發(fā)布時(shí)間：2019-04-26 11:36

【摘要】：近年來公共云服務(wù)平臺(tái)正逐漸的成熟和商業(yè)化,公共云平臺(tái)利用其資源共享的服務(wù)方式和彈性的資源管理大大降低了軟件服務(wù)的開發(fā)成本,提高了硬件資源的利用率。但是,目前的公共云服務(wù)平臺(tái)安全方案卻依然并不成熟,一方面?zhèn)鹘y(tǒng)的企業(yè)安全方案在開放的云計(jì)算服務(wù)場景并不完全適用,另一方面,云平臺(tái)復(fù)雜的架構(gòu)以及采用了大量的支撐技術(shù)導(dǎo)致單一層次上的安全防護(hù)難以奏效。 因此在本文,我們分析主流商業(yè)云服務(wù)平臺(tái)的安全防護(hù)方案、目前的云安全防護(hù)研究成果以及傳統(tǒng)安全防護(hù)技術(shù)在實(shí)際云計(jì)算場景下應(yīng)用的主要問題,提出一個(gè)多層次的云安全防護(hù)機(jī)制,利用縱深、多層次的安全防護(hù)解決云平臺(tái)的各種安全威脅,增加云安全防護(hù)的可信度。云安全防護(hù)體系在虛擬機(jī)監(jiān)控器(VMM)和管理虛擬機(jī)可能存在漏洞的情形下,依然保護(hù)云用戶數(shù)據(jù)私密性和完整性；平臺(tái)的Java應(yīng)用隔離方案能夠靈活、細(xì)粒度地控制云平臺(tái)程序的行為,盡可能降低用戶的程序從本地遷移到云平臺(tái)的工作成本；防護(hù)體系能夠有效采集平臺(tái)服務(wù)和用戶服務(wù)的運(yùn)行日志,正確串聯(lián)成日志調(diào)用鏈,對用戶操作的安全審計(jì)、云平臺(tái)服務(wù)的入侵檢測、故障定位和性能分析等提供信息支持。 本文的主要貢獻(xiàn)和創(chuàng)新包括： 1.研究了當(dāng)前云計(jì)算的主要安全問題,從云威脅來源和云平臺(tái)結(jié)構(gòu)分析云平臺(tái)的主要安全挑戰(zhàn),總結(jié)了目前的企業(yè)安全方案和研究成果在云計(jì)算場景下的主要問題。 2.對Xen增加了鏡像加解密操作的支持,將密鑰傳輸、密鑰管理和加解密操作同Xen管理虛擬機(jī)、虛擬機(jī)監(jiān)控器VMM以及其他云平臺(tái)服務(wù)分離,保證平臺(tái)安全防護(hù)在VMM和管理虛擬機(jī)可能存在漏洞的情形下,依然保護(hù)云用戶鏡像數(shù)據(jù)私密性和完整性。 3.在Java應(yīng)用隔離沙箱上,利用動(dòng)態(tài)切面注入技術(shù)監(jiān)控Java API的運(yùn)行,在Java安全模型的基礎(chǔ)上增強(qiáng)了對用戶代碼的控制能力,解決了細(xì)粒度的API監(jiān)控問題和如何對第三方庫進(jìn)行安全授權(quán)的問題,保證安全隔離的同時(shí)降低用戶的服務(wù)程序從本地遷移到PaaS平臺(tái)的工作成本。 本文詳細(xì)描述了多層次云安全防護(hù)體系的設(shè)計(jì)思路,具體框架結(jié)構(gòu)和功能的設(shè)計(jì)實(shí)現(xiàn),最后通過實(shí)驗(yàn)測試該系統(tǒng)的有效性和給出性能影響結(jié)果。
[Abstract]:In recent years, the public cloud service platform is gradually mature and commercialized. The public cloud platform uses its resource sharing service mode and flexible resource management to greatly reduce the development cost of software services and improve the utilization of hardware resources. However, the current public cloud services platform security scheme is still immature. On the one hand, the traditional enterprise security scheme is not fully applicable in the open cloud computing service scenario, on the other hand, the traditional enterprise security scheme is not fully applicable in the open cloud computing service scenario. The complex architecture of the cloud platform and the adoption of a large number of supporting technologies make it difficult for a single level of security protection to work. Therefore, in this paper, we analyze the mainstream business cloud services platform security protection solutions, the current research results of cloud security protection and traditional security protection technology in the actual cloud computing scenario of the application of the main issues, A multi-level cloud security protection mechanism is proposed to solve all kinds of security threats of cloud platform by using deep and multi-level security protection to increase the reliability of cloud security protection. The cloud security system still protects the privacy and integrity of cloud users' data when the virtual machine monitor (VMM) and the management virtual machine may be vulnerable. The Java application isolation scheme of the platform can control the behavior of cloud platform program flexibly and finely, and reduce the work cost of migrating user program from local to cloud platform as far as possible. The protection system can effectively collect the running logs of platform services and user services, correctly concatenate into log call chains, provide information support for security audit of user operations, intrusion detection of cloud platform services, fault location and performance analysis. The main contributions and innovations of this paper include: 1. This paper studies the main security problems of cloud computing, analyzes the main security challenges of cloud platform from cloud threat sources and cloud platform architecture, and summarizes the main problems of current enterprise security schemes and research results in cloud computing scenarios. 2. Xen adds support for mirror encryption and decryption operations, separating key transfer, key management, and decryption from Xen management virtual machines, virtual machine monitor VMM, and other cloud platform services. Ensuring platform security still protects the privacy and integrity of cloud users' mirrored data in the event of possible vulnerabilities in VMM and management virtual machines. 3. In the isolation sandbox of Java application, the dynamic cross-section injection technology is used to monitor the operation of Java API, which enhances the control ability of user code on the basis of Java security model. The problem of fine-grained API monitoring and security authorization of third-party library is solved. The security isolation is guaranteed and the cost of migrating user's service program from local to PaaS platform is reduced at the same time. In this paper, the design idea of multi-level cloud security protection system is described in detail, and the concrete frame structure and function are designed and realized. Finally, the effectiveness of the system is tested by experiments and the results of performance impact are given.
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 譚亞楠;;對如何建立服務(wù)器安全防護(hù)體系的探討[J];信息與電腦(理論版);2010年02期

2 楊育紅;胡_g;;電子政務(wù)信息系統(tǒng)的安全防護(hù)體系[J];計(jì)算機(jī)安全;2010年04期

3 辛鋼;;論構(gòu)建網(wǎng)絡(luò)信息的安全防護(hù)體系[J];現(xiàn)代商貿(mào)工業(yè);2011年23期

4 劉增氣;;平安城市的信息安全防護(hù)體系設(shè)計(jì)[J];信息安全與通信保密;2011年12期

5 侯波濤;;電力公司信息安全防護(hù)體系建設(shè)研究[J];科技信息;2013年05期

6 趙糧;;安全防護(hù)體系注定要進(jìn)入變革期[J];信息安全與通信保密;2014年02期

7 魏曉菁,柳英楠,來風(fēng)剛;國家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究[J];電力信息化;2004年01期

8 董春輝;;一種信息安全防護(hù)體系[J];電信工程技術(shù)與標(biāo)準(zhǔn)化;2010年02期

9 應(yīng)志斌;;淺談構(gòu)建信息安全防護(hù)體系[J];科技傳播;2010年11期

10 莫樂群;;中小型企業(yè)網(wǎng)絡(luò)軟安全防護(hù)體系的研究與設(shè)計(jì)[J];現(xiàn)代計(jì)算機(jī)(專業(yè)版);2010年06期

相關(guān)會(huì)議論文 前10條

1 王雯;;淺析宣鋼企業(yè)信息化安全防護(hù)體系[A];中國計(jì)量協(xié)會(huì)冶金分會(huì)2009年年會(huì)論文集[C];2009年

2 鐘以良;陳芳;;烏江渡發(fā)電廠二次系統(tǒng)安全防護(hù)體系的構(gòu)建與思考[A];中國水力發(fā)電工程學(xué)會(huì)信息化專委會(huì)2010年學(xué)術(shù)交流會(huì)論文集[C];2010年

3 李進(jìn)進(jìn);王建昌;朱南康;;規(guī)范輻照企業(yè)的安全防護(hù)體系文檔及管理[A];中國核科學(xué)技術(shù)進(jìn)展報(bào)告——中國核學(xué)會(huì)2009年學(xué)術(shù)年會(huì)論文集（第一卷·第10冊）[C];2009年

4 畢玉展;馬金營;田云紅;亓榮紅;;關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)體系的研究與應(yīng)用[A];山東金屬學(xué)會(huì)2005煉鋼學(xué)術(shù)交流會(huì)論文集[C];2005年

5 許蘭川;高寧渝;;構(gòu)筑鐵路公安信息網(wǎng)絡(luò)安全防護(hù)體系[A];第二十次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2005年

6 李驥;;煙草行業(yè)WEB應(yīng)用的威脅及防護(hù)[A];河南省煙草學(xué)會(huì)2008年學(xué)術(shù)交流獲獎(jiǎng)?wù)撐募�（上）[C];2008年

7 馬錚;王健全;周光濤;;移動(dòng)互聯(lián)網(wǎng)安全防護(hù)體系及策略探析[A];2012全國無線及移動(dòng)通信學(xué)術(shù)大會(huì)論文集（下）[C];2012年

8 李剛;吳菊;;城域數(shù)據(jù)網(wǎng)安全防護(hù)體系構(gòu)建及應(yīng)用研究[A];2013年中國通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)年會(huì)論文集[C];2013年

9 李光朋;;入侵防御提升電力系統(tǒng)安全性[A];2012電力行業(yè)信息化年會(huì)論文集[C];2012年

10 李貴寶;李鵬;宋濤;劉書濤;田廣平;尹群生;王政;丁兆習(xí);;人體解剖學(xué)實(shí)驗(yàn)室安全防護(hù)體系的建設(shè)與完善[A];中國臨床解剖學(xué)雜志2013年7月第31卷第4期[C];2013年

相關(guān)重要報(bào)紙文章 前10條

1 記者 鄭光生邋通訊員 李兆芳;我省探索建立食品安全防護(hù)體系[N];福建日報(bào);2008年

2 朱曉南邋李兆芳;福建局探索建立食品安全防護(hù)體系[N];中國國門時(shí)報(bào);2008年

3 琚耀慶　龐曉青 宋劍;對礦井新型安全防護(hù)體系建設(shè)的思索[N];中華合作時(shí)報(bào);2010年

4 張玉香;提升生產(chǎn)安全防護(hù)體系實(shí)戰(zhàn)能力[N];中國石化報(bào);2014年

5 樊黎莉 劉洋;黃金一總隊(duì)建立網(wǎng)絡(luò)信息安全防護(hù)體系[N];人民武警;2007年

6 杜貴亭;河南局四隊(duì)構(gòu)建安全防護(hù)體系[N];中煤地質(zhì)報(bào);2006年

7 何新凱;阜平縣牢筑中小學(xué)安全防護(hù)體系[N];保定日報(bào);2009年

8 本報(bào)評論員;健全安全防護(hù)體系勢在必行[N];中國鐵道建筑報(bào);2010年

9 琚耀慶　龐曉青 宋劍;循人本之路擔(dān)國企之責(zé)鑄安全屏障譜生命華章[N];山西日報(bào);2010年

10 崔顯軍;建設(shè)環(huán)境安全防護(hù)體系[N];中國環(huán)境報(bào);2010年

相關(guān)碩士學(xué)位論文 前8條

1 周燦;多層次的云平臺(tái)安全防護(hù)體系[D];南京大學(xué);2014年

2 姚越鵬;分級MANET的安全防護(hù)體系研究[D];國防科學(xué)技術(shù)大學(xué);2008年

3 周寧;重慶電網(wǎng)二次系統(tǒng)安全防護(hù)體系結(jié)構(gòu)及關(guān)鍵技術(shù)研究[D];重慶大學(xué);2005年

4 寇蕓;PC信息安全防護(hù)體系的研究與構(gòu)造[D];西安電子科技大學(xué);2002年

5 張念貴;基于AOP的Web應(yīng)用安全防護(hù)體系的研究與實(shí)現(xiàn)[D];江蘇科技大學(xué);2010年

6 姚國治;GFMIS安全防護(hù)體系實(shí)現(xiàn)方法研究[D];重慶大學(xué);2004年

7 張恒;基于聯(lián)動(dòng)的分布式IPv6安全防護(hù)體系的實(shí)現(xiàn)[D];北京郵電大學(xué);2006年

8 喬偉;企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實(shí)現(xiàn)[D];內(nèi)蒙古大學(xué);2009年

，

本文編號：2466033