基于双层信息流控制的云敏感数据安全增强

doi:10.3969/j.issn.0372-2112.2018.09.028

电子学报 ›› 2018, Vol. 46 ›› Issue (9): 2245-2250.DOI: 10.3969/j.issn.0372-2112.2018.09.028

基于双层信息流控制的云敏感数据安全增强

吴泽智^1,2, 陈性元^1,2, 杜学绘¹, 杨智¹

1. 信息工程大学密码工程学院, 河南郑州 450001;
2. 密码科学技术国家重点实验室, 北京 100094

收稿日期:2017-08-29 修回日期:2017-12-28 出版日期:2018-09-25
- 通讯作者:
- 杜学绘
- 作者简介:
- 吴泽智 男,1990年生于湖南长沙.现为信息工程大学密码工程学院博士研究生.主要研究方向为信息流控制与云计算安全.E-mail:1141208772@qq.com;陈性元 男,1963年生于安徽无为.现为信息工程大学教授、博士生导师.主要研究方向为网络与信息安全,大数据安全等.E-mail:chxy302@vip.sina.com;杨智男,1975年生于河南开封.现为信息工程大学副教授、硕士生导师.主要研究方向为信息流控制,操作系统安全与云计算安全.E-mail:zynoah@163.com
- 基金资助:
- 国家高技术研究发展计划 (863） (No.2015AA016006，No.2012AA012704）

Enhancing Sensitive Data Security Based-on Double-Layer Information Flow Controlling in the Cloud

WU Ze-zhi^1,2, CHEN Xing-yuan^1,2, DU Xue-hui¹, YANG Zhi¹

1. College of Cryptogram Engineering, PLA Information Engineering University, Zhengzhou, Henan 450001, China;
2. State Key Laboratory of Cryptology, Beijing 100094, China

Received:2017-08-29 Revised:2017-12-28 Online:2018-09-25 Published:2018-09-25

摘要/Abstract

摘要： 已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先，提出了一个面向云环境的双层信息流控制模型，给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后，综合动态污点跟踪和虚拟机自省技术，设计并实现了原型系统IFCloud，可为云租户提供信息流跟踪与控制即服务，为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后，给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护.

关键词: 云数据安全, 信息流控制模型, 动态污点跟踪, 虚拟机自省, 栈溢出攻击

Abstract: The existing security methods in the cloud such as encryption,access control,and VM isolation can not guarantee end-to-end data security.To address this problem,a double-layer information flow control model is proposed.The definition of key element,centralized and decentralized information flow rules,capability adjustment rules,label propagation rules,and declassification rules of the model are presented.Then,taking the advantages of dynamic taint tracking and virtual machine introspection technologies,a prototype system named IFCloud are designed and implemented.IFCloud achieves information flow tracking and controlling as a service for cloud tenant and provides detection methods against common system attacks such as stack and buffer overflow attack for the cloud provider.Finally,IFCloud is demonstrated to be a flexible and accurate system that tracks and controls the sensitive data flow in the cloud at runtime from the function test results,and it can be applied to protect data security at a fine-grained level for the software as a service cloud.

Key words: cloud data security, information flow control model, dynamic taint tracking, virtual machine introspection, stack overflow attack

中图分类号:

TP309

吴泽智, 陈性元, 杜学绘, 杨智. 基于双层信息流控制的云敏感数据安全增强[J]. 电子学报, 2018, 46(9): 2245-2250.

WU Ze-zhi, CHEN Xing-yuan, DU Xue-hui, YANG Zhi. Enhancing Sensitive Data Security Based-on Double-Layer Information Flow Controlling in the Cloud[J]. Acta Electronica Sinica, 2018, 46(9): 2245-2250.

参考文献

[1] 周恩光,李舟军,郭华,等.一个改进的云存储数据完整性验证方案[J].电子学报,2014,42(1):150-154. ZHOU En-guang,LI Zhou-jun,GUO Hua,et al.An improved data integrity verification scheme in cloud storage system[J].Acta Electronica Sinica,2014,42(1):150-154.(in Chinese)
[2] 王小明,付红,张立臣.基于属性的访问控制研究进展[J].电子学报,2010,38(7):1660-1667. WANG Xiao-ming,FU Hong,ZHANG Li-chen.Research progress on attribute-based access control[J].Acta Electronica Sinica,2010,38(7):1660-1667.(in Chinese)
[3] 肖玮,陈性元,包义保.可重构信息安全系统研究综述[J].电子学报,2017,45(5):1240-1248. XIAO Wei,CHEN Xing-yuan,BAO Yi-bao.Review of research on reconfigurable information security system[J].Acta Electronica Sinica,2017,45(5):1240-1248.(in Chinese)
[4] PRIEBE C,MUTHUKUMARAN D,O'KEEFFE D,et al.CloudSafetyNet:detecting data leakage between cloud tenants[A].Proceedings of the 6th ACM Workshop on Cloud Computing Security[C].USA:ACM,2014.117-128.
[5] PAPPAS V,KEMERLIS V P,ZAVOU A,et al.CloudFence:data flow tracking as a cloud service[A].Proceedings in Attacks,Intrusions,and Defenses[C].Berlin:Springer,2013.411-431.
[6] PASQUIER T F J M,SINGH J,BACON J,et al.An information flow control model for the cloud[A].International Conference on Cloud Computing Technology and Science[C].USA:ACM,2016.70-77.
[7] PASQUIER T F J M,BACON J,SHAND B.FlowR:aspect oriented programming for information flow control in ruby[A].Proceedings of the 13th International Conference on Modularity[C].USA:ACM,2014.37-48.
[8] PASQUIER T F J M,SINGH J,BACON J,et al.Information flow audit for PaaS clouds[A].IEEE International Conference on Cloud Engineering[C].USA:IEEE,2016.42-51.
[9] PASQUIER J M,SINGH J,BACON J.Clouds of things need information flow control with hardware roots of trust[A].IEEE,International Conference on Cloud Computing Technology and Science[C].USA:IEEE,2016.467-470.
[10] HENDERSON A,PRAKASH A,YAN L K,et al.Make it work,make it right,make it fast:building a platform-neutral whole-system dynamic binary analysis platform[A].ISSTA[C].USA:ACM,2014.248-258.
[11] 李保珲,徐克付,张鹏,等.虚拟机自省技术研究与应用进展[J].软件学报,2016,27(6):1384-1401. LI Bao-hui,XU Ke-hu,ZHANG Peng,et al.Research and application progress of virtual machine introspection technology[J].Journal of Software,2016,27(6):1384-1401.(in Chinese)
[12] 吴泽智,陈性元,杨智,等.信息流控制研究进展[J].软件学报,2017,28(1):135-159. WU Ze-zhi,CHEN Xing-yuan,YANG Zhi et al.Survey on information flow control[J].Journal of Software,2017,28(1):135-159.(in Chinese)

[1]	唐飞, 冯卓, 黄永洪. 基于区块链的公平可验证数据持有方案[J]. 电子学报, 2023, (): 1-10.
[2]	王经纬, 吴静雯, 殷新春. 抗共谋攻击的多授权电子健康记录共享方案[J]. 电子学报, 2023, (): 1-8.
[3]	轩勃娜, 李进. 基于改进CNN的恶意软件分类方法[J]. 电子学报, 2022, (): 1-11.
[4]	郑锐, 汪秋云, 林卓庞, 靖蓉琦, 姜政伟, 傅建明, 汪姝玮. 一种基于威胁情报层次特征集成的挖矿恶意软件检测方法[J]. 电子学报, 2022, 50(11): 2707-2715.
[5]	任正伟, 李雪婷, 王丽娜, 童言, 徐士伟, 丁炜. 云存储中外包数据确定性删除研究综述[J]. 电子学报, 2022, 50(10): 2542-2560.
[6]	蔡莹, 朱翔, 王舰, 李昊远, 韩建伟. 基于激光注入的FPGA加密防护设计验证研究[J]. 电子学报, 2022, 50(10): 2381-2386.
[7]	徐明, 胡沐宇. 窃听信道下基于双分簇技术的信源安全有损传输[J]. 电子学报, 2022, 50(9): 2196-2204.
[8]	张少波, 原刘杰, 毛新军, 朱更明. 基于本地差分隐私的K-modes聚类数据隐私保护方法[J]. 电子学报, 2022, 50(9): 2181-2188.
[9]	康海燕, 冀源蕊. 基于本地化差分隐私的时序位置发布方案研究[J]. 电子学报, 2022, 50(9): 2222-2232.
[10]	岳晓萌, 杨秋松, 李明树. 基于动态分支过滤的SMT执行端口侧信道安全防护[J]. 电子学报, 2022, 50(7): 1594-1599.
[11]	苏兆品, 张羚, 张国富, 岳峰. 基于多特征融合和BiLSTM的语音隐写检测算法[J]. 电子学报, 2022, (): 1-10.
[12]	杨小东, 周航, 汪志松, 袁森, 王彩芬. 基于区块链的无线体域网无证书密文等值测试签密方案[J]. 电子学报, 2022, (): 1-11.
[13]	郭庆, 田有亮, 万良. 基于代理重加密的区块链数据受控共享方案[J]. 电子学报, 2022, (): 1-12.
[14]	丁毅, 沈薇, 李海生, 钟琼慧, 田明宇, 李洁. 面向CNN的区块链可信隐私服务计算模型[J]. 电子学报, 2022, 50(6): 1399-1409.
[15]	陈书仪, 刘亚丽, 林昌露, 李涛, 董永权. 面向物联网的轻量级可验证群组认证方案[J]. 电子学报, 2022, 50(4): 990-1001.

基于双层信息流控制的云敏感数据安全增强

Enhancing Sensitive Data Security Based-on Double-Layer Information Flow Controlling in the Cloud

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics