云計算平臺的關(guān)鍵數(shù)據(jù)保護系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、在過去的半個多世紀(jì)里,云計算因創(chuàng)新的商業(yè)模式,使用戶對計算和服務(wù)可以自由、按量付費,極大地增強了給用戶帶來的可選擇性和便利性,愈發(fā)成為工業(yè)界與研究界的熱點。
　　盡管具有一系列的優(yōu)勢,現(xiàn)有云計算平臺中的關(guān)鍵數(shù)據(jù)依然面臨著諸多威脅。云平臺客戶虛擬機中的任何一個組件出現(xiàn)了漏洞,都有可能影響到整個系統(tǒng)的安全,從而導(dǎo)致應(yīng)用的安全敏感數(shù)據(jù)與關(guān)鍵數(shù)據(jù)的泄露。例如,CVE-2014-0160(Heartbleed)是應(yīng)用程序使用的SSL庫中的一

2、個緩沖區(qū)溢出漏洞，該溢出漏洞會導(dǎo)致SSL連接的私鑰通過網(wǎng)絡(luò)泄露出去，從而對服務(wù)安全造成嚴(yán)重后果。同樣，客戶虛擬機的操作系統(tǒng)若存在安全風(fēng)險，也可能會導(dǎo)致內(nèi)存中關(guān)鍵數(shù)據(jù)的泄露。
　　本文對現(xiàn)有系統(tǒng)存在的內(nèi)存泄露等問題進行了深入的分析,提出了一種基于內(nèi)存隔離的云平臺關(guān)鍵數(shù)據(jù)保護方法，使得即使云客戶的軟件棧存在安全漏洞,攻擊者也無法利用漏洞竊取用戶的關(guān)鍵數(shù)據(jù)。本文設(shè)計并實現(xiàn)了基于數(shù)據(jù)流的自動化分析工具來跟蹤用戶的關(guān)鍵數(shù)據(jù)傳播，并設(shè)計實現(xiàn)了

3、內(nèi)存隔離系統(tǒng)，通過實驗證明了方案的有效性和高效性。同時，本文也關(guān)注該方案在大型系統(tǒng)中部署的難易程度以及與原有系統(tǒng)的兼容性，相比同類型的其余方案，當(dāng)考慮實際生產(chǎn)環(huán)境時，需要降低方案部署難度，本方案在這方面會優(yōu)于其他方案。
　　本論文的主要貢獻與創(chuàng)新點可以概括為以下三點:
　　?本文實現(xiàn)了一種新的基于數(shù)據(jù)流的分析算法來跟蹤關(guān)鍵數(shù)據(jù)的傳播。關(guān)鍵數(shù)據(jù)在程序運行中可能以賦值、拷貝、I/O等方式進行傳播,因此僅僅保護關(guān)鍵數(shù)據(jù)的所在內(nèi)存是

4、不全面的。本文將所提出的數(shù)據(jù)跟蹤分析算法實際應(yīng)用在對大型程序（如OpenSSL）的分析中，證明了該算法能夠有效地分析出關(guān)鍵數(shù)據(jù)的傳播，從而為后續(xù)關(guān)鍵數(shù)據(jù)的隔離提供了重要支撐。
　　?本文實現(xiàn)了自動化工具輔助用戶在程序編譯時期進行關(guān)鍵數(shù)據(jù)的自動隔離和保護，從而避免了手動修改應(yīng)用程序代碼的巨大工作量。使得方案具備更佳的可部署性。
　　?本文設(shè)計并實現(xiàn)了一種基于操作系統(tǒng)內(nèi)核的輕量級內(nèi)存隔離方案來保護關(guān)鍵數(shù)據(jù)。該方案能夠自動、完整地