《云计算应用模式下安全问题研究》开题报告Word文件下载.docx
《《云计算应用模式下安全问题研究》开题报告Word文件下载.docx》由会员分享,可在线阅读,更多相关《《云计算应用模式下安全问题研究》开题报告Word文件下载.docx(12页珍藏版)》请在冰豆网上搜索。
为了从根本上解决云计算平台中的安全防护问题,应从安全体系架构、主动防御方案以及多种安全策略的联动方式入手,实现云计算平台下的动态的主动的防御方案。
云计算平台虚拟化系统安全。
虚拟化技术的应用增大了单台主机被攻破后的安全威胁。
一台虚拟机被攻破后可能影响物理主机,并进而影响其他虚拟机安全,所以很有必要研究虚拟机安全隔离和运行安全技术,降低虚拟机运行过程中被攻破的可能性,杜绝安全问题蔓延。
四、课题研究目标
本课题通过对云计算安全威胁分析及安全技术体系架构、客户数据安全和隐私保护、虚拟化运行环境安全、动态云计算网络安全防护方案等一系列安全技术和方案的研究,提出云计算环境下安全部署和防护实施方案,对云计算平台的安全运营提供技术保障。
五、课题研究内容(包括研究总体框架、难点及解决方案、主要技术方案和关键技术等)5.1研究总体框架
5.2难点及解决方案
1.密文数据处理
–密文数据处理机制,关键在于用户隐私转换技术,以保证正确计算
的前提下,不泄露用户的隐私信息
–目前密文数据处理机制计算效率极低,尚不具备实际应用条件,需
进行算法优化(参数选择)、实现优化等方面研究,以提升算法效率。
2.密文存储数据完整性证明
–在保护用户数据隐私的前提下,对用户数据的完整性和正确性进行
验证,提供数据完整性和正确性的相关证明,并在一定的限度内对
被破坏用户数据进行恢复工作
3.密文快速检索机制
–对海量机密数据文件的查询同时不泄漏用户的查询内容、查询习惯
等隐私信息是云计算的一个重要能力,信息检索过程中的隐私保护
关键在于支持对密文数据的处理能力
4.虚拟边界整合及防护
–虚拟资产是分布在云的各个位置,逻辑上和物理上没有必然联系。
需要通过虚拟交换机的配置,将虚拟资产进行集中的边界整合。
–在不同安全域之间需要采取相应的防护策略。
传统防火墙是无法进
行虚拟边界的控制,只能通过虚拟化安全网关进行。
5.隐蔽通道的发现
–要识别非物理的传输通道,了解云内部虚拟机的交互关系。
常见的
隐蔽通道包括:
来自虚拟化环境以外,来虚拟化系统中其它物理主
机上的VM,来自相同物理机上的其它VM。
6.虚拟资产的识别
–虚拟资产不同于物理资产,它没有实体的表现。
是否存在、数量多
少等等都需要通过技术手段进行发现和管理。
可以通过生命周期管
理系统,用来追踪创建的虚拟机,确保其不再需要的情况下对其进
行删除,从而有效控制资源、掌控全局。
5.3主要技术方案和关键技术
1.云计算安全威胁分析及安全技术体系架构
针对云计算平台各个层分别提出物理安全、接口安全、虚拟化安全、网络安全、应用安全等安全防护要求;
同时,提出了用的安全防护内容和防护手段,以满足和实现云平台安全防护要求。
具体包括:
数据安全防护:
包括服务器存储数据安全、平台管理数据安全、用户应用数据及隐私信息安全等等;
身份识别和访问管理:
包括网络访问控制、主机和虚拟机访问管理、平台访问管理、应用层身份识别等待;
安全管理和业务连续性:
包括物理主机和操作系统的漏洞检测和攻击防护、虚拟机迁移的业务连续性管理等等。
基于云计算环境下移动互联网面临的安全威胁和安全需求,对云计算安全体系的关键技术进行梳理,提出云计算安全技术综合体系架构,为后续关键技术研究提供纲领性指导。
2.租户数据安全
建立完整的云计算环境下用户数据信息的增强保护技术体系,提出一系列针对公用云中用户数据信息在生成、计算、存储、发布、查询等各生命周期中的增强保护技术。
隐私信息生成和计算阶段的隐私增强保护技术将集中信息流控制和加强的差分隐私保护技术融入云中的数据生成和计算阶段,提出一种隐私保护技术,防止计算过程中非授权的隐私信息泄露出去,并支持对计算结果的自动除密。
云计算环境下,含有用户隐私的信息分布式存储在云中,既要考虑到云服务的质量又要考虑到不同用户对不同数据的隐私保护需求,本课题借鉴SLA的思想根据不同的隐私保护需求配置不同的数据存储及备份策略。
云计算环境下,云用户平台上存放着大量的包含用户隐私的信息,云服务提供商在发布一些必要数据的过程中必须能够保证不危害用户的隐私,本课题提出一个隐私信息发布阶段的增强保护技术,以实现在发布隐私信息的阶段既能保护用户的隐私,又不对数据可用性造成明显的影响。
公用云计算环境下隐私信息查询阶段的增强保护技术主要从非授权隐私信息和用户身份信息及用户查询内容两个方面入手。
3.身份管理
云平台面临着信息丢失、被窃听、被篡改等安全性风险,如何在平台中实现身份验证、授权、机密性、完整性以及不可抵赖性等安全措施是云计算应用的重要保证。
其中,身份管理是安全控制的基础,同时也决定了后续操作的安全性。
身份管理已经成为云平台安全研究中的一个重要领域。
为实现基于云平台的身份管理中账号管理,授权管理,认证管理等这些内容,本节的技术方法主要是采用基于角色的自主访问控制。
4.云计算环境下内容安全
本课题基于云计算平台,设计实现用户数据内容过滤系统,重点研究海量数据、大规模并发访问场景下的内容过滤算法。
根据云平台的数据上传过程,设计一种基于规则匹配的过滤器。
在用户上传数据到云平台的过程中,将其与预定的规则进行匹配,以确定是否存在非法信息。
另外,在对内容的过滤中研究一种高效的过滤方式,以减少时间开销。
其过滤器的过滤机制如下:
5.虚拟化运行环境安全
(1)采用虚拟化以及隔离技术,实现用户及服务的安全隔离。
用户隔离让每一个用户都各自拥有专用的文件夹,当用户登陆时,会被导向到其所属的文件夹,而且不可以切换到其他用户的文件夹。
服务隔离是在运行期,通过监控服务状态和质量,按照一定的算法和策略隔离问题服务,减小问题服务对关键服务或者其他服务的影响。
(2)为了实现数据的安全管理,云计算提供用户和系统之间的数据管理服务接口。
数据管理服务由应用服务器和数据中心组成。
应用服务器承担更多的面向用户的业务包括文件的访问历史,文件的相关信息等等;
数据中心存储着文件的分布,其主要为用户提供文件的存储,数据块选择,数据一致性检测等机制。
6.动态云计算网络安全防护方案
研究云计算平台中安全防护体系的动态建立、安全需求的主动感知和安全策略的联动部署问题。
拟采取的主要技术路线如下:
层次化可扩展的云计算安全体系结构模型及其形式化描述
将云计算服务架构分为五个层次、七个架构,并在此层次架构的基础上,从多个视角分析云计算体系的主要安全威胁,按照扩展性强、灵活性高的设计原则,探讨各种防护方案间的内在联系,采用基于动态拓扑势感知的多策略安全方案融合方法,建立多种安全策略的互联机制。
在云计算安全体系建模与设计理论方面,针对云计算环境的动态性和可扩展性,从结构建模和服务提供方面增加对环境的感知适应能力。
对不同类型的云计算服务进行分析,通过建立统一的建模方法,提供层次化、可扩展的模型框架,针对各种服务类别提供元模型;
在元模型基础上,通过引入语义标注方法实现应用模型的描述,并完成模型的组合与生成;
对于动态生成的应用模型,利用仿真方法递归校验其正确性并不断对模型进行修正;
建立模型变化与环境变化的作用关系,给出模型变化在环境适应性及模型切换风险之间的度量方法,评估模型切换风险,为模型的动态调整提供依据,实现业务逻辑与系统环境相分离,提高系统灵活性和扩展性。
六、专利检索情况
201010292105.0面向windows广东电子工业研究本发明设计了一种面向
虚拟机的一院有限公司windows虚拟机的一次性密
次性密码管码管理系统及其方法。
通过
理系统及其请求处理单元、安全验证单
方法元、消息传递单元和密码生
成单元为windows虚拟机生
成一次性登录密码,提高了
windows虚拟机的安全性。
本专利研究的是虚拟机的密
码管理,与我们的关注重点
没有重叠,不存在专利风险。
201110189553.2一种基于虚李鹏通过在操作系统上构建虚拟
拟化技术实化层,利用应用程序虚拟化
现安全工作技术创建一个虚拟化安全工
环境的方法作环境以容纳多个虚拟化应
用程序。
通过虚拟通信总线
实现多个应用相互交互的同
时,分离操作系统和应用程
序、设置和数据,极大方便
了应用程序的部署。
与我们关注的虚拟化安全不
同。
目前可检索到的云计算相关的专利主要集中在云计算应用方面~安全方面的专利很少。
七、已有的研究工作积累和取得的研究成果
本课题目前已经进行了一些相关研究工作~主要取得了如下研究成果:
针对云计算平台安全设备~完成安全设备功能要求,指导现网云平台建设和运维,
完成中国移动大云平台网络安全防护方案,安全评估测试及安全加固,并完成差异化云安全服务体系架构研究
进行了云计算平台安全威胁与需求研究~并给出云安全技术架构。
八、本课题的创新点和专利点
1.本课题的主要创新点如下:
1)云计算的数据安全与隐私保护技术
针对公用云的数据安全问题~研究进程状态迁移与进程通信迁移的创新性技术~从而能够显著减少全局检查点的设置数量~并克服进程迁移过程中的不响应和迁移过程后的剩余依赖性问题,针对公用云的隐私保护问题~从隐私信息生成、计算、存储、发布、查询等各生命周期研究相适应的增强保护技术~从而有效防止用户隐私信息的泄露。
2)云计算的内容安全管理技术
针对公用云计算环境下用户数据内容的安全~进行新的云爬取技术的研究~使其真正具备协同获取信息的能力,进行基于机器学习的信息抽取技术的研究~实现全自动的正文抽取、信息提纯,进行基于本体的网络语言理解和网络情感分析技术研究~并对用户信息进行有效的分析和挖掘~识别用户情感的趋向和演化规律~从而更好地理解用户习惯~分析热点事件舆情。
2.本课题的主要专利点如下:
1)云计算中租户数据的安全保护机制
2)云计算平台的安全保护机制以及虚拟机通信的安全
3)云计算中网络边界的整合与防护
九、外部合作伙伴委托方案
本项目没有外部合作委托。
十、预期研究产出
10.1研究成果,研究报告、形成的软硬件平台,:
1云计算安全威胁及安全体系架构研究报告研究院
2云计算隐私保护技术研究报告研究院
3动态云计算安全防护方案研究报告研究院
4云计算安全服务能力应用需求场景分析研究院
5云计算安全域管控研究报告四川公司
6云终端安全研究报告
7虚拟化服务器安全防护研究报告辽宁公司
10.2标准成果,形成的企业标准及标准化组织成果,:
1针对云计算安全威胁和需求分析标准文稿,1篇研究院
10.3专利成果,专利申请计划,:
1围绕云计算中租户数据保护、虚拟化安全中研究院
的关键技术申请专利,1篇
10.4试验成果,开展的相关试验室及外场测试工作中形成的试验报告,:
1对虚拟化防护平台进行攻击测试,提交测试辽宁公司
结论及报告
2开发完成客户数据保护入侵检测系统研究院
3用户身份管理系统研究院
十一、课题研究分工
1租户数据安全保护研究院云计算环境下数
据安全保护2内容安全研究院3虚拟边界划分及防护研究院、四川公司4网络安全隐蔽通道发现及防护研究院、四川公司5虚拟资产识别四川公司6安全隔离、监控、迁移、存储研究院
虚拟化安全7虚拟化服务器的攻击测试以及辽宁公司
安全防护方案
8安全管理云计算环境下安全集中管控研究院9多租户、多服务模式等特性下的研究院
身份管理
用户身份管理技术及方案
10云终端安全云终端的安全漏洞和配置规范四川公司
十二、项目研究计划进度
十三、项目关键技术决策点及完成时间计划
项目关键决策点决策点简要描述研究完成时间
计划云计算安全风险的梳结合现网试点运营情况,梳理云平台存在2012、5理和验证的安全风险和问题
云计算数据安全、网云计算隐私保护技术研究报告
络安全、虚拟化安全动态云计算安全防护方案研究报告关键技术研究报告云计算安全服务能力应用需求场景分初稿完成析2012.7
云计算安全域管控研究报告
云终端安全研究报告
虚拟化服务器安全防护研究报告标准文稿1篇针对云计算安全威胁和需求分析2012.9申请专利2项围绕云计算中租户数据保护、虚拟化安全2012.10中的关键技术
对虚拟化防护平台进行攻击测试,提交云计算关键系统原型测试结论及报告2012.11设计与验证开发完成入侵检测系统
用户身份管理系统
十四、项目企业绩效贡献情况预测
项目对企业绩效贡献的量化路径图
项目特征指标,PAV,
指标名称项目应用前指标现状值:
PAVc项目应用1年后指标预期值:
此项目带来的指标变动量:
ΔPAV
PAVe1
企业特征指标—网络及生产类,EAV-PS,
指标名称项目应用前指标项目应用1年后指此项目应用带来的指
现状值,EAVc,标预期值,EAVe,标变动量,ΔEAV,
企业特征指标—市场及财务类,EAV-MF,
指标名称项目应用前指标现状项目应用1年后指此项目应用带来的指标变值,EAVc,标预期值,EAVe,动量,ΔEAV,
企业绩效指标,EPV,
项目应用1年后指标预期值:
此项目应用带来的指标变动量:
ΔEAV指标名称项目应用前指标现状值:
EAVcEAVe
营运收入
营运支出
资本开支
注:
1,填写各项指标数值时~请在数值后一并填写指标数值的度量单位,如RMB万元、万人、%等,和指标数
值对应的应用范围,如XX地市、X省全省、31省全网等,。
2,项目特征指标是本项目应用后产生的主要可量化成效~最多不超过3个。
如《传输灾难性设备故障抢
修系统》项目应用的可量化直接成效表现为“缩短故障处理时间”~此即项目特征指标。
其EAVc为×
×
小时~其EAVe为×
分钟~其ΔEAV=EAVe–EAVc。
3,企业特征指标是本项目应用后对企业生产,产品及服务,和经营,市场及财务,带来的可量化成效~
分为“网络及生产类,EAV-PS,”和“市场及财务类,EAV-MF,”~指标清单请见本模板附件1。
如
《传输灾难性设备故障抢修系统》通过缩短故障定位时间~使“客户网络类投诉解决及时率”从×
小
时降低到×
小时~使设备故障抢修时间缩短~由原来需要投入×
人耗时×
小时降低为×
小时~
全省每年节省人工成本×
万元。
其中“客户网络类投诉解决及时率”为EAV-PS指标~“人工成本”
就属于EAV-MF指标。
4,以上指标中~项目特征指标的名称及数值皆为必填项,企业特征指标的名称为必填项~数值为选填项。
企业绩效指标为选填项。
建议项目经理尽量填全以更好地体现本项目对企业的贡献。