基于政务云的中小型数据中心方案研究

随着信息化的发展,传统数据中心在运行效率、服务类型、资源弹性分配等方面的问题不断显现,而云平台在资源整合速度和规模上更具优势。为了提升数据中心的信息化服务保障能力和网络安全保障能力,本文特别针对中小型企事业单位的情况构建基于政务云平台的信息化支撑环境,该方案基于政务云平台构建中小型数据中心,既可以快速扩充各类计算资源,又符合网络安全要求。     

云环境中可信虚拟平台的远程证明方案研究

云环境中如何证明虚拟平台的可信,是值得研究的问题.由于云环境中虚拟平台包括运行于物理平台上的虚拟机管理器和虚拟机,它们是不同的逻辑运行实体,具有层次性和动态性,因此,现有的可信终端远程证明方案,包括隐私CA （privacy certification authority,简称PCA）方案和直接匿名证明（direct anonymous attestation,简称DAA）方案,都并不能直接用于可信虚拟平台.而TCG发布的Virtualized Trusted Platform Architecture Specification 1.0版中,可信虚拟平台的远程证明方案仅仅是个框架,并没有具体实施方案.为此,提出了一种自顶向下的可信虚拟平台远程证明实施方案——TVP-PCA.该方案是在虚拟机中设置一个认证代理,在虚拟机管理器中新增一个认证服务,挑战方首先通过顶层的认证代理证明虚拟机环境可信,然后通过底层的认证服务证明运行于物理平台上的虚拟机管理器可信,顶层和底层证明合起来确保了整个虚拟平台的可信,有效解决了顶层证明和底层证明的同一性问题.实验结果表明,该方案不仅能够证明虚拟机的可信,而且还能证明虚拟机管理器和物理平台的可信,因而证明了云环境中的虚拟平台是真正可信的.     

采用可信计算技术为政务云平台构建一体化防护模型

可信计算技术为全网络、全系统构建一体化、全局化防护模型,是"互联网+"时代最具发展潜力的安全技术之一.通过该技术,为政务云平台方、客户方两方,物理层、实体设备层、虚拟设备层、虚拟化平台管理层、应用层、进程层、服务层、人员层八个层面添加可信凭证.实现"可信能通信,不可信不通信"的安全通信架构,大幅度提升政务云平台安全.     

云环境面向虚拟域的安全状态一致性保障机制研究

由于云环境虚拟化特性及高动态性（回滚、迁移等操作）给虚拟域带来了时间、空间状态不一致,从而造成了严重的安全威胁。针对该问题,提出了云环境虚拟域安全基础架构、时间安全状态一致性机制、空间安全状态一致性机制,有效地保障了云虚拟域安全状态的一致性,有助于提高公共服务效率和信息安全可控性。     

基于Unikernel技术的移动通信网络虚拟可信管理技术研究

虚拟化技术提高了物理资源的利用效率,但是虚拟化技术也面临虚拟机逃逸、跳跃攻击、虚拟机蔓延、隐通道、DMA攻击等安全风险,可信芯片技术可以从源头保证平台可信性,保证虚拟域的安全可信。本方案提出一种基于Unikernel技术的虚拟可信管理服务器构建方案,能够实现虚拟化环境下可信安全管理,不再将虚拟可信管理组件和可信平台模块放在特权域Domain0中,而是将虚拟TPM的管理组件与所需操作系统功能库编译并链接为一个密封的、具有单独地址空间的、专门的虚拟机镜像,直接运行在Hypervisor之上,能够为虚拟域提供可信管理服务。     

基于混合云的数据容灾备份方案研究

随着《数据安全法》的发布和实施,中小型企事业单位对数据安全的要求越来越高.传统的数据容灾备份机制技术门槛成本较高,不适合中小型企事业单位.而随着云的广泛应用,低成本、高安全性的数据容灾成为现实.本文主要是在利用政务云和本地机房双重的服务资源基础上,复用云上云下数据容灾备份手段,建设基于混合云的数据容灾备份机制,以提供更...     

大型政务系统的迁移上云实践

传统的政务应用,存在着数据安全的风险以及资源扩展的不便性.为解决这些问题以及响应数字中国建设的号召,加快电子政务系统建设,降低电子政务的成本,提高政务服务的效率和群众满意度,政务应用迁移至政务云是当前的趋势.在政务系统迁移上云的过程中,会遇到资源如何申请、迁移顺序及时间安排、如何快速传输海量文件、测试范围如何确定、风险...     

基于虚拟机监控技术的可信虚拟域

针对云计算中带内完整性度量方案存在的依赖操作系统安全机制、部署复杂和资源浪费等问题,提出了基于虚拟机监控技术的带外完整性度量方案,可用于为云计算基础设施即服务（IaaS）的租户提供可信的虚拟域。该方案包括域外监控方案和域内外协同监控方案两部分。前者可对开源Linux虚拟域实现完全透明的完整性度量,同时弥补了其他基于系统调用捕获的域外方案所存在的不足。后者将实时度量与预先度量方法、域内度量与域外度量方法、细粒度的注册表度量方法和基于系统调用的域间信息传输方法相结合,可对不完全开源的Windows虚拟域实现完整性度量。实验证明了方案的度量能力是完备的、性能影响是可接受的。     

基于虚拟磁盘的可信加密磁盘的研究与实现

章分析了磁盘加密软件Tmecwpt,分析了其透明加解密的原理。同时文章还介绍了可信计算的基本思想。在基于虚拟磁盘管理技术及实时加解密磁盘软件Tmecwpt的基础上,结合可信计算的思想,利用USBKEY作为可信的硬件基础。设计了采用USBKEY的可信磁盘加密系统。通过使用USBKEY作为可信的硬件基础实现加密磁盘的可信性。     

云环境下虚拟实验室多域访问权限控制算法

传统虚拟实验室访问权限控制算法无法更新所采集的数据信任值，忽略了对用户访问权限的调整，导致算法存在访问成功率和云服务成功率均偏低的问题。因此提出云环境下虚拟实验室多域访问权限控制算法。在云环境下采集用户行为信任证据，并计算直接信任值、信誉值和推荐信任值，融合上述计算结果获得综合信任值，并对其更新处理，获得用户行为信任证据的最终综合信任值，以此为依据调整云环境中用户访问权限，在云环境中实现虚拟实验室多域访问的权限控制。仿真结果表明，所提算法可准确计算用户行为证据的综合信任值，且访问成功率高，云环境实验室的服务质量较高。     

一种信任域下的动态细粒度访问控制方法研究

信任域下主客体数量庞大、种类丰富、环境复杂易变,对传统的访问控制提出了挑战。针对传统的访问控制策略不够灵活,无法实现细粒度权限的问题,提出了一种信任域内的动态细粒度访问控制方法。该方法基于RBAC模型增加了条件约束,实施时在策略执行点PEP增加了PEP细粒度组件,体现了访问过程中细粒性和动态性,满足了信任域内的动态细粒度访问控制要求。     

基于VPN实现企业虚拟私有云的体系架构

随着企业IT基础设施的不断发展和完善,数据中心整合和虚拟私有云技术越来越成为企业关注的重点。提出一种基于虚拟专用网络实现企业虚拟私有云(VPC)的体系架构,并讨论实现该体系结构的目标和途径,重点阐述基于虚拟专用局域网服务(VPLS)技术实现VPN的设计原理,最后给出所述VPC架构在上海烟糖集团数据中心部署中的验证。     

云计算环境下基于多目标优化的虚拟机放置研究

云数据中心的规模日益增长导致其产生的能源消耗及成本呈指数级增长.虚拟机的放置是提高云计算环境服务质量与节约成本的核心.针对传统的虚拟机放置算法存在考虑目标单一化和多目标优化难以找到最优解的问题,提出一种面向能耗、资源利用率、负载均衡的多目标优化虚拟机放置模型.通过改进蚁群算法求解优化模型,利用其信息素正反馈机制和启发式...     

云计算环境下基于拓扑感知的虚拟网络映射研究

网络虚拟技术被认为是克服Internet僵化的一种有效方法,特别是在云计算的环境下。但是虚拟网络映射问题(VNMP)是一个最主要的挑战,其主要是如何通过一种有效的方式将虚拟网络映射到底层网络上从而有效地利用底层的基础资源。虚拟网络映射可以分为两个阶段:节点映射以及链接映射。在节点映射阶段,现有的算法通常使用完全的贪婪策略映射这些虚拟节点,而不考虑这些虚拟节点的拓扑,这将导致底层路径太长(有多个跳跃点)。为解决这一问题,提出一个拓扑感知的节点映射算法,该算法在进行映射时考虑节点的拓扑结构。在链接的映射阶段,新的算法采用k最短路径算法。模拟结果显示,新算法大大增加长期的平均收益,而接受的比率和长期的收益与成本(R/C)成比例。     

基于模糊C-均值和自适应遗传算法的小波域彩色信息隐藏算法

基于人类视觉系统的纹理掩蔽特性,提出一种基于模糊C-均值(FCM)和自适应遗传算法小波域彩色信息隐藏算法。首先对彩色载体图像Y分量实施整数小波变换;然后结合视觉纹理特性,对低频进行FCM聚类分析,将其分成3类:平滑区、纹理区、边缘区,并在不同的区域确定不同的嵌入强度和位置;最后,利用自适应遗传算法对logistic混沌映射的初值进行寻优,使其找到合适的初值,从而使秘密图像对载体图像的影响较小。实验结果表明:该方法不仅具有较好的透明性,而且在嵌入量方面也有很大的提高。     

普及计算环境的设备灵活接入技术研究--基于OSGi的数字家庭解决方案

普及计算使人们能通过各类智能计算设备，随时随地获得各种所需的信息服务。作为普及计算的一个重要的应用领域，数字家庭将家庭内各种家电和设备联网，通过网络为人们提供丰富、个性化、方便、安全和高效的服务。而如何达到各种智能设备的灵活接入，成了实现此目标的一个关键问题。在和。SVA-IBM联合实验室合作iHome项目中，作者对此进行了深入的研究。本文提出了基于OSGi的数字家庭普及计算环境智能计算设备灵活接入解决方案，并实现了一个应用的系统，从而验证其可行性。     

基于交换机制的环境数据重用方法研究

综合自然环境建模与仿真是当前军事建模与仿真领域研究的热点与难点,而在不同应用领域里重用(SNE)数据则是发展趋势。首先,从综合环境数据层次入手,研究基于交换机制的数据重用方法的基本原理和处理过程;然后,通过具体分析SEDRIS(Synthetic Environmental Data Representation and Interchange Specification)来阐述上述方法的可行性与实用性;最后,根据SEDRIS应用上的不足,分析数据交换方法今后的发展方向,为建模与仿真领域的数据重用提供了一些新的思路和见解。     

云计算中改进概率公钥加密的移动设备数据隐私保护方法

基于云计算的服务具有许多优势,但外包数据隐私保护一直以来都有待优化解决。针对云计算中资源受限的移动设备外包数据安全问题,提出一种基于改进概率公钥加密的隐私保护方法。使用概率公钥加密算法加密数据;在云中数据通过搜索其空间关键词进行文件检索;在确保数据准确性和隐私安全性的前提下,实现云计算中移动设备外包数据安全有效加密后的隐私保护。仿真实验结果表明,该方案不仅可以确保数据隐私和计算速度,同时能够减少通信开销。相比于双轮可搜索加密(TRSE)方案、可排序多关键词检索加密(MRSE)方案和实时循环移位加密(RRSE)等方案,该方案在可行性和计算效率方面都有所提升。     

基于数据中心的两阶段虚拟机能效优化部署算法

针对数据中心在虚拟机动态部署过程中的高能耗问题,提出了面向数据中心的两阶段虚拟机能效优化部署算法--DVMP_VMMA。第一阶段为初始部署,提出了动态虚拟机部署(DVMP)算法限定主机最优部署数量,降低了闲置能耗;同时,为了应对负载的动态变化,第二阶段提出迁移约束的虚拟机迁移算法(VMMA)对初始部署方案作进一步优化,这样不仅得到的系统能耗更低,而且还能保证应用服务质量。与满载算法(FL)、基于固定门限值的部署算法(FT),绝对中位差部署算法(MAD)、四分位差部署算法(QD)、迁移周期最优算法(MTM)、最小占用率迁移算法(MIU)进行的比较实验结果表明:DVMP_VMMA不仅考虑了系统能耗优化,使运行时资源利用率更高;而且还可以避免VM频繁迁移完成对性能的提升,其在优化数据中心能耗、SLA违例、VM迁移量的控制及性能损失等指标上均有较好效果,其综合性能优于对比算法。     

OpenBSD下基于IPSec协议的VPN研究与设计

IPSec提供一种对用户透明的IP层安全服务，包括机密性、完整性、可认证性和数据重放保护。IPSec可用于保护主机间、安全网关间或安全网关－－主机间的一条或多条路径的安全通信。文章对IPSec的结构与组成，IPSec在OPENBSD下的实现进行了较为详细的研究对；并对系统的利弊进行了评价。