【摘要】：云計(jì)算獲得了長(zhǎng)足進(jìn)展,但是它面臨各種安全威脅,嚴(yán)重阻礙了其進(jìn)一步推廣與發(fā)展。如何有效解決云計(jì)算安全成為亟待解決的問題,IT公司和科研人員不斷投入大量的人力物力去解決這一問題,盡管在許多方面已經(jīng)取得了成果,然而由于未從根源上分析解決云計(jì)算安全威脅的來(lái)源,該問題還未得到有效解決。本文的研究,針對(duì)來(lái)自網(wǎng)絡(luò)的篡改、劫持、跨站腳本攻擊、SQL注入等安全威脅展開,擬通過研究定制化網(wǎng)絡(luò)安全服務(wù)、可伸縮性和可容錯(cuò)性服務(wù)及安全檢測(cè)和過濾服務(wù),來(lái)解決云計(jì)算的安全問題。由于云計(jì)算基于網(wǎng)絡(luò)服務(wù),來(lái)自于網(wǎng)絡(luò)的安全威脅不可忽視。而當(dāng)前諸多研究將數(shù)據(jù)安全作為云計(jì)算安全的研究重點(diǎn),忽略了惡意的網(wǎng)絡(luò)攻擊是導(dǎo)致云計(jì)算安全威脅的重要原因。當(dāng)前云計(jì)算面臨如下挑戰(zhàn):1)云計(jì)算承載成千上萬(wàn)類服務(wù),每類安全服務(wù)需求不盡相同,需要定制化的安全服務(wù)。而現(xiàn)有的云計(jì)算安全防護(hù),還不能提供定制化網(wǎng)絡(luò)安全服務(wù),而且云供應(yīng)商也無(wú)法承擔(dān)安全設(shè)備成本、配置和維護(hù)管理等費(fèi)用。2)現(xiàn)有的防御方法通過middlebox(縮寫為Mbox)鏈來(lái)保護(hù)云計(jì)算安全,缺乏有效的擴(kuò)展性、容錯(cuò)性,當(dāng)訪問服務(wù)流瞬間增長(zhǎng)時(shí)導(dǎo)致Mbox過載甚至失效;當(dāng)訪問服務(wù)流瞬間降低時(shí)導(dǎo)致Mbox低負(fù)載。3)為了確保云計(jì)算安全,目前的方案中,訪問云服務(wù)流往往需要通過一個(gè)或多個(gè)Mboxes。由于每個(gè)Mbox內(nèi)有成千上萬(wàn)的安全規(guī)則和特征庫(kù),需要通過大量的規(guī)則和特征進(jìn)行過濾和檢測(cè),導(dǎo)致訪問服務(wù)延遲增大、吞吐量嚴(yán)重降低,甚至導(dǎo)致無(wú)法使用。SDN(Software defined network)是一種基于網(wǎng)絡(luò)虛擬化的新型構(gòu)架,擁有網(wǎng)絡(luò)全局靜態(tài)拓?fù)�、全網(wǎng)的動(dòng)態(tài)轉(zhuǎn)發(fā)信息,全網(wǎng)的資源利用率、故障狀態(tài)等信息,傳統(tǒng)上僅僅用作網(wǎng)絡(luò)服務(wù)控制中心�，F(xiàn)有一些研究嘗試將其與Mbox和云計(jì)算相結(jié)合,控制指揮Mbox和云計(jì)算完成有關(guān)網(wǎng)絡(luò)安全的功能,但是這些研究切中網(wǎng)絡(luò)安全某個(gè)單一功能點(diǎn),缺乏整個(gè)網(wǎng)絡(luò)安全架構(gòu)。本文研究提出建立適合云計(jì)算安全的定制化服務(wù)、可伸縮性和容錯(cuò)性服務(wù)及細(xì)粒度并行檢測(cè)和過濾服務(wù),基于這些服務(wù),構(gòu)建基于云計(jì)算的網(wǎng)絡(luò)安全構(gòu)架(NetSecCC)。通過理論分析和實(shí)驗(yàn),證明該構(gòu)架能夠保護(hù)云計(jì)算抵抗內(nèi)外網(wǎng)絡(luò)攻擊,而且為云計(jì)算安全提供了良好的伸縮性、容錯(cuò)性。本文創(chuàng)新工作包括:1)SDN、云計(jì)算和Mbox融合研究:三者深度融合提供了可定制化安全服務(wù)、可伸縮性安全服務(wù)、容錯(cuò)性安全服務(wù)及細(xì)粒度并行檢測(cè)服務(wù)。2)定制化安全服務(wù)研究:研究定義了其安全服務(wù)概念及評(píng)價(jià)指標(biāo),通過利用SDN控制Mbox,建立了構(gòu)建可定制化安全服務(wù)的方法和步驟。3)可伸縮性和容錯(cuò)性安全服務(wù)研究:研究定義了其服務(wù)概念及評(píng)價(jià)指標(biāo),通過利用Mbox與SDN關(guān)于負(fù)載資源情況的信息交互,建立了可伸縮性和容錯(cuò)性服務(wù)的方法和步驟。4)細(xì)粒度并行檢測(cè)機(jī)制研究:研究了根據(jù)任務(wù)時(shí)間需求的可變粒度并行檢測(cè)機(jī)制,建立了SDN自動(dòng)劃分檢測(cè)粒度的方法和步驟。5)基于上述研究,提出了一種基于云計(jì)算的網(wǎng)絡(luò)安全構(gòu)架,實(shí)驗(yàn)表明這種安全構(gòu)架,能夠解決來(lái)自于網(wǎng)絡(luò)的篡改、劫持、跨站腳本攻擊、SQL注入等網(wǎng)絡(luò)安全問題,并且該構(gòu)架具有可定制化、低成本、易維護(hù)、可伸縮、高容錯(cuò)、高性能等特點(diǎn)。
【圖文】：

圖 1-2 云計(jì)算安全威脅分類和子類圖 1-3 自服務(wù)云計(jì)算安全構(gòu)架夠提供安全保障。SSC 打破了傳統(tǒng)云安全體系，提供了一種全新的云安全防護(hù)構(gòu)架；Khaled Salah[50]將 IDS、SSL、IPS、AV 和 AS 等安全 Mboxes 移植到云計(jì)算VM 中，構(gòu)建了可伸縮的網(wǎng)絡(luò)安全構(gòu)架來(lái)保護(hù)數(shù)據(jù)中心或企業(yè)數(shù)據(jù)的安全如圖 1-4。當(dāng)虛擬 Mbox 出現(xiàn)高負(fù)載時(shí)，自動(dòng)擴(kuò)展虛擬 Mbox，也就是將現(xiàn)有 Mbox 與云

圖 1-3 自服務(wù)云計(jì)算安全構(gòu)架保障。SSC 打破了傳統(tǒng)云安全體系，提供了一種全新的云 Salah[50]將 IDS、SSL、IPS、AV 和 AS 等安全 Mboxes 移建了可伸縮的網(wǎng)絡(luò)安全構(gòu)架來(lái)保護(hù)數(shù)據(jù)中心或企業(yè)數(shù)據(jù)的box 出現(xiàn)高負(fù)載時(shí)，自動(dòng)擴(kuò)展虛擬 Mbox，也就是將現(xiàn)構(gòu)成基于云計(jì)算的網(wǎng)絡(luò)安全體系構(gòu)架，，該構(gòu)架既能為云計(jì)網(wǎng)絡(luò)提供安全服務(wù)，又能充分利用了云計(jì)算動(dòng)態(tài)可伸縮；B[45]外包安全服務(wù)到具有Mbox與云計(jì)算融合的第三方對(duì)云計(jì)算 Internet 外部訪問和 VMs 之間內(nèi)部訪問都要通三方云安全提供商，進(jìn)行安全檢查和過濾，如果發(fā)現(xiàn)訪問OMB 不轉(zhuǎn)流到服務(wù)器，否則轉(zhuǎn)發(fā)流。13
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前3條

1 何進(jìn);范明鈺;王光衛(wèi);;基于TWPos內(nèi)核完整性保護(hù)[J];電子科技大學(xué)學(xué)報(bào);2015年06期

2 何進(jìn);范明鈺;王光衛(wèi);;自動(dòng)探測(cè)和保護(hù)確保內(nèi)核完整性[J];電子科技大學(xué)學(xué)報(bào);2014年04期

3 張進(jìn)京;;歐洲數(shù)字議程(下)[J];中國(guó)信息界;2011年02期

本文編號(hào)：2536376