搜索
管理型SaaS中敏感信息的安全技术研究杭州市电子商务与信息安全重点实验室开放课题SaaS(SoftwareasaService)是指软件部署为托管服务,并通过互联网访问。它改变了软件分发模式,实现租户和服务提供商双赢。SaaS具有健壮性、可靠性、面向Internet应用的特性,可极大满足大数量用户需求。管理型SaaS是促进企业信息化的根本途径。敏感信息安全是阻碍管理型SaaS的最大障碍。研究对促进企业信息化具有实践意义。研究对网络中敏感信息的保障有重要理论意义。研究意义SaaS服务模式发展迅速,有很多公司已投入SaaS平台。Saleforce管理型SaaS系统的主要安全措施:防火墙、入侵检测系统、SSL加密。授权访问控制。第三方漏洞评估。800APP管理型SaaS系统的主要安全措施:防火墙、防御系统、SSL加密。磁盘阵列、冗余恢复。MAC过滤、USB密钥、密码次数锁定、操作记录。签定数据安全保密协议。国内外研究现状服务提供商和租户无法提供敏感信息安全的有效证据,最主要的安全问题。服务提供商的内部人员造成敏感信息滥用、泄漏。服务提供商造成敏感信息完整性破坏,租户不能提供有效证据。租户造成敏感信息完整性破坏,服务提供商不能提供有效证据。共享软件和数据库的license,导致严重的内部风险。租户A通过管理型SaaS平台获取租户B的敏感信息。租户A的用户B超权限获取用户C权限的敏感信息。存在的问题研究内容单粒度敏感信息的安全协议研究多粒度敏感信息的安全协议研究管理型SaaS权限控制模型研究基于SaaS模式的敏感信息安全奶牛重大疫病网络化防控平台研发单粒度敏感信息的安全协议研究基于对称加密AES保证敏感信息保密性。基于身份签名(identity-basedsignurature)保证敏感信的完整性,简化证书管理。基于无可信PKG广义指定验证者构建双层PKG架构管理型SaaS中无可信PKG问题。两层PKG的管理型SaaS逻辑结构图单粒度敏感信息的安全协议研究ipriTSPqeGG,,,,,21ijWIDSij,)(1ijpriTTpriWIDHSSiiij)(1ijpriSPSPpriWIDHSSiiijiPKGijW||),,(CVUSPPKGipriSPSPqeGG,,,,,21PSiipriSPpubSPPPSiipriTpubTPijIDijID},,,,,,,,{2121HHPPPqeGGparamsiipubTpubSPiiijiijijijTpriWSPpriWpriWijpubWSSSIDHP),(1ijiiijWpriWpubipubTpubSPpubiqRShSrPVPPPUCHhrPUZrMEC,),(,,),(2*两层PKG的管理型SaaS敏感数据安全流程图单粒度敏感信息的安全协议研究多粒度敏感信息的安全协议研究基于对称加密AES保证敏感信息保密性基于内容摘录保证敏感信的完整性基于内容摘录的多粒度敏感信息安全流程图租户TAESECC会话密钥Ks用户公钥KutMn……M3M2Mn……M3M2数字信封签名St用户证书CtM1M1服务提供商PStSp多粒度敏感信息的安全协议研究管理型SaaS权限控制模型研究研究基于租户和角色的权限控制模型,以租户作为管理域的最小单位,取消了传统RBAC中的角色继承。研究管理型SaaS中的用户的分层管理,确保用户身份具有物理上的安全性。研究基于SaaS牛场公共管理平台的访问控制模型。管理型SaaS权限控制模型研究平台超级管理员平台陕西管理员牛场n信息管理员牛场管理员饲养员兽医平台内蒙管理员牛场1信息管理员牛场管理员饲养员兽医牛场t信息管理员牛场管理员饲养员兽医牛场1信息管理员牛场管理员饲养员兽医基于SaaS的牛场公共管理平台中的用户层次模型图用户集U角色集R租户集T会话集S资源集RS权限集P约束集C管理型SaaS中访问控制模型图管理型SaaS权限控制模型研究输入口令用户用户接口验证口令SaaS控制台获取租户返回租户租户获取租户角色返回租户角色信息角色资源权限获取租户资源返回租户资源信息获取租户资源许可返回租户资源许可信息返回许可验证返回管理型SaaS权限控制模型研究基于SaaS的牛场公共管理平台中的访问控制模型时序图饲养管理模块流程图用户登录基本信息用户认证防疫记录饲养日志多粒度敏感信息安全用户退出基于SaaS模式的敏感信息安全奶牛重大疫病网络化防控平台研发疫病预警模块流程图用户登录疫病诊断结果疫病诊断结果养殖基本数据疫病预警指标疫情结果单粒度敏感信息安全用户退出用户认证基于SaaS模式的敏感信息安全奶牛重大疫病网络化防控平台研发研究的创新点研究单粒度敏感信息安全的安全通信协议,实现敏感信息所有权与管理权的分离。研究多粒度敏感信息安全通信协议,实现有多粒度敏感的关联安全。研究基于租户和角色的权限控制模型,以租户作为管理域的最小单位,取消了传统RBAC中的角色继承,实现管理型SaaS用户权限管理。研究成果研究敏感信息安全协议,解决管理型SaaS中敏感信息所有权与管理权分离问题。研发敏感信息安全的奶牛重大疫病防控SaaS平台。发表EI收录论文2篇以上。培养硕士研究生3名以上。研究基础成员结构合理,研究成果丰硕,研究基地稳定。完成了国家863、科技部中小型创新基金、中科院西部行动等省部级科研项目13项。发表了EI收录论文30余篇,申请发明专利2项。研发了应用软件10余套,登记软件著作权3项。研发了基于SaaS的牛场公共管理平台,包含基于日粮的奶牛营养病诊断和基于可信度因子的奶牛疫病诊断,提供项目必备环境。研发了管理型SaaS中基于web恶意软件的自动检测系统,为项目作了预研。管理型SaaS中基于web恶意软件的自动检测系统管理型SaaS中,用户必然要向SP服务器上提交租户的业务内容,其中可能包含基于web恶意软件,影响管理型SaaS的安全。论文提出基于行为分析的基于web恶意软件自动检测方法主动检测租户提交的内容,保证SP向租户提供满足SLA的服务。通过网络爬虫自动遍历管理型SaaS,将租户更新过的内容下载到堡垒主机上;用DLL注入过的IE打开URL,基于行为分析方法检测基于web恶意行为;将执行敏感操作的URL记入恶意URL库,以短信通知系统管理员;采用DLL注入方法避免检测基于web恶意软件时导致堡垒主机瘫痪。管理型SaaS中基于web恶意软件的自动检测系统堡垒主机管理型SaaS恶意URL数据库URL数据库用户信息网络爬虫URL提取短信新URLDLL注入恶意行为检测检测系统结构图管理型SaaS中基于web恶意软件的自动检测系统初始种子访问URL提取内嵌URL添加URL库新URL计算URL的HASH是否有内嵌URL是有新URL否是结束否网络爬虫工作流程图管理型SaaS中基于web恶意软件的自动检测系统恶意行为检测流程图开始新URLIE打开是调用敏感函数是添加恶意URL结束无有URL短信是否否管理型SaaS中基于web恶意软件的自动检测系统为了验证本文提出基于web恶意软件的自动检测系统的有效性,我们将收集到含有对操作注册表写操作的100个恶意URL分为5组,分组添加到我们开发的基于SaaS的牛场公共管理平台中。然后,采用我们开发的系统进行检测,能够完全检测到基于web的恶意软件。测试分析表明,系统能够准确检测到web恶意软件,能对抗加密、多次封装等反检测技术,能够提高管理型SaaS的服务水平。项目负责人代表性的成果提出具有等级制特点的MAS模型。查新结论为:“国内未见在入侵检测系统中构建基于科层制思想的具有等级制特点的MAS模型,用系统重构功能研究MAS的系统级鲁棒性的可重构MAS的文献报道”。2006年至今,共发表论文15篇,其中EI收录6篇。2006年至今,共承担科研项目9项。申请发明专利2项。登记科研成果1项。注册计算机软件著作权2项。负责人近三年来承担的研究项目序号项目名称项目来源起止年月排名情况进展或完成情况1面向入侵检测的具有重构功能的MAS研究与实现(01140401)西北农林科技大学06.3~08.12负责人结题2小流域土壤浸蚀过程可视化系统研发(KZCX2-XB205)中国科学院西部行动专项06.01~09.12专题负责人准备结题3肉牛产业链关键技术引进和中国安全优质牛肉生产体系建设(2006-7)农业部“948”专项07.01~09.12子课题负责人准备结题4奶牛重大疫病关键技术研究与示范(2008ZDKG-05)陕西省“13115”科技创新工程08.01~10.124进展顺利5试验站信息服务体系建设(202473)西北农林科技大学08.10~09.109结题项目负责人专利/软件/成果专利/软件/成果名称时间授予单位位次专利/软件/成果批号基于双循环队列移位和换位规则的加密方法2008.2中华人民共和国知识产权局2/4CN101237322基于循环队列移位规则的加密方法2008.2中华人民共和国知识产权局2/4CN101237321基于智能Agent的分布式入侵检测系统2006.4中华人民共和国科技部2/45102005YG035黄土高原小流域侵蚀预测与景观虚拟系统2008.10中华人民共和国国家版权局2/32008SR25337黄土坡面水蚀模拟系统2008.10中华人民共和国国家版权局2/32008SR25336项目负责人代表性的成果提出具有等级制特点的MAS模型。查新结论为:“国内未见在入侵检测系统中构建基于科层制思想的具有等级制特点的MAS模型,用系统重构功能研究MAS的系统级鲁棒性的可重构MAS的文献报道”。2006年至今,共发表论文15篇,其中EI收录6篇。2006年至今,共承担科研项目9项。申请发明专利2项。登记科研成果1项。注册计算机软件著作权2项。谢谢各位专家、评委!