前言：本站為你精心整理了中小企業(yè)云服務(wù)平臺(tái)安全機(jī)制研究范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：云計(jì)算是以往應(yīng)用計(jì)算模式的一次沖擊,也是中小企業(yè)信息化建設(shè)的一個(gè)里程碑。應(yīng)用云計(jì)算建立的云服務(wù)平臺(tái)滿足了中小企業(yè)新的發(fā)展需要，能夠高效地為中小企業(yè)提供各種信息資源。但是在云服務(wù)平臺(tái)應(yīng)用越來(lái)越頻繁的今天，信息安全問(wèn)題也日益顯露出來(lái)，一系列的不安因素對(duì)云服務(wù)平臺(tái)的建立和維護(hù)提出了更高的要求。因此，研究一種可靠的安全機(jī)制來(lái)確保各種服務(wù)數(shù)據(jù)的安全性、私密性具有非常重要的現(xiàn)實(shí)意義。

關(guān)鍵詞：信息技術(shù)；中小企業(yè)；云計(jì)算；完全二叉樹(shù)；安全機(jī)制

信息化科學(xué)的快速發(fā)展對(duì)中小企業(yè)的發(fā)展提出了更高的要求。部分中小企業(yè)還僅僅是把信息化放在一個(gè)職能部門的地位，并沒(méi)有提升到一個(gè)企業(yè)發(fā)展的戰(zhàn)略層面。有的中小企業(yè)實(shí)施信息化建設(shè)也僅僅是根據(jù)自己的需求分階段開(kāi)展的，不同階段建立的系統(tǒng)服務(wù)于不同的業(yè)務(wù)部門，系統(tǒng)之間沒(méi)有數(shù)據(jù)共享，相同的信息數(shù)據(jù)在不同的應(yīng)用系統(tǒng)中反映不一致，極大的浪費(fèi)了人力和資金，還使管理變得復(fù)雜。應(yīng)用云計(jì)算等相關(guān)技術(shù)建設(shè)的中小企業(yè)公共服務(wù)平臺(tái)，作為服務(wù)平臺(tái)網(wǎng)絡(luò)的樞紐，承載著向中小企業(yè)提供標(biāo)準(zhǔn)的應(yīng)用服務(wù)的重任。在系統(tǒng)的架構(gòu)設(shè)計(jì)上，既要考慮到現(xiàn)有軟件應(yīng)用的整合與升級(jí)，又要考慮到系統(tǒng)將來(lái)功能的加強(qiáng)與擴(kuò)展，以適應(yīng)中小企業(yè)管理和業(yè)務(wù)在信息化建設(shè)新時(shí)期的轉(zhuǎn)變。在實(shí)現(xiàn)信息化管理的過(guò)程中，中小企業(yè)云應(yīng)用系統(tǒng)的各類信息數(shù)據(jù)的安全達(dá)不到要求引起了行業(yè)內(nèi)人士的高度關(guān)注，同時(shí)也對(duì)云服務(wù)平臺(tái)的信息安全機(jī)制提出了新的要求。

一、云應(yīng)用系統(tǒng)中安全機(jī)制研究現(xiàn)狀

利用虛擬機(jī)技術(shù)構(gòu)建的信息安全機(jī)制是目前云應(yīng)用系統(tǒng)常用的安全機(jī)制。Terra系統(tǒng)和Microsoft的NGSCB系統(tǒng)采用的策略都是利用虛擬機(jī)監(jiān)控器同時(shí)監(jiān)管常用功能系統(tǒng)模塊和異常進(jìn)程處理系統(tǒng)模塊，當(dāng)調(diào)用信息文件進(jìn)程發(fā)生時(shí)先運(yùn)行在異常處理系統(tǒng)模塊中。這樣的方式可以有效解決一些安全問(wèn)題，但增加的異常處理系統(tǒng)的搭載給整個(gè)服務(wù)器帶來(lái)巨大的負(fù)擔(dān)。Overshadow云應(yīng)用系統(tǒng)的信息保護(hù)方式是為內(nèi)存頁(yè)面加密，運(yùn)用虛擬機(jī)監(jiān)控器來(lái)實(shí)現(xiàn)對(duì)運(yùn)行中的應(yīng)用程序進(jìn)行約束，與Terra和NGSCB兩個(gè)系統(tǒng)相比在兼容性等方面有所改善，但需要對(duì)所有的內(nèi)存頁(yè)面全部加密的操作過(guò)于繁瑣。虛擬機(jī)監(jiān)控器安全機(jī)制是在硬件與云操作系統(tǒng)中間層增加了一個(gè)軟件處理層，被稱作軟件增加技術(shù)。這種技術(shù)具有操作透明性和隱秘性等諸多優(yōu)點(diǎn)。易安信（EMC）的可信虛擬設(shè)施研究項(xiàng)目DAOLI也是在硬件與云操作系統(tǒng)中間層增加軟件約束層，來(lái)實(shí)現(xiàn)對(duì)云應(yīng)用系統(tǒng)和運(yùn)行在系統(tǒng)中應(yīng)用的雙向行為約束管理。DAOLI的研究中已經(jīng)實(shí)現(xiàn)的Chaos系統(tǒng)和Shepherd系統(tǒng)就是通過(guò)添加約束層分別對(duì)操作系統(tǒng)和云服務(wù)平臺(tái)中的應(yīng)用進(jìn)行了約束。

二、基于完全二叉樹(shù)的安全機(jī)制研究

（一）結(jié)構(gòu)分析

目前中小企業(yè)云服務(wù)平臺(tái)及Chaos和Shepherd等云應(yīng)用系統(tǒng)所采用的安全機(jī)制都是線性結(jié)構(gòu)的進(jìn)程加密方式。即當(dāng)有I/O數(shù)據(jù)文件被系統(tǒng)判定要加密的時(shí)候，系統(tǒng)會(huì)啟動(dòng)一個(gè)加密進(jìn)程P1對(duì)該文件的影像文件使用對(duì)稱密鑰進(jìn)行安全加密，之后使用fork()函數(shù)啟動(dòng)進(jìn)程P2，通過(guò)調(diào)用execve()函數(shù)使用不同的對(duì)稱密鑰再為P2加密一次，運(yùn)行到源文件調(diào)用結(jié)束返回的值就是進(jìn)程Pn為文件加密的最終結(jié)果。采用線性結(jié)構(gòu)對(duì)系統(tǒng)內(nèi)部的信息加密具有易實(shí)現(xiàn)、節(jié)約資金開(kāi)銷等優(yōu)點(diǎn)，但安全級(jí)別的設(shè)立不明確，級(jí)別差別不明顯。不能實(shí)施動(dòng)態(tài)控制，達(dá)不到高級(jí)別的信息安全要求。

（二）虛擬機(jī)監(jiān)控器設(shè)計(jì)

傳統(tǒng)云應(yīng)用系統(tǒng)中的安全隔離模塊、權(quán)限審核模塊和異常監(jiān)測(cè)模塊是用來(lái)抵御外來(lái)用戶應(yīng)用進(jìn)程對(duì)云應(yīng)用系統(tǒng)內(nèi)部數(shù)據(jù)資源非法占用或者破壞的，且都會(huì)按照設(shè)定的安全規(guī)則對(duì)進(jìn)程進(jìn)行異常監(jiān)測(cè)。本研究意在設(shè)計(jì)一個(gè)新的管理模塊對(duì)這三個(gè)模塊進(jìn)行管理并記錄它們所監(jiān)測(cè)出來(lái)的總的異常進(jìn)程的數(shù)目，稱之為異常統(tǒng)計(jì)模塊。一個(gè)進(jìn)程要對(duì)關(guān)鍵的系統(tǒng)資源進(jìn)行調(diào)度時(shí)必須要通過(guò)這個(gè)異常統(tǒng)計(jì)模塊的監(jiān)測(cè)。加入了異常統(tǒng)計(jì)模塊的云應(yīng)用系統(tǒng)首先會(huì)對(duì)一個(gè)進(jìn)程進(jìn)行權(quán)限審核，判定此進(jìn)程要用到的系統(tǒng)信息資源是否滿足安全策略的要求以及對(duì)應(yīng)的操作權(quán)限。如果此進(jìn)程進(jìn)行的系統(tǒng)調(diào)用與安全策略不符，那么此進(jìn)程會(huì)被標(biāo)記并向異常統(tǒng)計(jì)模塊發(fā)出異常信號(hào)，異常統(tǒng)計(jì)模塊在收到異常信號(hào)之后要完成加1操作。進(jìn)程在調(diào)用系統(tǒng)數(shù)據(jù)的過(guò)程中，異常監(jiān)測(cè)模塊會(huì)對(duì)調(diào)用進(jìn)行跟蹤監(jiān)測(cè)。通過(guò)將系統(tǒng)數(shù)據(jù)調(diào)用行為序列與先前存放在控制虛擬機(jī)中相對(duì)應(yīng)的系統(tǒng)調(diào)用輪廓進(jìn)行比對(duì)，不相符的系統(tǒng)調(diào)用行為會(huì)被標(biāo)記為異常進(jìn)程并發(fā)送異常信號(hào)給異常統(tǒng)計(jì)模塊。不安全的進(jìn)程會(huì)被調(diào)入安全隔離模塊，即系統(tǒng)的單獨(dú)分區(qū)。在這個(gè)分區(qū)里隔離模塊會(huì)復(fù)制這個(gè)異常進(jìn)程所調(diào)用的資源同時(shí)把全部操作的指針指向復(fù)制的資源。如果該復(fù)本資源只被該進(jìn)程自己使用，復(fù)制的影像文件會(huì)被撤銷并判定此進(jìn)程為安全的。如果被除了自己以外的其它進(jìn)程調(diào)用、修改就判定為異常進(jìn)程。安全隔離模塊就會(huì)將復(fù)制資源放置到文件系統(tǒng)特殊區(qū)域予以隔離并發(fā)出異常信號(hào)。

（三）完全二叉樹(shù)結(jié)構(gòu)的安全機(jī)制

基于完全二叉樹(shù)的加密機(jī)制繼承了傳統(tǒng)云應(yīng)用系統(tǒng)中使用的加密技術(shù)和對(duì)稱密鑰，這是因?yàn)楦呒?jí)加密標(biāo)準(zhǔn)（AES）的加密技術(shù)是現(xiàn)今廣泛應(yīng)用的加密技術(shù)，而對(duì)稱密鑰的解密策略復(fù)雜度相對(duì)簡(jiǎn)單些不至于對(duì)系統(tǒng)造成太多的負(fù)擔(dān)。利用異常統(tǒng)計(jì)模塊記錄云應(yīng)用系統(tǒng)中異常調(diào)用的次數(shù)來(lái)計(jì)算完全二叉樹(shù)的深度m（m=1,2,3,4,5），對(duì)加密進(jìn)程實(shí)現(xiàn)動(dòng)態(tài)控制。完全二叉樹(shù)加密結(jié)構(gòu)就是在每個(gè)進(jìn)程執(zhí)行后，再應(yīng)用函數(shù)fork()啟動(dòng)兩個(gè)后續(xù)進(jìn)程。其安全結(jié)構(gòu)在完成(m-1)次函數(shù)fork()調(diào)用之后，會(huì)產(chǎn)生2m-1個(gè)葉子節(jié)點(diǎn)，最后通過(guò)設(shè)定的相應(yīng)安全級(jí)別算法選擇其中一個(gè)葉子進(jìn)程所得密鑰對(duì)調(diào)用信息進(jìn)行加密。這種安全機(jī)制相對(duì)線性結(jié)構(gòu)的安全機(jī)制有同樣的深度但其安全性卻提高2m-1倍。

（四）實(shí)驗(yàn)與分析

將完全二叉樹(shù)安全機(jī)制應(yīng)用到中小企業(yè)云服務(wù)平臺(tái)中進(jìn)行的實(shí)驗(yàn)測(cè)試結(jié)果表明，添加了新模塊的云應(yīng)用系統(tǒng)能夠更好的對(duì)進(jìn)程調(diào)用的系統(tǒng)資源進(jìn)行監(jiān)測(cè)，動(dòng)態(tài)的對(duì)高安全級(jí)別的系統(tǒng)信息進(jìn)行加密，靈活分配密鑰，在異常進(jìn)程頻繁出現(xiàn)的系統(tǒng)中有更好的表現(xiàn)，但是信息的高安全性的獲得是以加大系統(tǒng)負(fù)擔(dān)為代價(jià)的。所以對(duì)于中小企業(yè)云服務(wù)平臺(tái)中某些安全性、隱私性要求較高的信息采用完全二叉樹(shù)安全機(jī)制進(jìn)行加密管理，而對(duì)于安全性、隱私性要求一般的數(shù)據(jù)文件執(zhí)行相對(duì)簡(jiǎn)單的線性加密機(jī)制來(lái)管理。

三、結(jié)語(yǔ)

綜上，新的完全二叉樹(shù)加密管理機(jī)制應(yīng)用于中小企業(yè)云服務(wù)平臺(tái)中可以有效的解決其服務(wù)信息安全性的問(wèn)題，對(duì)中小企業(yè)的快速發(fā)展和我國(guó)的經(jīng)濟(jì)起到了帶動(dòng)作用。

作者：吳旨競(jìng) 單位：吉林省促進(jìn)中小企業(yè)發(fā)展服務(wù)中心