[论文解读] SecLaaS: Secure Logging-as-a-Service for Cloud Forensics
SecLaaS 提出了一种面向云 forensics 的安全、隐私保护型 Logging-as-a-Service 架构,使数字取证调查人员能够通过密码学证明(过去日志证明和日志链)验证日志的完整性和机密性,而无需信任云服务提供商。该方案在 OpenStack 中实现,证明了其在保护网络访问日志方面具备实际可行性,同时确保可审计性并符合 SOX 和 HIPAA 等法规要求。
Cloud computing has emerged as a popular computing paradigm in recent years. However, today's cloud computing architectures often lack support for computer forensic investigations. Analyzing various logs (e.g., process logs, network logs) plays a vital role in computer forensics. Unfortunately, collecting logs from a cloud is very hard given the black-box nature of clouds and the multi-tenant cloud models, where many users share the same processing and network resources. Researchers have proposed using log API or cloud management console to mitigate the challenges of collecting logs from cloud infrastructure. However, there has been no concrete work, which shows how to provide cloud logs to investigator while preserving users' privacy and integrity of the logs. In this paper, we introduce Secure-Logging-as-a-Service (SecLaaS), which stores virtual machines' logs and provides access to forensic investigators ensuring the confidentiality of the cloud users. Additionally, SeclaaS preserves proofs of past log and thus protects the integrity of the logs from dishonest investigators or cloud providers. Finally, we evaluate the feasibility of the scheme by implementing SecLaaS for network access logs in OpenStack - a popular open source cloud platform.
研究动机与目标
- 解决在缺乏对云基础设施控制权和信任度的情况下,获取和验证云日志这一关键挑战。
- 在保障用户隐私的同时,使数字取证调查人员能够访问并验证云服务提供商的日志。
- 通过密码学证明,确保日志免受恶意云服务提供商或调查人员篡改的完整性。
- 提供一种实际可行、可部署的解决方案,可与现有云平台(如 OpenStack)集成。
- 通过可验证的日志记录,提升云环境的可审计性,并增强对 SOX 和 HIPAA 等法规标准的合规性。
提出的方法
- 引入集中式日志服务器,云用户将加密并签名的日志上传至该服务器,以确保机密性。
- 采用密码学生器生成紧凑且可验证的日志链(LC),按时间顺序绑定所有日志。
- 为每个日志条目生成过去日志证明(PPL),使审计员能够密码学地验证日志在特定时间点的存在性和完整性。
- 使用公钥密码学和数字签名,将日志与其创建者绑定,确保不可否认性。
- 通过 OpenStack 的网络组件实现该方案,特别集成 Snort 日志用于网络取证。
- 采用高效的累加器方案,确保验证时间与日志量无关,从而保障可扩展性。
实验结果
研究问题
- RQ1如何在保护用户隐私的同时,安全地存储和访问云日志,供数字取证调查人员使用?
- RQ2即使日志由潜在恶意的云服务提供商存储,如何长期通过密码学方法验证其完整性?
- RQ3能否在真实世界的云平台(如 OpenStack)中实际部署安全的 Logging-as-a-Service 模型?
- RQ4系统如何确保日志无法被伪造或篡改,并使其实时真实性可公开验证?
- RQ5在云环境中维护大规模日志流的密码学生器证明,其性能开销如何?
主要发现
- SecLaaS 通过密码学证明成功实现了安全的日志基础设施,有效保护了云日志的机密性和完整性。
- 该系统通过与 OpenStack 集成并处理来自 Snort 的网络访问日志,展示了实际可部署性。
- 得益于高效的累加器技术,日志证明的验证时间几乎不随日志数量增加而变化。
- 该方案使审计员无需信任云服务提供商或调查人员,即可公开验证日志的完整性。
- 该架构通过提供可审计、可检测篡改的日志,增强了对 SOX 和 HIPAA 等法规标准的合规性。
- 通过数字签名和密码学生器,该方案有效降低了日志伪造风险,并提供了不可否认性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。