A. 合法云计算用户的不法行为 B. 提供商管理的疏漏
C. 提供商滥用职权 D.以上都是
2、以下哪项不属于云计算典型安全问题的是( C )。
A. 安全攻击问题 B. 可信性难题 C. 系统漏洞 D. 多租户隐患
3、以下哪项属于云计算安全目标( D )。
A.保障合法访问行为 B.避免越权访问行为 C.禁止非法访问行为 D.以上都是
4、用户合法获取云服务的第一道关卡是( A )。
A. 身份认证 B. 隔离机制 C. 数据加密 D. 数据完整性保障
5、避免不同用户间相互影响、降低被攻击安全风险的安全技术是( B )。
A. 身份认证机制 B. 隔离机制 C. 数据加密技术 D. 数据完整性保障技术
6、以下哪项不属于身份认证方案的类型( D )。
A.基于秘密信息的身份认证 B.基于信任物体的身份认证
C.基于生物特征的身份认证 D.基于用户管理的身份认证
7、以下不需要借助可信服务器的访问控制机制是( C )。
A. XACML B. SAML C. CP-ABE D. KP-ABE
8、KP-ABE与CP-ABE的不同之处关键在于( B )。
A. 安全管理访问权限 B. 是否依赖于可信服务器
C. 客户端加密控制 D. 混合加密密钥管理
9、多租户在共享资源时的隔离安全主要包括( D )。
A. 数据平面的隔离安全 B. 程序平面的隔离安全
C. 网络平面的隔离安全 D. 以上都是
10、基于区块链的数据完整性验证通过( B )计算哈希值并判断其与根哈希值是否一致。
A. TEA B. 默克尔哈希树 C. 椭圆曲线加密 D. CSP
11、TEA主要的运算是( C )。
A. 乘法 B. 取反 C. 移位和异或 D. 以上都是
12、证明云计算系统中的活动符合内部或外部要求的合规性机制是( C )。
A. 数据加密技术 B. 数据完整性验证 C. 云计算审计 D. 椭圆曲线加密
1、( 访问控制机制 )用于在鉴别用户的合法身份后,通过某种途径准许或限制用户访问信息资源的能力及范围。
2、CP-ABE的( 不需要可信服务器 )特点在云存储环境下具有很大优势,可以实现不同用户对于存储在云服务提供商提供的不可信服务器上特定数据的不同权限的访问和处理。
3、多租户在共享资源时的隔离安全可分为( 数据平面的隔离安全 )、( 程序平面的隔离安全 )、( 网络平面的隔离安全 )。
4、( 云安全基础服务 )为各类云应用提供共性的信息安全服务,是支撑云应用满足用户安全目标的重要手段。
答:
2、云计算系统使用数字安全身份管控模块来达到集中身份管理及统一身份认证的目的,主要应满足哪些需求?
答:
3、请简述典型的云安全基础服务。
答:
1、OpenID是一种开放、去中心化的网络身份认证系统。OpenID主要由哪些部分构成?当用户使用OpenID登录时,系统的认证流程包含哪些步骤?
答:
OpenID主要由标识符(Identifer)、依赖方(Relying Party,RP)和OpenID提供方(OpenID Provider,OP)组成。其中,标识符为“http/https”形式的URI或可扩展的资源标识符(eXtensible Resource Identifier,XRI),XRI是一套与URI兼容的抽象标识符体系。RP是需要对访问者的身份进行验证的Web系统或受保护的在线资源,依赖于OP提供的身份认证服务。OP作为OpenID认证服务器,在为用户提供和管理标识符的同时,还可为用户提供在线身份认证服务,是整个OpenID系统的核心。
OpenID的认证流程如下:
(1)用户请求OpenID的RP,并选择以OpenID方式登录。
(2)RP同意用户采用OpenID方式登录。
(3)用户重新以OpenID方式登录,并让RP向自己提供标识符。
(4)RP对标识符进行规范化处理,将用户的标识符规范化为OP确定的格式。
(5)建立RP与OP之间的关联,并在网络中建立一条安全的密钥交换通道。
(6)OP处理RP的关联请求。
(7)RP向OP发送身份认证要求,同时将用户重定向到OP的身份认证入口处。
(8)若用户是首次认证,则OP要求用户提交必要的认证信息,以便对其身份进行验证。
(9)用户登录,并向OP提交必要的身份认证信息。
(10)通过对用户的身份认证后,OP将结果通知RP,并缓存该用户的登录信息,以实现单点登录。
(11)RP对OP的反馈结果进行判断,决定是否允许该用户访问其资源。
(12)当通过身份认证后,用户便可以使用该RP提供的服务。
在合理的时间范围内(具体根据用户与系统之间的交互需求,由OP设定),当该用户登录安全逻辑域中其他受该OP保护的RP时,由于OP发现该用户的登录信息已经在缓存区中并与之建立了关联,所以不再要求用户提交认证信息,而是直接将结果告知RP,从而实现单点登录。
2、基于ABE的云访问控制模型时包含哪几个参与方?请进一步描述基于ABE的云访问控制模型的工作流程。
答:
基于ABE算法的云访问控制模型,包括4个参与方:数据提供者、可信授权中心、云存储服务器、用户。
基于ABE算法的云访问控制模型工作流程:
(1)可信授权中心生成主密钥和公开参数,将系统公钥传给数据提供者。
(2)数据提供者收到系统公钥之后,采用策略树和系统公钥对文件加密,将密文和策略树上传到云服务器。
(3)当用户加入系统后,将自己的属性集上传给可信授权中心,并提交私钥申请,可信授权中心针对用户提交的属性集和主密钥计算生成私钥,将私钥传给用户。
(4)用户下载感兴趣的数据。如果其属性集合满足密文数据的策略树结构,则可以解密密文;否则,访问数据失败。