一种面向云计算的信息流可信保障机制的制作方法

一种面向云计算的信息流可信保障机制的制作方法
【专利摘要】本发明公开一种面向云计算的信息流可信保障机制，包括信息传输过程、云中服务对信息处理过程和信息在云端的存储过程，其中，在信息传输过程，通过在云和用户之间构建一个传输转换代理，来对发往云端信息流中机密和隐私数据的进行混淆和转换；在云中服务对信息处理过程，通过在云上构建一个信息处理验证代理来保证非可信服务间或服务内信息流的执行遵从指定的可信策略；在信息在云端的存储过程，通过在编程平台上设计一个存储控制代理，对混淆转换后的数据进行存储监控，保障数据存储的可信性。本发明机制，为云计算的广泛应用提供理论验证和技术支持。
【专利说明】一种面向云计算的信息流可信保障机制

【技术领域】
[0001] 本发明涉及一种云环境下的信息流技术，更具体的说，涉及一种面向云计算的信 息流可信保障机制。

【背景技术】
[0002] 云计算是国家"十二五"规划重点扶持战略新兴产业，云计算的应用将带来工作 方式和商业模式的根本性改变，使信息技术基础设施和信息应用成为"即开即用"的资源。 随着云计算被越来越多的企业、用户所了解和使用，"云"所带来的可信性问题也开始日益 受到关注，其中正确性（Correctness)、可靠性（Reliability)、安全性（Security)和性能 (Performance)等方面的问题尤其突出，如云平台所提供的服务或资源有时并非人们所期 望或信任的，云中设施有时可能发生各种故障和错误，云中数据也可能被非法使用等，这些 问题将直接或间接地对用户甚至社会的利益造成损害。
[0003] 目前，云平台已有大量可供用户使用的服务，这些服务间的交互通常是以信息流 的方式传递消息，包括数据传输及应用程序间的交付，与以往的计算模式相比，不同点包 括：
[0004] ?共享的控制方式发生了改变；
[0005] ?数据的存储方式发生了改变；
[0006] ?数据内容的保护需求提高了；
[0007] ?网络的边界控制需求增强了。
[0008] 这种转变给信息流的可信保护带来了新的挑战，主要表现在以下三个方面：
[0009] ?网络传输中的可信性问题。用户使用云所提供的服务资源时，通过网络传输数 据是必不可少的，如何保证敏感数据在传输过程中不被非法窃取、非法攻击、非法修改及破 坏；
[0010] ?信息流处理的可信性问题。目前，尚缺乏合适的可信保障机制来保障信息流在 云上处理过程中的可信性，如正确性、可靠性、安全性及性能，保证云服务在快速地响应用 户请求的同时不会窃取用户的机密数据和泄露用户的隐私，正确、可靠地实现云上服务内 或互不信任的服务间实现信息可信交互和计算资源共享；
[0011] ?云存储的可信问题。云计算模式下数据集中存储，物理资源共享带来了新的数 据安全和隐私危机，计算的安全性很难再依靠机器或网络的物理边界得到保障，这也增加 了云上信息安全存储的难度。
[0012] 国内外研究现状：
[0013] 云计算已成为信息科学领域近年来的关注热点，国内外科研人员在云计算理论模 型、平台架构设计、虚拟化技术等各个方面进行了探索。
[0014]目前在云计算平台下的研究已涉及理论、技术和应用等各个方面，包括云计算平 台架构研究、云平台下基于硬件扩展的动态信息流跟踪技术、云端数据安全存储、服务模式 架构研究等，并取得了一定的进展。
[0015] 由于传统的计算平台与云计算平台环境有很大的不同，云平台中的计算资源共享 模式以及数据的存储方式和访问控制方式都发生了改变，并且对数据内容的保护需求和网 络的边界控制需求提高了。
[0016] 现有文献中分别提出了 1、将系统虚拟化引入的额外软件层虚拟机监控器 (Virtual MachineMonitor, VMM), VMM与应用软件的运行环境完全隔离，提供安全日志、入 侵检测以及病毒防护等安全服务；2、通过使用正常的控制流转换来对控制流与数据流进行 二进制混淆，但其隐蔽性不是很强。攻击者可以通过对条件码进行约束分析从而去掉某些 不可能的条件；3、提出了一种动态信息流跟踪（Dynamic Information Flow Tracking)技 术，通过将不信任数据源进行标记，动态地跟踪不信任数据在程序执行过程中的传播，并对 不信任数据源相关的数据的非法使用进行检测。
[0017] 形式化方法被广泛应用于程序行为分析，具有代表性的方法有有限状态机理论、 Petri 网、时态逻辑、π 演算（S. Deng, Z.Wu，M. Zhou, Y. Li,和 J.Wu. Modeling Service Compatibility with Pi-calculus for Choreography. International Conference on Conceptual Modeling, Lecture Notes in Computer Science (4215), Heidelberg:Sp ringer-Ve;rlag，2006:26-39)(S.Deng，Z.Wu，M.Zhou，Y.Li，和 J.Wu.利用 Pi-演算 的编排服务兼容性建模.概念建模国际会议，计算机科学讲义（4215)，海德堡：施 普林格出版社，2006:26-39)、类型与效果系统、分散式标签模型（MYERS A，LISK0V B. Protecting Privacy Using the Decentralized LabelModel.ACM Transactions on Software Engineering andMethodology,2000,9 (4):41〇-442> Andrew C. Myers. Mostly-static decentralized information flow control.Technical Report MIT/ LCS/TR-783, Massachusetts Institute of Technology, Cambridge, MA, Januaryl999. Ph. D. thesis.) (MYERS A, LISK0V B.使用分散标签模型的保护隐私机制.美国计算机学会 软件工程和方法论汇刊，2000, 9 (4) : 410-442、Andrew C. Myers.多数静态分散型信息流控 制.技术报告MIT/LCS/TR-783,麻省理工学院，剑桥，马塞诸塞州，1999(1)，博士论文.） 等。而为了保证云中数据存储的私密性及隐私性不被破坏，往往执行客户端请求前需要对 其安全性进行验证，类型与效果系统、分散式标签模型等是较常用的手段。类型和效果系统 是一种静态分析技术，它能够确保程序数据类型的一致性以及程序的动态行为满足给定的 规约，但与高级编程语言兼容性不强，且不适于保障用户隐私信息对"外"不可见。在安全 编程方面，Andrew等人提出了一种基于Java的信息流编程语言（Java Information Flow, JIF)，可以在程序中对数据的机密性和完整性进行保护，随后康奈尔大学对JIF进行了扩 展，提出了一种针对分布式平台上构建安全信息系统的Fabric语言，Fabric采用类似Java 的对象机制，引入分散式形式化的语义标签，使用静态信息流分析技术，并在程序编译时和 运行时进行类型检查。
[0018] 目前，在云存储方面，Roxana等人提出的一种基于OpenDHT存储平台上可自动销 毁的存储策略，通过设置信息的生存时间，让存储在分布式节点上的数据到达指定时间点 后，包含密钥的节点将会被系统回收，使攻击者无法获得密钥来对密文数据进行解密，但该 方法还是容易遭受"跳跃攻击"和"嗅探攻击"，华中科技大学针对上述问题，提出了一种改 进的数据销毁系统，通过增加密钥的长度和改进Shamir秘密共享算法，使得"跳跃攻击"的 难度加大，并通过公钥加密机制来防止"嗅探攻击"。
[0019] 在可信服务方面，华东师范大学针对面向服务体系结构，提出基于对象系统精化 演算语言（refinement calculus of object systems,简称rCOS)来描述服务的语法和语义， 并通过模型转换技术来保证服务实现的正确性；南京大学从软件主体（Agent)间协同关系 的信任角度，提出了综合化可信保障框架；浙江大学从服务间交互行为的兼容性角度，提出 了死锁检测和消除技术；上海大学采用形式化的方法证明与验证软件及其构件交互的可靠 性；中科院软件所提出基于恶意代码屏蔽的安全性保障机制等。
[0020] 在可信云安全方面，Ruoyu Wu等研究了基于Chinese Wall的IAAS中的信息流控 制问题，陈海波对云计算平台可信性增强技术进行了研究，李虹和李昊等也对构建可信云 安全平台的关键技术进行了讨论。
[0021] 但目前还没有研究者针对信息传输过程、云中服务对信息处理过程和信息在云端 的存储过程提出整体的解决方案。


【发明内容】

[0022] 针对上述现有技术中存在的技术问题，本发明提供一种面向云计算的信息流可信 保障机制，针对上述问题，在对云平台体系结构分析的基础上，重点从可信性的四个方面 (即正确性、可靠性、安全性及性能）入手，研究信息流在云环境下的可信性问题，保证云中 信息流传输的安全性；保证云端所提供服务能快速、有效对信息进行处理的同时保证处理 结果的正确性及可靠性；保证信息在云端的存储的安全性和可靠性等，本发明技术方案，为 云计算的广泛应用提供理论验证和技术支持。
[0023] 为达到上述目的，本发明所采用的技术方案如下：
[0024] -种面向云计算的信息流可信保障机制，包括信息传输过程、云中服务对信息处 理过程和信息在云端的存储过程，其中，在信息传输过程，通过在云和用户之间构建一个传 输转换代理，来对发往云端信息流中机密和隐私数据的进行混淆和转换；在云中服务对信 息处理过程，通过在云上构建一个信息处理验证代理来保证非可信服务间或服务内信息流 的执行遵从指定的可信策略；在信息在云端的存储过程，通过在编程平台上设计一个存储 控制代理，对混淆转换后的数据进行存储监控，保障数据存储的可信性。
[0025] 所述信息传输过程、云中服务对信息处理过程和信息在云端的存储过程中的隐私 安全是通过采用分散式标签模型对云环境中数据进行标签绑定来保障的，所述分散式标签 模型包含如下部分：
[0026] 主体：在云环境中，主体代表数据的拥有者或者某个服务的提供者；
[0027] 标签：主体通过使用标签注释程序和数据来表示它们的安全等级；
[0028] 安全策略：在云环境中，安全策略用于指定所有者对敏感数据的访问及修改权限， 包括机密性策略和完整性策略，其中，机密性策略用来标识哪些主体可以访问云中指定的 信息或调用指定的服务；完整性策略用来指定哪些主体可以修改云中的信息或服务。
[0029] 所述传输转换代理根据分析用户端与云之间可能存在的信息传输方式，找出信息 传输过程中存在的安全隐患来设计的。
[0030] 所述传输转换代理的功能包括：按照隐私保护原则对用户端输出或返回信息中的 用户身份标识进行匿名转换或还原，对敏感数据进行混淆或解混淆，实现传输过程中机密 数据的安全保护，同时利用日志管理器对云中返回的日志数据进行监控，具体如下：
[0031] 利用数据混淆技术，对发往云上信息流中的机密数据进行隐藏或混淆，目标是使 用户的机密信息在传输过程中不会泄露；
[0032] 利用匿名转换技术，对客户身份标识进行匿名映射来隐藏客户的真实身份，通过 匿名标识实现对云服务的访问，目标是确保用户的个人信息不被识别和窃取；
[0033] 基于分散式标签模型，在信息转换过程中，实现对有可信性要求的信息数据进行 标签绑定，并制定相应的安全策略，目标是保护信息流中的敏感数据，为云上的分级存储进 行预处理；
[0034] 采用日志监控技术，跟踪进出云的信息，对信息流中的内容进行检查，并将信息的 使用情况进行日志记录，然后将日志信息返回给传输转换代理进行日志审查，目标是监控 云中的服务如何使用客户端发送的信息，从而检测出恶意的信息使用和传播。
[0035] 所述信息处理验证代理通过对信息流执行中所需的云服务进行可信性验证，包括 正确性、安全性、可靠性及性能，来保证信息流在服务内、服务间执行过程中满足可信需求； 首先，将分散式标签技术和形式化方法相结合，定义出一个基于形式化语义的分散式标签 模型，并结合高级程序语言构建出一个运行平台对信息处理过程进行约束和监控，防止私 密数据被攻击者截获并非法传播；其次，利用形式化方法对服务进行形式化规约和建模，验 证服务行为的一致性；此外，通过对服务实例进行身份验证和服务描述验证来确保服务是 安全的，并利用性能评估指标对服务的性能进行评估和选择。
[0036] 所述形式化方法包括π演算、图文法。
[0037] 所述信息处理验证代理的功能包括：
[0038] 在服务内，抽取信息流执行过程中所涉及的相关机密性属性，并对这些属性和执 行过程添加形式化语义描述的分散式标签来进行约束，应用静态信息流分析技术对信息流 的执行过程进行分析，验证服务是否满足一定的约束并不会恶意泄露信息；
[0039] 在服务间，数据和计算迁移主要发生在云服务间，需要分析互不信任的云服务组 合的可信性问题，对满足要求的云服务，进行形式化建模，利用所建模型分析服务间的调用 过程和服务间的约束关系，保证云上服务间行为的一致性；
[0040] 验证上述信息流处理过程服务的安全性，并将信息的使用过程进行日志记录同时 返回日志信息给传输监控代理进行审查；
[0041] 建立性能评估方案，对满足要求的服务进行评估和筛选，形成最终的可信云服务 调用策略。
[0042] 所述存储控制代理是根据云上信息流中敏感数据对可信性的要求所设计的一个 基于形式化语义标签的编程平台。
[0043] 所述存储控制代理的功能包括：
[0044] 根据指定的分级存储策略，制定信息可信级别，对传入云上的数据信息进行分析， 并根据其中敏感数据对机密性、完整性的要求，将其划分为不同的可信等级，作为分级存储 的依据；
[0045] 根据指定的分级存储策略，设置监控节点，为监控节点设置全局最高安全等级标 签，分析待存储的数据对象的安全级别，检查监控节点绑定的存储节点的可信级别是否满 足数据对象的可信级别；利用动态监控技术，检测监控节点绑定的存储节点上的数据对象 的可信级别变化；
[0046] 根据指定的分级存储策略，设置存储节点；利用动态绑定技术将存储节点绑定到 指定的监控节点，并对数据对象的存储访问过程进行匹配。

【专利附图】

【附图说明】
[0047] 通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、 目的和优点将会变得更明显：
[0048] 图1是本发明所提供的机制架构图；
[0049] 图2是信息传输转换代理功能示意图；
[0050] 图3是云中信息处理验证过程图；
[0051] 图4是云中信息的可信分级存储示意图。

【具体实施方式】
[0052] 下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术 人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术 人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进。这些都属于本发明 的保护范围。
[0053] 本发明的主要研究内容如下：
[0054] (1)客户端与云之间交互信息的混淆与转换的研究
[0055] 从信息生命周期的角度来看，确保信息流安全的一个关键环节就是要保障信息在 客户和云之间的传输安全。现有阻止信息泄露的方法，如基于网关来封锁机密数据的外泄， 已经不能很好适用。因而需要在云和用户之间构建一个传输转换代理，来对发往云端信息 流中机密和隐私数据的进行混淆和转换，具体研究内容如下：
[0056] ?针对云环境下用户与云之间信息传输的特点，分析传输过程中可能存在的安全 威胁和隐私泄露问题；
[0057] ?研究传输监控代理中的数据混淆技术、隐私设计方法、匿名用户访问模式以及 标签绑定策略。目标是保护用户的隐私信息在传输过程不被窃取，信息中的机密数据不会 泄露。
[0058] (2)云上信息流处理及验证机制的研究
[0059] 云平台提供了高效的计算和便捷的服务，为了使云上服务内或互不信任的服务间 可信地使用信息和计算资源，需要对信息的处理过程进行控制。
[0060] 发明将带有形式化语义的分散式标签模型与高级编程语言相结合，在云上构建一 个信息处理验证代理来保证非可信服务间或服务内信息流的执行遵从指定的可信策略。具 体研究内容如下：
[0061] ?分析云平台与传统计算平台上信息处理的区别及存在的问题；
[0062] ?研究面向云计算应用的高级程序语言的安全编程规则，信息流执行过程中的静 态信息流分析技术，面向用户的程序注解，分散式标签模型，形式化语义表述，私密性和完 整性策略以及编译时和运行时的类型检查机制；
[0063] ?研究云平台上互不信任服务间的数据迁移和计算迁移，确保执行结果一致的嵌 入式事务机制，自带证明的信息访问控制及日志信息的自动生成。
[0064] ?研究云上服务间组合的可信性问题，具体包括组合服务的可靠性（如服务副本 或容错机制等）、服务的正确性（如服务的行为一致，服务是否满足系统、用户及环境的约 束要求，不丢失重要信息，不产生服务调用死锁等问题）、服务的安全性（如验证拷贝的服 务实例满足身份验证要求，不会通过服务隐藏接口等泄露用户隐私数据）、服务的性能（如 组合服务的性能指标的选定和评判标准的制定等）。
[0065] (3)云平台上信息可信分级存储的研究
[0066] 云平台上数据信息会被多副本的保存，隐私数据容易被缓存、复制及被第三方存 档；且数据存储到云中后，用户对数据的控制权则转移到了云存储提供商手中，这使得恶意 的提供商或攻击者可能会窃取用户隐私信息进行传播或使用。因此需要在编程平台上设计 一个存储控制代理，对混淆转换后的数据进行存储监控，保障数据存储的可信性。
[0067] 具体研究内容如下：
[0068] ?分析云平台上信息存储所面临的隐私风险以及相关的解决方案；
[0069] ?对混淆转换后的敏感数据，设计一种可信分级存储方案，实现数据的可信保护 本发明研究方案的架构如图1所示。
[0070] 本发明拟解决的关键问题如下：
[0071] (1)客户端与云之间交互信息的混淆与转换
[0072] 云计算可将大量的计算资源集中起来供用户使用，它的核心理念是通过不断提高 "云"的处理能力，进而减少用户终端的处理负担，最终使用户终端简化成一个单纯的信息 交互设备，但用户通过这种简约的客户端发送信息到云端的时候，可能会遭遇到更多的安 全威胁和隐私泄露的问题。本发明在充分分析云与客户之间信息传输方式、传输过程中的 安全威胁和隐私风险的基础上，拟在客户端构建一个传输转换代理，通过代理提供的匿名 转换功能，实现用户身份的隐藏，保护用户的个人信息，再通过对用户发送的机密信息进行 数据混淆，使得敏感信息在传输过程中不会被泄露，保护了用户的隐私，并通过日志监控器 对客户所发的信息实现实时监控，让信息的使用过程对用户透明，满足了用户对信息可控 的需求。
[0073] (2)云上服务内、服务间信息流的处理及验证
[0074] 云计算通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力 的完美系统，并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到 终端用户手中。然而"云"在提供给用户强大计算处理能力的同时也带来了新的安全和隐 私问题，用户对发送到云中的信息缺乏有效的安全控制，无法阻止信息被恶意的服务访问， 并且在执行过程中数据缺乏的可信保护。本发明针对现有云上信息流处理过程中存在的可 信性问题，在云上构建一个信息处理验证代理，通过对信息流执行中所需的云服务进行可 信性验证（正确性、安全性、可靠性及性能）来保证信息流在服务内、服务间执行过程中满 足可信需求。
[0075] (3)云上信息的可信分级存储
[0076] 云计算的存储安全主要涉及数据隔离、数据的存储位置、数据恢复等等问题。数据 存储到云中后，用户对数据的控制权则转移到了云存储提供商手中，这使得恶意的提供商 或攻击者可能会窃取用户隐私信息进行传播或使用。本发明拟在构建的编程平台上设计一 种存储控制代理，并结合可信分级存储策略，通过在存储监控代理中对有可信要求的信息 流中的数据进行分级，并设置监控节点，负责监控分级数据对象的存储访问过程，进而防止 用户的敏感数据被攻击者恶意的传播和使用，提高了信息存储的可信性。
[0077] 本发明的技术实现方案如下：
[0078] 本发明以云环境中的动态信息流作为研究对象，以云平台上信息流对可信性（正 确性、可靠性、安全性和性能）的要求为切入点，设计信息混淆转换方法，提出信息流可信 监控及验证机制，实现信息的可信分级存储，通过对信息传输过程的混淆与转换、处理过程 的验证和存储过程的控制，实现对信息流的可信控制。
[0079] 对云环境下信息流访问控制技术进行研究，采用分散式标签模型（Decentralized Label Model，DLM)，对云环境中数据进行标签绑定，保障数据在云中进行传输、处理及存储 过程中的隐私安全。分散式标签模型包含如下部分：
[0080] ?主体（Principal):主体是信息的拥有者、更新者与发布者。在云环境中，它可 代表数据的拥有者或者某个服务的提供者。
[0081] ?标签（Label):分散式标签模型的主体通过使用标签注释程序和数据来表示它 们的安全等级。
[0082] ?安全策略：在云环境中安全策略用于指定所有者对敏感数据的访问及修改权 限，包括机密性策略和完整性策略。其中，机密性策略用来标识哪些主体可以访问云中指定 的信息或调用指定的服务；完整性策略用来指定哪些主体可以修改云中的信息或服务。 [0083] 对云环境下的典型应用场景（如提供特殊教育服务的云平台等）进行研究：分析 客户端与云之间可能存在的信息传输方式，找出信息传输过程中存在的安全隐患。设计传 输过程中的转换代理，如图2所示。其功能是：按照隐私保护原则对客户端输出（返回）信 息中的用户身份标识进行匿名转换（还原），对敏感数据进行混淆（解混淆），实现传输过 程中机密数据的安全保护，同时利用日志管理器对云中返回的日志数据进行监控，具体如 下：
[0084] ?利用数据混淆技术，对发往云上信息流中的机密数据进行隐藏或混淆，目标是 使用户的机密信息在传输过程中不会泄露；
[0085] ?利用匿名转换技术，对客户身份标识进行匿名映射来隐藏客户的真实身份，通 过匿名标识实现对云服务的访问，目标是确保用户的个人信息不被识别和窃取；
[0086] ?基于分散式标签模型，在信息转换过程中，实现对有可信性要求的信息数据进 行标签绑定，并制定相应的安全策略，目标是保护信息流中的敏感数据，为云上的分级存储 进行预处理；
[0087] ?采用日志监控技术，跟踪进出云的信息，对信息流中的内容进行检查，并将信息 的使用情况进行日志记录，然后将日志信息返回给传输转换代理进行日志审查，目标是监 控云中的服务如何使用客户端发送的信息（包括大量数据是否被复制），从而检测出恶意 的信息使用和传播。
[0088] 在分析云环境下云服务可信性基础上，将可信性保障机制划分为四个方面：正确 性、可靠性、安全性和性能。首先，将分散标签技术和形式化方法相结合，定义出一个基于形 式化语义的分散标签模型，并结合高级程序语言构建出一个运行平台对信息处理过程进行 约束和监控，防止私密数据被攻击者截获并非法传播；其次，利用形式化方法（如η演算、 图文法等）对服务进行形式化规约和建模，验证服务行为的一致性；此外，通过对服务实例 进行身份验证和服务描述验证来确保服务是安全的，并利用性能评估指标对服务的性能进 行评估和选择。如图3所示。
[0089] ?服务内：抽取信息流执行过程中所涉及的相关机密性属性，并对这些属性和执 行过程添加形式化语义描述的分散式标签来进行约束，应用静态信息流分析技术对信息流 的执行过程进行分析，验证服务是否满足一定的约束并不会恶意泄露信息；
[0090] ?服务间：数据和计算迁移主要发生在云服务间，需要分析互不信任的云服务组 合的可信性问题，对满足要求的云服务，进行形式化建模，利用所建模型分析服务间的调 用过程和服务间的约束关系，保证云上服务间行为的一致性，不出现服务失配和死锁等问 题；
[0091] ?采用访问控制过程注解并使用编译时和运行时的类型检查机制来验证上述信 息流处理过程服务的安全性，并将信息的使用过程进行日志记录同时返回日志信息给传输 监控代理进行审查；
[0092] 籲通过服务响应时间、服务成本等性能指标，建立性能评估方案，对满足要求的服 务进行评估和筛选，形成最终的可信云服务调用策略。
[0093] 在客户端将信息发送到云端前，通过传输监控代理对有安全性要求的敏感数据进 行分级标签绑定，在经过云中应用程序处理后，信息流中的数据由存储监控代理指定分配 到相应级别的存储节点中，参见图4。
[0094] ?根据云上信息流中敏感数据对可信性的要求，设计一个基于形式化语义标签的 编程平台的存储控制代理，指定分级存储策略。
[0095] ?根据分级存储策略，制定信息可信级别。利用信息流分析技术对传入云上的数 据信息进行分析，并根据其中敏感数据对机密性、完整性的要求，将其划分为不同的可信等 级，作为分级存储的依据。
[0096] ?根据分级存储策略，设置监控节点。利用标签访问控制技术，为监控节点设置全 局最高安全等级标签，分析待存储的数据对象的安全级别，检查其绑定的存储节点的可信 级别是否满足数据对象的可信级别。利用动态监控技术，检测其绑定的存储节点上的数据 对象的可信级别变化。
[0097] ?根据分级存储策略，设置存储节点。利用动态绑定技术将存储节点绑定到指定 的监控节点，并对数据对象的存储访问过程进行匹配。
[0098] 尽管本发明的内容已经通过上述实施例作了详细介绍，但应当认识到上述的描述 不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种 修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。
【权利要求】
1. 一种面向云计算的信息流可信保障机制，其特征在于，包括信息传输过程、云中服务 对信息处理过程和信息在云端的存储过程，其中，在信息传输过程，通过在云和用户之间构 建一个传输转换代理，来对发往云端信息流中机密和隐私数据的进行混淆和转换；在云中 服务对信息处理过程，通过在云上构建一个信息处理验证代理来保证非可信服务间或服务 内信息流的执行遵从指定的可信策略；在信息在云端的存储过程，通过在编程平台上设计 一个存储控制代理，对混淆转换后的数据进行存储监控，保障数据存储的可信性。
2. 根据权利要求1所述的面向云计算的信息流可信保障机制，其特征在于，所述信息 传输过程、云中服务对信息处理过程和信息在云端的存储过程中的隐私安全是通过采用分 散式标签模型对云环境中数据进行标签绑定来保障的，所述分散式标签模型包含如下部 分： 主体：在云环境中，主体代表数据的拥有者或者某个服务的提供者； 标签：主体通过使用标签注释程序和数据来表示它们的安全等级； 安全策略：在云环境中，安全策略用于指定所有者对敏感数据的访问及修改权限，包括 机密性策略和完整性策略，其中，机密性策略用来标识哪些主体可以访问云中指定的信息 或调用指定的服务；完整性策略用来指定哪些主体可以修改云中的信息或服务。
3. 根据权利要求2所述的面向云计算的信息流可信保障机制，其特征在于，所述传输 转换代理根据分析用户端与云之间可能存在的信息传输方式，找出信息传输过程中存在的 安全隐患来设计的。
4. 根据权利要求3所述的面向云计算的信息流可信保障机制，其特征在于，所述传输 转换代理的功能包括：按照隐私保护原则对用户端输出或返回信息中的用户身份标识进行 匿名转换或还原，对敏感数据进行混淆或解混淆，实现传输过程中机密数据的安全保护，同 时利用日志管理器对云中返回的日志数据进行监控，具体如下： 利用数据混淆技术，对发往云上信息流中的机密数据进行隐藏或混淆，目标是使用户 的机密信息在传输过程中不会泄露； 利用匿名转换技术，对客户身份标识进行匿名映射来隐藏客户的真实身份，通过匿名 标识实现对云服务的访问，目标是确保用户的个人信息不被识别和窃取； 基于分散式标签模型，在信息转换过程中，实现对有可信性要求的信息数据进行标签 绑定，并制定相应的安全策略，目标是保护信息流中的敏感数据，为云上的分级存储进行预 处理； 采用日志监控技术，跟踪进出云的信息，对信息流中的内容进行检查，并将信息的使用 情况进行日志记录，然后将日志信息返回给传输转换代理进行日志审查，目标是监控云中 的服务如何使用客户端发送的信息，从而检测出恶意的信息使用和传播。
5. 根据权利要求2所述的面向云计算的信息流可信保障机制，其特征在于，所述信息 处理验证代理通过对信息流执行中所需的云服务进行可信性验证，包括正确性、安全性、可 靠性及性能，来保证信息流在服务内、服务间执行过程中满足可信需求；首先，将分散式标 签技术和形式化方法相结合，定义出一个基于形式化语义的分散式标签模型，并结合高级 程序语言构建出一个运行平台对信息处理过程进行约束和监控，防止私密数据被攻击者截 获并非法传播；其次，利用形式化方法对服务进行形式化规约和建模，验证服务行为的一致 性；此外，通过对服务实例进行身份验证和服务描述验证来确保服务是安全的，并利用性能 评估指标对服务的性能进行评估和选择。
6. 根据权利要求5所述的面向云计算的信息流可信保障机制，其特征在于，所述形式 化方法包括π演算、图文法。
7. 根据权利要求5所述的面向云计算的信息流可信保障机制，其特征在于，所述信息 处理验证代理的功能包括： 在服务内，抽取信息流执行过程中所涉及的相关机密性属性，并对这些属性和执行过 程添加形式化语义描述的分散式标签来进行约束，应用静态信息流分析技术对信息流的执 行过程进行分析，验证服务是否满足一定的约束并不会恶意泄露信息； 在服务间，数据和计算迁移主要发生在云服务间，需要分析互不信任的云服务组合的 可信性问题，对满足要求的云服务，进行形式化建模，利用所建模型分析服务间的调用过程 和服务间的约束关系，保证云上服务间行为的一致性； 验证上述信息流处理过程服务的安全性，并将信息的使用过程进行日志记录同时返回 日志信息给传输监控代理进行审查； 建立性能评估方案，对满足要求的服务进行评估和筛选，形成最终的可信云服务调用 策略。
8. 根据权利要求2所述的面向云计算的信息流可信保障机制，其特征在于，所述存储 控制代理是根据云上信息流中敏感数据对可信性的要求所设计的一个基于形式化语义标 签的编程平台。
9. 根据权利要求8所述的面向云计算的信息流可信保障机制，其特征在于，所述存储 控制代理的功能包括： 根据指定的分级存储策略，制定信息可信级别，对传入云上的数据信息进行分析，并根 据其中敏感数据对机密性、完整性的要求，将其划分为不同的可信等级，作为分级存储的依 据； 根据指定的分级存储策略，设置监控节点，为监控节点设置全局最高安全等级标签，分 析待存储的数据对象的安全级别，检查监控节点绑定的存储节点的可信级别是否满足数据 对象的可信级别；利用动态监控技术，检测监控节点绑定的存储节点上的数据对象的可信 级别变化； 根据指定的分级存储策略，设置存储节点；利用动态绑定技术将存储节点绑定到指定 的监控节点，并对数据对象的存储访问过程进行匹配。
【文档编号】H04L29/08GK104065651SQ201410253459
【公开日】2014年9月24日 申请日期:2014年6月9日 优先权日:2014年6月9日
【发明者】黄林鹏, 刘昊, 苏冠男, 付晓宇 申请人:上海交通大学