中小企業云服務平臺安全機制研究

前言：本站為你精心整理了中小企業云服務平臺安全機制研究范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：云計算是以往應用計算模式的一次沖擊,也是中小企業信息化建設的一個里程碑。應用云計算建立的云服務平臺滿足了中小企業新的發展需要，能夠高效地為中小企業提供各種信息資源。但是在云服務平臺應用越來越頻繁的今天，信息安全問題也日益顯露出來，一系列的不安因素對云服務平臺的建立和維護提出了更高的要求。因此，研究一種可靠的安全機制來確保各種服務數據的安全性、私密性具有非常重要的現實意義。

關鍵詞：信息技術；中小企業；云計算；完全二叉樹；安全機制

信息化科學的快速發展對中小企業的發展提出了更高的要求。部分中小企業還僅僅是把信息化放在一個職能部門的地位，并沒有提升到一個企業發展的戰略層面。有的中小企業實施信息化建設也僅僅是根據自己的需求分階段開展的，不同階段建立的系統服務于不同的業務部門，系統之間沒有數據共享，相同的信息數據在不同的應用系統中反映不一致，極大的浪費了人力和資金，還使管理變得復雜。應用云計算等相關技術建設的中小企業公共服務平臺，作為服務平臺網絡的樞紐，承載著向中小企業提供標準的應用服務的重任。在系統的架構設計上，既要考慮到現有軟件應用的整合與升級，又要考慮到系統將來功能的加強與擴展，以適應中小企業管理和業務在信息化建設新時期的轉變。在實現信息化管理的過程中，中小企業云應用系統的各類信息數據的安全達不到要求引起了行業內人士的高度關注，同時也對云服務平臺的信息安全機制提出了新的要求。

一、云應用系統中安全機制研究現狀

利用虛擬機技術構建的信息安全機制是目前云應用系統常用的安全機制。Terra系統和Microsoft的NGSCB系統采用的策略都是利用虛擬機監控器同時監管常用功能系統模塊和異常進程處理系統模塊，當調用信息文件進程發生時先運行在異常處理系統模塊中。這樣的方式可以有效解決一些安全問題，但增加的異常處理系統的搭載給整個服務器帶來巨大的負擔。Overshadow云應用系統的信息保護方式是為內存頁面加密，運用虛擬機監控器來實現對運行中的應用程序進行約束，與Terra和NGSCB兩個系統相比在兼容性等方面有所改善，但需要對所有的內存頁面全部加密的操作過于繁瑣。虛擬機監控器安全機制是在硬件與云操作系統中間層增加了一個軟件處理層，被稱作軟件增加技術。這種技術具有操作透明性和隱秘性等諸多優點。易安信（EMC）的可信虛擬設施研究項目DAOLI也是在硬件與云操作系統中間層增加軟件約束層，來實現對云應用系統和運行在系統中應用的雙向行為約束管理。DAOLI的研究中已經實現的Chaos系統和Shepherd系統就是通過添加約束層分別對操作系統和云服務平臺中的應用進行了約束。

二、基于完全二叉樹的安全機制研究

（一）結構分析

目前中小企業云服務平臺及Chaos和Shepherd等云應用系統所采用的安全機制都是線性結構的進程加密方式。即當有I/O數據文件被系統判定要加密的時候，系統會啟動一個加密進程P1對該文件的影像文件使用對稱密鑰進行安全加密，之后使用fork()函數啟動進程P2，通過調用execve()函數使用不同的對稱密鑰再為P2加密一次，運行到源文件調用結束返回的值就是進程Pn為文件加密的最終結果。采用線性結構對系統內部的信息加密具有易實現、節約資金開銷等優點，但安全級別的設立不明確，級別差別不明顯。不能實施動態控制，達不到高級別的信息安全要求。

（二）虛擬機監控器設計

傳統云應用系統中的安全隔離模塊、權限審核模塊和異常監測模塊是用來抵御外來用戶應用進程對云應用系統內部數據資源非法占用或者破壞的，且都會按照設定的安全規則對進程進行異常監測。本研究意在設計一個新的管理模塊對這三個模塊進行管理并記錄它們所監測出來的總的異常進程的數目，稱之為異常統計模塊。一個進程要對關鍵的系統資源進行調度時必須要通過這個異常統計模塊的監測。加入了異常統計模塊的云應用系統首先會對一個進程進行權限審核，判定此進程要用到的系統信息資源是否滿足安全策略的要求以及對應的操作權限。如果此進程進行的系統調用與安全策略不符，那么此進程會被標記并向異常統計模塊發出異常信號，異常統計模塊在收到異常信號之后要完成加1操作。進程在調用系統數據的過程中，異常監測模塊會對調用進行跟蹤監測。通過將系統數據調用行為序列與先前存放在控制虛擬機中相對應的系統調用輪廓進行比對，不相符的系統調用行為會被標記為異常進程并發送異常信號給異常統計模塊。不安全的進程會被調入安全隔離模塊，即系統的單獨分區。在這個分區里隔離模塊會復制這個異常進程所調用的資源同時把全部操作的指針指向復制的資源。如果該復本資源只被該進程自己使用，復制的影像文件會被撤銷并判定此進程為安全的。如果被除了自己以外的其它進程調用、修改就判定為異常進程。安全隔離模塊就會將復制資源放置到文件系統特殊區域予以隔離并發出異常信號。

（三）完全二叉樹結構的安全機制

基于完全二叉樹的加密機制繼承了傳統云應用系統中使用的加密技術和對稱密鑰，這是因為高級加密標準（AES）的加密技術是現今廣泛應用的加密技術，而對稱密鑰的解密策略復雜度相對簡單些不至于對系統造成太多的負擔。利用異常統計模塊記錄云應用系統中異常調用的次數來計算完全二叉樹的深度m（m=1,2,3,4,5），對加密進程實現動態控制。完全二叉樹加密結構就是在每個進程執行后，再應用函數fork()啟動兩個后續進程。其安全結構在完成(m-1)次函數fork()調用之后，會產生2m-1個葉子節點，最后通過設定的相應安全級別算法選擇其中一個葉子進程所得密鑰對調用信息進行加密。這種安全機制相對線性結構的安全機制有同樣的深度但其安全性卻提高2m-1倍。

（四）實驗與分析

將完全二叉樹安全機制應用到中小企業云服務平臺中進行的實驗測試結果表明，添加了新模塊的云應用系統能夠更好的對進程調用的系統資源進行監測，動態的對高安全級別的系統信息進行加密，靈活分配密鑰，在異常進程頻繁出現的系統中有更好的表現，但是信息的高安全性的獲得是以加大系統負擔為代價的。所以對于中小企業云服務平臺中某些安全性、隱私性要求較高的信息采用完全二叉樹安全機制進行加密管理，而對于安全性、隱私性要求一般的數據文件執行相對簡單的線性加密機制來管理。

三、結語

綜上，新的完全二叉樹加密管理機制應用于中小企業云服務平臺中可以有效的解決其服務信息安全性的問題，對中小企業的快速發展和我國的經濟起到了帶動作用。

作者：吳旨競 單位：吉林省促進中小企業發展服務中心