论文部分内容阅读
云计算获得了长足进展,但是它面临各种安全威胁,严重阻碍了其进一步推广与发展。如何有效解决云计算安全成为亟待解决的问题,IT公司和科研人员不断投入大量的人力物力去解决这一问题,尽管在许多方面已经取得了成果,然而由于未从根源上分析解决云计算安全威胁的来源,该问题还未得到有效解决。本文的研究,针对来自网络的篡改、劫持、跨站脚本攻击、SQL注入等安全威胁展开,拟通过研究定制化网络安全服务、可伸缩性和可容错性服务及安全检测和过滤服务,来解决云计算的安全问题。由于云计算基于网络服务,来自于网络的安全威胁不可忽视。而当前诸多研究将数据安全作为云计算安全的研究重点,忽略了恶意的网络攻击是导致云计算安全威胁的重要原因。当前云计算面临如下挑战:1)云计算承载成千上万类服务,每类安全服务需求不尽相同,需要定制化的安全服务。而现有的云计算安全防护,还不能提供定制化网络安全服务,而且云供应商也无法承担安全设备成本、配置和维护管理等费用。2)现有的防御方法通过middlebox(缩写为Mbox)链来保护云计算安全,缺乏有效的扩展性、容错性,当访问服务流瞬间增长时导致Mbox过载甚至失效;当访问服务流瞬间降低时导致Mbox低负载。3)为了确保云计算安全,目前的方案中,访问云服务流往往需要通过一个或多个Mboxes。由于每个Mbox内有成千上万的安全规则和特征库,需要通过大量的规则和特征进行过滤和检测,导致访问服务延迟增大、吞吐量严重降低,甚至导致无法使用。SDN(Software defined network)是一种基于网络虚拟化的新型构架,拥有网络全局静态拓扑、全网的动态转发信息,全网的资源利用率、故障状态等信息,传统上仅仅用作网络服务控制中心。现有一些研究尝试将其与Mbox和云计算相结合,控制指挥Mbox和云计算完成有关网络安全的功能,但是这些研究切中网络安全某个单一功能点,缺乏整个网络安全架构。本文研究提出建立适合云计算安全的定制化服务、可伸缩性和容错性服务及细粒度并行检测和过滤服务,基于这些服务,构建基于云计算的网络安全构架(NetSecCC)。通过理论分析和实验,证明该构架能够保护云计算抵抗内外网络攻击,而且为云计算安全提供了良好的伸缩性、容错性。本文创新工作包括:1)SDN、云计算和Mbox融合研究:三者深度融合提供了可定制化安全服务、可伸缩性安全服务、容错性安全服务及细粒度并行检测服务。2)定制化安全服务研究:研究定义了其安全服务概念及评价指标,通过利用SDN控制Mbox,建立了构建可定制化安全服务的方法和步骤。3)可伸缩性和容错性安全服务研究:研究定义了其服务概念及评价指标,通过利用Mbox与SDN关于负载资源情况的信息交互,建立了可伸缩性和容错性服务的方法和步骤。4)细粒度并行检测机制研究:研究了根据任务时间需求的可变粒度并行检测机制,建立了SDN自动划分检测粒度的方法和步骤。5)基于上述研究,提出了一种基于云计算的网络安全构架,实验表明这种安全构架,能够解决来自于网络的篡改、劫持、跨站脚本攻击、SQL注入等网络安全问题,并且该构架具有可定制化、低成本、易维护、可伸缩、高容错、高性能等特点。