《基于云计算的网络虚拟磁盘系统-信息安全竞赛作品报告v2.0-毕业论文.doc》由会员分享,可在线阅读,更多相关《基于云计算的网络虚拟磁盘系统-信息安全竞赛作品报告v2.0-毕业论文.doc(76页珍藏版)》请在金锄头文库上搜索。
1、2011年全国大学生信息安全竞赛作品报告作品名称: 基于云计算的网络虚拟磁盘系统 组 长: 李彤 组 员: 尹纪权、罗俊沣、蔡觅 提交日期: 2011-07-18 填写说明1. 所有参赛项目必须为一个基本完整的设计。作品报告书旨在能够清晰准确地阐述(或图示)该参赛队的参赛项目(或方案)。2. 作品报告采用A4纸撰写。除标题外,所有内容必需为宋体、小四号字、1.5倍行距。3. 作品报告中各项目说明文字部分仅供参考,作品报告书撰写完毕后,请删除所有说明文字。(本页不删除)4. 作品报告模板里已经列的内容仅供参考,作者也可以多加内容。i目 录第一章 摘 要1第二章 作品介绍22.1背景与意义22.2
2、特色描述42.3 应用市场分析52.4 相关工作5第三章 实现方案73.1 系统方案与功能73.1.1 系统客户端、代理服务器、云端间交互83.1.2 开发工具93.1.3 开发环境93.1.4 适用的环境93.1.5 软件指标103.2 相关技术与原理103.2.1 访问控制技术113.2.2 Filedisk文件驱动技术123.2.3 文件过滤驱动技术AES透明加密163.2.4 云平台管理技术173.2.5 容灾备份技术213.2.6 DLL注入技术223.3 客户端实现243.3.1 磁盘管理243.3.2 创建虚拟映像、加载、卸载虚拟磁盘253.3.3 用户空间273.3.4 权限控
3、制283.3.5 权限审批293.4 代理服务端实现303.4.1 用户管理313.4.2 黑名单管理313.4.3 磁盘管理323.5 云端实现323.5.1 云平台搭建323.5.2 通信模块接口实现353.6软件流程37第四章 功能测试374.1 测试概述374.2 测试方案384.3 测试环境384.4 测试过程424.4.1 客户端测试424.4.2 认证服务器测试错误!未定义书签。4.4.3 云端测试错误!未定义书签。第五章 性能测试625.1 安全性635.2加密速率与传输速率655.3易用性66第六章 测试总结与分析67第七章 创新性与实用性687.1 创新性687.2 实用性
4、69第八章 总结708.1 项目工作总结708.2 后期工作71参考文献72II 第一章 摘 要随着信息化进程的不断推进,数据资源管理越来越受到企业的重视。但是相关企业和部门在进行文件管理的过程中,经常会碰到以下几个问题:文件安全缺乏保障,存在被窃取或者丢失的隐患;海量文件的存储,给服务器造成负担,导致效率低下;文件存取操作麻烦、管理举步维艰等。相关企业以及政府部门在解决这一问题上,惯用的措施有:使用局域网文件共享软件如飞鸽传书等;TrueCrypt数据加密工具;禁用U盘等可移动设备;并遵循 “联网机器不涉密,涉密机器不联网”原则。但是这样的一系列措施又给业务上带来了诸多不便,这与业务要求本地
5、数据安全可靠、内部资源共享方便安全等需求自相矛盾,因而相关部门在实际实施过程中并没有严格按规定进行,从而导致了安全隐患。所以,解决安全性和数据共享之间的矛盾,在保证用户数据安全、操作简单、使用方便的前提下能实现数据的共享,成了确保业务信息化健康发展的关键所在。在此背景下,本小组开发了一款基于云计算的网络虚拟磁盘系统。该系统采用云计算的思想,实现了自动负载均衡及透明扩容缩容功能。为了克服公有云无法实现资源安全隔离的弱点,本系统创新性地通过Hadoop云平台构建无缝式的虚拟磁盘透明加密环境,实现独立存储和数据隔离。该系统采用身份认证、密钥协商、SHA-2散列函数、AES透明加解密、文件指纹、云平台
6、管理、容灾备份和基于权限控制的共享审批等关键技术,集成了本地虚拟磁盘数据加密、数据远程备份及共享审批等多种功能,保证了用户数据的安全。本作品分为三个组成部分:代理服务器、云端和客户端。其中云端负责文件分布式存储与管理,客户端供用户对虚拟磁盘进行基本操作,对映像文件进行上传、文件加载、修改等,代理服务器负责身份认证、密钥分发、用户管理等。测试表明,本作品功能较完善、性能良好,通过高效快捷的存储管理机制,能够有效地对抗强制说出密码的威胁,防止硬件故障造成的损失,将内部故意泄密的危险降到最低,从而有效保障企业开发、电子政务过程中安全的内部文件共享。关键字:云计算,虚拟磁盘,透明加密,权限审计,文件共
7、享第二章 作品介绍2.1背景与意义 文件共享是企业信息化进程中提高生产效率的基石。然而在文件共享的同时,若无法保障文件的安全,造成信息被监听、企业内部主动泄密、存储信息丢失等,会使企业蒙受巨大损失。1、在企业信息化中,实现文件共享的同时,企业内部泄密事件给企业造成损失重大,企业存在安全隐患。随着企业信息化的发展,文件管理系统越来越多地使用于日常工作,成为不可或缺的工具和手段。通过企业信息化大大提高了企业生产效率,打破地域之间的阻碍,同时还会产生大量如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密资料。然而,信息技术本身的双刃剑特性也在广泛应用中不断显现:强大的开放性和互通性催
8、生了商业泄密、网络间谍等众多灰色名词,据美国FBI统计,83%的信息安全事故为内部人员和内外勾结所为,70%的泄密犯罪来自于企业内部。2011年4月4日,一名被美国Gucci解雇的华裔网络工程师于曼哈顿刑事法院过堂。他因为对公司做法感到不忿,以及想要炫耀自己的才能,多番入侵Gucci的计算机系统,干扰网络的运作,关闭服务器及删除内存数据,使得Gucci计算机网络的文件及电邮功能瘫痪将近24小时,大部分文件及电邮也被删除,Gucci对此进行修复及补救,花费逾20万元。同时删除多个服务器,关闭一个内存网络,使员工无法登陆,网上购物平台也不能运作给企业造成了重大损失。在电子产品业,企业泄密案件更是层
9、出不穷。如苹果产品加工生产基地富士康的员工泄露iPad2设计图;一名即将离职40岁女雇员被怀疑泄密三星电子核心数据,包括了三星新技术资料、产品细节,甚至是未来10年规划;黑客入侵PlayStation游戏网络平台,窃取了索尼PS3与音乐、网络云服务用户登入信息,在地下交易价值数百亿美元通过以上事例,我们可以看到企业内部的泄密问题给企业造成了重大的损失。事实上,对于企业来说,它们最关注的不应该是系统有没有遭到了入侵,而应该是在系统中存放的数据和信息有没有被盗取,有没有被篡改,或者说是不是已经被破坏掉了。核心数据才是企业最应该关注的地方。所以能够直接接触核心信息的员工,才最有可能给公司带来最大的损
10、害。由此可见,数据安全存储与共享问题不容忽视。2、传统的安全防护手段已经难以应对目前的安全威胁。为了保障企业或部门内部的信息安全,目前安全界采用了多种防护手段和技术,包括外网安全系统,如杀毒软件、防火墙、入侵检测等系统,主动型文件和文件夹加密系统,网络监控与审计系统,文件权限集中管理系统等,然而他们均存在安全漏洞,防不住内部人员主动泄密。对于内部员工的管理,因为目前办公均为电子化办公,需要使用到大量电子信息,包括技术资料,客户信息等等关键数据,数量庞大,流转速度又非常迅速,仅仅通过管理手段与规章约束,可以说根本就无法起到实际性的效果。禁用U盘等可移动设备、遵循联网机器不涉密,涉密机器不联网的原
11、则,又给业务上带来了诸多不便,这与业务要求本地数据安全可靠、内部资源共享方便安全等需求自相矛盾,因而相关部门在实际实施过程中并没有严格按规定进行,从而导致了安全隐患。 同时,信息一旦泄露根本无法追查,在实际的诉讼过程中取证也成为最大的问题,因为无法取证,或证据效力不够,导致许多企业只能吃哑巴亏。而且信息的泄露大多数只有在问题出现后才能被发现,许多企业的重要信息早已泄露,但因目前未被公开使用,所以一直未被知悉,一旦使用,势必造成巨大的经济损失,就相当于一个又一个未被察觉的定时炸弹,时刻隐藏在企业的周围。 3、海量文件存储给服务器造成很大负担,且系统故障容易给企业带来意想不到的损失。 在企业内部,
12、公开发布的数据量逐年递增,如客户资料、营销方案、财务报表、研发数据等,这些都会促使“数据之山”越来越高。企业再也不能只管理自己的数据,未来的成功很大程度上取决于能否从其他组织的数据中提取出价值。海量的存储数据会给服务器造成很大的负担,降低读写效率。 同时,由于意想不到的系统硬件故障,可能给企业带来意想不到的损失。一旦开始使用多个硬件设施,其中一个会出故障的概率是非常高的。避免数据丢失的常见做法是复制:通过系统保存数据的冗余副本,在故障发生时,可以使用数据的另一份副本。然而冗余磁盘阵列的工作方式也会给服务器带来更大的负担。一旦服务器崩溃,后果不堪设想。所以,如何在企业信息化的进程中,如何在实现文
13、件共享提高企业生产率的前提下,保障企业文件安全,防止内部泄密以及信息丢失,成为了企业发展的关键问题。鉴于以上背景,本作品旨在开发一款基于云平台的分布式文件管理系统,以云平台为基础,结合虚拟磁盘技术,从文件的信道传输以及存储方式、浏览方式入手,进行透明加解密,同时采用平台分块存储和云平台管理技术达到防灾备份,确保数据的安全性,从而保障了相关企业或部门业务、开发和电子政务的顺利进行。2.2特色描述作品分为三个组成部分:代理服务器、云端和客户端。其中代理服务器负责身份认证、密钥分发,云端负责文件分布式存储与管理,客户端供用户对虚拟磁盘进行基本操作,如文件上传、文件加载等。在实现文件共享的同时,要确保
14、文件的安全性,就必须在文件的上传、加载、存储以及浏览等各环节中都采取必要切实可行的手段,通过对文档内容级的安全保护,实现机密信息分密级且分权限的内部安全共享机制。本作品的核心设计思想:1、用户注册时通过RSA算法生成自己的公钥和私钥。用户登录时通过代理服务器进行身份验证。用户与云端交互时通过与代理服务器共同实现三方认证协议。2、通过用户上传映像文件到云端,实现文件的共享;通过严格的权限控制,用户只可加载自己权限范围内的文件。权限审批结果进行日志记录,方便管理以及追究责任。3、文件加密后在信道中分块传输至云端,防止恶意的网络监听、截获,确保传输过程中的安全性。4、文件以密文的形式分块存储在云端,
15、每一个分块都有三个备份,防止信息被窃取以及数据丢失。5、对用户访问映像文件时拷贝、截屏、另存和打印等行为进行限制。与现有的技术相比,本作品的特色表现为以下几个方面:1、将文件的安全保密和资源共享结合起来。目前国内许多安全软件,在重视本地数据安全时,忽略了企业内部资源共享的前提。本作品利用云存储的集群应用、网格技术或分布式文件系统等功能,同时通过行为限制等功能,有效地帮助用户解决日益增长的数据的可访问性、安全性、移动性和成本问题。2、容灾备份。HDFS文件块通过索引表进行管理,不仅能减少寻址时间开销,还能在一个块发生损坏或机器故障时,在其他地方读取另一个副本并复制,通过查看文件块分配索引表,将新的副本存放在选定的数据结
