论文笔记06:Security and privacy aspects in MapReduce on clouds A survey
一、介绍
云计算提供三种类型的服务:
- IaaS;
- PaaS;
- SaaS
云计算可以分为:
- 公有云;
- 私有云;
- 混合云
MapReduce在最初设计的时候,并没有考虑到安全和隐私方面的问题。一个安全的MapReduce框架要解决以下几种攻击:
- 身份验证;
- 保密性(窃听和中间人攻击)
- 数据篡改
- 硬件篡改
- 软件篡改
安全性和隐私性之间的另外区别在于安全性更多是二元问题,即攻击成功与否,而在隐私设置中是关注于数据隐私与框架利用之间存在权衡。
二、挑战
对于带有安全和隐私方面的MapReduce存在着一些挑战:
- 输入的数据的大小和这些数据的存储:分布式的存储带来的数据存储隐患;
- MapReduce计算的高度分布式特性:更多的数据副本给数据安全带来更多的隐患,在MapReduce中识别带有攻击性的mapper或者reducer不是一件容易的事情。
- 数据流:根据数据的敏感性来不同地处理数据,数据会在存储节点和计算节点之间移动;MapReduce的不同计算阶段可能会在不同类型的云服务上进行计算;
- 公有云的黑盒特性支持着MapReduce
- 混合云:MapReduce是设计在单一云环境下使用的,对于敏感性数据和非敏感性数据的分配增加了MapReduce使用的挑战;
- 可扩展性,容错机制和透明性:安全和隐私方面的机制不应该影响MapReduce的效率、拓展性、容错机制,对于用户的使用应该是透明的。
- 经济问题:影响MapReduce在公有云上有三种因素,分别是存储、通信代价和计算时间,安全和隐私机制的也应该经济型地加入。
- 不可靠的数据接入:对于MapReduce的安全和隐私算法应该应对损坏的甚至是带有攻击性的代码,保护数据,并限制带有损坏性的Mappers和Reducers的数据接入。
三、要求
3.1 MapReduce的安全威胁
在公有云环境下,MapReduce处理的分布式的副本数据有着很大的被攻击的可能
- 冒充攻击:会造成数据泄露、计算篡改和在数据上的错误计算,会造成用户在资费上的损失;
- 拒绝服务(DoS)攻击:Dos攻击可能会使得节点的功能失效和无法访问,可能造成集群的网络过载和框架的失效;
- 重放攻击:通过恶意的欺诈性地重复或拖延正常的数据传输;
- 窃听:在未经批准的情况下,计算结果在中间被截获;
- 中间人攻击:数据在传输过程中会被恶意修改、毁坏;
- 拒绝:当节点的mapper或者reducer被错误地拒绝处理时,会发生拒绝攻击。
3.2 MapReduce中的安全要求
- Mappers和Reducers的身份验证,授权和访问控制:只有被授权的用户才能权限够处理这些mapper和reducer,对于授权的攻击是冒充攻击和重放攻击;
- 数据、mapper和reducer的可用性:数据、mapper和reducer对于授权的用户是没有延迟的可用性,对于这些方面的攻击对于处理时间都是有影响的;
- 计算和数据的保密性:为了确保机密性,在传输期间和在公共云本身上传输之后,不能拦截计算和数据。
- 计算和数据的完整性:计算的完整性是指公平传输(指的是从用户位置到计算位置的MapReduce计算)以及Mappers和Reducers的执行。
- 验证输出:验证确保了输出的完整性、正确性、及时性;
- 对计算和数据的核算和审核
3.3 对于MapReduce安全的对抗模型
- Honest-but-curious adversary:会增加一定的额外计算;
- Malicious adversary:应对窃取、毁坏、修改数据,可以分为两类:
- non-collusive :独立工作,不需要与其他的协作;
- collusive:在给出输出之前要与其他所以的一起通信;
- Knowledgeable adversary:具有提升安全性的能力;
- Network and nodes access adversary:
3.4 MapReduce安全的解决方法
