云計(jì)算平臺(tái)的關(guān)鍵數(shù)據(jù)保護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、在過(guò)去的半個(gè)多世紀(jì)里,云計(jì)算因創(chuàng)新的商業(yè)模式,使用戶對(duì)計(jì)算和服務(wù)可以自由、按量付費(fèi),極大地增強(qiáng)了給用戶帶來(lái)的可選擇性和便利性,愈發(fā)成為工業(yè)界與研究界的熱點(diǎn)。
　　盡管具有一系列的優(yōu)勢(shì),現(xiàn)有云計(jì)算平臺(tái)中的關(guān)鍵數(shù)據(jù)依然面臨著諸多威脅。云平臺(tái)客戶虛擬機(jī)中的任何一個(gè)組件出現(xiàn)了漏洞,都有可能影響到整個(gè)系統(tǒng)的安全,從而導(dǎo)致應(yīng)用的安全敏感數(shù)據(jù)與關(guān)鍵數(shù)據(jù)的泄露。例如,CVE-2014-0160(Heartbleed)是應(yīng)用程序使用的SSL庫(kù)中的一

2、個(gè)緩沖區(qū)溢出漏洞，該溢出漏洞會(huì)導(dǎo)致SSL連接的私鑰通過(guò)網(wǎng)絡(luò)泄露出去，從而對(duì)服務(wù)安全造成嚴(yán)重后果。同樣，客戶虛擬機(jī)的操作系統(tǒng)若存在安全風(fēng)險(xiǎn)，也可能會(huì)導(dǎo)致內(nèi)存中關(guān)鍵數(shù)據(jù)的泄露。
　　本文對(duì)現(xiàn)有系統(tǒng)存在的內(nèi)存泄露等問(wèn)題進(jìn)行了深入的分析,提出了一種基于內(nèi)存隔離的云平臺(tái)關(guān)鍵數(shù)據(jù)保護(hù)方法，使得即使云客戶的軟件棧存在安全漏洞,攻擊者也無(wú)法利用漏洞竊取用戶的關(guān)鍵數(shù)據(jù)。本文設(shè)計(jì)并實(shí)現(xiàn)了基于數(shù)據(jù)流的自動(dòng)化分析工具來(lái)跟蹤用戶的關(guān)鍵數(shù)據(jù)傳播，并設(shè)計(jì)實(shí)現(xiàn)了

3、內(nèi)存隔離系統(tǒng)，通過(guò)實(shí)驗(yàn)證明了方案的有效性和高效性。同時(shí)，本文也關(guān)注該方案在大型系統(tǒng)中部署的難易程度以及與原有系統(tǒng)的兼容性，相比同類型的其余方案，當(dāng)考慮實(shí)際生產(chǎn)環(huán)境時(shí)，需要降低方案部署難度，本方案在這方面會(huì)優(yōu)于其他方案。
　　本論文的主要貢獻(xiàn)與創(chuàng)新點(diǎn)可以概括為以下三點(diǎn):
　　?本文實(shí)現(xiàn)了一種新的基于數(shù)據(jù)流的分析算法來(lái)跟蹤關(guān)鍵數(shù)據(jù)的傳播。關(guān)鍵數(shù)據(jù)在程序運(yùn)行中可能以賦值、拷貝、I/O等方式進(jìn)行傳播,因此僅僅保護(hù)關(guān)鍵數(shù)據(jù)的所在內(nèi)存是

4、不全面的。本文將所提出的數(shù)據(jù)跟蹤分析算法實(shí)際應(yīng)用在對(duì)大型程序（如OpenSSL）的分析中，證明了該算法能夠有效地分析出關(guān)鍵數(shù)據(jù)的傳播，從而為后續(xù)關(guān)鍵數(shù)據(jù)的隔離提供了重要支撐。
　　?本文實(shí)現(xiàn)了自動(dòng)化工具輔助用戶在程序編譯時(shí)期進(jìn)行關(guān)鍵數(shù)據(jù)的自動(dòng)隔離和保護(hù)，從而避免了手動(dòng)修改應(yīng)用程序代碼的巨大工作量。使得方案具備更佳的可部署性。
　　?本文設(shè)計(jì)并實(shí)現(xiàn)了一種基于操作系統(tǒng)內(nèi)核的輕量級(jí)內(nèi)存隔離方案來(lái)保護(hù)關(guān)鍵數(shù)據(jù)。該方案能夠自動(dòng)、完整地