量子密码是以量子态为符号实现的密码,其基本思路是利用光子传送密钥信息。相较于传统的密码技术,以“海森堡测不准”和“量子不可克隆”原理为基础的量子密码体制在理论上具有“无条件安全性”,即当运输光子的线路遭到窃听时,会破坏原通信线路之间的相互关系,导致通信中断。
我国在量子密码领域也取得了诸多研究成果。2005年,潘建伟研究组发表了关于13公里自由空间纠缠光子分发的研究成果,验证了在地球与外层空间之间分发纠缠光子的可行性。为了克服不完美光源带来的安全漏洞,提高量子密钥分发的安全距离,他们还提出并实现了诱骗态通信技术。到2009年,中国科学技术大学与清华大学的联合小组成功实现了16公里的自由空间量子态隐形传输,证实了自由空间远距离量子隐形传输的可行性。
此外,面向云计算领域的高效加密技术、面向物联网应用的轻量级加密技术等也相继发展起来。
4 云计算下的数据安全
云计算技术已被广泛地应用于各个领域,包括城市管理、电子政务、园区服务、医疗卫生、教育、金融等。云计算平台利用虚拟化技术共享计算资源,改变了原来的计算模式,提高了资源的利用率、灵活性和可用性,但由于相同硬件资源承载了更多的计算任务,其虚拟化技术自身的安全问题影响更为突出。
云计算环境下针对虚拟机的攻击,可分内部攻击和外部攻击两类。攻击者可以通过虚拟机攻击虚拟机监控器,或者通过虚拟机管理工具攻击虚拟机监控器,从而实现对同一宿主机上的其他虚拟机的攻击。由于上述攻击是利用虚拟机内部漏洞发起,可归为内部攻击。
此外,攻击者还可以通过在宿主机安装Rootkit(一种特殊类型的恶意软件)软件,从而控制虚拟机监控器实现对整个虚拟机环境的攻击。由于此类攻击是利用宿主机的漏洞从虚拟机外部发起,称为外部攻击。
虚拟化的目标之一,就是通过建立隔离机制来保证虚拟机的安全,而内部攻击是破坏虚拟机的隔离性,从而窃取同一物理主机中其他虚拟机用户的隐私和机密数据。现有内部攻击方面主要围绕攻击的三个步骤展开,即虚拟机环境检测、虚拟机监控器识别以及破坏虚拟机的隔离性。
虚拟机监控器保证了虚拟机之间的隔离性,但它本身也存在漏洞。当确定了虚拟机监控器的类型之后,攻击者可以通过该监控器的漏洞或者错误配置对虚拟机系统发起攻击。
云计算环境下虚拟机针对上述攻击,现有的防御技术主要包括虚拟机安全监控、虚拟机隔离性保护和虚拟机监控器安全防护三个方面,通过虚拟机监控,发现对虚拟机系统的恶意攻击;通过虚拟机隔离保护,防止对虚拟机隔离性的攻击和破坏;利用虚拟机监控器安全技术,抵御来自虚拟机监控器的攻击。
为实现虚拟机安全监控,研究者们分别针对内、外部攻击,提出了多种检测方法,其中比较典型的有虚拟机自省技术和Rootkit检测技术
虚拟机自省技术是指通过虚拟机监控器访问虚拟机内存空间,这样就可以在外部检测虚拟机中的数据,并分析虚拟机的内容,发现内部攻击。根据分析结果,可报告虚拟机异常或自动进行响应。
由于外部攻击主要通过Rootkit实现。因此,Rootkit检测对于发现外部攻击至关重要。研究者针对Linux内核研究并实现了一种检测系统,只有用户确认的代码才可以在内核中执行,可防御Rootkit等恶意代码的注入攻击。此外,也有研究者提出通过处理器硬件探测代码执行,并依据可执行的二进制代码规范来识别代码,同时验证代码是否被修改,从而达到检测隐藏Rootkit的目的。
虚拟机隔离性保护是指基于虚拟机监控器提供的安全模块,使用强制接入控制技术在虚拟机间建立隔离。因此,虚拟机隔离性保护的本质是通过多租户访问控制技术实现虚拟机的隔离。
2016年网络空间大事记
2月
孟加拉国中央银行在美国纽约联邦储备银行开设的账户2月初遭黑客攻击,失窃8100万美元。据相关执法部门调查,赃款几经分批中转,最终流入菲律宾两家赌场和一名赌团中介商的账户,随后很可能变成一堆筹码,就此消失无踪。
4月
德国Gundremmingen核电站的计算机系统在常规安全检测中发现了恶意程序。核电站的操作员为防不测,关闭了发电厂。Gundremmingen核电站官方发布的新闻稿称,此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。据说该恶意程序仅感染了计算机的IT系统,而没有涉及到与核燃料交互的ICS/SCADA设备。
6月
一个包含约220万条恐怖分子与“高风险个人及实体”记录的数据库被泄露在互联网上。银行、政府及情报机构使用该数据库进行全球范围的风险扫描,数据库信息包括了恐怖分子嫌疑人。虽然欧洲隐私法所强烈限制了访问该数据库的行为,但是仍未知第三方在网上曝光了该数据库的老版本数据。
8月
继斯诺登泄密风波之后,美国国家安全局(NSA)再次敲响内部威胁警钟。NSA承包商哈罗德·马丁于8月27日因窃取国安局数据被捕,马丁与曾揭露美国政府大规模监听行动的斯诺登受雇于同一家公司,马丁还被怀疑掌握了NSA的“源代码”。调查人员在马丁家中和车内搜出美国政府高度机密文件的复印文本和数字文档。
9月
雅虎突然宣称其至少5亿条用户信息被黑客盗取,其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。并建议所有雅虎用户及时更改密码。此次雅虎信息泄露事件被称为史上最大规模互联网信息泄露事件,也让正在出售核心业务的雅虎再受重创。
10月
恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDoS攻击,从而导致许多网站在美国东海岸地区宕机,如GitHub、Twitter、PayPal等,用户无法通过域名访问这些站点。
11月
旧金山的Municipal地铁的电脑票价系统遭到黑客攻击,黑客索要100比特币作为赎金。尽管黑客已经开设好比特币钱包等待旧金山地铁的支付,但旧金山地铁并未向黑客支付任何费用,在所有地铁购票机器工作失常后,旧金山地铁干脆开放地铁,允许乘客免费乘坐。
12月
俄罗斯中央银行官员瑟乔夫证实,该行电脑系统遭到了黑客入侵,犯罪分子从银行的代理账户中窃走了20亿卢布(约合3100万美元)的资金。瑟乔夫透露,黑客是通过伪造一名用户的证书进入这些账户的。紧接着,俄罗斯第二大银行VTB再遭黑客攻击,幸运的是,银行方面的防御体系成功击退了指向其业务系统的DDoS攻击,未造成资金损失。
相关
脆弱的服务器
用来管理全世界互联网的是分布于全球的13台根逻辑域名服务器,1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。
在面临黑客攻击时,这13台服务器并不是固若金汤。1997年7月,这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单,然而这份清单实际上是空白的。这一失误导致了因特网上最严重的局部服务中断,数天之内网页无法访问,电子邮件也无法发送。
2002年的10月21日下午,这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。超过常规数量30至40倍的数据猛烈地向这些服务器袭来,导致其中的9台不能正常运行。如果攻击的时间再延长一些,攻击再稍微复杂一点,或者再多一台服务器瘫痪,全球互联网将会有相当一部分网页浏览以及邮件服务会彻底中断。…
