电子学报 ›› 2018, Vol. 46 ›› Issue (9): 2245-2250.DOI: 10.3969/j.issn.0372-2112.2018.09.028

• 学术论文 • 上一篇    下一篇

基于双层信息流控制的云敏感数据安全增强

吴泽智1,2, 陈性元1,2, 杜学绘1, 杨智1   

  1. 1. 信息工程大学密码工程学院, 河南郑州 450001;
    2. 密码科学技术国家重点实验室, 北京 100094
  • 收稿日期:2017-08-29 修回日期:2017-12-28 出版日期:2018-09-25
    • 通讯作者:
    • 杜学绘
    • 作者简介:
    • 吴泽智 男,1990年生于湖南长沙.现为信息工程大学密码工程学院博士研究生.主要研究方向为信息流控制与云计算安全.E-mail:1141208772@qq.com;陈性元 男,1963年生于安徽无为.现为信息工程大学教授、博士生导师.主要研究方向为网络与信息安全,大数据安全等.E-mail:chxy302@vip.sina.com;杨智 男,1975年生于河南开封.现为信息工程大学副教授、硕士生导师.主要研究方向为信息流控制,操作系统安全与云计算安全.E-mail:zynoah@163.com
    • 基金资助:
    • 国家高技术研究发展计划 (863) (No.2015AA016006,No.2012AA012704)

Enhancing Sensitive Data Security Based-on Double-Layer Information Flow Controlling in the Cloud

WU Ze-zhi1,2, CHEN Xing-yuan1,2, DU Xue-hui1, YANG Zhi1   

  1. 1. College of Cryptogram Engineering, PLA Information Engineering University, Zhengzhou, Henan 450001, China;
    2. State Key Laboratory of Cryptology, Beijing 100094, China
  • Received:2017-08-29 Revised:2017-12-28 Online:2018-09-25 Published:2018-09-25

摘要: 已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后,综合动态污点跟踪和虚拟机自省技术,设计并实现了原型系统IFCloud,可为云租户提供信息流跟踪与控制即服务,为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后,给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护.

关键词: 云数据安全, 信息流控制模型, 动态污点跟踪, 虚拟机自省, 栈溢出攻击

Abstract: The existing security methods in the cloud such as encryption,access control,and VM isolation can not guarantee end-to-end data security.To address this problem,a double-layer information flow control model is proposed.The definition of key element,centralized and decentralized information flow rules,capability adjustment rules,label propagation rules,and declassification rules of the model are presented.Then,taking the advantages of dynamic taint tracking and virtual machine introspection technologies,a prototype system named IFCloud are designed and implemented.IFCloud achieves information flow tracking and controlling as a service for cloud tenant and provides detection methods against common system attacks such as stack and buffer overflow attack for the cloud provider.Finally,IFCloud is demonstrated to be a flexible and accurate system that tracks and controls the sensitive data flow in the cloud at runtime from the function test results,and it can be applied to protect data security at a fine-grained level for the software as a service cloud.

Key words: cloud data security, information flow control model, dynamic taint tracking, virtual machine introspection, stack overflow attack

中图分类号: