 = 123 ??“ABC” 这是一个公钥加密，私钥解密 10.2 哈希 单向的、不可逆的数据保护形式 不提供密钥打开该消息 常见的应用—密码的存储 哈希函数（验证生成消息摘要） 保护消息的完整性 香港身份证校验码计算方法：由前7位确定，首位字母改为数字代表，即A以1代表，B以2代表...Z以26代表，可以得到8个数字，之后第一个数字乘以8，第二个数字乘以7，依此类推，第七个数字乘以2再将以上所有乘积相加，得到一个数，再将这个数除以11，得到余数。如果整除，校验码为0，如果余数为1，则校验码为A，如果余数为2～10，则用11减去这个余数，则为校验码。 身份证末位效验码 17位系数: 7、9、10、5、8、4、2、1、6、3、 7、9、10、5、8、4、2 各位乘以系数之和?11 余数（） 0 1 2 3 4 5 6 7 8 9 10 1 0 x 9 8 7 6 5 4 3 2 10.3 数字签名 一种身份验证（哈希+非对称加密） 不可否认性（提供真实性、完整性） 发送前赋予消息一个数字签名 消息被未授权篡改 数字签名变非法 缓解：恶意媒介、授权不足、信任边界重叠等 如何验证消息的完整性？ 10.4 公钥基础设施 Public Key Infrastructure PKI 管理非对称密钥 一个由协议、数据格式、规则和实施组成的系统 公钥身份识别（把公钥与相应的密钥所有者联系起来） 验证密钥的有效性 PKI依赖数字证书（带数字前面的数据结构） 认证管理机构 Certificate Authority CA（信任等级和可靠性越高，证书的信誉越好） PKI机制主要预防，不充分的授权威胁 10.5 身份与访问管理 认证（数字签名、数字证书、生物特征识别硬件、声音分析程序、绑定IP或MAC地址） 授权（授予身份、授予访问控制权、授予IT资源可用权） 用户管理 证书管理（过期证书无法访问） IAM（Identity and Access Management）机制对抗： 授权不足、拒绝服务攻击、信任边界重叠 等威胁 10.6 单一登录 Single Sign-On 安全代理（安全令牌） 主要增强可用性 10.7 基于云的安全组 基于云的安全组（cloud-based security group）机制 驱动力：在IT资源之间设置隔离能够增加对数据的保护； 过程：为不同的用户和组创建各自的物理和虚拟IT环境； 每个基于云的IT资源至少属于一个逻辑的基于云的安全组； 运行在同一物理服务器上的多个虚拟服务器可以是不同逻辑的基于云的安全组的成员； 对抗：拒绝服务、授权不足、信任边界重叠等威胁。 10.8 强化的虚拟服务器映像 虚拟服务器映像模板—配置出虚拟服务器 强化：把不必要的软件从系统中剥离出来，限制可能被攻击者利用的潜在漏洞（卸载冗余的软件、关闭不必要的服务器端口等） 强化的虚拟服务器映像（强化过的模板）出的虚拟服务器更安全 对抗：拒绝服务、授权不足、信任边界重叠等 本章小结 加密机制（对抗）：流量窃听、恶意媒介、授权不足、信任边界重叠 哈希机制（减轻）：恶意媒介、授权不足 数字签名（缓解）：恶意媒介、授权不足、信任边界重叠 公钥基础设施 PKI机制（防御）：授权不足 身份与访问管理 IAM机制（对