安全问题是云计算面临的最严峻的挑战,其中服务可用性是其最基本的要求之一。拒绝服务(Do S)攻击是阻止或拒绝合法使用者存取网络服务器,从而降低系统可用性的一种破坏性攻击方式。在云计算环境下,拒绝服务攻击形式表现出前所未有的多样化和复杂化。针对云计算平台的拒绝服务攻击可能来自云服务器集群外部,也有可能来自内部。较为常见的形式是攻击者利用其所控制的僵尸网络对受害服务器或集群发动分布式拒绝服务攻击,这种攻击可以成倍地提高拒绝服务攻击的威力。甚至在云虚拟服务器之间、虚拟服务器与云用户终端设备之间、虚拟服务器与网络设备或者数据采集设备之间,如果通信或者认证协议设计不当,也极有可能被攻击者加以利用从而发动拒绝服务攻击。因此,在云环境下,研究拒绝服务攻击与防御的关键理论与技术对保障云用户和云服务提供商的安全性具有重要的理论和实践意义。本文的研究工作主要包括以下几个方面:(1)提出一种针对云服务器集群外部分布式拒绝服务攻击与防御的动态博弈论模型。该模型将攻击者和防御者看作是互相博弈的两方,其攻防过程是一个不完全信息的非合作重复博弈。证明在该重复博弈模型中,防御者和攻击者子博弈精炼纳什均衡存在,并据此给出双方的动态最佳策略算法。一方面,防御者的最佳策略算法使得其能够根据当前的网络负载和连接的检测情况动态地调整防火墙策略,从而有效降低入侵检测系统的误报率,进而提高正常用户网络服务的质量;另一方面,攻击者的最佳策略算法能够显著降低僵尸网络中僵尸主机的暴露率,做到以最小代价来进行有效的攻击。此外,通过本模型可以对入侵检测系统的抵御效果进行实时的定量评估,从而分析当前服务器集群的安全态势,为升级和改进云平台的安全防御能力提供依据。(2)提出了一种针对云服务器集群内部的、新的分布式拒绝服务攻击方法,云滴冻结攻击。实验表明,该攻击不仅能够引起严重的云服务器群集内部网络的拥塞,而且能够消耗大量物理服务器的CPU和内存资源。这使得本来能够分配给合法虚拟机的资源被非法耗尽,从而达到拒绝服务攻击的目的。通过对云滴冻结攻击原理的分析,发现如果在云服务器集群内部分布式拒绝服务攻击(如云滴冻结攻击)发生后,进行了不当的虚拟机迁移操作,则可能不仅不能缓解云滴冻结攻击,反而将进一步恶化攻击效果,使得云服务的可用性变得更加脆弱。本文的实验表明,原本为了保证服务可用性而进行的虚拟机迁移操作存在着加剧攻击效果的风险。另外,本文根据云滴冻结攻击的原理,给出了一些防御此类攻击的思路和方法。(3)提出了一种抗密钥耗尽型拒绝服务攻击的组播数据源签名优化模型。在时间要求严格的多播通信场景(如云计算和物联网)中,当系统要求的密钥消耗(或更新)速率大于生成速率会导致密钥耗尽型拒绝服务攻击。本模型基于博弈论和香农信息论的相关知识构建,用来描述在时间要求严格的多播通信场景中安全性与效率之间的关系,从而最大限度地保证系统的可用性。通过对该模型的详细分析,证明了纳时均衡在模型中的存在性,并据此提出了数字签名密钥更新的优化策略。该优化策略是在保证通信消息信息论安全地前提下密钥可被重用次数的最小上界。采用该优化策略进行组播通信能够有效地降低了组播通信过程中密钥的更新和生成频率,这使得对密钥耗尽型拒绝服务攻击的抵御能力得到了显著地提高。利用该模型可以对基于RSA的签名算法(如IEC62351标准和PKCS#1 v2.1规范)、基于MAC的签名算法(如Incomplete-key-set算法和TESLA算法),以及TV-HORS算法的密钥更新策略进行效率优化。