大型云应用系统安全解决方案X.docxVIP

大型云应用安全解决方案 设计人：李军军，吕莉莉，章睿，谢丽丽 东南大学 计算机科学与工程学院 方案名称：大型云应用安全解决方案 方案简述 本方案是由 Mars 军团提出的。该方案主要通过应用安全模块、数据安全模块、数据灾 备模块，来对大型云应用安全进行保障。 适用对象 大型云应用系统（例如：大型网游系统、社交网络系统等） 功能模块 模块 子模块 描述 应用安全模块 第三方监管 保证系统应用层面的安全 云服务管理平台 访问控制管理平台 数据安全模块 数据存储 保证系统数据层面的安全 数据访问控制 数据共享安全 错误检测和自动恢复 数据灾备模块 数据远程备份模块 应对突发的火灾、 断电及各种 灾难检测模块 对系统有破坏作用的自然灾 系统切换模块 害 一．应用安全模块 云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。云是一个面向多用户多层次的服务系统，其服务层次如下图所示： 图 1.1 云计算的四层服务体系 目前已经有一些大型企业提供了面向不同客户的云基础服务。对于我们来说“云”还是 较为新鲜的概念， 经过这些天团队所有成员的努力， 我们提出了自己的云应用系统架构模型。 下面进行详细说明。 1.1 第三方监管 用户对云服务的安全性需求是越来越强烈的。 除了选择高可靠高安全的云服务提供商之 外，可以用户和云服务提供商共同信任的第三方如政府和组织来负责监管。 本方案中我们借 鉴密钥管理的运作方式来实现用户和云服务提供商之间的利益监管。由第三方提供合同规 范，用户和云服务提供商进行磋商完成具体合同交由第三方公证并进行保存。 其流程如下图 所示： Contract Center 5.contract 2.contract 4.notarization 2.update 1.requirement Client 3.negotiate Cloud Management Center 6.verify 7.deploy service Cloud Service Center 图 1.2 第三方的监管示意图 监管示意图说明如下：用户首先声请云服务，客户与云服务提供商共同完成服务合同。 合同完成之后交由合同管理中心进行公证并进行保存， 并将公证后的合同交由客户与云服务 提供商备份。 合同确认之后， 云提供商就对相应服务条款进行服务部署。 这样就可以保证各 方利益的安全。 下面我们给出合同的一个简单模型， 云服务提供商需要对其提供的服务进行抽象， 提供 服务列表包括基础应用和安全框架。合同规范由合同管理中心发布，可以用 XML 等等来定 义合同，举例如下图所示： Xsd file : Abstract contract framework Xsd file : SaaS Xsd file : CaaS Xsd file : PaaS Xsd file : IaaS contract define contract define contract define contract define xml system system define such as space, memory /system security policyAuthentication/policy /security xml 图 1.3 合同规范举例 1.2 云服务管理平台 客户与云服务提供商的合同生效之后， 云服务提供商即根据合同进行部署相应服务。 云 服务管理借鉴模型驱动平台架构的思想，采用层次结构，其如下图所示： Cloud Management Center Modelling Layer XaaS design Security design Contract Configuration Layer XaaS Model Security Model Configure Cloud Service Center Service Model Layer XaaS component Security others component Resource Layer XaaS Resource Security others Resource Deployment Layer XaaS Deploy Security Deploy others 图 1.4 云服务控制层次图 云服务控制结构各个模块说明： Model Layer 层主要用作用户进行应用和安全设计并且进行合同协商； Configuration Layer 层主要作用是将用于的需求通过如专家系统解析生成相应的配置文 件； Service Model Layer 层主要作用是解析各个配置文件生成具体的服务模型； Resource Layer层主要负责管理和分配具