【摘要】：近年來公共云服務(wù)平臺正逐漸的成熟和商業(yè)化,公共云平臺利用其資源共享的服務(wù)方式和彈性的資源管理大大降低了軟件服務(wù)的開發(fā)成本,提高了硬件資源的利用率。但是,目前的公共云服務(wù)平臺安全方案卻依然并不成熟,一方面?zhèn)鹘y(tǒng)的企業(yè)安全方案在開放的云計算服務(wù)場景并不完全適用,另一方面,云平臺復(fù)雜的架構(gòu)以及采用了大量的支撐技術(shù)導(dǎo)致單一層次上的安全防護(hù)難以奏效。 因此在本文,我們分析主流商業(yè)云服務(wù)平臺的安全防護(hù)方案、目前的云安全防護(hù)研究成果以及傳統(tǒng)安全防護(hù)技術(shù)在實際云計算場景下應(yīng)用的主要問題,提出一個多層次的云安全防護(hù)機制,利用縱深、多層次的安全防護(hù)解決云平臺的各種安全威脅,增加云安全防護(hù)的可信度。云安全防護(hù)體系在虛擬機監(jiān)控器(VMM)和管理虛擬機可能存在漏洞的情形下,依然保護(hù)云用戶數(shù)據(jù)私密性和完整性；平臺的Java應(yīng)用隔離方案能夠靈活、細(xì)粒度地控制云平臺程序的行為,盡可能降低用戶的程序從本地遷移到云平臺的工作成本；防護(hù)體系能夠有效采集平臺服務(wù)和用戶服務(wù)的運行日志,正確串聯(lián)成日志調(diào)用鏈,對用戶操作的安全審計、云平臺服務(wù)的入侵檢測、故障定位和性能分析等提供信息支持。 本文的主要貢獻(xiàn)和創(chuàng)新包括： 1.研究了當(dāng)前云計算的主要安全問題,從云威脅來源和云平臺結(jié)構(gòu)分析云平臺的主要安全挑戰(zhàn),總結(jié)了目前的企業(yè)安全方案和研究成果在云計算場景下的主要問題。 2.對Xen增加了鏡像加解密操作的支持,將密鑰傳輸、密鑰管理和加解密操作同Xen管理虛擬機、虛擬機監(jiān)控器VMM以及其他云平臺服務(wù)分離,保證平臺安全防護(hù)在VMM和管理虛擬機可能存在漏洞的情形下,依然保護(hù)云用戶鏡像數(shù)據(jù)私密性和完整性。 3.在Java應(yīng)用隔離沙箱上,利用動態(tài)切面注入技術(shù)監(jiān)控Java API的運行,在Java安全模型的基礎(chǔ)上增強了對用戶代碼的控制能力,解決了細(xì)粒度的API監(jiān)控問題和如何對第三方庫進(jìn)行安全授權(quán)的問題,保證安全隔離的同時降低用戶的服務(wù)程序從本地遷移到PaaS平臺的工作成本。 本文詳細(xì)描述了多層次云安全防護(hù)體系的設(shè)計思路,具體框架結(jié)構(gòu)和功能的設(shè)計實現(xiàn),最后通過實驗測試該系統(tǒng)的有效性和給出性能影響結(jié)果。
[Abstract]:In recent years, the public cloud service platform is gradually mature and commercialized. The public cloud platform uses its resource sharing service mode and flexible resource management to greatly reduce the development cost of software services and improve the utilization of hardware resources. However, the current public cloud services platform security scheme is still immature. On the one hand, the traditional enterprise security scheme is not fully applicable in the open cloud computing service scenario, on the other hand, the traditional enterprise security scheme is not fully applicable in the open cloud computing service scenario. The complex architecture of the cloud platform and the adoption of a large number of supporting technologies make it difficult for a single level of security protection to work. Therefore, in this paper, we analyze the mainstream business cloud services platform security protection solutions, the current research results of cloud security protection and traditional security protection technology in the actual cloud computing scenario of the application of the main issues, A multi-level cloud security protection mechanism is proposed to solve all kinds of security threats of cloud platform by using deep and multi-level security protection to increase the reliability of cloud security protection. The cloud security system still protects the privacy and integrity of cloud users' data when the virtual machine monitor (VMM) and the management virtual machine may be vulnerable. The Java application isolation scheme of the platform can control the behavior of cloud platform program flexibly and finely, and reduce the work cost of migrating user program from local to cloud platform as far as possible. The protection system can effectively collect the running logs of platform services and user services, correctly concatenate into log call chains, provide information support for security audit of user operations, intrusion detection of cloud platform services, fault location and performance analysis. The main contributions and innovations of this paper include: 1. This paper studies the main security problems of cloud computing, analyzes the main security challenges of cloud platform from cloud threat sources and cloud platform architecture, and summarizes the main problems of current enterprise security schemes and research results in cloud computing scenarios. 2. Xen adds support for mirror encryption and decryption operations, separating key transfer, key management, and decryption from Xen management virtual machines, virtual machine monitor VMM, and other cloud platform services. Ensuring platform security still protects the privacy and integrity of cloud users' mirrored data in the event of possible vulnerabilities in VMM and management virtual machines. 3. In the isolation sandbox of Java application, the dynamic cross-section injection technology is used to monitor the operation of Java API, which enhances the control ability of user code on the basis of Java security model. The problem of fine-grained API monitoring and security authorization of third-party library is solved. The security isolation is guaranteed and the cost of migrating user's service program from local to PaaS platform is reduced at the same time. In this paper, the design idea of multi-level cloud security protection system is described in detail, and the concrete frame structure and function are designed and realized. Finally, the effectiveness of the system is tested by experiments and the results of performance impact are given.
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 譚亞楠;;對如何建立服務(wù)器安全防護(hù)體系的探討[J];信息與電腦(理論版);2010年02期

2 楊育紅;胡_g;;電子政務(wù)信息系統(tǒng)的安全防護(hù)體系[J];計算機安全;2010年04期

3 辛鋼;;論構(gòu)建網(wǎng)絡(luò)信息的安全防護(hù)體系[J];現(xiàn)代商貿(mào)工業(yè);2011年23期

4 劉增氣;;平安城市的信息安全防護(hù)體系設(shè)計[J];信息安全與通信保密;2011年12期

5 侯波濤;;電力公司信息安全防護(hù)體系建設(shè)研究[J];科技信息;2013年05期

6 趙糧;;安全防護(hù)體系注定要進(jìn)入變革期[J];信息安全與通信保密;2014年02期

7 魏曉菁,柳英楠,來風(fēng)剛;國家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究[J];電力信息化;2004年01期

8 董春輝;;一種信息安全防護(hù)體系[J];電信工程技術(shù)與標(biāo)準(zhǔn)化;2010年02期

9 應(yīng)志斌;;淺談構(gòu)建信息安全防護(hù)體系[J];科技傳播;2010年11期

10 莫樂群;;中小型企業(yè)網(wǎng)絡(luò)軟安全防護(hù)體系的研究與設(shè)計[J];現(xiàn)代計算機(專業(yè)版);2010年06期

相關(guān)會議論文 前10條

1 王雯;;淺析宣鋼企業(yè)信息化安全防護(hù)體系[A];中國計量協(xié)會冶金分會2009年年會論文集[C];2009年

2 鐘以良;陳芳;;烏江渡發(fā)電廠二次系統(tǒng)安全防護(hù)體系的構(gòu)建與思考[A];中國水力發(fā)電工程學(xué)會信息化專委會2010年學(xué)術(shù)交流會論文集[C];2010年

3 李進(jìn)進(jìn);王建昌;朱南康;;規(guī)范輻照企業(yè)的安全防護(hù)體系文檔及管理[A];中國核科學(xué)技術(shù)進(jìn)展報告——中國核學(xué)會2009年學(xué)術(shù)年會論文集（第一卷·第10冊）[C];2009年

4 畢玉展;馬金營;田云紅;亓榮紅;;關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)體系的研究與應(yīng)用[A];山東金屬學(xué)會2005煉鋼學(xué)術(shù)交流會論文集[C];2005年

5 許蘭川;高寧渝;;構(gòu)筑鐵路公安信息網(wǎng)絡(luò)安全防護(hù)體系[A];第二十次全國計算機安全學(xué)術(shù)交流會論文集[C];2005年

6 李驥;;煙草行業(yè)WEB應(yīng)用的威脅及防護(hù)[A];河南省煙草學(xué)會2008年學(xué)術(shù)交流獲獎?wù)撐募ㄉ希C];2008年

7 馬錚;王健全;周光濤;;移動互聯(lián)網(wǎng)安全防護(hù)體系及策略探析[A];2012全國無線及移動通信學(xué)術(shù)大會論文集（下）[C];2012年

8 李剛;吳菊;;城域數(shù)據(jù)網(wǎng)安全防護(hù)體系構(gòu)建及應(yīng)用研究[A];2013年中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會年會論文集[C];2013年

9 李光朋;;入侵防御提升電力系統(tǒng)安全性[A];2012電力行業(yè)信息化年會論文集[C];2012年

10 李貴寶;李鵬;宋濤;劉書濤;田廣平;尹群生;王政;丁兆習(xí);;人體解剖學(xué)實驗室安全防護(hù)體系的建設(shè)與完善[A];中國臨床解剖學(xué)雜志2013年7月第31卷第4期[C];2013年

相關(guān)重要報紙文章 前10條

1 記者 鄭光生邋通訊員 李兆芳;我省探索建立食品安全防護(hù)體系[N];福建日報;2008年

2 朱曉南邋李兆芳;福建局探索建立食品安全防護(hù)體系[N];中國國門時報;2008年

3 琚耀慶　龐曉青 宋劍;對礦井新型安全防護(hù)體系建設(shè)的思索[N];中華合作時報;2010年

4 張玉香;提升生產(chǎn)安全防護(hù)體系實戰(zhàn)能力[N];中國石化報;2014年

5 樊黎莉 劉洋;黃金一總隊建立網(wǎng)絡(luò)信息安全防護(hù)體系[N];人民武警;2007年

6 杜貴亭;河南局四隊構(gòu)建安全防護(hù)體系[N];中煤地質(zhì)報;2006年

7 何新凱;阜平縣牢筑中小學(xué)安全防護(hù)體系[N];保定日報;2009年

8 本報評論員;健全安全防護(hù)體系勢在必行[N];中國鐵道建筑報;2010年

9 琚耀慶　龐曉青 宋劍;循人本之路擔(dān)國企之責(zé)鑄安全屏障譜生命華章[N];山西日報;2010年

10 崔顯軍;建設(shè)環(huán)境安全防護(hù)體系[N];中國環(huán)境報;2010年

相關(guān)碩士學(xué)位論文 前8條

1 周燦;多層次的云平臺安全防護(hù)體系[D];南京大學(xué);2014年

2 姚越鵬;分級MANET的安全防護(hù)體系研究[D];國防科學(xué)技術(shù)大學(xué);2008年

3 周寧;重慶電網(wǎng)二次系統(tǒng)安全防護(hù)體系結(jié)構(gòu)及關(guān)鍵技術(shù)研究[D];重慶大學(xué);2005年

4 寇蕓;PC信息安全防護(hù)體系的研究與構(gòu)造[D];西安電子科技大學(xué);2002年

5 張念貴;基于AOP的Web應(yīng)用安全防護(hù)體系的研究與實現(xiàn)[D];江蘇科技大學(xué);2010年

6 姚國治;GFMIS安全防護(hù)體系實現(xiàn)方法研究[D];重慶大學(xué);2004年

7 張恒;基于聯(lián)動的分布式IPv6安全防護(hù)體系的實現(xiàn)[D];北京郵電大學(xué);2006年

8 喬偉;企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實現(xiàn)[D];內(nèi)蒙古大學(xué);2009年

，

本文編號：2466033