云計算環(huán)境下用戶數據安全性的研究畢業(yè)論文(畢業(yè)論文)

1、南華大學計算機科學與技術學院畢業(yè)設計(論文)南華大學計算機科學與技術學院畢業(yè)設計(論文)南華大學計算機科學與技術學院畢業(yè)設計（論文）計算機科學與技術學院畢業(yè)設計（論文）論文題目 云計算環(huán)境下用戶數據安全性的研究指導教師職稱學生姓名學號專業(yè)網絡工程班級系主任院長起止時間目錄 TOC o 1-5 h z 摘要iAbstract ii弓丨言1 HYPERLINK l bookmark8 o Current Document 第一章緒論2 HYPERLINK l bookmark10 o Current Document 1.1課題的研究背景和研究意義 2 HYPERLINK l bookmark12

2、 o Current Document 1.1.1云計算的定義2 HYPERLINK l bookmark14 o Current Document 1.1.2云計算的發(fā)展歷史 2 HYPERLINK l bookmark16 o Current Document 1.1.3課題的研究意義 3 HYPERLINK l bookmark18 o Current Document 1.2云計算環(huán)境數據安全的現狀 4 HYPERLINK l bookmark20 o Current Document 1.3論文組織機構5 HYPERLINK l bookmark22 o Current Docume

3、nt 第二章云計算環(huán)境下用戶數據的安全威脅 6 HYPERLINK l bookmark24 o Current Document 2.1云計算的服務環(huán)境6 HYPERLINK l bookmark26 o Current Document 2.1.1基礎設施即服務。 6 HYPERLINK l bookmark28 o Current Document 2.1.2軟件即服務6 HYPERLINK l bookmark30 o Current Document 2.1.3平臺即服務6 HYPERLINK l bookmark32 o Current Document 2.1.4 云的基本架構

4、6 HYPERLINK l bookmark34 o Current Document 2.2云計算環(huán)境下數據的安全挑戰(zhàn) 7 HYPERLINK l bookmark36 o Current Document 2.2.1數據的保密性挑戰(zhàn) 7 HYPERLINK l bookmark38 o Current Document 2.2.2數據的完整性、可用性挑戰(zhàn) 8 HYPERLINK l bookmark40 o Current Document 2.2.3云計算三大核心安全區(qū)的威脅 9 HYPERLINK l bookmark42 o Current Document 第三章云計算環(huán)境下用戶數

5、據安全的關鍵技術 10 HYPERLINK l bookmark44 o Current Document 3.1數據加密技術10 HYPERLINK l bookmark46 o Current Document 3.1.1數據加密技術的定義 10 HYPERLINK l bookmark48 o Current Document 數據加密標準 11 HYPERLINK l bookmark50 o Current Document RSA 13 HYPERLINK l bookmark52 o Current Document 3.1.4同態(tài)加密技術15 HYPERLINK l bookm

6、ark54 o Current Document 3.2虛擬化安全 16 HYPERLINK l bookmark56 o Current Document 3.2.1虛擬化技術定義 16 HYPERLINK l bookmark58 o Current Document 3.2.2防護虛擬化安全17 HYPERLINK l bookmark60 o Current Document 3.3災備冗余備份技術 18 HYPERLINK l bookmark62 o Current Document 3.3.1服務器系統(tǒng)的高可用(IBM HACMP) 18 HYPERLINK l bookmark

7、64 o Current Document 3.3.2 數據庫的高可用(oracle RAC) 22 HYPERLINK l bookmark66 o Current Document 3.3.3異地災備技術 33 HYPERLINK l bookmark68 o Current Document 第四章論文總結41 HYPERLINK l bookmark70 o Current Document 4.1云環(huán)境下的數據安全 41 HYPERLINK l bookmark72 o Current Document 4.2安全的云計算的應用和發(fā)展 42 HYPERLINK l bookmark7

8、4 o Current Document 參考文獻43 HYPERLINK l bookmark76 o Current Document 謝辭44南華大學計算機科學與技術學院畢業(yè)設計（論文） i南華大學計算機科學與技術學院畢業(yè)設計（論文） 云計算環(huán)境下用戶數據安全性的研究摘要：信息時代的到來，導致了數據量的暴增，人們需要對大量的數據進行運 算處理和存儲，這就使得人們對高性能計算和存儲的需求越來越大， 此時云計算 開始逐漸走入人們的視野，云計算推廣廉價的高性能計算和存儲，用戶只需要根 據自己的需求購買相應的存儲計算服務，不需要投入大量的資金和人力資源對設 備進行管理維護，從而獲得越來越多的人的

9、青睞。本文首先介紹了云計算的定義， 詳細闡述了云計算的發(fā)展歷程，指出了當前云計算發(fā)展存在的數據安全問題。 本 文點明了云計算環(huán)境下的數據安全是阻礙云計算發(fā)展的關鍵問題，認為用戶數據的安全與否對云計算的發(fā)展具有決定性的影響，總結了云計算環(huán)境下數據的安全 性及數據的保密性，完整性和可用性會受到怎樣的威脅， 歸納了云計算環(huán)境下保 護數據安全的各種保護方法，并討論了加密技術，虛擬化安全技術，冗余災備技 術的原理機制和關鍵技術，并通過實驗來證明云計算環(huán)境下通過加密技術， 虛擬 化技術和冗余災備技術可以保護云計算環(huán)境下的數據安全， 在此基礎上展望了云 計算的未來發(fā)展前景。關鍵詞：云計算，數據安全，加密技術

10、，虛擬化技術，冗余災備技術Safety Studies of User Data Under Cloud ComputingEnvironmentAbstract： The arrival of the information age, the amount of data has led to surge , people need to carry large amounts of data processing and storage operation , which makes the dema nd for high-performa nee computi ng and stor

11、age is grow ing, cloud computing gradually into peoples vision users only need to buy according to their n eeds appropriate storage comput ing services , and huma n resources do not n eed to in vest in equipme nt maintenan ce,promoti on of low-cost , high-performa nee cloud computing and storage , a

12、ccess to more and more people of all ages. This paper introduces the definition of cloud computing, elaborated on the course of development of cloud computing, data security issues pointed out the existenee of the current development of cloud computing . This article points clear of cloud computing

13、data security en vir onment the key issues hin deri ng the developme nt of cloud comput ing , con sider the security of user data or not have a decisive in flue nee on the developme nt of cloud computing , cloud computing environments summarized data security and data con fide ntiality , in tegrity

14、and availability of the threat of what will be summarized under the cloud computing environment to protect the safety of a variety of data protecti on methods , and discusses the en crypti on tech no logy , virtualizati on security tech no logy , the prin ciple mecha nism red undant disaster recover

15、y tech no logy and key tech no logy , and through experime nts to prove the cloud comput ing en vir onment through en crypti on tech no logy , virtualizati on tech no logy and red undant disaster recovery tech no logy to protect data in the cloud comput ing en vir onment, safety , on this basis, pro

16、spects for the future development prospects of cloud computi ng.Key words： Cloud computi ng, data security, En crypti on tech no logy, virtualizati on tech no logy, redu ndan cy, disaster recovery tech no log南華大學計算機科學與技術學院畢業(yè)設計（論文）第 頁共44頁南華大學計算機科學與技術學院畢業(yè)設計(論文)第 頁共44頁引言隨著大數據時代的來臨，數據量激增，數據處理的難度開始加大，人們需

17、 要在更短的時間內完成對數據的計算處理和存儲， 這就需要高性能的計算機和存 儲性能優(yōu)良的存儲設備，這就需要人們投入大量的金錢購買高性能的計算機和存 儲設備，花費大量的人力物力來管理和維護設備， 人們需要高性能計算能力和存 儲能力的同時，又不希望花費高昂的投資費用，在這種情況下云計算技術的出現， 使得廉價的高性能計算和存儲開始走向了大眾化普通化，為大眾所接受。云計算是近年來新興的科學技術，云計算為用戶提供按需分配的計算，存儲和應用服務 的能力。用戶根據自己的業(yè)務需求，購買相應的服務。云計算靈活的資源調度， 高效的成本效益，可以實現快速部署和拓展。在降低了用戶的設備成本和管理復 雜度的同時，也提升

18、了服務質量，為越來越多的人所接受。隨著云計算的發(fā)展， 云計算的數據安全受到了越來越多的關注，人們對云計算的數據安全顧慮是阻礙 云計算推廣和普及的關鍵原因，云計算環(huán)境下數據的保密性、完整性以及可用性， 數據存儲的安全性等問題，都值得我們去深入研究。越來越多的科技人員投入到 云計算數據安全的研究之中。云計算的數據安全已取得了建設性的進展。 本文就 云計算環(huán)境下數據數據安全的保護方法， 即數據加密技術，虛擬化技術，冗余災 備技術都做了詳細的研究和分析，并對各種技術進行了實驗驗證，從理論和實踐 兩個方面都論證了云計算環(huán)境下數據安全保護的有效措施。第一章 緒論1.1課題的研究背景和研究意義1.1.1云計

19、算的定義云計算技術是近些年新興的科學技術理念，是多種技術相結合的混合產物， 云計算的發(fā)展離不開并行計算，網絡安全技術，加密技術，容錯技術，海量數據 處理，虛擬化技術。云計算的核心功能是為用戶提供計算和存儲服務。按需分配，用戶根據自己的客觀實際需求，向云服務提供商提供申請相應的計算能力， 存儲 和應用服務能力。云計算將一切都隱藏在于云平臺服務中心，用戶不用關心如何 存儲數據，數據存在哪里，數據的安全是否有保障，不用關心應用程序的安裝和 升級，不用擔心硬件的維護和更新，也不用擔心機器的性能是否滿足自身業(yè)務需 求，所有的一切都由云服務提供商負責提供和維護。云計算使得用戶能夠使用高 性能的計算能力的同

20、時，卻不需要付出高額的代價去購買昂貴的設備。 由虛擬化 技術支持的彈性計算能力和存儲能力是云計算的兩個重要特征，也是吸引越來越多關注的原因。云計算是高性能計算走向大眾化的有力推動者，是高性能計算機 走向平民化一場革命。1.1.2云計算的發(fā)展歷史云計算技術的出現是互聯網巨頭為了自身的業(yè)務發(fā)展而提出來的，谷歌公司就是是云計算領域的先行者之一。云計算的發(fā)展并不是谷歌公司的最初想法，卻 在發(fā)展過程中獲得了巨大的成功。云計算的核心是計算和存儲?；ヂ摼W巨頭為應 對訪問高峰時期的大量并發(fā)需求，部署了大量的服務器，為了最大了利用自己所 擁有的資源，開始向用戶提供按需的計算，存儲和應用服務能力。Amazon是云

21、計算市場化的先行者之一，amazon公司為了最大化的利用全球范圍內的剩余計 算和存儲資源，開始打造自己的云平臺。2005年，amazon宣布amazon webservices云計算平臺建成，開始為用戶提供云計算服務。2007年，IBM公司提出了云計算商業(yè)化的解決方案，并提出了自己的云計算服務(blue cloud )計劃，業(yè)界稱之為藍云。IBM則是利用自己的服務器性能優(yōu)勢提出了高端服務器戰(zhàn)略與 谷歌公司的低端服務器-能用就行直接碰撞，競爭相當激烈。2008年4月，谷歌 推出了應用軟件引擎（google app engine），允許購買服務的開發(fā)人員，利用云 平臺進行應用程序的編寫和開發(fā)，并且

22、可以免費存儲在谷歌的云計算基礎平臺。 谷歌的應用軟件引擎，使得用戶不需要安裝任何應用程序，也不需要對軟件進行 管理和升級，大大方便了用戶。EMC在收購了 VM之后，使得自己在虛擬化的技 術方面占據了優(yōu)勢，EMC雖調云計算的核心是虛擬化，虛擬化是云計算的重要特 征。微軟在云計算的方面也不甘落后，于2008年10月，微軟發(fā)布了 WindowsAzure 操作系統(tǒng)。Windows Azure （譯藍天）通過互聯網打造了自己的云服務平臺，讓 自己的PC融入到了云架構中，微軟云平臺已經發(fā)展成220集群，440000臺服務 器的大型云計算中心。相比之下，國內的云計算起步相對較遲，2012年，工信部發(fā)布了通

23、信業(yè)的十二五規(guī)劃，將云計算定位實現融合創(chuàng)新的重點發(fā)展方向和關 鍵技術，定位國家級信息基礎設施。同年 9月，科技部發(fā)布文件中國云科技發(fā) 展，十二五專項規(guī)劃，推動了云計算的發(fā)展。百度公司在 2011年推出了自 己的云服務，開放了云平臺。利用自己在云計算平臺架構和處理海量數據方面上 的優(yōu)勢，陸續(xù)開放了 paas，iaas，saas云計算服務，成為國內云計算的先行者。 2013年，阿里公司完成飛天 5k集群項目，在云計算方面取得了重大突破， 打造了只有谷歌，臉書這些頂級it公司才擁有的單個集群規(guī)模服務器達到了5000規(guī)模。另外像各大通信廠商也都推出了自己的云計算服務。中國移動通信 公司，推出了自己的b

24、igcloud，華為公司推出了 fusion cloud。聯想，騰訊等 公司也都相繼推出了自己的云服務平臺，云計算技術在中國也開始慢慢走向成 熟。1.1.3課題的研究意義云計算技術提供彈性的云計算服務能力，客戶根據自身的需求，購買相應的計算，存儲，應用服務即可，無需再為設備全額買單，既省去了用戶本地的維護 和管理，也大大降低了用戶的采購成本。高效的成本效益，較低的管理復雜度， 使得云計算具有廣闊的發(fā)展空間。 云計算的發(fā)展受到了數據安全的制約， 開放的 網絡環(huán)境，虛擬的資源分配，導致了用戶數據的保密性和完整性受到了威脅。隨南華大學計算機科學與技術學院畢業(yè)設計（論文）第 頁共44頁南華大學計算機科

25、學與技術學院畢業(yè)設計（論文）第 頁共44頁著信息時代的到來，數據對于企業(yè)和個人價值巨大，數據安全也受到了越來越多 的人的關注。云計算環(huán)境下的數據安全威脅是云計算發(fā)展的絆腳石，數據安全對于云計算來說任重而道遠，只有保證了云計算環(huán)境下用戶的數據安全， 云計算才 能為越來越來的用戶接受和認同，云計算想要取得長足的發(fā)展，解決數據數據安 全是必不可少的一環(huán)。云計算的發(fā)展也推動了物聯網的發(fā)展和前進。物聯網也是 科技發(fā)展的必然產物，隨著科技進步和時代發(fā)展，物聯網必定會走進千家萬戶， 融入人們的生活。而物聯網的核心技術便是云計算，物聯網的各種終端只是四肢， 而云計算則是大腦，如何保證大腦數據安全，則顯得尤為重

26、要。云計算環(huán)境下用 戶數據安全，對于云計算乃至整個科技進步具有極為重要的意義。1.2云計算環(huán)境數據安全的現狀2009年3月，美國聯邦貿易委員會（FTC）召開了一次會議,與it界代表探討 了關于云計算的安全問題。電子隱私信息中心（EPIC）建議聯邦貿易委員會（FTC 為了用戶的數據安全，谷歌公司應該暫時停止 Gmail服務和Google Docs服務等 云服務，直到谷歌公司提出相應的安全解決方案。 云計算服務逐步走向市場，云 計算的安全受到了越來越多的人關注。許多公益維權組織則認為，應該加強立法 保護用戶的合法權益。而云服務提供商則認為，這樣會限制束縛了云計算的發(fā)展。云計算服務日益發(fā)展壯大，如果

27、聯邦貿易委員會叫停了谷歌公司的Gmail和Google Docs等云服務，則有數以萬計的用戶不能訪問郵箱和文件，云安全牽 一發(fā)動全身。2009年4月，信息安全大會2009在洛杉磯舊金山舉行。在信息安全大會上（RSA上云安全聯盟（CSA宣告成立。其目的旨在在云計算環(huán)境下提供最佳的安 全方案。CSA的宗旨是：提供用戶和供應商對云計算必要的安全需求和保證證書 的同樣認識水平；促進對云計算安全最佳實踐的獨立研究； 發(fā)起正確使用云計算 和云安全解決方案的宣傳和教育計劃；創(chuàng)建有關云安全保證的問題和方針的明細 表。云安全聯盟聯手英國標準公司推出了 START認證，致力于解決云計算安全的 特定問題。云安全聯盟

28、的成立，得到廣泛的認同，自成立以來，指定了行業(yè)標準， 發(fā)布了云安全指南，取得令人矚目的成績。2009年12月，云安全聯盟（CSA發(fā) 布了更新版的云安全指南，使得業(yè)界對云計算安全認知的一次里程碑式的升 級。新版本的云安全指南客觀務實，注重了客觀實踐。安全指南的參與編寫 者基本上都是一線的云安全工作者， 編寫者通過大量實踐經驗，提出了較為有效 的解決方案，收到了業(yè)界的廣泛認同和歡迎。相比較而言，國內的云計算安全的問題則較為突出。 首先，國內由于生產廠 商的實力比較薄弱，自己的云計算安全產品基本上都是采用第三方供應商提供的 硬件標準，這些硬件標準基本上也都來自國外的安全廠商，國外的安全產品提供商有實

29、力生產自己的硬件，大多數采用自己的硬件標準，安全性明顯優(yōu)于國內。 第二，國外的安全產品提供商在自己設計生產硬件的基礎上，開發(fā)了適應硬件的安全操作系統(tǒng)，這樣使得兼容性獲得了大大的提升， 提高了網絡適應能力。而國 內的生產廠商，由于沒有自己的硬件標準，在第三方設計的硬件上開發(fā)自己的安 全操作系統(tǒng)具有相當的難度，使得云計算的安全受到了削弱。目前而言，國外的 云計算發(fā)展以相對成熟，關于云計算的各類應用相對較多，而國內的云計算還處 在構建云建構，建設云計算中心，搭建云服務平臺的初級階段，國內云計算安全 關注的重心還是虛擬化安全，國內的云計算安全相對于國外較為落后， 國內的云 計算安全特別是數據安全還有很

30、長的一段路要走。2008年，奇虎360董事長周鴻祎在互聯網大會上宣布，360公司已經初步建成了中國最大規(guī)模的云安全計算 中心，周鴻祎指出，只有那些具備海量數據處理技術，大規(guī)模搜索技術和郵箱 技術的公司，才能真正建成云安全平臺，提供安全的云計算服務，實現云安全。國內的百度，阿里等公司在云計算安全方面占據優(yōu)勢地位。 百度，阿里等依 托自己海量數據處理能力和云平臺架構在打造了自己的云計算安全中心。1.3論文組織機構本文重點研究了云計算環(huán)境下用戶的數據安全， 論文有四個章節(jié)，第一章節(jié) 講述了云計算的定義以及云計算的發(fā)展歷史， 并分析了用戶的數據安全研究的重 要意義，最后分析了當今云計算的安全現狀。 第

31、二章節(jié)詳細講述了云計算環(huán)境下 用戶數據會受到何種威脅，即保密性，完整性，可用性的威脅。第三章則是針對 數據安全提出了相應的解決方案，并模擬了相關情景，得到了預期的實驗結果。 第四章則是對云計算數據安全的總結和展望。南華大學計算機科學與技術學院畢業(yè)設計（論文）第 頁共44頁南華大學計算機科學與技術學院畢業(yè)設計（論文）第 頁共44頁南華大學計算機科學與技術學院畢業(yè)設計(論文)第 頁共44頁第二章 云計算環(huán)境下用戶數據的安全威脅2.1云計算的服務環(huán)境2.1.1基礎設施即服務。laaS(lnfrastructure-as-a-Service):基礎設施即服務。用戶可以通過互聯網從云計算服務中心獲得計算

32、機基礎設施服務。云計算服務提供商將計算能 力，存儲能力，輸入輸出能力整合成一個虛擬化的資源池提供給客戶，用戶可以根據自己的需求購買硬件服務。例如，用戶可以享受內存，i/o，計算能力和存儲能力等基礎設施服務。2.1.2軟件即服務SaaS(Software-as-a- Service):軟件即服務。用戶在不用購買、安裝軟件 的情況下，實用云計算服務提供商提供的基于 web的軟件服務。用戶根據自身的 工作和業(yè)務需求，向服務提供商定制相關的軟件。云服務提供商，根據客戶的需 求，在服務器上部署相應的服務。用戶在沒有購買和安裝的情況下，就可以獲得相應的軟件服務，且不需要對軟件本身進行維護和升級。2.1.3

33、平臺即服務PaaS(Platform-as-a- Service):平臺即服務。平臺即服務類似于軟件即服 務。通俗的來講，云計算服務提供商，將軟件開發(fā)平臺整合為一種云服務提供給 客戶，客戶通過平臺即服務可以實現開發(fā)的功能，而且不用負責基礎設施的管理， 但需要管理應用程序。平臺即服務是軟件即服務的一種延伸，可以看做是特殊的 軟件即服務，平臺即服務的出現推動了軟件即服務的發(fā)展速度。2.1.4云的基本架構圖2-1大致描繪了云計算的基本架構，用戶通過網絡接入到云計算平臺，同時云計算平臺也要維護管理云服并通過服務器節(jié)點來訪問存儲架構上的數據, 務設備。4心WPifliifrai written沖EM片右

34、紀頼Ifl用盧 HJP出戶圖2-1 :云的基本架構2.2云計算環(huán)境下數據的安全挑戰(zhàn)2.2.1數據的保密性挑戰(zhàn)用戶在享受云計算帶來的廉價的高性能的計算能力和存儲能力的同時，用戶的數據保密性備受挑戰(zhàn)。不管用戶選擇云計算的哪種服務模式， 都需要將自己的 隱私數據，傳送到云計算中心，并且在云計算服務平臺進行計算和存儲。而這一 過程中數據的保密性成為用戶最為擔心的問題。 用戶要讓數據在傳輸的過程中不 被嗅探和非法獲取，用戶需要確認自己的隱私數據在計算處理的時候，特別是多方參與的情況下，沒有被惡意竊取和泄露。用戶需要選擇可靠的加密算法和傳輸 協(xié)議來保證自己的數據隱私安全。 其次，云存儲將數據所有者和數據從

35、物理位置 上分隔開，云計算服務商需要保證用戶數據不會被未經授權的用戶非法訪問，對授權訪問的用戶劃分具體的等級權限。比如云服務提供商要細分內部人員的操作 權限，規(guī)范內部人員的操作規(guī)范，精確審計內部員工的操作，以此來保證用戶的 隱私不會被泄露。另外虛擬化技術是云計算的核心技術之一。 其原理就是將服務 器虛擬化成一套可以細分的資源，根據客戶的需求來分配服務的方式。以云存儲 來說，物理磁盤虛擬化，用戶的數據可以存放在兩塊不同的磁盤上，不同的用戶的數據也有可能存放在同一塊物理磁盤上， 即用戶的隱私數據和信息存放在共享 磁盤上，這就嚴重影響了數據的安全，如何有效隔離數據，確保未授權用戶無法 訪問共享磁盤上

36、的其他數據是虛擬化安全的重要任務。 云計算服務商為了保證數 據的可用性，通常會進行多份數據備份，用戶刪除數據信息后，如何確認云服務 商不會再有備份數據，這也是困擾數據安全的問題之一。222數據的完整性、可用性挑戰(zhàn)首先用戶在云計算中心與自己的客戶單傳輸數據時候， 如何保證用戶在上傳 和下載自己隱私數據的時候，能確定自己的數據是完整的，沒有在傳輸過程中丟 失，也沒有被惡意截斷和竊取。另外如果用戶的業(yè)務是 24小時不間斷的，需要 及時同步自己的數據到云平臺中心。 如果數據在傳輸或者下載的過程中，物理線 路出現故障，數據沒有及時同步，可能會造成數據可用性的丟失。 傳輸過程中保 護數據的完整性、可用性只

37、是第一步。另外云計算服務可以將用戶的數據存放在 多個物理磁盤上，如何能夠獲取完整的數據，不造成數據的丟失也是值得考慮的 問題。虛擬化技術將數據分割在不同物理位置上， 如何有效隔離數據，保證數據 安全也是虛擬化的核心。云計算服務提供商還要保證數據在計算和存儲的時候數 據的安全性，即數據的完整性和可用性，這個顯得尤為重要。因此云服務提供商， 在建造大型集群的時候，要保證服務器的高可用，使得數據在云計算和云存儲的 時候不會丟失，保證用戶數據的可用性。簡單的來說，就是當云計算平臺遭受攻 擊致使云計算服務器部分宕機或者自然故障， 不影響數據的查詢計算，保證業(yè)務 不中斷。當存儲系統(tǒng)存在硬盤故障時，也能保證

38、數據不丟失。云計算平臺還要能 夠保證，即使出現地震，海嘯等自然災害的不可抗力的時候， 數據依然不會丟失 可以快速恢復。223云計算三大核心安全區(qū)的威脅圖2-2主要描述了云計算的三大核心安全區(qū)。 運算區(qū)域主要的數據威脅便是 服務器系統(tǒng)故障，數據庫服務以及相關服務的崩潰，都會導致數據安全收到威脅。 存儲區(qū)域的安全威脅一個來自虛擬化安全，另一個則是存儲磁盤本身的冗余方 式。運維安全域的安全也很重要，直接影響到虛擬主機的安全。云計算中心三大 區(qū)域無論哪一個區(qū)域出現問題，都會直接用戶數據的安全。1畔時丸認-箱弦撲制ft桿Hi押辰祁坤控料1許林區(qū)域/虧-怖3穌機圖2-2 :云計算的三大核心安全域第三章云計

39、算環(huán)境下用戶數據安全的關鍵技術3.1數據加密技術3.1.1數據加密技術的定義數據加密的另一個名字是密碼學，在人類的發(fā)展歷史中，數據加密技術已經 發(fā)展了存在了很長時間。數據加密是通過加密算法和秘鑰將需要加密的信息轉化 成密文，然后持有秘鑰的用戶可以通過解密算法和秘鑰將密文翻譯成明文，而沒有秘鑰的用戶將無法理解密文的內容，達到了數據加密的效果。數據加密有兩種形式對稱加密和非對稱加密。對稱加密算法（秘鑰算法）是采用單一秘鑰的加密方式。這個秘鑰幾可以作 為加密的秘鑰，也可以作為解密的秘鑰。非對稱加密技術對傳輸媒體的安全性要 求很高，秘鑰的泄露就會導致信息的安全受到威脅。AES DES就是常見的對稱加密

40、算法。對稱加密的工作原理：需要加密的明文是woshixuzhian秘鑰是snow加密算法：（1） 按照秘鑰字符的長度劃分明文成多塊。wosh ixuz hian（2）按照替換規(guī)則，將明文,秘鑰替換成數字a=01 .z=26（3）將秘鑰與明文相加之后模26（4）將加密后的明文轉換成相應的字符。對稱加密算法（秘鑰算法），如果知道秘鑰，破解密文是相當容易的。但是如果沒有秘鑰，想要通過明文和密文來破解秘鑰，則是相當困難的，破解者需要付出相當的計算代價。此種加密算法的好處就是，如果秘鑰是安全的，任何人即使是該模式的使用者，想要通過明文和密文來破解秘鑰，也幾乎是不可能的， 該加密算法，從一定程度上保證了數

41、據的安全。對稱機密算法的加密速度和解密 速度相比于公鑰加密快速高效，適用于大數據的加密和解密。非對稱加密算法（公開秘鑰算法）則采用了兩種秘鑰，一個為公開秘鑰，可以為所有人所共知，另一個則是私有秘鑰，只為秘鑰持有者所知曉。 。如果利用 私有秘鑰進行加密，那么所有知曉公開秘鑰的人都可以進行解密， 在安全上來說 即所有的人都可以知道明文。如果利用公鑰進行加密，那么只有私有秘鑰的持有 者，才可以對密文進行解密。公鑰算法的加密模式：例如甲的公鑰是A,私鑰是B,乙的公鑰是C,私鑰是D,如果甲要給乙發(fā)送一條 信息M則甲先用乙的公鑰給信息加密 C（M）,然后再用自己的私鑰給信息加密 B（C（M），經過兩重加密

42、之后，信息發(fā)送給乙。乙接收到明文之后，首先用甲的 公鑰A給信息解密，成功解密的話，既可以確定信息來自于甲，甲無法抵賴曾經 發(fā)送過這條信息。然后乙用自己私鑰（D）給信息解密，也只有乙才能看到對解密 的密文，因為乙的私鑰（D）只有乙自己擁有，其他人無法得知。公開密鑰算法不 用在網絡間傳輸秘鑰，防止秘鑰在傳輸期間被竊取，提高了數據的安全性，但是 相比于對稱機密算法來說，其加密和解密速度比較慢，一般只用于少量的數據加 密。RSA是最著名的非對稱秘鑰加密算法（公開秘鑰算法）。3.1.2數據加密標準1977年，美國國家標準局采用了 IBM公司的一種加密算法，發(fā)布了數據加 密標準DES.DES采用了 56位

43、秘鑰8位奇偶校驗位，對64的數據進行加密，這是 一個迭代的分組密碼，使用稱為 Feistel的技術，其中將加密的文本塊分成兩半。使用子密鑰對其中一半應用循環(huán)功能，然后將輸出與另一半進行“異或”運 算；接著交換這兩半，這一過程會繼續(xù)下去，但最后一個循環(huán)不交換。DES使用16輪循環(huán)，使用異或，置換，代換，移位操作四種基本運算。DES 一度被認為是最安全的加密算法，但是隨著科技的發(fā)展，計算機的運行速度大大提高。DES解密的難度是對56位秘鑰的窮舉，但隨著計算機性能的提升，窮舉出56位二進 制字符的秘鑰成為可能，DES的安全性受到了相當大的威脅。因此 DES也做了相 應的改進，發(fā)展成了三重DES三重D

44、ES使用168位秘鑰對數據進行三次DES加 密，大大提高了數據的安全性。2000年10月2日，美國國家標準局（NIST）采用Rijndael加密法為新的 加密標準（AES）, AES的秘鑰最少為128比特位，可以增加到192、256位，秘鑰長度的增加，使得暴力破解秘鑰的可能大大降低了，提高了數據的保密性。DES加密算法的在linux系統(tǒng)上的實現：圖3.1現實了加密之前的文本rootSoracle T# cat /etc/passwd root ：x-0 root. root ；/bin/bash1；1：b i n：/bi n：/sb i n/noIosi n daemons2-daemon ；

45、/sb in ：/sbin/ nologinadM：x：3：adffl：/var/admVsbin/nologin lp：i： 4：7： lp：7var/sp0ol / pd7sbin/noloein syn亡：sync：/sbin/bin/sync shutdown：x：6：0：shutdovn：/sbin：/sbin/shutdovn halthalt 7sbinVsbin/haltmai1:x；8；12；waiI ；7var/spool/mail；/sbin/nologin nEfls13-news:/c/news: uucp：x；10： 14uucp ./var/spool/uLJcp

46、 Vsbin/noosin operator:咒：11：0：operator：/root/sbin/nolosin games:k：12：100:games:/usr/games:/sbin/nologin sopher：x：13：30：gopher:/var7gopher 7sbin/noI osin ftp1450：FTP UserH/rar/ftpi/sbin/nolagifl nobody: x ： 99 ； 99 ： Nobody 77sbi n/no login ngcd：28：28：NSCD Daemon/sbin/nologin vcsa：x；69：69；virtual con

47、sole inemory ovner:/ dev7stin/nologin rpc32；32：Portmapper RPC user:/ Vsbin/nclogin mailnulI：x：47；47：；/7ar/spool/mqueue Vsbin/noloein smtusp： x-El: 51: Vvar/spool/iDQueue ：/sbin/nolofiin pcap：i：77：77：:/var/arpvatch；/sbin/nologin ntp：濫：38：38： ：/etc/ntp:/sbia/oo 1 egin dbus:龍：81：81：System message bus:/

48、:/sbin/noIosin availi：h：70：70：Avahi daemon:/:/sbin/nologin sshd：x：74：74Trivilege_separatEd SSH:/var/empty/sshdVsbin/ao1ogin rpeuser：x：29；29：RPC Service User：/var/1ib/nfs Vsbin/Loloein,nfsnobody:k-65634:6E534:Anonymous NFS User:：/var/ib/nfs i/sbin/nologin ha 1daemon:x；68：63；HAL daemon；/：/sbin/nologin

49、 aTahi-Butoipel 100； 101 ：avahi-autaipd：/var/1 ib/avahi-autoipd ：/sb in/no login rl i 宸冃廣ip : t：口4 :Q4：Fh敦+廣總廣bp : f :i n圖3.1加密前的文本圖3.2為用des3加密算法加密文件rocrtfloracle # qppilss 1 des3 -salt in /etc/passed -out /etc/passwd.dBs3 enter des-ede3-cbc encryption password；Verifying - Entpr des-BdeS-tbc encrypt

50、ion passvord1rootorac T# Is /etc7passvd.des3/etc/passwd.des3圖3.2des3加密文件圖3.3是查看加密后的文件 passwd.des3,我們可以發(fā)現文件已經成為亂碼，我們無法識別原文的內容了roctfcsle 中 qt ：ci：啦召爰；&別壯斫歩向5謹樂t伸規(guī).Oft!裊期雷;M佔卽fcATi占事t*l|MbWLA4r沖aM （；1薩霰鼾I默響 朗圈si?丁 Sfc叫i YW曲 加曲刃鯊:H盤卜濟歡;57SKIH-窈 jPI他P H9iPiait 巾股Gy）踏述4 鼬 MI Mil 1負怦I惜卅I黜1昏酚幽【:麗，鮭？W?!rfb.沖

51、砸-.姍二WE J h嗥:f：d*A r國EC哦芒I腳已屮制3! i-|加聽積丄少戰(zhàn)h邀：4附和時屮訃滬啞闔f晏氣.J_,劭tff :礴.也碼1 liE闘馳弦b媲険r出住緡黜1躺幣的詢仙；）i 跖曲餉 唸呃 g a鹹Ar,麗ih|也佩匚吵Kr|!l防麻詢缺 翻対； 買i E:屮hbllTd*卩5ithiITitbli在治lllprtriiftivl* “II 匕11氏“1北治11丫電匕111巾1|111圖3.3加密后的文件圖3.4是我們解密密文對比加密之后的文件與源文件是否相同，結果顯示兩 個文件完全相同rootoracle T# diff /已tc/passvd /已tc/passvd.de

52、code -s Files /etc/passwd and /etc/passwd.decode are identical rootfcracle *#圖3.4解密文件3.1.3 RSARSA是當今最為流行的公鑰加密算法，是公認的公開密鑰算法加密標準。其 算法的破解難度在于分解一個極大整數，到目前為止，還沒有人能夠發(fā)現有效的算法能夠實現快速因式分解。RSA到目前為止能夠被破解的也是因為秘鑰長度不 夠長，在理論上來說，只要秘鑰長度足夠長，RSA加密算法就可能被破解。RSA算法原理已知兩個素數p和q可得 n=p * qt=（p-1）*（q-1）任意取一個數e，在滿足條件e*dn=1可得整數n，d

53、，e?。╪，d）為公鑰，（n，e）為私鑰明文為a，加密后的密文為b,解密后的明文為c則可得 b= （ aAd）n則可得 c= （bAe） n如果甲給乙發(fā)信息，那么就用私鑰（n,e）加密，乙收到密文用甲的公鑰（n,d）進行解密，而且甲無法抵賴。如果乙給甲發(fā)信息，那么就用公鑰（n，d）加密，甲收到密文后用私鑰（n，e）進行解密，而且也只有甲的私鑰能夠加密。RSA算法加密在linux系統(tǒng)上實現：首先建立需要加密的文件，以及生成公鑰和私鑰 ，如圖3.5所示.xuzhian is a udent of university of south chinarootoracle -# vim /var/xuz

54、hian.txt .rootSoracle T# cat /var/xushian.txtrooWoracle # opens si genrsa -out rsa.key 1024 Generating RSA private key, 1024 bit long modulus+ + + !+ +e is 65537 (0 x10001)rootoracle T# 11 rsa.key-ri-i一r一 1 root root 887 1117： 56 rsa. keyliootoracle -# 圖3.5生成密鑰Rsa.key包含公鑰和私鑰，我們將公鑰分離出來，生成獨立的rsa.pub.k

55、ey.如圖3.6所示.root(ioraclB T# openssl rsa -in rsa.key -pubout -out rsa.pub.key writing RSA Leyrootoracle11 rsa.pub.key_r一)_ j-0Ot root 272 11-23 18；04 rsa.pub.keyrcatloracle.圖3.6生成私鑰對方向私鑰持有者發(fā)送信息，則用生成的公鑰來加密（生成的公鑰可以傳送給對方）如圖3.7所示.-hexdunphexdiw output-engine euseengine e? possiblya-passin argpassphrase so

56、urceroot&oracle * # openssl rsautl 一亡nurypt key -pubin -out zuzhian,txt.en rootCoracle “# Isan6candaks,cfg instai 1.losinstal1.lagnSFelce* jn 丄r 0 r. 1 W* 1hardware device.-in /var/xuEhian.txt -inkey isa.pub.(.ralnst. loc rsa. pub.key Kuzhian.Ut .rii rsa.key圖3.7rsa加密過程秘鑰持有者，利用私鑰來解密，如圖3.8所示.rootoracl

57、e 亠# cat suzhian.txt.en 門隈里唇乩匸伍1/逐嚴-*寸鞘咋朮號虧Ph我一詼 pUIRJshe 11 root8orace -# Xshe 11xuzhiar is a gtudent of ur:versity of south china rootoracle 7# diff /var/xu&hian.txt xuehianAxt-de -s Fi es /var/xuzhian.Ut and suzhian.txt.de are identlcal rootftoracle-bash： Xshe: command not found rootaracle T# cat

58、 suzhian.tst.de xuzhian is a student of university of south china root&oracle T# cat /var/zuzhian ,t;rt圖3.8解密過程秘鑰持有者向對方發(fā)送消息，利用私鑰加密，即為簽名，如圖3.9所示rootoraclc T# openssl rsaut -sign -inkey rsa,key -in /var/Kuzhian.txt -on 2tuzhian.txt .enlrootoracle T# 11 KuzhLan.txt.enl-r- i root root 128 11-23 18 = 4 z

59、ushian.tzt.enlrootoracle T# cat xuzhian.txt.enl門韜 F1(AFd!ec 塩“翠已r帚Ch NEw=- ,rcotSoracle T#rootoracle -#南華大學計算機科學與技術學院畢業(yè)設計(論文)第 頁共44頁南華大學計算機科學與技術學院畢業(yè)設計(論文)第 頁共44頁圖3.9數字簽名接收方利用我的公鑰來解密，且信息發(fā)送者無法抵賴，解密之后的密文與原 文相同，如圖3.10所示.rootoracle ope ns si rsautl -ver i fy -in xushian.txt .sign -pub in -inkey r rootSor

60、acle -# cat xushian.tst.verifyscuzhian is a student of uni vers ity of south chinarootSoracle -# dliff suEhian.tt.verify /var/KUEhian.txt rootSoracle T# diff zuzhian. txt .ver ify /var/suzhian .txt sFiles xuzhian.txt.verify and /var/xuzhian.txt are identic自 rootSoracle T# L圖3.10驗證數字簽名3.1.4同態(tài)加密技術要對信息