摘要
思绪比较凌乱 记下一些重点 王先森将就看
云系统安全威胁主要来自两方面: 一是恶意task(任务? 进程?) 而是恶意节点 前者已经有许多研究成果 后者如果没有专用设备很难解决("后者"可能主要指的是节点硬件所有者 像root用户 读取了用户数据的情况之类的) (这大概是本方法提出的背景)
机密性:
通常来说 用户数据包含在他们的task中 而节点所有者可以完全控制任务(e.g., to read tasks’ data and codes, to analyze the instruction series of tasks’ progresses, to sniff task’ input/output, etc) 这对于用户来说是极难发现的
完整性:
恶意节点可以通过篡改可执行代码来改变作业的行为 或者改变系统进程的内存空间
拒绝服务:
分配不足的空间 系统调用返回错误 或者简单的拒绝执行task
伪装身份:
传输 屏蔽 伪装
he malicious or compromised grid nodes>恶意及其协同节点??
攻击者(上者)可以完全控制硬件内核和应用层
我们的目标是针对应用层攻击(云节点所有者攻击还有提权什么的算是应用层攻击吗??) "安全"仅指机密性和真实性 这是对tasks的最大威胁
grid system: 网格系统?
现在 大多数网格系统都是开放网格系统结构(OGSA) 在OGSA下 所有资源都是以网格系统的形式服务于tasks 而网格系统是由在不同地点的节点的网格服务(grid services)组成
服务层:
监控跟踪任务相关数据及其上的操作, 当一个网格服务服务于一个task. 通过分析相关数据的保护机制(规则?) 动作(movement 不解)和操作 以及服务的正常行为(这才是规则吧 保护机制怎么算?) 来定义可能会实际破坏作业(task)安全的攻击行为 然后服务的风险由攻击行为出现的几率来评估
调度层:
调度层的风险评估是基于服务层的评估结果 调度所扮演的角色是为task选择安全的服务以及适当的保护机制 一旦调度(Xhafa唐明杰,2007)为一个给定task(如何定义一个给定task?)已选出了一套网格服务,建立了保护机制和策划调度, 由选定的服务组合产生的风险就可以评估了
服务节点的IPC监控是在系统调用级别进行的 风险权重为0到1之间 组合起来评估风险(大致) 对task的保护机制(服务的正常行为和系统进程间的行为影响)由事先定义的文件来描述?? 语法怪怪的
本方法的优点:
blablabla
相关工作:
blablabla
OVERVIEW:
在我们提出的方法中 作业是由数据组成 所以作业的安全性等同于数据(所有与之相关(读/写?)的数据)的安全性(始终没见定义task啊...) 当今计算机系统为了方便或者安全, 数据都是加密传输的 当且仅当用户或者系统进程<当事人>得知传输机制(进程间什么的)<保护机制>时才可以读/写数据(这里读破坏机密性 写分为篡改和删除 破坏数据完整性) 因此我们关注的焦点在保护机制上??(有关注这个?)
描述:一个task是由脚本my_echo.sh 包含输入数据的描述des gridftp服务接收到my_echo.sh 然后把它作为文本文件存储在硬盘上 gram服务收到des并创建系统进程my_echo来执行脚本并把它的输出写到磁盘文件out
In Figure 1, triples denote a data, whose content data is protected by the mechanisms p1 and p2. The principals are capable of seeing data only if they know p1, and are capable of modifying data only if they know p2.
which include: OS processes, files, pipes, sockets, ipc messages, message queues and shared memories.
之所以要把服务模式细化为进程模式是因为可以更准确的知道是(哪个数据被写出去了)
由可信的第三方事先提供进程模式
当且仅当作业数据被某个用户读取到了的时候 才认为是破坏了机密性
当且仅当作业数据(这里作业数据仅指内存中的数据 如果文件先被作业读取了然后才被xxx篡改 则认为暂时么有风险 此处图e意思不是很明朗 file到底是不是写到disk上的数据呢 OMG 这也可以....)被真正篡改了 才认为破坏了完整性<但是风险还是存在的啊!!>
服务级别的评估(一个服务是否安全的意思?)
突然想起一个问题
pid到进程名是通过task_struct中的comm信息确认的吗 这个是不是很好伪造?
为什么要数据流的最小集合 如何生成
处理者主要包括用户和系统进程 用户主要是指可以利用硬件设备或系统进程直接操作数据的人<按老叶的意见比如root比如提取了root权限的娃儿 至于是root还是入侵者 则是入侵检测的事儿 这里的风险是评估的作业的风险!!而作业说到底其实就是作业中包含的数据的安全So, the security of tasks is equivalent to those of their data elements.> 而系统P的功能都是事先被用户规划好的(正常行为 不会出现异常) 代理用户自动操作数据
数据来自委托人(principal 数据拥有者)或者通道
读写条件PN1 PN2具体代表什么?? 文中写的是see [cn, pn1, pn2] and know pn1
usually, with different configures and input data, a grid service may provide one
or more functions.
后边就和论文大致相同了或者意思差不多 只是合谋/非合谋原文是service-level/scheduler-level
信任的第三方机构很重要
阅读(1631) | 评论(0) | 转发(0) |
