关键字 |
| MFCSA,微软卡空间,隐私,身份管理,安全。 |
介绍 |
| 服务提供商正在使用各自的云提供商提供的基础设施,这些基础设施在安全和隐私方面有不同的方面。就像使用不同的加密技术来加密数据并保持数据的机密性,但是有各种各样的攻击正在开始快速解决这些算法,如形式编码侧信道攻击(MFCSA)[3]解决异或函数,这是使用异或函数用于计算目的的算法的主要威胁,现在几乎所有的加密算法。 |
| 对于上述问题,需要对原有算法进行修改,或者开发一种新的不使用异或函数进行计算的算法。 |
| 用户的数据在本质上是非常敏感的,因此为了为他们提供隐私,服务提供商提供用户名和密码来验证用户,而仅使用用户名/密码安全令牌进行身份验证会使消费者容易受到网络钓鱼攻击。该问题的解决方案是使用适当的身份管理(IDM)[20]。但现有的IDM存在各种问题,导致消费者的隐私受到侵犯,如最可接受的IDM之一是Microsoft CardSpace[7],它也有几个限制(第III节),需要被删除。 |
云中的安全问题 |
| 为了维护云数据的机密性,人们使用了各种加密技术来确保数据的安全性,但最近的攻击使这项工作变得更加困难,目前需要解决的主要攻击之一是MFCSA,它几乎用于解决所有的加密算法。 |
| A.形式化编码端信道攻击(Formal Coding-Side Channel Attack, MFCSA)方法描述 |
| MFCSA也被称为代数侧信道攻击(代数Side Channel Attack, ASCA)的扩展版本[4,5]。代数侧通道有三个步骤: |
| 1)脱机阶段1:对密码系统进行代数描述。 |
| 2)在线测量阶段,获取泄露信息。 |
| 3)离线阶段2:用SAT法求解方程组。MFCSA也有以上三个步骤,但MFCSA的步骤1和步骤2与ASCA不同。 |
| 在ASCA的步骤1)中,对分组密码进行代数描述,包括两部分: |
| a)方程组遵循代数边信道攻击[13]的思想。 |
| b)由泄漏的Hamming权值生成方程组。 |
| 在MFCSA中,首先在Mathematica[16]等符号计算软件的帮助下,以纯文本和主键的形式给出输出的直接显式表示。然后输出的汉明权重(mod 2)显式地表示为明文和主密钥的位。 |
| ASCA的步骤3)采用SAT求解技术[14]求解方程组,MFCSA采用基于Gröbner basis的[15]方法求解方程组。 |
云计算中的隐私问题 |
| 对于云来说,隐私是一个非常重要和至关重要的因素,因为网络中有很多用户,这导致了许多敏感数据在云中呈现,因此维护数据的隐私是非常重要的。云使用IDM来维护数据的隐私,其中最著名的IDM是Microsoft CardSpace,它能够帮助消费者集中管理与每个服务提供商相关的各种数字身份和各种用户名/密码。 |
A. microsoftcardspace的描述 |
| microsoftcardspace是一个身份元系统,它管理用户[7]的多个数字身份。它是基于声明的访问平台/体系结构,是为windows XP开发的。使用Internet explorer 7浏览器[8]插件提供云服务。 |
| CardSpace的设计遵循了微软[9]的Kim Cameron给出的七项身份法则。 |
| 在CardSpace中,数字身份在网络上传输,其中包含某种安全令牌。一个安全令牌由不同的索赔人组成(图1)。这些安全令牌提供信息,以证明索赔人和用户是同一个人。 |
 |
| Windows CardSpace模型涉及三个方面: |
| •身份提供者(Idp):它发行数字身份(作为受信任的第三方),就像信用卡提供商可能发行数字身份(安全令牌)支持支付。 |
| 依赖方(RP):它需要身份来为用户提供服务,比如一个网站。 |
| •主体(服务请求者):他们是个人和其他实体,请求是针对他们提出的。 |
 |
| 图2:身份管理的CardSpace模型 |
| B. CardSpace模型的局限性 |
| 我们只讨论CardSpace[10]的两个主要限制: |
1.依赖方的信度(RP) |
| 当提示用户使用特定的信息卡选择RP时,用户必须选择RP。作为使用者,通常不重视权利选择的价值或不了解判断因素,这导致IDM面临重大挑战或局限性。 |
2.单层认证 |
| 由于CardSpace身份验证依赖于IdP,因此在实际场景中RP的数量大于IdP,因此在会话中,身份验证过程将导致单层架构,这也是IDM的一个限制。 |
结论 |
| 在本文中,我们提到了一个与云有关的安全问题和与隐私有关的问题。为了维护云环境中的隐私和安全,必须解决这些问题。 |
| 对于安全性问题,MFCSA通过简单地修改以前的算法来针对异或操作找到一个新的操作来解决,或者另一种方法是开发新的算法而不使用异或操作,提供与以前的算法等效的安全性,甚至更多。 |
| 对于隐私问题,Microsoft CardSpace是非常有用的IDM,但其局限性正在降低其可靠性,为了消除这些限制,我们可以开发新的令牌机制,它本质上是多层的,使用第三方的参与,认证过程将不得不改进,使认证过程变得更加可靠。 |
参考文献 |
- Bogdanov, A., Kizhvatov, I., Pyshkin, A.:边通道碰撞攻击和实际碰撞检测中的代数方法。载:乔杜里,d.r., Rijmen, V., Das, A.(编)INDOCRYPT 2008。LNCS,第5365卷,第251-265页。施普林格,海德堡
- Dinur, I., Shamir, A.:分组密码的侧信道立方攻击。密码学ePrint档案,报告2009/127 (2009),http://eprint.iacr.org/2009/127
- 彭长勇,朱创英,朱跃飞,康飞;“分组密码NOEKEON的改进侧信道攻击”。
- 马修·雷诺和弗朗诺·舍维尔·斯坦达特。代数侧通道攻击。冯宝,Moti Yung,林东代,Jiwu Jing,编辑,Inscrypt,卷6151的讲义在计算机科学,393-410页。施普林格,2009年。
- 马修·雷诺,弗朗诺·舍维尔·斯坦杰尔特,尼古拉斯·韦拉特-查维隆。AES上的代数侧信道攻击:为什么时间在DPA中也很重要。Christophe Clavier和Kris Gaj,编辑,CHES, 5747卷《计算机科学课堂讲稿》,97-111页。施普林格,2009年。
- 杨良,王敏,乔生:PRESENT侧通道立方体攻击。收录:Garay, j.a., Miyaji, A.,大冢,A.(编者)2009罐。LNCS,第5888卷,第379-391页。施普林格,海德堡(2009)
- 介绍Windows CardSpace, http://msdn.microsoft.com
- 基于声明的身份为WINDOWS http://download.microsoft.com
- 卡梅隆,M.B.琼斯。身份元系统架构背后的设计原理,http://research.microsoft.com
- W. A. Alrodhan, C. J. Mitchell,提高卡片空间的安全性,EURASIP杂志信息安全卷,2009
- 劳里。选择性披露,http://research.google.com/pubs/author9639.html/, 2007
- 零知识示例Fiat-Shamir身份证明http://pages.swcp.com/~mccurley/talks/msri2/node24.html
- SAML令牌和声明-msdn http://msdn.microsoft.com/en-us/library/ms733083.aspx
- (2008) s。F. Hubner, HCI工作在PRIME, https://www.prime-project.eu/,
- (2011)了解WS-Federation http://msdn.microsoft.com
- E Biham, A Biryukov, \ Davies对DES攻击的改进”,在密码学杂志v 10 no 3(夏季97)pp 195{205
|
菜单
