專(zhuān)利名稱(chēng):一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全保障機(jī)制,更具體而言��,是涉及一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法��,屬于無(wú)線電通訊網(wǎng)絡(luò)技術(shù)領(lǐng)域����。
背景技術(shù):
近年來(lái),云計(jì)算技術(shù)和移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展受到廣泛關(guān)注���。由于移動(dòng)終端數(shù)據(jù)存儲(chǔ)和硬件處理能力的限制��、用戶(hù)對(duì)服務(wù)功能需求的不斷增長(zhǎng)以及租賃用戶(hù)的多樣化����,基于云計(jì)算模式的新型移動(dòng)互聯(lián)網(wǎng)形式的出現(xiàn)具有其必要性。這種形式的移動(dòng)互聯(lián)網(wǎng)���,將服務(wù)以接口或軟件的形式提供給用戶(hù)��,而復(fù)雜的功能實(shí)現(xiàn)和數(shù)據(jù)處理則交由云端完成��?����?紤]到移動(dòng)終端數(shù)據(jù)安全隱患的日益加大和用戶(hù)安全需求的不斷增加���,如何在移動(dòng)互聯(lián)網(wǎng)環(huán)境下提供良好的云服務(wù)安全保障已成為亟待解決的問(wèn)題。在移動(dòng)互聯(lián)網(wǎng)應(yīng)用環(huán)境下����,由于用戶(hù)需求和操作行為等服務(wù)環(huán)境參數(shù)經(jīng)常發(fā)生變化,管理者很難對(duì)其進(jìn)行實(shí)時(shí)的監(jiān)管與操控��。因此���,需要一種云服務(wù)安全自適應(yīng)機(jī)制���,使得系統(tǒng)能夠在上述變化發(fā)生時(shí)��,實(shí)時(shí)做出動(dòng)態(tài)調(diào)整����,在事先制定的眾多安全策略中自動(dòng)映射或組合�����,提供合理的安全保護(hù)方法和安全規(guī)則�,從而保證云服務(wù)的最佳安全狀態(tài)?��,F(xiàn)有方案主要是基于環(huán)境參數(shù)(網(wǎng)絡(luò)種類(lèi)��、物理位置等)和用戶(hù)行為(操作行為�、社交行為�、安全需求等)的動(dòng)態(tài)系統(tǒng)管理,也有一些從分布式安全監(jiān)測(cè)���、彈性云�����、細(xì)粒度訪問(wèn)控制等角度出發(fā)進(jìn)行研究�,但多數(shù)都缺少對(duì)安全因素的考慮以及系統(tǒng)模型的支撐。本發(fā)明提出一種云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法并將其模型化��,實(shí)現(xiàn)在向用戶(hù)提供云服務(wù)時(shí)��,對(duì)用戶(hù)需求和環(huán)境變化做出實(shí)時(shí)動(dòng)態(tài)響應(yīng)��,同時(shí)制定出相應(yīng)的安全策略�����,保障云服務(wù)運(yùn)行時(shí)的安全和穩(wěn)定����。
發(fā)明內(nèi)容
(1)發(fā)明目的基于移動(dòng)互聯(lián)網(wǎng)應(yīng)用環(huán)境中用戶(hù)群種類(lèi)繁多,且具有移動(dòng)性�����、開(kāi)放性和不穩(wěn)定性的特點(diǎn)���,本發(fā)明旨在提供一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法�,以保障用戶(hù)在使用云服務(wù)時(shí)的安全性和可靠性���。(2)技術(shù)方案為了達(dá)到上述目的��,本發(fā)明從動(dòng)態(tài)自適應(yīng)調(diào)整的角度��,設(shè)計(jì)并提出一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全自適應(yīng)方法�。該方法能夠根據(jù)服務(wù)系統(tǒng)的本地/網(wǎng)絡(luò)資源使用情況以及系統(tǒng)安全/性能參數(shù)的變化,評(píng)判出當(dāng)前服務(wù)的安全需要���,并根據(jù)評(píng)判結(jié)果進(jìn)行安全服務(wù)的自適應(yīng)調(diào)節(jié)�,使得云安全服務(wù)提供過(guò)程能夠動(dòng)態(tài)適應(yīng)當(dāng)前的系統(tǒng)狀況��。這里定義的自適應(yīng)安全是指一系列傳統(tǒng)的安全策略��、脆弱性檢測(cè)和所需的攻擊響應(yīng)的
皇A
朱口 ο所提出的方法如圖1所示�����,并可通過(guò)圖2中的云服務(wù)安全動(dòng)態(tài)自適應(yīng)模型加以描述����。該模型包括七個(gè)模塊云服務(wù)提供平臺(tái)�����、行為分析模塊、動(dòng)態(tài)自適應(yīng)模塊���、知識(shí)庫(kù)��、安全策略映射模塊�����、安全策略數(shù)據(jù)庫(kù)����、安全策略執(zhí)行模塊����。它們之間的關(guān)系是首先,服務(wù)系統(tǒng)通過(guò)云服務(wù)提供平臺(tái)與用戶(hù)交互�����,實(shí)時(shí)監(jiān)測(cè)用戶(hù)行為�����,搜集用戶(hù)需求����,行為變化等系統(tǒng)環(huán)境參數(shù)�,并提交給相應(yīng)的行為分析模塊�,然后參考知識(shí)庫(kù)中的相關(guān)信息,進(jìn)行特征匹配�����,判斷當(dāng)前服務(wù)的類(lèi)別�����、狀態(tài)�、安全需求等信息,動(dòng)態(tài)自適應(yīng)的對(duì)系統(tǒng)安全級(jí)別進(jìn)行評(píng)估����,并將評(píng)估結(jié)果通過(guò)安全策略映射模塊映射為特定的安全策略,最終����,根據(jù)策略要求實(shí)施具體安全保護(hù)措施��。本發(fā)明提出的該自適應(yīng)方法�����,實(shí)際上是對(duì)一段時(shí)間內(nèi)服務(wù)系統(tǒng)的安全狀態(tài)進(jìn)行自適應(yīng)調(diào)整。所述云服務(wù)提供平臺(tái)�,是云服務(wù)提供平臺(tái)與外界的接口,是用戶(hù)獲取云安全服務(wù)的途徑�。該模塊在提供服務(wù)的同時(shí),能夠感知和搜集用戶(hù)實(shí)時(shí)行為及用戶(hù)的需求變化等系統(tǒng)環(huán)境參數(shù)�,并將此類(lèi)信息提供給內(nèi)部的行為分析模塊和動(dòng)態(tài)自適應(yīng)模塊,同時(shí)也能和安全策略執(zhí)行模塊進(jìn)行交互�����,將安全策略執(zhí)行模塊的執(zhí)行結(jié)果傳遞給用戶(hù)��。該模塊的結(jié)構(gòu)如 VMware vSphere����,它能提供高級(jí)別的可用性和業(yè)務(wù)響應(yīng)能力,虛擬化vSphere使用戶(hù)能夠自信地運(yùn)行關(guān)鍵業(yè)務(wù)應(yīng)用程序��,更快地對(duì)其業(yè)務(wù)做出響應(yīng)��。所述行為分析模塊�,是用于分析云服務(wù)提供平臺(tái)獲取的用戶(hù)服務(wù)需求及當(dāng)前應(yīng)用行為,通過(guò)知識(shí)庫(kù)的知識(shí)模型判斷用戶(hù)所處的服務(wù)類(lèi)型����,并選擇適用于當(dāng)前服務(wù)的安全策略�����,從而根據(jù)網(wǎng)絡(luò)系統(tǒng)當(dāng)前態(tài)勢(shì)情況對(duì)當(dāng)前服務(wù)進(jìn)行靈活有效的保護(hù)����,以贏得安全性能的提高�����,以及穩(wěn)定性的增強(qiáng)���。該模塊的結(jié)構(gòu)如VMware vCloud Director�����,它與現(xiàn)有的VMware 虛擬化應(yīng)用程序達(dá)到二進(jìn)制兼容���,可以輕松地將用戶(hù)的應(yīng)用程序與公共云數(shù)據(jù)中心的安全保護(hù)機(jī)制、用戶(hù)驗(yàn)證機(jī)制和基于角色的訪問(wèn)機(jī)制進(jìn)行對(duì)比分析�����。所述動(dòng)態(tài)自適應(yīng)模塊���,是用于分析云服務(wù)提供平臺(tái)獲取的用戶(hù)需求變化和行為變化����,通過(guò)知識(shí)庫(kù)的知識(shí)模型判斷新的用戶(hù)需求或行為對(duì)應(yīng)的服務(wù)類(lèi)型�,并選擇適應(yīng)新系統(tǒng)環(huán)境的安全策略,從而在用戶(hù)安全需求和應(yīng)用行為發(fā)生變化時(shí)�����,提供實(shí)時(shí)的響應(yīng)機(jī)制����,動(dòng)態(tài)調(diào)整當(dāng)前服務(wù)的安全保護(hù)措施,與行為分析模塊相比具有更高的靈活性����。該模塊的結(jié)構(gòu)如 Puppet Labs公司的Puppet,它是一款開(kāi)源的數(shù)據(jù)中心自動(dòng)化及配置管理框架�����,可提供一個(gè)易用的平臺(tái)進(jìn)行透明、動(dòng)態(tài)����、靈活的信息感知與系統(tǒng)管理。所述知識(shí)庫(kù)����,它的設(shè)定是整個(gè)云服務(wù)安全自適應(yīng)系統(tǒng)的核心工作。知識(shí)庫(kù)中放置的是用于通過(guò)系統(tǒng)環(huán)境參數(shù)判別當(dāng)前服務(wù)安全需求的必要信息��,一般通過(guò)自然語(yǔ)言來(lái)表達(dá)���。知識(shí)庫(kù)中知識(shí)的規(guī)則設(shè)定決定著行為分析模塊和動(dòng)態(tài)自適應(yīng)模塊的評(píng)判能力����。當(dāng)遇到知識(shí)庫(kù)中未曾存儲(chǔ)的新信息時(shí)����,知識(shí)庫(kù)會(huì)進(jìn)行自動(dòng)更新。該模塊的結(jié)構(gòu)如Google的Fusion Tables���,它能使不同用戶(hù)在同一個(gè)服務(wù)器上分享備份和上傳數(shù)據(jù)��,快速同步不同版本數(shù)據(jù)�, 支持不同數(shù)據(jù)格式,并創(chuàng)造過(guò)濾器來(lái)顯示需要的數(shù)據(jù)���,處理完畢后可以將數(shù)據(jù)導(dǎo)出。所述安全策略映射模塊�,是它不斷獲取行為分析模塊和動(dòng)態(tài)自適應(yīng)模塊對(duì)系統(tǒng)當(dāng)前環(huán)境參數(shù)的處理結(jié)果,分析當(dāng)前服務(wù)的安全需求���,在安全策略數(shù)據(jù)庫(kù)中查詢(xún)所需的安全策略��,并進(jìn)行必要組合�����,從而根據(jù)用戶(hù)需求和服務(wù)系統(tǒng)當(dāng)前狀態(tài)的變化情況決定采用何種安全保護(hù)方式�����,進(jìn)行靈活有效的保護(hù)�。該模塊的結(jié)構(gòu)如微軟的Windows hure�,它通過(guò)控制底層的網(wǎng)狀控制器將數(shù)據(jù)中心的服務(wù)器有效的組織起來(lái),通過(guò)計(jì)算當(dāng)前輸入數(shù)據(jù)并和數(shù)據(jù)庫(kù)進(jìn)行配對(duì)����,能夠形成由“狀態(tài)信息”到“所需策略”間的可靠映射。所述安全策略數(shù)據(jù)庫(kù),是實(shí)現(xiàn)由安全等級(jí)狀態(tài)機(jī)當(dāng)前狀態(tài)到當(dāng)前會(huì)話(huà)所采用安全機(jī)制之間的映射��。它將安全等級(jí)狀態(tài)機(jī)的當(dāng)前安全狀態(tài)映射到具體實(shí)施的安全策略機(jī)制 (認(rèn)證機(jī)制����、密鑰分配方法、加密算法等)中�,具體實(shí)現(xiàn)對(duì)會(huì)話(huà)過(guò)程的直接控制。該模塊的結(jié)構(gòu)如VMware vCenter Server����,它能集中管理和控制存儲(chǔ)的數(shù)據(jù),并使其實(shí)現(xiàn)自動(dòng)化����。同時(shí)它能將服務(wù)器配置與數(shù)據(jù)復(fù)制到處于被動(dòng)模式的備用服務(wù)器上,從而避免各種宕機(jī)風(fēng)險(xiǎn)�。
所述安全策略執(zhí)行模塊,是最終決定安全策略的具體實(shí)施�����。以會(huì)話(huà)消息加密為例���, 安全操作執(zhí)行部件必須具有兩種功能一是用于生成和維護(hù)會(huì)話(huà)加/解密密鑰的密鑰管理功能��;二是用于實(shí)現(xiàn)機(jī)密性服務(wù)的加/解密功能和實(shí)現(xiàn)完整性及不可否認(rèn)性的Hash和簽名功能����。當(dāng)某個(gè)會(huì)話(huà)開(kāi)始啟動(dòng)時(shí),安全策略執(zhí)行模塊根據(jù)安全機(jī)制庫(kù)中為該次會(huì)話(huà)所選擇的密鑰生成方式生成相應(yīng)的會(huì)話(huà)及簽名等密鑰材料�;隨后在接收到頂層/底層通信部件送來(lái)的一個(gè)消息時(shí),它首先根據(jù)消息所屬的會(huì)話(huà)ID�,找出針對(duì)該次會(huì)話(huà)的密鑰��,然后進(jìn)行相應(yīng)加 /解密�、簽名/簽名驗(yàn)證等操作。該模塊的結(jié)構(gòu)如VMware vShield�����,它集成了多種安全保護(hù)技術(shù)(如外圍保護(hù)�����、端口級(jí)防火墻����、數(shù)據(jù)加密等),并能簡(jiǎn)化應(yīng)用程序部署�����,能夠保證強(qiáng)制實(shí)施,確保策略得到執(zhí)行��。本發(fā)明一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法�,該方法具體步驟如下步驟一用戶(hù)向云服務(wù)提供商申請(qǐng)購(gòu)買(mǎi)云服務(wù),并通過(guò)云服務(wù)提供平臺(tái)獲取相應(yīng)的平臺(tái)軟件�����,以供用戶(hù)登錄�����、輸入用戶(hù)信息并與云服務(wù)提供平臺(tái)建立連接���,在初始階段通過(guò)該平臺(tái)軟件向云端(借助有線網(wǎng)絡(luò)或者無(wú)線網(wǎng)絡(luò))發(fā)送用戶(hù)身份信息����、用戶(hù)狀態(tài)信息和服務(wù)需求信息��;步驟二 云服務(wù)提供平臺(tái)核對(duì)用戶(hù)發(fā)送的信息與事先存儲(chǔ)在用戶(hù)資料庫(kù)中的信息是否相符��,以完成對(duì)用戶(hù)的身份認(rèn)證����,然后根據(jù)用戶(hù)的狀態(tài)信息和需求信息向其傳送具有用戶(hù)所需功能的擴(kuò)展軟件包或模塊���,即向用戶(hù)提供合適的云服務(wù);步驟三云服務(wù)提供平臺(tái)將獲取到的當(dāng)前用戶(hù)需求信息和用戶(hù)行為信息提交至行為分析模塊��,行為分析模塊通過(guò)知識(shí)庫(kù)中的匹配信息判斷用戶(hù)當(dāng)前服務(wù)類(lèi)型�����、服務(wù)狀態(tài)和安全需求����。若知識(shí)庫(kù)中缺少所需匹配信息���,知識(shí)庫(kù)會(huì)自動(dòng)寫(xiě)入當(dāng)前新信息并將其存儲(chǔ)�����,同時(shí)通過(guò)一定算法給出已有信息中最接近的信息�,并將所獲得的以上信息進(jìn)行綜合評(píng)估���,將評(píng)估結(jié)果提交至安全策略映射模塊�;步驟四安全策略映射模塊根據(jù)當(dāng)前服務(wù)安全態(tài)勢(shì)評(píng)估情況,在安全策略數(shù)據(jù)庫(kù)中查詢(xún)并獲取所需安全策略�����,進(jìn)行適當(dāng)?shù)倪B接或組合��,得到最符合當(dāng)前用戶(hù)服務(wù)狀態(tài)的安全保護(hù)方式�,然后將其提交至安全策略執(zhí)行模塊;步驟五安全策略執(zhí)行模塊根據(jù)安全策略數(shù)據(jù)庫(kù)選擇的安全策略對(duì)當(dāng)前服務(wù)進(jìn)行安全控制�,對(duì)用戶(hù)使用的服務(wù)會(huì)話(huà)消息進(jìn)行諸如認(rèn)證、密鑰建立�、加密、授權(quán)等安全操作����,并將操作結(jié)果通過(guò)云服務(wù)提供平臺(tái)送至用戶(hù)端,必要時(shí)也可獲取用戶(hù)反饋以?xún)?yōu)化安全操作����;步驟六在用戶(hù)使用云服務(wù)的過(guò)程中,云服務(wù)提供平臺(tái)會(huì)持續(xù)觀察并記錄用戶(hù)需求和用戶(hù)行為的變化�����,并將該變化信息提交至動(dòng)態(tài)自適應(yīng)模塊��;步驟七與步驟三類(lèi)似,動(dòng)態(tài)自適應(yīng)模塊獲取知識(shí)庫(kù)中的匹配信息�,判斷用戶(hù)服務(wù)類(lèi)型、服務(wù)狀態(tài)和安全需求的變化��,并考慮這些變化對(duì)系統(tǒng)安全及系統(tǒng)性能等方面的影響���, 動(dòng)態(tài)自適應(yīng)進(jìn)行綜合評(píng)估��,將評(píng)估結(jié)果提交至安全策略映射模塊��;步驟八以下步驟和步驟四�、步驟五相同�����。(3)優(yōu)點(diǎn)及功效本發(fā)明一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全自適應(yīng)方法���,其功效和優(yōu)點(diǎn)是在用戶(hù)使用云服務(wù)的過(guò)程中,通過(guò)對(duì)用戶(hù)需求和用戶(hù)行為信息的分析���,提供合理的安全保護(hù)措施���,保障了云服務(wù)的安全性和可靠性��;在用戶(hù)需求或使用行為發(fā)生變化時(shí)��, 能夠動(dòng)態(tài)自適應(yīng)的更新安全策略�����,調(diào)整安全保護(hù)措施���,增強(qiáng)了云服務(wù)的穩(wěn)定性。該方法動(dòng)態(tài)自適應(yīng)了人為多樣性和不可預(yù)測(cè)性����,增強(qiáng)了系統(tǒng)的生存能力,同時(shí)充分考慮了系統(tǒng)當(dāng)前的資源使用情況��,保證了服務(wù)系統(tǒng)的高效性�。
圖1本發(fā)明所述方法流程2云服務(wù)安全自適應(yīng)模型示意圖
具體實(shí)施例方式見(jiàn)圖2,云服務(wù)安全自適應(yīng)方法涉及如下功能模塊1)云服務(wù)提供平臺(tái)是云服務(wù)提供平臺(tái)與外界的接口��,是用戶(hù)獲取云安全服務(wù)的途徑�。該模塊在提供服務(wù)的同時(shí),能夠感知和搜集用戶(hù)實(shí)時(shí)行為及用戶(hù)的需求變化等系統(tǒng)環(huán)境參數(shù)����,并將此類(lèi)信息提供給內(nèi)部的行為分析模塊和動(dòng)態(tài)自適應(yīng)模塊���,同時(shí)也能和安全策略執(zhí)行模塊進(jìn)行交互,將安全策略執(zhí)行模塊的執(zhí)行結(jié)果傳遞給用戶(hù)���。該模塊的結(jié)構(gòu)如 VMware vSphere����,它能提供高級(jí)別的可用性和業(yè)務(wù)響應(yīng)能力��,虛擬化vSphere使用戶(hù)能夠自信地運(yùn)行關(guān)鍵業(yè)務(wù)應(yīng)用程序�,更快地對(duì)其業(yè)務(wù)做出響應(yīng)。2)行為分析模塊用于分析云服務(wù)提供平臺(tái)獲取的用戶(hù)服務(wù)需求及當(dāng)前應(yīng)用行為�,通過(guò)知識(shí)庫(kù)的知識(shí)模型判斷用戶(hù)所處的服務(wù)類(lèi)型,并選擇適用于當(dāng)前服務(wù)的安全策略�, 從而根據(jù)網(wǎng)絡(luò)系統(tǒng)當(dāng)前態(tài)勢(shì)情況對(duì)當(dāng)前服務(wù)進(jìn)行靈活有效的保護(hù),以贏得安全性能的提高�,以及穩(wěn)定性的增強(qiáng)。該模塊的結(jié)構(gòu)如VMware vCloud Director�����,它與現(xiàn)有的VMware虛擬化應(yīng)用程序達(dá)到二進(jìn)制兼容�,可以輕松地將用戶(hù)的應(yīng)用程序與公共云數(shù)據(jù)中心的安全保護(hù)機(jī)制、用戶(hù)驗(yàn)證機(jī)制和基于角色的訪問(wèn)機(jī)制進(jìn)行對(duì)比分析���。3)動(dòng)態(tài)自適應(yīng)模塊用于分析云服務(wù)提供平臺(tái)獲取的用戶(hù)需求變化和行為變化�����, 通過(guò)知識(shí)庫(kù)的知識(shí)模型判斷新的用戶(hù)需求或行為對(duì)應(yīng)的服務(wù)類(lèi)型�,并選擇適應(yīng)新系統(tǒng)環(huán)境的安全策略���,從而在用戶(hù)安全需求和應(yīng)用行為發(fā)生變化時(shí)���,提供實(shí)時(shí)的響應(yīng)機(jī)制,動(dòng)態(tài)調(diào)整當(dāng)前服務(wù)的安全保護(hù)措施����,與行為分析模塊相比具有更高的靈活性。該模塊的結(jié)構(gòu)如 Puppet Labs公司的Puppet��,它是一款開(kāi)源的數(shù)據(jù)中心自動(dòng)化及配置管理框架��,可提供一個(gè)易用的平臺(tái)進(jìn)行透明���、動(dòng)態(tài)�、靈活的信息感知與系統(tǒng)管理。4)知識(shí)庫(kù)知識(shí)庫(kù)的設(shè)定是整個(gè)云服務(wù)安全自適應(yīng)系統(tǒng)的核心工作��。知識(shí)庫(kù)中放置的是用于通過(guò)系統(tǒng)環(huán)境參數(shù)判別當(dāng)前服務(wù)安全需求的必要信息�,一般通過(guò)自然語(yǔ)言來(lái)表達(dá)。知識(shí)庫(kù)中知識(shí)的規(guī)則設(shè)定決定著行為分析模塊和動(dòng)態(tài)自適應(yīng)模塊的評(píng)判能力�。當(dāng)遇到知識(shí)庫(kù)中未曾存儲(chǔ)的新信息時(shí),知識(shí)庫(kù)會(huì)進(jìn)行自動(dòng)更新��。該模塊的結(jié)構(gòu)如Google的Fusion Tables�,它能使不同用戶(hù)在同一個(gè)服務(wù)器上分享備份和上傳數(shù)據(jù),快速同步不同版本數(shù)據(jù)�, 支持不同數(shù)據(jù)格式,并創(chuàng)造過(guò)濾器來(lái)顯示需要的數(shù)據(jù)���,處理完畢后可以將數(shù)據(jù)導(dǎo)出���。5)安全策略映射模塊它不斷獲取行為分析模塊和動(dòng)態(tài)自適應(yīng)模塊對(duì)系統(tǒng)當(dāng)前環(huán)境參數(shù)的處理結(jié)果,分析當(dāng)前服務(wù)的安全需求����,在安全策略數(shù)據(jù)庫(kù)中查詢(xún)所需的安全策略,并進(jìn)行必要組合�,從而根據(jù)用戶(hù)需求和服務(wù)系統(tǒng)當(dāng)前狀態(tài)的變化情況決定采用何種安全保護(hù)方式,進(jìn)行靈活有效的保護(hù)����。該模塊的結(jié)構(gòu)如微軟的Windows hure,它通過(guò)控制底層的網(wǎng)狀控制器將數(shù)據(jù)中心的服務(wù)器有效的組織起來(lái)����,通過(guò)計(jì)算當(dāng)前輸入數(shù)據(jù)并和數(shù)據(jù)庫(kù)進(jìn)行配對(duì),能夠形成由“狀態(tài)信息”到“所需策略”間的可靠映射���。
6)安全策略數(shù)據(jù)庫(kù)實(shí)現(xiàn)由安全等級(jí)狀態(tài)機(jī)當(dāng)前狀態(tài)到當(dāng)前會(huì)話(huà)所采用安全機(jī)制之間的映射�。它將安全等級(jí)狀態(tài)機(jī)的當(dāng)前安全狀態(tài)映射到具體實(shí)施的安全策略機(jī)制(認(rèn)證機(jī)制����、密鑰分配方法、加密算法等)中��,具體實(shí)現(xiàn)對(duì)會(huì)話(huà)過(guò)程的直接控制����。該模塊的結(jié)構(gòu)如VMware vCenter Server,它能集中地管理��、控制存儲(chǔ)數(shù)據(jù)���,并使其實(shí)現(xiàn)自動(dòng)化����。同時(shí)它能將服務(wù)器配置與數(shù)據(jù)復(fù)制到處于被動(dòng)模式的備用服務(wù)器上,從而避免各種宕機(jī)風(fēng)險(xiǎn)��。7)安全策略執(zhí)行模塊最終決定安全策略的具體實(shí)施���。以會(huì)話(huà)消息加密為例��,安全操作執(zhí)行部件必須具有兩種功能一是用于生成和維護(hù)會(huì)話(huà)加/解密密鑰的密鑰管理功能����;二是用于實(shí)現(xiàn)機(jī)密性服務(wù)的加/解密功能和實(shí)現(xiàn)完整性及不可否認(rèn)性的Hash和簽名功能��。當(dāng)某個(gè)會(huì)話(huà)開(kāi)始啟動(dòng)時(shí)�,安全策略執(zhí)行模塊根據(jù)安全機(jī)制庫(kù)中為該次會(huì)話(huà)所選擇的密鑰生成方式生成相應(yīng)的會(huì)話(huà)及簽名等密鑰材料;隨后在接收到頂層/底層通信部件送來(lái)的一個(gè)消息時(shí)�,它首先根據(jù)消息所屬的會(huì)話(huà)ID,找出針對(duì)該次會(huì)話(huà)的密鑰�����,然后進(jìn)行相應(yīng)加/ 解密�、簽名/簽名驗(yàn)證等操作。該模塊的結(jié)構(gòu)如VMware vShield�,它集成了多種安全保護(hù)技術(shù)(如外圍保護(hù)�����、端口級(jí)防火墻����、數(shù)據(jù)加密等)�����,并能簡(jiǎn)化應(yīng)用程序部署����,能夠保證強(qiáng)制實(shí)施�����,確保策略得到執(zhí)行�����。以云服務(wù)中的文檔編輯服務(wù)為例����,見(jiàn)圖1��,本發(fā)明一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法�,該方法具體實(shí)施步驟如下步驟一用戶(hù)向云服務(wù)提供商申請(qǐng)購(gòu)買(mǎi)文檔編輯服務(wù)�,并通過(guò)云服務(wù)提供平臺(tái)獲取相應(yīng)的平臺(tái)軟件,以供用戶(hù)登錄����、輸入用戶(hù)信息并與云服務(wù)提供平臺(tái)建立連接,在初始階段通過(guò)該平臺(tái)軟件向云端(借助有線網(wǎng)絡(luò)或者無(wú)線網(wǎng)絡(luò))發(fā)送用戶(hù)身份信息(如賬號(hào)���、密碼����、驗(yàn)證碼等)�����、用戶(hù)狀態(tài)信息(如IP地址信息����、網(wǎng)絡(luò)狀況等)和服務(wù)需求信息(對(duì)某個(gè)屬于該用戶(hù)的文檔進(jìn)行查看和編輯);步驟二 云服務(wù)提供平臺(tái)核對(duì)用戶(hù)發(fā)送的信息與事先存儲(chǔ)在用戶(hù)資料庫(kù)中的信息是否相符�����,以完成對(duì)用戶(hù)的身份認(rèn)證,然后根據(jù)用戶(hù)的狀態(tài)信息和需求信息向其傳送用戶(hù)所需的文檔編輯客戶(hù)端軟件��,待編輯的文檔和數(shù)據(jù)內(nèi)容在編輯完成后會(huì)自動(dòng)上傳到云端數(shù)據(jù)庫(kù)����;步驟三云服務(wù)提供平臺(tái)將獲取到的當(dāng)前用戶(hù)需求信息(對(duì)文檔的讀寫(xiě))和用戶(hù)行為信息(增加、刪減或修改文字��、圖片���、符號(hào)等)提交至行為分析模塊,行為分析模塊通過(guò)知識(shí)庫(kù)中的匹配信息判斷用戶(hù)當(dāng)前服務(wù)類(lèi)型(文檔讀寫(xiě)服務(wù))����、服務(wù)狀態(tài)(讀入、寫(xiě)入��、新建����、刪除等)和安全需求(編輯好的文檔需要進(jìn)行加密和數(shù)字簽名),并將所獲得的以上信息進(jìn)行綜合評(píng)估����,將評(píng)估結(jié)果提交至安全策略映射模塊����;步驟四安全策略映射模塊根據(jù)當(dāng)前服務(wù)安全態(tài)勢(shì)評(píng)估情況�,在安全策略數(shù)據(jù)庫(kù)中查詢(xún)并獲取所需安全策略(如密鑰生成方案、單雙鑰加密算法�����、消息認(rèn)證機(jī)制�、數(shù)字簽名算法等),進(jìn)行適當(dāng)?shù)倪B接或組合����,得到最符合當(dāng)前用戶(hù)服務(wù)狀態(tài)的安全保護(hù)方式(此例中的保護(hù)方式為根據(jù)用戶(hù)賬號(hào)和密碼生成加密密鑰,然后用雜湊函數(shù)對(duì)編輯好的文檔進(jìn)行數(shù)字簽名�,最后將文檔信息和簽名信息進(jìn)行加密),然后將其提交至安全策略執(zhí)行模塊�����;步驟五安全策略執(zhí)行模塊根據(jù)安全策略數(shù)據(jù)庫(kù)選擇的安全策略對(duì)當(dāng)前服務(wù)進(jìn)行安全控制����,將得到的安全保護(hù)方式以消息指令的形式通過(guò)云服務(wù)提供平臺(tái)傳回至用戶(hù)端, 由客戶(hù)端軟件具體執(zhí)行(本例中文檔編輯服務(wù)軟件在執(zhí)行完加密操作后,將加密后的數(shù)據(jù)上傳至云端進(jìn)行保存)��,必要時(shí)也可獲取用戶(hù)反饋以?xún)?yōu)化安全操作����;
7
步驟六在用戶(hù)使用云服務(wù)的過(guò)程中,云服務(wù)提供平臺(tái)也會(huì)持續(xù)觀察并記錄用戶(hù)需求和用戶(hù)行為的變化(如文檔數(shù)據(jù)大小的改變��、文檔數(shù)量的改變����、文檔修改者的變化和權(quán)限的變化,以及對(duì)數(shù)據(jù)完整性����、保密性和不可否認(rèn)性的側(cè)重點(diǎn)的轉(zhuǎn)變等)���,并將該變化信息提交至動(dòng)態(tài)自適應(yīng)模塊�����,動(dòng)態(tài)自適應(yīng)模塊的靈活性要高于行為分析模塊����;步驟七與步驟三類(lèi)似,動(dòng)態(tài)自適應(yīng)模塊獲取知識(shí)庫(kù)中的匹配信息��,判斷用戶(hù)服務(wù)類(lèi)型����、服務(wù)狀態(tài)和安全需求的變化,并考慮這些變化對(duì)系統(tǒng)安全及系統(tǒng)性能等方面的影響�, 在系統(tǒng)可靠性和系統(tǒng)效率之間尋找折中,動(dòng)態(tài)自適應(yīng)進(jìn)行綜合評(píng)估����,將評(píng)估結(jié)果提交至安全策略映射模塊;步驟八以下步驟和步驟四�����、步驟五相似��。
權(quán)利要求
1. 一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法��,其特征在于該方法具體步驟如下步驟一用戶(hù)向云服務(wù)提供商申請(qǐng)購(gòu)買(mǎi)云服務(wù)����,并通過(guò)云服務(wù)提供平臺(tái)獲取相應(yīng)的平臺(tái)軟件,以供用戶(hù)登錄���、輸入用戶(hù)信息并與云服務(wù)提供平臺(tái)建立連接�,在初始階段通過(guò)該平臺(tái)軟件借助有線網(wǎng)絡(luò)或者無(wú)線網(wǎng)絡(luò)向云端發(fā)送用戶(hù)身份信息、用戶(hù)狀態(tài)信息和服務(wù)需求信息���;步驟二 云服務(wù)提供平臺(tái)核對(duì)用戶(hù)發(fā)送的信息與事先存儲(chǔ)在用戶(hù)資料庫(kù)中的信息是否相符����,以完成對(duì)用戶(hù)的身份認(rèn)證����,然后根據(jù)用戶(hù)的狀態(tài)信息和需求信息向其傳送具有用戶(hù)所需功能的擴(kuò)展軟件包或模塊,即向用戶(hù)提供合適的云服務(wù)���;步驟三云服務(wù)提供平臺(tái)將獲取到的當(dāng)前用戶(hù)需求信息和用戶(hù)行為信息提交至行為分析模塊��,行為分析模塊通過(guò)知識(shí)庫(kù)中的匹配信息判斷用戶(hù)當(dāng)前服務(wù)類(lèi)型����、服務(wù)狀態(tài)和安全需求����;若知識(shí)庫(kù)中缺少所需匹配信息�,知識(shí)庫(kù)會(huì)自動(dòng)寫(xiě)入當(dāng)前新信息并將其存儲(chǔ),同時(shí)通過(guò)一定算法給出已有信息中最接近的信息,并將所獲得的以上信息進(jìn)行綜合評(píng)估�����,將評(píng)估結(jié)果提交至安全策略映射模塊����;步驟四安全策略映射模塊根據(jù)當(dāng)前服務(wù)安全態(tài)勢(shì)評(píng)估情況,在安全策略數(shù)據(jù)庫(kù)中查詢(xún)并獲取所需安全策略�,進(jìn)行連接或組合,得到最符合當(dāng)前用戶(hù)服務(wù)狀態(tài)的安全保護(hù)方式����, 然后將其提交至安全策略執(zhí)行模塊;步驟五安全策略執(zhí)行模塊根據(jù)安全策略數(shù)據(jù)庫(kù)選擇的安全策略對(duì)當(dāng)前服務(wù)進(jìn)行安全控制����,對(duì)用戶(hù)使用的服務(wù)會(huì)話(huà)消息進(jìn)行諸如認(rèn)證、密鑰建立�、加密、授權(quán)安全操作�,并將操作結(jié)果通過(guò)云服務(wù)提供平臺(tái)送至用戶(hù)端,獲取用戶(hù)反饋以?xún)?yōu)化安全操作��;步驟六在用戶(hù)使用云服務(wù)的過(guò)程中��,云服務(wù)提供平臺(tái)會(huì)持續(xù)觀察并記錄用戶(hù)需求和用戶(hù)行為的變化,并將該變化信息提交至動(dòng)態(tài)自適應(yīng)模塊�;步驟七與步驟三類(lèi)似,動(dòng)態(tài)自適應(yīng)模塊獲取知識(shí)庫(kù)中的匹配信息���,判斷用戶(hù)服務(wù)類(lèi)型��、服務(wù)狀態(tài)和安全需求的變化���,并考慮這些變化對(duì)系統(tǒng)安全及系統(tǒng)性能方面的影響,動(dòng)態(tài)自適應(yīng)進(jìn)行綜合評(píng)估�,將評(píng)估結(jié)果提交至安全策略映射模塊; 步驟八以下步驟和步驟四���、步驟五相同�。
全文摘要
一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全動(dòng)態(tài)自適應(yīng)方法�,它有八大步驟一、用戶(hù)向云服務(wù)提供商申請(qǐng)購(gòu)買(mǎi)云服務(wù)�����;二�、云服務(wù)提供平臺(tái)核對(duì)用戶(hù)信息并向用戶(hù)提供合適的云服務(wù)�;三��、云服務(wù)提供平臺(tái)分析用戶(hù)信息及其變化�;四�����、安全策略映射模塊制定相應(yīng)安全策略����;五、安全策略執(zhí)行模塊執(zhí)行安全保護(hù)措施�;六、云服務(wù)提供平臺(tái)觀察并記錄用戶(hù)需求和用戶(hù)行為的變化���;七�、與步驟三類(lèi)似�;八、和步驟四�、步驟五相同。本發(fā)明能夠根據(jù)用戶(hù)需求或使用行為的變化���,動(dòng)態(tài)自適應(yīng)地更新安全策略���,調(diào)整安全保護(hù)措施��,提出了一種移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云服務(wù)安全自適應(yīng)方法��。該方法立足于云計(jì)算安全體系結(jié)構(gòu)�,又結(jié)合了移動(dòng)互聯(lián)網(wǎng)中云服務(wù)的特點(diǎn)�,具有高效性、合理性和先進(jìn)性�。
文檔編號(hào)H04L29/08GK102438047SQ201110415329
公開(kāi)日2012年5月2日 申請(qǐng)日期2011年12月13日 優(yōu)先權(quán)日2011年12月13日
發(fā)明者修春娣, 劉建偉, 周煉赤, 李為宇 申請(qǐng)人:北京航空航天大學(xué)