中小企業(yè)云服務(wù)平臺安全機(jī)制研究

前言：本站為你精心整理了中小企業(yè)云服務(wù)平臺安全機(jī)制研究范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：云計算是以往應(yīng)用計算模式的一次沖擊,也是中小企業(yè)信息化建設(shè)的一個里程碑。應(yīng)用云計算建立的云服務(wù)平臺滿足了中小企業(yè)新的發(fā)展需要，能夠高效地為中小企業(yè)提供各種信息資源。但是在云服務(wù)平臺應(yīng)用越來越頻繁的今天，信息安全問題也日益顯露出來，一系列的不安因素對云服務(wù)平臺的建立和維護(hù)提出了更高的要求。因此，研究一種可靠的安全機(jī)制來確保各種服務(wù)數(shù)據(jù)的安全性、私密性具有非常重要的現(xiàn)實(shí)意義。

關(guān)鍵詞：信息技術(shù)；中小企業(yè)；云計算；完全二叉樹；安全機(jī)制

信息化科學(xué)的快速發(fā)展對中小企業(yè)的發(fā)展提出了更高的要求。部分中小企業(yè)還僅僅是把信息化放在一個職能部門的地位，并沒有提升到一個企業(yè)發(fā)展的戰(zhàn)略層面。有的中小企業(yè)實(shí)施信息化建設(shè)也僅僅是根據(jù)自己的需求分階段開展的，不同階段建立的系統(tǒng)服務(wù)于不同的業(yè)務(wù)部門，系統(tǒng)之間沒有數(shù)據(jù)共享，相同的信息數(shù)據(jù)在不同的應(yīng)用系統(tǒng)中反映不一致，極大的浪費(fèi)了人力和資金，還使管理變得復(fù)雜。應(yīng)用云計算等相關(guān)技術(shù)建設(shè)的中小企業(yè)公共服務(wù)平臺，作為服務(wù)平臺網(wǎng)絡(luò)的樞紐，承載著向中小企業(yè)提供標(biāo)準(zhǔn)的應(yīng)用服務(wù)的重任。在系統(tǒng)的架構(gòu)設(shè)計上，既要考慮到現(xiàn)有軟件應(yīng)用的整合與升級，又要考慮到系統(tǒng)將來功能的加強(qiáng)與擴(kuò)展，以適應(yīng)中小企業(yè)管理和業(yè)務(wù)在信息化建設(shè)新時期的轉(zhuǎn)變。在實(shí)現(xiàn)信息化管理的過程中，中小企業(yè)云應(yīng)用系統(tǒng)的各類信息數(shù)據(jù)的安全達(dá)不到要求引起了行業(yè)內(nèi)人士的高度關(guān)注，同時也對云服務(wù)平臺的信息安全機(jī)制提出了新的要求。

一、云應(yīng)用系統(tǒng)中安全機(jī)制研究現(xiàn)狀

利用虛擬機(jī)技術(shù)構(gòu)建的信息安全機(jī)制是目前云應(yīng)用系統(tǒng)常用的安全機(jī)制。Terra系統(tǒng)和Microsoft的NGSCB系統(tǒng)采用的策略都是利用虛擬機(jī)監(jiān)控器同時監(jiān)管常用功能系統(tǒng)模塊和異常進(jìn)程處理系統(tǒng)模塊，當(dāng)調(diào)用信息文件進(jìn)程發(fā)生時先運(yùn)行在異常處理系統(tǒng)模塊中。這樣的方式可以有效解決一些安全問題，但增加的異常處理系統(tǒng)的搭載給整個服務(wù)器帶來巨大的負(fù)擔(dān)。Overshadow云應(yīng)用系統(tǒng)的信息保護(hù)方式是為內(nèi)存頁面加密，運(yùn)用虛擬機(jī)監(jiān)控器來實(shí)現(xiàn)對運(yùn)行中的應(yīng)用程序進(jìn)行約束，與Terra和NGSCB兩個系統(tǒng)相比在兼容性等方面有所改善，但需要對所有的內(nèi)存頁面全部加密的操作過于繁瑣。虛擬機(jī)監(jiān)控器安全機(jī)制是在硬件與云操作系統(tǒng)中間層增加了一個軟件處理層，被稱作軟件增加技術(shù)。這種技術(shù)具有操作透明性和隱秘性等諸多優(yōu)點(diǎn)。易安信（EMC）的可信虛擬設(shè)施研究項(xiàng)目DAOLI也是在硬件與云操作系統(tǒng)中間層增加軟件約束層，來實(shí)現(xiàn)對云應(yīng)用系統(tǒng)和運(yùn)行在系統(tǒng)中應(yīng)用的雙向行為約束管理。DAOLI的研究中已經(jīng)實(shí)現(xiàn)的Chaos系統(tǒng)和Shepherd系統(tǒng)就是通過添加約束層分別對操作系統(tǒng)和云服務(wù)平臺中的應(yīng)用進(jìn)行了約束。

二、基于完全二叉樹的安全機(jī)制研究

（一）結(jié)構(gòu)分析

目前中小企業(yè)云服務(wù)平臺及Chaos和Shepherd等云應(yīng)用系統(tǒng)所采用的安全機(jī)制都是線性結(jié)構(gòu)的進(jìn)程加密方式。即當(dāng)有I/O數(shù)據(jù)文件被系統(tǒng)判定要加密的時候，系統(tǒng)會啟動一個加密進(jìn)程P1對該文件的影像文件使用對稱密鑰進(jìn)行安全加密，之后使用fork()函數(shù)啟動進(jìn)程P2，通過調(diào)用execve()函數(shù)使用不同的對稱密鑰再為P2加密一次，運(yùn)行到源文件調(diào)用結(jié)束返回的值就是進(jìn)程Pn為文件加密的最終結(jié)果。采用線性結(jié)構(gòu)對系統(tǒng)內(nèi)部的信息加密具有易實(shí)現(xiàn)、節(jié)約資金開銷等優(yōu)點(diǎn)，但安全級別的設(shè)立不明確，級別差別不明顯。不能實(shí)施動態(tài)控制，達(dá)不到高級別的信息安全要求。

（二）虛擬機(jī)監(jiān)控器設(shè)計

傳統(tǒng)云應(yīng)用系統(tǒng)中的安全隔離模塊、權(quán)限審核模塊和異常監(jiān)測模塊是用來抵御外來用戶應(yīng)用進(jìn)程對云應(yīng)用系統(tǒng)內(nèi)部數(shù)據(jù)資源非法占用或者破壞的，且都會按照設(shè)定的安全規(guī)則對進(jìn)程進(jìn)行異常監(jiān)測。本研究意在設(shè)計一個新的管理模塊對這三個模塊進(jìn)行管理并記錄它們所監(jiān)測出來的總的異常進(jìn)程的數(shù)目，稱之為異常統(tǒng)計模塊。一個進(jìn)程要對關(guān)鍵的系統(tǒng)資源進(jìn)行調(diào)度時必須要通過這個異常統(tǒng)計模塊的監(jiān)測。加入了異常統(tǒng)計模塊的云應(yīng)用系統(tǒng)首先會對一個進(jìn)程進(jìn)行權(quán)限審核，判定此進(jìn)程要用到的系統(tǒng)信息資源是否滿足安全策略的要求以及對應(yīng)的操作權(quán)限。如果此進(jìn)程進(jìn)行的系統(tǒng)調(diào)用與安全策略不符，那么此進(jìn)程會被標(biāo)記并向異常統(tǒng)計模塊發(fā)出異常信號，異常統(tǒng)計模塊在收到異常信號之后要完成加1操作。進(jìn)程在調(diào)用系統(tǒng)數(shù)據(jù)的過程中，異常監(jiān)測模塊會對調(diào)用進(jìn)行跟蹤監(jiān)測。通過將系統(tǒng)數(shù)據(jù)調(diào)用行為序列與先前存放在控制虛擬機(jī)中相對應(yīng)的系統(tǒng)調(diào)用輪廓進(jìn)行比對，不相符的系統(tǒng)調(diào)用行為會被標(biāo)記為異常進(jìn)程并發(fā)送異常信號給異常統(tǒng)計模塊。不安全的進(jìn)程會被調(diào)入安全隔離模塊，即系統(tǒng)的單獨(dú)分區(qū)。在這個分區(qū)里隔離模塊會復(fù)制這個異常進(jìn)程所調(diào)用的資源同時把全部操作的指針指向復(fù)制的資源。如果該復(fù)本資源只被該進(jìn)程自己使用，復(fù)制的影像文件會被撤銷并判定此進(jìn)程為安全的。如果被除了自己以外的其它進(jìn)程調(diào)用、修改就判定為異常進(jìn)程。安全隔離模塊就會將復(fù)制資源放置到文件系統(tǒng)特殊區(qū)域予以隔離并發(fā)出異常信號。

（三）完全二叉樹結(jié)構(gòu)的安全機(jī)制

基于完全二叉樹的加密機(jī)制繼承了傳統(tǒng)云應(yīng)用系統(tǒng)中使用的加密技術(shù)和對稱密鑰，這是因?yàn)楦呒壖用軜?biāo)準(zhǔn)（AES）的加密技術(shù)是現(xiàn)今廣泛應(yīng)用的加密技術(shù)，而對稱密鑰的解密策略復(fù)雜度相對簡單些不至于對系統(tǒng)造成太多的負(fù)擔(dān)。利用異常統(tǒng)計模塊記錄云應(yīng)用系統(tǒng)中異常調(diào)用的次數(shù)來計算完全二叉樹的深度m（m=1,2,3,4,5），對加密進(jìn)程實(shí)現(xiàn)動態(tài)控制。完全二叉樹加密結(jié)構(gòu)就是在每個進(jìn)程執(zhí)行后，再應(yīng)用函數(shù)fork()啟動兩個后續(xù)進(jìn)程。其安全結(jié)構(gòu)在完成(m-1)次函數(shù)fork()調(diào)用之后，會產(chǎn)生2m-1個葉子節(jié)點(diǎn)，最后通過設(shè)定的相應(yīng)安全級別算法選擇其中一個葉子進(jìn)程所得密鑰對調(diào)用信息進(jìn)行加密。這種安全機(jī)制相對線性結(jié)構(gòu)的安全機(jī)制有同樣的深度但其安全性卻提高2m-1倍。

（四）實(shí)驗(yàn)與分析

將完全二叉樹安全機(jī)制應(yīng)用到中小企業(yè)云服務(wù)平臺中進(jìn)行的實(shí)驗(yàn)測試結(jié)果表明，添加了新模塊的云應(yīng)用系統(tǒng)能夠更好的對進(jìn)程調(diào)用的系統(tǒng)資源進(jìn)行監(jiān)測，動態(tài)的對高安全級別的系統(tǒng)信息進(jìn)行加密，靈活分配密鑰，在異常進(jìn)程頻繁出現(xiàn)的系統(tǒng)中有更好的表現(xiàn)，但是信息的高安全性的獲得是以加大系統(tǒng)負(fù)擔(dān)為代價的。所以對于中小企業(yè)云服務(wù)平臺中某些安全性、隱私性要求較高的信息采用完全二叉樹安全機(jī)制進(jìn)行加密管理，而對于安全性、隱私性要求一般的數(shù)據(jù)文件執(zhí)行相對簡單的線性加密機(jī)制來管理。

三、結(jié)語

綜上，新的完全二叉樹加密管理機(jī)制應(yīng)用于中小企業(yè)云服務(wù)平臺中可以有效的解決其服務(wù)信息安全性的問題，對中小企業(yè)的快速發(fā)展和我國的經(jīng)濟(jì)起到了帶動作用。

作者：吳旨競 單位：吉林省促進(jìn)中小企業(yè)發(fā)展服務(wù)中心