云計(jì)算及其安全技術(shù)

1、云計(jì)算及其安全技術(shù)東北大學(xué) 信息安全研究所徐劍,1,云計(jì)算體系結(jié)構(gòu),云計(jì)算面臨的安全挑戰(zhàn),云計(jì)算的特征與優(yōu)勢(shì),云計(jì)算的相關(guān)概念,云安全及其關(guān)鍵技術(shù),提綱,云計(jì)算相關(guān)概念,3,計(jì)算機(jī)的發(fā)展簡(jiǎn)史,4,什么是云,Computing and software resources that are delivered on demand, as service. (2013, January) A Walk in the Clouds. Cloud Computing, CDW-G Reference Guide., 3-5,5,內(nèi)存和外存 CPU通過(guò)相關(guān)軟件進(jìn)行數(shù)據(jù)、文件管理,單機(jī)時(shí)代回顧計(jì)算機(jī)存儲(chǔ),

2、Standard Computer Tower or Central Processing Unit (CPU,Inside the Computer,6,數(shù)據(jù)內(nèi)容必須存儲(chǔ)在計(jì)算機(jī)上 使用這些數(shù)據(jù)必須訪問(wèn)計(jì)算機(jī) 無(wú)法從其他設(shè)備或計(jì)算機(jī)上直接訪問(wèn)另一臺(tái)計(jì)算機(jī)上的內(nèi)容,單機(jī)時(shí)代回顧內(nèi)部存儲(chǔ),7,單機(jī)時(shí)代回顧外部存儲(chǔ),External Hard Drive,CD/DVD,Thumb Drive,SD Card,Micro SD Card,數(shù)據(jù)內(nèi)容的自由移動(dòng) 可以將數(shù)據(jù)存儲(chǔ)設(shè)備應(yīng)用到任何計(jì)算機(jī)上 數(shù)據(jù)內(nèi)容的開(kāi)放,8,購(gòu)買軟件（程序） 安裝和設(shè)置軟件 每一臺(tái)計(jì)算機(jī)都安裝和存儲(chǔ)相關(guān)的軟件,單機(jī)時(shí)代回顧-計(jì)

3、算機(jī)程序,9,多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)（工作站）連接起來(lái)作為整體來(lái)存儲(chǔ)數(shù)據(jù) 數(shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)中，而不是本地計(jì)算機(jī)中 通過(guò)聯(lián)網(wǎng)的計(jì)算機(jī)可以下載存儲(chǔ)在網(wǎng)絡(luò)上數(shù)據(jù)（P2P存儲(chǔ),網(wǎng)絡(luò)存儲(chǔ)時(shí)代,10,并行計(jì)算,云計(jì)算時(shí)代的到來(lái),集群計(jì)算,網(wǎng)格計(jì)算,云計(jì)算,云計(jì)算發(fā)展路線,11,起源 九十年代，Sun即提出“網(wǎng)絡(luò)即計(jì)算機(jī)”，作為云計(jì)算概念的前身 提出 云計(jì)算概念是由Google提出的，一個(gè)美麗的網(wǎng)絡(luò)應(yīng)用模式 名字的含義與來(lái)源 可能是借用了量子物理中的“電子云”（Electronic Cloud） 強(qiáng)調(diào)說(shuō)明計(jì)算的彌漫性、無(wú)所不在的分布性和社會(huì)性特征,云計(jì)算的起源,12,云計(jì)算就在身邊,13,云計(jì)算概述,14,數(shù)據(jù)在云端：

4、不怕丟失,不必備份,可以任意點(diǎn)的恢復(fù) ； 軟件在云端：不必下載自動(dòng)升級(jí) ； 無(wú)所不在的計(jì)算：在任何時(shí)間，任意地點(diǎn)，任何設(shè)備登錄后就可以進(jìn)行計(jì)算服務(wù)； 無(wú)限強(qiáng)大的計(jì)算：具有無(wú)限空間的，無(wú)限速度,硬件為中心,軟件為中心,服務(wù)為中心,一個(gè)虛擬化的計(jì)算機(jī)資源池。托管多種不同的工作負(fù)載通過(guò)快速提供虛擬機(jī)器或物理機(jī)器，迅速部署和增加工作負(fù)載,以公開(kāi)的標(biāo)準(zhǔn)和服務(wù)為基礎(chǔ)，以互聯(lián)網(wǎng)為中心，提供安全、快速、便捷的數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)計(jì)算服務(wù),云端計(jì)算”即“云”和終端都會(huì)具備很強(qiáng)的計(jì)算能力；所有應(yīng)用程序都在本地終端上使用也不一定合理，因此強(qiáng)調(diào)“云”和終端的均衡將是一種合理的方式；云是“軟件+服務(wù)”的綜合,權(quán)威機(jī)構(gòu)關(guān)于云計(jì)

5、算的定義,一種將規(guī)?？蓜?dòng)態(tài)擴(kuò)展的虛擬化資源通過(guò)Internet提供對(duì)外按需使用服務(wù)的計(jì)算模式，用戶無(wú)需了解提供這種服務(wù)的底層基礎(chǔ)設(shè)施，也無(wú)需去擁有和控制,云計(jì)算的定義（HP,云帶來(lái)的革新,服務(wù)消費(fèi)者,云，是一種高度可擴(kuò)展的計(jì)算方式，通過(guò)互聯(lián)網(wǎng)將資源以“按需服務(wù)”的形式提供給用戶，而用戶不需要了解、知曉或者控制支持這些服務(wù)的技術(shù)基礎(chǔ)架構(gòu),服務(wù)提供者,新的商業(yè)模式: 開(kāi)放租賃的軟件平臺(tái) 一切都是服務(wù),新的應(yīng)用模式: 新的連接方式， 更好的信息利用方式,新的計(jì)算模式: Internet為中心的計(jì)算 海量，并行擴(kuò)展,16,云計(jì)算定義,云計(jì)算（Cloud Computing）是網(wǎng)格計(jì)算（Grid Com

6、puting）、分布式計(jì)算（Distributed Computing）、并行計(jì)算（Parallel Computing）、網(wǎng)絡(luò)存儲(chǔ)（Network Storage Technologies）、虛擬化（Virtualization）、負(fù)載均衡（Load Balance）等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。它旨在通過(guò)網(wǎng)絡(luò)把多個(gè)成本相對(duì)較低的計(jì)算實(shí)體整合成一個(gè)具有強(qiáng)大計(jì)算能力的系統(tǒng)，并借助SaaS、PaaS、IaaS等商業(yè)模式把這強(qiáng)大的計(jì)算能力分布到終端用戶手中。云計(jì)算的一個(gè)核心理念就是通過(guò)不斷提高“云”的處理能力，進(jìn)而減少用戶終端的處理負(fù)擔(dān)，最終使用戶終端簡(jiǎn)化成一個(gè)單純的輸入輸出設(shè)備，并能

7、按需享受“云”的強(qiáng)大計(jì)算處理能力,17,40多億的移動(dòng)電話一 2010年 數(shù)據(jù)來(lái)源: Nokia,個(gè)人電腦和 筆記本電腦,企業(yè)電腦 和服務(wù)器,PDA,云計(jì)算的特征與優(yōu)勢(shì),18,超大規(guī)模 Google云計(jì)算已經(jīng)擁有100多萬(wàn)臺(tái)服務(wù)器 Amazon、IBM、微軟、Yahoo等的“云”均擁有幾十萬(wàn)臺(tái)服務(wù)器 企業(yè)私有云一般擁有數(shù)百上千臺(tái)服務(wù)器。 “云”能賦予用戶前所未有的計(jì)算能力,云計(jì)算的特點(diǎn),19,虛擬化 支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù) 所請(qǐng)求的資源來(lái)自“云”，而不是固定的有形的實(shí)體 應(yīng)用在“云”中某處運(yùn)行，但實(shí)際上用戶無(wú)需了解、也不用擔(dān)心應(yīng)用運(yùn)行的具體位置。只需要一臺(tái)筆記本或者一個(gè)手

8、機(jī)，就可以通過(guò)網(wǎng)絡(luò)服務(wù)來(lái)實(shí)現(xiàn)用戶需要的一切，甚至包括超級(jí)計(jì)算這樣的任務(wù),云計(jì)算的特點(diǎn),20,高可靠性 “云”使用了數(shù)據(jù)多副本容錯(cuò)、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來(lái)保障服務(wù)的高可靠性，使用云計(jì)算比使用本地計(jì)算機(jī)可靠 通用性 云計(jì)算不針對(duì)特定的應(yīng)用，在“云”的支撐下可以構(gòu)造出千變?nèi)f化的應(yīng)用，同一個(gè)“云”可以同時(shí)支撐不同的應(yīng)用運(yùn)行 高可擴(kuò)展性 “云”的規(guī)模可以動(dòng)態(tài)伸縮，滿足應(yīng)用和用戶規(guī)模增長(zhǎng)的需要 按需服務(wù) “云”是一個(gè)龐大的資源池，你按需購(gòu)買；云可以像自來(lái)水，電，煤氣那樣計(jì)費(fèi),云計(jì)算的特點(diǎn),21,云計(jì)算的優(yōu)勢(shì),云計(jì)算與傳統(tǒng)計(jì)算（分布式計(jì)算、IBM大機(jī)計(jì)算）的成本分析,采用云平臺(tái)技術(shù)的效益,節(jié)省IT成本9

9、0,云計(jì)算的發(fā)展趨勢(shì),市場(chǎng)引入階段,技術(shù)發(fā)展、概念推廣階段； 云計(jì)算概念不夠明確； 用戶對(duì)云計(jì)算認(rèn)知度很低； 云計(jì)算的技術(shù)和商務(wù)模式尚不成熟； 用戶不知道云計(jì)算到底是什么？能做什么？如何去做？能帶來(lái)什么好處？有哪些弊端？ 成功案例十分匱乏； 用戶對(duì)成功案例比較期待； 重點(diǎn)廠商各自為政；,成熟階段,云計(jì)算廠商競(jìng)爭(zhēng)格局基本形成 云計(jì)算廠商解決方案更加成熟 SaaS模式的應(yīng)用成為主流,成長(zhǎng)階段,應(yīng)用案例逐漸豐富； 用戶對(duì)云計(jì)算已經(jīng)比較了解和認(rèn)可； 云計(jì)算商業(yè)應(yīng)用理念開(kāi)始形成； 越來(lái)越多的廠商開(kāi)始介入； 出現(xiàn)大量的功能豐富的應(yīng)用解決方案提供給用戶； 用戶會(huì)比較主動(dòng)地考慮云計(jì)算與自身IT應(yīng)用的關(guān)系,20

10、07年-2010年,2011年-2015年,2015年以后,到底什么是云計(jì)算？眾說(shuō)紛紜！ 公有云是云，私有云不是云? 支持虛擬化叫云，不支持虛擬化不叫云，但是Google不支持虛擬化，而通常都認(rèn)為Google是云 1000臺(tái)服務(wù)器是云，999臺(tái)就不是云? 現(xiàn)在有個(gè)別高性能計(jì)算中心，什么都沒(méi)變，就是名字改成叫云計(jì)算中心,判斷云計(jì)算的標(biāo)準(zhǔn),25,用戶所需的資源不在客戶端而來(lái)自網(wǎng)絡(luò) 這是云計(jì)算的根本理念所在，即通過(guò)網(wǎng)絡(luò)提供用戶所需的計(jì)算力、存儲(chǔ)空間、軟件功能和信息服務(wù)等 服務(wù)能力具有分鐘級(jí)或秒級(jí)的伸縮能力 如果資源節(jié)點(diǎn)服務(wù)能力不夠，但是網(wǎng)絡(luò)流量上來(lái)，這時(shí)候需要平臺(tái)在一分鐘幾分鐘之內(nèi)，自動(dòng)地動(dòng)態(tài)增加服

11、務(wù)節(jié)點(diǎn)的數(shù)量，從100個(gè)節(jié)點(diǎn)擴(kuò)展到150個(gè)節(jié)點(diǎn)。能夠稱之為云計(jì)算，就需要足夠的資源來(lái)應(yīng)對(duì)網(wǎng)絡(luò)的尖峰流量。當(dāng)流量下降時(shí)，服務(wù)節(jié)點(diǎn)的數(shù)量在隨著流量的減少而減少。現(xiàn)在有的傳統(tǒng)IDC自稱也能提供伸縮能力，但需要多個(gè)小時(shí)之后才能提供給用戶。問(wèn)題是網(wǎng)絡(luò)流量是不可預(yù)期的，不可能等那么久。 具有較之傳統(tǒng)模式5倍以上的性能價(jià)格比優(yōu)勢(shì) 云計(jì)算之所以是一種劃時(shí)代的技術(shù)，就是因?yàn)樗鼘?shù)量龐大的廉價(jià)計(jì)算機(jī)放進(jìn)資源池中，用軟件容錯(cuò)來(lái)降低硬件成本，通過(guò)將云計(jì)算設(shè)施部署在寒冷和電力資源豐富的地區(qū)來(lái)節(jié)省電力成本，通過(guò)規(guī)模化的共享使用來(lái)提高資源利用率。 國(guó)外代表性云計(jì)算平臺(tái)提供商達(dá)到了驚人的10-40倍的性能價(jià)格比提升。 國(guó)內(nèi)由

12、于技術(shù)、規(guī)模和統(tǒng)一電價(jià)等問(wèn)題，暫時(shí)難以達(dá)到同等的性能價(jià)格比，因此暫時(shí)將這個(gè)指標(biāo)定為5倍。擁有256個(gè)節(jié)點(diǎn)的中國(guó)移動(dòng)研究院的云計(jì)算平臺(tái)已經(jīng)達(dá)到了5到7倍的性能價(jià)格比提升，其性能價(jià)格比隨著規(guī)模和利用率的提升還有提升空間,判斷云計(jì)算的標(biāo)準(zhǔn),26,判斷例子 PC系統(tǒng) iPhone應(yīng)用軟件 Web網(wǎng)站 上網(wǎng)本 廣告聯(lián)盟 超級(jí)計(jì)算中心 在線Office 在線CRM IaaS Paas 云安全服務(wù),判斷云計(jì)算的標(biāo)準(zhǔn),27,網(wǎng)格計(jì)算與云計(jì)算的比較,云計(jì)算體系結(jié)構(gòu),29,當(dāng)前IT架構(gòu),30,云服務(wù)提供 面向云服務(wù)消費(fèi)者，提供統(tǒng)一登錄界面和訪問(wèn) 根據(jù)云服務(wù)資源狀況和消費(fèi)者需求，包裝云服務(wù)資源 對(duì)云服務(wù)的消費(fèi)設(shè)立服

13、務(wù)等級(jí)，按需計(jì)費(fèi) 管理云消費(fèi)者狀態(tài)和請(qǐng)求 云服務(wù)管理 運(yùn)行維護(hù)云計(jì)算架構(gòu)系統(tǒng)，保障云架構(gòu)的穩(wěn)定和可靠 云服務(wù)資源 是云計(jì)算架構(gòu)向消費(fèi)者提供服務(wù)的根本 根據(jù)平臺(tái)的特征，分為 軟件即服務(wù)SaaS 平臺(tái)即服務(wù)PaaS 基礎(chǔ)架構(gòu)即服務(wù)IaaS,云計(jì)算整體架構(gòu),31,服務(wù)目錄與服務(wù)門戶 云服務(wù)消費(fèi)者接口 提供服務(wù)清單、服務(wù)說(shuō)明等 用戶管理 對(duì)云服務(wù)消費(fèi)者的權(quán)限管理、帳務(wù)管理、信息管理等 4A管理 對(duì)云架構(gòu)內(nèi)的訪問(wèn)、權(quán)限、審計(jì)和XX的安全管理 客戶服務(wù)管理 云服務(wù)消費(fèi)者的服務(wù)請(qǐng)求、服務(wù)受理、投訴建議等的管理 SLA管理 云服務(wù)的等級(jí)協(xié)定管理，定義和管理云服務(wù)的響應(yīng)時(shí)間、響應(yīng)級(jí)別等 計(jì)費(fèi)管理 管理云服務(wù)的費(fèi)

14、率、批價(jià)、計(jì)費(fèi)/收費(fèi)、賬務(wù)、優(yōu)惠等 業(yè)務(wù)連續(xù)性保障管理 通過(guò)建立容災(zāi)備份系統(tǒng)等保障云服務(wù)的持續(xù)運(yùn)行,云服務(wù)提供架構(gòu),32,運(yùn)維管理 IT運(yùn)維管理流程 基于ITIL的IT服務(wù)管理，保障運(yùn)維工作的規(guī)范化和標(biāo)準(zhǔn)化 運(yùn)維自動(dòng)化管理 通過(guò)自動(dòng)化手段，對(duì)大規(guī)模的云架構(gòu)內(nèi)系統(tǒng)進(jìn)行維護(hù)，提高運(yùn)維管理效率和管理質(zhì)量，提高對(duì)服務(wù)需求的響應(yīng)速度 統(tǒng)一監(jiān)控管理 對(duì)云架構(gòu)內(nèi)軟硬件及應(yīng)用系統(tǒng)進(jìn)行全方位的監(jiān)控管理 安全管理 服務(wù)器安全管理 服務(wù)器的安全加固 防病毒管理等 數(shù)據(jù)安全管理 數(shù)據(jù)存儲(chǔ)加密 數(shù)據(jù)傳輸加密 數(shù)據(jù)備份 網(wǎng)絡(luò)安全管理 防入侵管理 安全域管理,云服務(wù)管理架構(gòu),33,云服務(wù)資源架構(gòu),34,云資源環(huán)境 (Iaa

15、S)：云計(jì)算以服務(wù)的方式提供存儲(chǔ)，網(wǎng)絡(luò)，服務(wù)器等計(jì)算資源,基礎(chǔ)設(shè)施資源,云平臺(tái)環(huán)境 (PaaS)：向下使用云計(jì)算資源，向上對(duì)云服務(wù)的構(gòu)建和部署提供支撐,平臺(tái)資源,云服務(wù)(SaaS)：被云環(huán)境外部的組織機(jī)構(gòu)使用的，具有特定能力的服務(wù),應(yīng)用資源,IaaS,PaaS,SaaS,云服務(wù)資源架構(gòu)（續(xù),35,計(jì)算資源池,基礎(chǔ)設(shè)施資源,存儲(chǔ)資源池,網(wǎng)絡(luò)資源池,平臺(tái)資源,應(yīng)用資源,數(shù)據(jù)庫(kù),中間件,ERP,辦公服務(wù),自動(dòng)化運(yùn)維管理,系統(tǒng)監(jiān)控管理,商業(yè)智能,操作系統(tǒng)資源,開(kāi)發(fā)環(huán)境,測(cè)試環(huán)境,IaaS,PaaS,SaaS,并行計(jì)算框架,物理資源層 物理資源實(shí)體的提供層，包括： 服務(wù)器資源 存儲(chǔ)資源 網(wǎng)絡(luò)資源 虛擬化

16、平臺(tái)層 將物理資源實(shí)體進(jìn)行虛擬化，以實(shí)現(xiàn)對(duì)物理資源的整合、池化和共享 資源服務(wù)提供層 將虛擬化的物理資源進(jìn)行分割和包裝，形成可對(duì)外提供服務(wù)的虛擬資源 根據(jù)服務(wù)對(duì)象需求，靈活、動(dòng)態(tài)調(diào)配虛擬資源,IaaS資源架構(gòu),36,虛擬機(jī)動(dòng)態(tài)部署 根據(jù)資源和虛擬機(jī)負(fù)載情況，靈活、動(dòng)態(tài)的部署虛擬機(jī) 實(shí)時(shí)容量規(guī)劃 基于資源的實(shí)時(shí)數(shù)據(jù)，進(jìn)行優(yōu)化評(píng)估，實(shí)現(xiàn)資源的智能調(diào)整 統(tǒng)一控制 統(tǒng)一管理相關(guān)資源,IaaS資源架構(gòu) -資源動(dòng)態(tài)分配,37,資源服務(wù)提供層,虛擬機(jī)動(dòng)態(tài)部署,資源動(dòng)態(tài)分配,實(shí)時(shí)容量規(guī)劃,統(tǒng)一控制,小型機(jī)服務(wù)器虛擬化 硬分區(qū)/物理分區(qū) HP nPar, Sun Dynamic System Domains 邏

17、輯分區(qū)/虛擬化分區(qū) HP vpar, Sun LDom, IBM LPar 操作系統(tǒng)虛擬化 HP IVM, KVM PC服務(wù)器虛擬化 完全虛擬化技術(shù) 半虛擬化技術(shù) 硬件輔助虛擬化技術(shù) Intel VT-x, AMD-V,IaaS資源架構(gòu)-服務(wù)器虛擬化平臺(tái),38,虛擬化平臺(tái)層,完全虛擬化,半虛擬化,硬件輔助虛擬化,硬分區(qū)/物理分區(qū),PC服務(wù)器虛擬化,小型機(jī)服務(wù)器虛擬化,邏輯分區(qū)/虛擬分區(qū),操作系統(tǒng)虛擬化,服務(wù)器層面 通過(guò)部署于主機(jī)上的邏輯卷管理軟件實(shí)現(xiàn) 對(duì)多存儲(chǔ)設(shè)備進(jìn)行統(tǒng)一管理和映射 存儲(chǔ)設(shè)備層面 利用存儲(chǔ)設(shè)備的存儲(chǔ)控制器統(tǒng)一管理多種存儲(chǔ)設(shè)備 存儲(chǔ)網(wǎng)絡(luò)層面 通過(guò)在存儲(chǔ)網(wǎng)絡(luò)中添加相應(yīng)的虛擬化設(shè)備而

18、實(shí)現(xiàn)的對(duì)存儲(chǔ)網(wǎng)絡(luò)中存儲(chǔ)設(shè)備的虛擬化 池化軟件層面 通過(guò)云平臺(tái)管理軟件等池化軟件進(jìn)行集中化管理,IaaS資源架構(gòu)-存儲(chǔ)虛擬化平臺(tái),39,虛擬化平臺(tái)層,服務(wù)器層面,存儲(chǔ)設(shè)備層面,存儲(chǔ)網(wǎng)絡(luò)層面,存儲(chǔ)虛擬化,池化軟件,浮動(dòng)/動(dòng)態(tài)IP地址 通過(guò)浮動(dòng)的、動(dòng)態(tài)的IP地址分配，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)規(guī)劃 IP地址與MAC地址不綁定 路由虛擬化 單一路由器可以虛擬成多個(gè)路由器，用于管理不同的網(wǎng)絡(luò)區(qū)域 虛擬連接 虛擬內(nèi)部網(wǎng)絡(luò) VPN/VLAN 通過(guò)VPN/VLAN技術(shù)對(duì)網(wǎng)絡(luò)連接的概念進(jìn)行了抽象，使用戶訪問(wèn)限定于特定的區(qū)域內(nèi),IaaS資源架構(gòu)-網(wǎng)絡(luò)虛擬化平臺(tái),40,虛擬化平臺(tái)層,浮動(dòng)/動(dòng)態(tài)IP地址,路由虛擬化,VPN/V

19、LAN,網(wǎng)絡(luò)虛擬化,虛擬連接,虛擬內(nèi)部網(wǎng)絡(luò),PaaS和SaaS,平臺(tái)資源,數(shù)據(jù)庫(kù),中間件,操作系統(tǒng)資源,開(kāi)發(fā)環(huán)境,并行計(jì)算框架,PaaS 并行計(jì)算框架 如Hadoop：在文本搜索、數(shù)據(jù)挖掘等方面得到廣泛的應(yīng)用 數(shù)據(jù)庫(kù) 中間件 開(kāi)發(fā)測(cè)試環(huán)境 操作系統(tǒng) SaaS ERP 辦公服務(wù) 測(cè)試環(huán)境 自動(dòng)化運(yùn)維服務(wù) 系統(tǒng)監(jiān)控管理 商業(yè)智能,應(yīng)用資源,ERP,辦公服務(wù),自動(dòng)化運(yùn)維管理,系統(tǒng)監(jiān)控管理,商業(yè)智能,測(cè)試環(huán)境,云計(jì)算體系邏輯結(jié)構(gòu),42,云計(jì)算體系物理結(jié)構(gòu),43,云計(jì)算應(yīng)用的動(dòng)態(tài)IT架構(gòu),44,集成 基于密文掃描的方法:對(duì)密文中每個(gè)單詞進(jìn)行比對(duì),確認(rèn)關(guān)鍵詞是否存在,以及統(tǒng)計(jì)其出現(xiàn)的次數(shù).由于某些場(chǎng)景(如

20、發(fā)送加密郵件)需要支持非屬主用戶的檢索, Boneh 等人提出支持其他用戶公開(kāi)檢索的方案 密文處理研究主要集中在秘密同態(tài)加密算法設(shè)計(jì)上. 早在 20 世紀(jì) 80 年代,就有人提出多種加法同態(tài)或乘法同態(tài)算法.但是由于被證明安全性存在缺陷,后續(xù)工作基本處于停頓狀態(tài). 而近期,IBM 研究員 Gentry 利用“理想格(ideal lattice)”的數(shù)學(xué)對(duì)象構(gòu)造隱私同態(tài)(privacy homomorphism)算法,或稱全同態(tài)加密,使人們可以充分地操作加密狀態(tài)的數(shù)據(jù),在理論上取得了一定突破,使相關(guān)研究重新得到研究者的關(guān)注,但目前與實(shí)用化仍有很長(zhǎng)的距離,云計(jì)算安全關(guān)鍵技術(shù)- 數(shù)據(jù)存在與可使用性證明

21、,由于大規(guī)模數(shù)據(jù)所導(dǎo)致的巨大通信代價(jià),用戶不可能將數(shù)據(jù)下載后再驗(yàn)證其正確性. 因此,云用戶需在取回很少數(shù)據(jù)的情況下,通過(guò)某種知識(shí)證明協(xié)議或概率分析手段,以高置信概率判斷遠(yuǎn)端數(shù)據(jù)是否完整. 典型的工作包括: 面向用戶單獨(dú)驗(yàn)證的數(shù)據(jù)可檢索性證明(POR)方法 公開(kāi)可驗(yàn)證的數(shù)據(jù)持有證明(PDP)方法 .NEC實(shí)驗(yàn)室提出的 PDI(provable data integrity)方法改進(jìn)并提高了 POR 方法的處理速度以及驗(yàn)證對(duì)象規(guī)模,且能夠支持公開(kāi)驗(yàn)證. Yun等人提出的基于新的樹(shù)形結(jié)構(gòu)MAC Tree的方案; Schwarz等人提出的基于代數(shù)簽名的方法 Wang 等人提出的基于 BLS 同態(tài)簽名和

22、 RS 糾錯(cuò)碼的方法等,云計(jì)算安全關(guān)鍵技術(shù)- 數(shù)據(jù)隱私保護(hù),云中數(shù)據(jù)隱私保護(hù)涉及數(shù)據(jù)生命周期的每一個(gè)階段. Roy等人將集中信息流控制(DIFC)和差分隱私保護(hù)技術(shù)融入云中的數(shù)據(jù)生成與計(jì)算階段,提出了一種隱私保護(hù)系統(tǒng) airavat,防止 map reduce 計(jì)算過(guò)程中非授權(quán)的隱私數(shù)據(jù)泄露出去,并支持對(duì)計(jì)算結(jié)果的自動(dòng)除密. 在數(shù)據(jù)存儲(chǔ)和使用階段,Mowbray 等人提出了一種基于客戶端的隱私管理工具,提供以用戶為中心的信任模型,幫助用戶控制自己的敏感信息在云端的存儲(chǔ)和使用. Munts-Mulero 等人討論了現(xiàn)有的隱私處理技術(shù),包括 K 匿名、圖匿名以及數(shù)據(jù)預(yù)處理等,作用于大規(guī)模待發(fā)布數(shù)據(jù)

23、時(shí)所面臨的問(wèn)題和現(xiàn)有的一些解決方案. Rankova 等人則提出一種匿名數(shù)據(jù)搜索引擎,可以使得交互雙方搜索對(duì)方的數(shù)據(jù),獲取自己所需要的部分,同時(shí)保證搜索詢問(wèn)的內(nèi)容不被對(duì)方所知,搜索時(shí)與請(qǐng)求不相關(guān)的內(nèi)容不會(huì)被獲取,云計(jì)算安全關(guān)鍵技術(shù)- 虛擬安全技術(shù),虛擬技術(shù)是實(shí)現(xiàn)云計(jì)算的關(guān)鍵核心技術(shù),使用虛擬技術(shù)的云計(jì)算平臺(tái)上的云架構(gòu)提供者必須向其客戶提供安全性和隔離保證. Santhanam等人提出了基于虛擬機(jī)技術(shù)實(shí)現(xiàn)的 grid環(huán)境下的隔離執(zhí)行機(jī). Raj等人提出了通過(guò)緩存層次可感知的核心分配,以及給予緩存劃分的頁(yè)染色的兩種資源管理方法實(shí)現(xiàn)性能與安全隔離.這些方法在隔離影響一個(gè) VM 的緩存接口時(shí)是有效的,并整合到一個(gè)樣例云架構(gòu)的資源管理(RM)框架中. Wei等人關(guān)注了虛擬機(jī)映像文件的安全問(wèn)題,每一個(gè)映像文件對(duì)應(yīng)一個(gè)客戶應(yīng)用,它們必須具有高完整性,且需要可以安全共享的機(jī)制.所提出的映像文件管理系統(tǒng)實(shí)現(xiàn)了映像文件的訪問(wèn)控制、來(lái)源追蹤、過(guò)濾和掃描等