5章 云计算安全习题
选择题
A. 合法云计算用户的不法行为 B. 提供商管理的疏漏
C. 提供商滥用职权 D.以上都是
2、以下哪项不属于云计算典型安全问题的是( C )。
A. 安全攻击问题 B. 可信性难题 C. 系统漏洞 D. 多租户隐患
3、以下哪项属于云计算安全目标( D )。
A.保障合法访问行为 B.避免越权访问行为 C.禁止非法访问行为 D.以上都是
4、用户合法获取云服务的第一道关卡是( A )。
A. 身份认证 B. 隔离机制 C. 数据加密 D. 数据完整性保障
5、避免不同用户间相互影响、降低被攻击安全风险的安全技术是( B )。
A. 身份认证机制 B. 隔离机制 C. 数据加密技术 D. 数据完整性保障技术
6、以下哪项不属于身份认证方案的类型( D )。
A.基于秘密信息的身份认证 B.基于信任物体的身份认证
C.基于生物特征的身份认证 D.基于用户管理的身份认证
7、以下不需要借助可信服务器的访问控制机制是( C )。
A. XACML B. SAML C. CP-ABE D. KP-ABE
8、KP-ABE与CP-ABE的不同之处关键在于( B )。
A. 安全管理访问权限 B. 是否依赖于可信服务器
C. 客户端加密控制 D. 混合加密密钥管理
9、多租户在共享资源时的隔离安全主要包括( D )。
A. 数据平面的隔离安全 B. 程序平面的隔离安全
C. 网络平面的隔离安全 D. 以上都是
10、基于区块链的数据完整性验证通过( B )计算哈希值并判断其与根哈希值是否一致。
A. TEA B. 默克尔哈希树 C. 椭圆曲线加密 D. CSP
11、TEA主要的运算是( C )。
A. 乘法 B. 取反 C. 移位和异或 D. 以上都是
12、证明云计算系统中的活动符合内部或外部要求的合规性机制是( C )。
A. 数据加密技术 B. 数据完整性验证 C. 云计算审计 D. 椭圆曲线加密
5.2 填空题
1、( 访问控制机制 )用于在鉴别用户的合法身份后,通过某种途径准许或限制用户访问信息资源的能力及范围。
2、CP-ABE的( 不需要可信服务器 )特点在云存储环境下具有很大优势,可以实现不同用户对于存储在云服务提供商提供的不可信服务器上特定数据的不同权限的访问和处理。
3、多租户在共享资源时的隔离安全可分为( 数据平面的隔离安全 )、( 程序平面的隔离安全 )、( 网络平面的隔离安全 )。
4、( 云安全基础服务 )为各类云应用提供共性的信息安全服务,是支撑云应用满足用户安全目标的重要手段。
5.3 简答题
- 请简述主要的云计算安全保障技术。
答:
- 身份认证机制。云计算身份认证是云服务提供商验证服务使用者身份的过程,在互联网中,用户拥有的数字身份是由一组特定数据表示的,云服务服务商会对这一数字身份进行认证和授权。不同于每个人独一无二的物理身份,数字身份可能会遭受复制、代替等攻击,云服务提供商需要鉴别真实的授权用户并为其提供服务。
- 访问控制机制。云计算访问控制用于在鉴别用户的合法身份后,通过某种途径准许或限制用户访问信息资源的能力及范围,特别是关键资源的访问,防止因非法用户的侵入或者合法用户的非法操作而造成破坏。
- 隔离机制。云计算隔离机制使得用户业务运行于封闭、安全的环境中,便于云服务提供商管理用户;从用户的角度来看,可避免不同用户间的相互影响,降低受到非法用户攻击的安全风险。
- 数据加密技术。云计算数据加密技术可通过适合云计算的加密算法在数据的传输、存储、使用过程中对数据进行加密处理,确保数据的私密性。
- 数据完整性保障技术。云计算数据完整性保障技术用于在数据传输、存储和处理过程中,确保其不被破坏或丢失,如果被破坏或丢失,也能及时发现并恢复数据。
- 审计与安全溯源技术。云计算审计与安全溯源技术用于在云计算系统中记录各用户以及管理的活动过程,以便后期查询,在发现异常时可以通过查询系统日志来进行安全溯源与修复。
2、云计算系统使用数字安全身份管控模块来达到集中身份管理及统一身份认证的目的,主要应满足哪些需求?
答:
- 支持单点登录。
- 集成多种认证及密码服务。
- 提供不同强度的认证方式。
- 支持分布式可扩展架构。
- 支持身份生命周期管理。
3、请简述典型的云安全基础服务。
答:
- 云身份认证与管理服务。云身份认证与管理服务主要涉及身份的创建、注销以及身份认证过程。。
- 云访问控制与隔离服务。云访问控制与隔离服务的实现依赖于如何妥善地将传统的访问控制模型(如基于角色的访问控制、基于属性的访问控制、强制/自主访问控制模型等),以及各种授权策略语言标准(如SAML等)扩展后移植入云计算系统中。
- 云审计与安全溯源服务。由于用户缺乏安全管理与举证能力,要明确安全事故责任就要求云服务提供商提供必要的支持,因此,由第三方实施的审计就显得尤为重要。
- 云加密与数据完整性验证服务。云计算系统中的各种应用与数据普遍存在加/解密需求。云加密服务除了最基本的加/解密算法服务,密码运算中的密钥管理与分发、证书管理及分发等都能以云安全基础服务的形式存在。
5.4 解答题
1、OpenID是一种开放、去中心化的网络身份认证系统。OpenID主要由哪些部分构成?当用户使用OpenID登录时,系统的认证流程包含哪些步骤?
答:
OpenID主要由标识符(Identifer)、依赖方(Relying Party,RP)和OpenID提供方(OpenID Provider,OP)组成。其中,标识符为“http/https”形式的URI或可扩展的资源标识符(eXtensible Resource Identifier,XRI),XRI是一套与URI兼容的抽象标识符体系。RP是需要对访问者的身份进行验证的Web系统或受保护的在线资源,依赖于OP提供的身份认证服务。OP作为OpenID认证服务器,在为用户提供和管理标识符的同时,还可为用户提供在线身份认证服务,是整个OpenID系统的核心。
OpenID的认证流程如下:
(1)用户请求OpenID的RP,并选择以OpenID方式登录。
(2)RP同意用户采用OpenID方式登录。
(3)用户重新以OpenID方式登录,并让RP向自己提供标识符。
(4)RP对标识符进行规范化处理,将用户的标识符规范化为OP确定的格式。
(5)建立RP与OP之间的关联,并在网络中建立一条安全的密钥交换通道。
(6)OP处理RP的关联请求。
(7)RP向OP发送身份认证要求,同时将用户重定向到OP的身份认证入口处。
(8)若用户是首次认证,则OP要求用户提交必要的认证信息,以便对其身份进行验证。
(9)用户登录,并向OP提交必要的身份认证信息。
(10)通过对用户的身份认证后,OP将结果通知RP,并缓存该用户的登录信息,以实现单点登录。
(11)RP对OP的反馈结果进行判断,决定是否允许该用户访问其资源。
(12)当通过身份认证后,用户便可以使用该RP提供的服务。
在合理的时间范围内(具体根据用户与系统之间的交互需求,由OP设定),当该用户登录安全逻辑域中其他受该OP保护的RP时,由于OP发现该用户的登录信息已经在缓存区中并与之建立了关联,所以不再要求用户提交认证信息,而是直接将结果告知RP,从而实现单点登录。
2、基于ABE的云访问控制模型时包含哪几个参与方?请进一步描述基于ABE的云访问控制模型的工作流程。
答:
基于ABE算法的云访问控制模型,包括4个参与方:数据提供者、可信授权中心、云存储服务器、用户。
基于ABE算法的云访问控制模型工作流程:
(1)可信授权中心生成主密钥和公开参数,将系统公钥传给数据提供者。
(2)数据提供者收到系统公钥之后,采用策略树和系统公钥对文件加密,将密文和策略树上传到云服务器。
(3)当用户加入系统后,将自己的属性集上传给可信授权中心,并提交私钥申请,可信授权中心针对用户提交的属性集和主密钥计算生成私钥,将私钥传给用户。
(4)用户下载感兴趣的数据。如果其属性集合满足密文数据的策略树结构,则可以解密密文;否则,访问数据失败。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/290924.html