面向云平台可信性评估的多级数据采集与证据提取方法技术

本发明专利技术公开了一种面向IaaS云平台可信性评估的多级数据采集与证据提取方法，属于云计算的可信评估领域。本发明专利技术通过在云平台内网中增加数据采集服务，建立由云平台可信性评测中心+数据采集服务+数据采集终端组成的多级数据采集机制。虚拟主机监测数据首先归集到云平台内网中的数据采集服务，并周期性地依据服务的SLA协议进行合规性评测，当发现SLA异常时，将相关的监测数据提取并封装为可信证据发送给云平台可信性评测中心；当没有SLA异常时，只需要发送一个简化的SLA合规性报告即可。从而避免了在互联网上的大数据传输，减轻了可信性评测中心的数据处理压力；可信证据的使用，保留了关键的监测数据，支持纠纷仲裁，对于可信云的构建有重要意义。

【技术实现步骤摘要】
面向云平台可信性评估的多级数据采集与证据提取方法
本专利技术属于云计算的可信评估领域，涉及一种面向云平台可信性评估的多级数据采集与证据提取方法，主要面向IaaS模式的云服务平台。
技术介绍
近年来，随着云计算相关技术的发展，云计算的可靠性和易用性得到了很大的提升，吸引了越来越多的企业和个人用户将业务迁移到云端，利用云计算按使用量计费的商业模式来节约成本。但是，由于云计算资源集中、开放和共享的特点，对于提供云计算服务的云平台而言，更容易受到恶意攻击；同时对于用户而言，也失去了对私有数据的绝对控制，因而云计算环境的安全问题更为凸显。近年来针对云平台的安全事件不断出现，也极大影响了用户对云计算的信任度。因此，监控及评测云平台的可信性已经成为业界亟待解决的重要问题。目前较为常见的云平台可信性评测方案是建立第三方可信性评测平台，在此平台上收集来自多个云平台的包括用户评价、虚拟主机监测数据等在内的主客观评价数据，并基于特定算法对这些数据加以综合评估，得出云平台可信性评测报告，供云平台的用户参考，系统结构如图1所示。在这一过程中，第三方可信性评测平台需要采集的数据种类繁多，数据采集的周期不同，部分监测数据项如网络连通性、主机存活性等的采集频率较高，数据总量大，这种数据采集方式，会对部署在互联网上的第三方可信性评测平台带来很大的数据处理压力，导致建设第三方可信性评测平台的成本大大增加；同时，大量的数据通过互联网发送，也会消耗用户和云平台的网络流量资源，考虑到云服务本身出现异常的概率并不高，传输全量数据会造成很大的资源浪费，从而影响第三方可信性评测平台的实用性。
技术实现思路
针对上述问题，本专利技术通过在云平台内网中部署数据采集服务，建立由互联网可信性评测中心+内网数据采集服务+数据采集终端组成的多级数据采集机制。虚拟主机监测数据首先归集并存储到云平台内网中的数据采集服务，并周期性地依据服务的SLA协议进行合规性评测，当发现SLA异常时，将相关的虚拟主机监测数据提取并封装为可信证据发送给云平台可信性评测中心；当没有SLA异常时，只需要发送一个简化的SLA合规性报告即可。从而避免了在互联网上的大数据传输，大大减小了可信性评测中心的数据处理压力；而可信证据的提取，保留了出现异常时的监测数据，方便用户与云平台之间进行善后处理。具体而言，本专利技术采用的技术方案由数据采集终端、内网数据采集服务、可信性评测中心三部分组成，包含用户、云平台、虚拟主机等参与方，系统架构如附图2所示。面向云平台可信性评估的多级数据采集与证据提取方法基本思路如下：在云平台内部局域网中部署数据采集服务。数据采集服务由可靠消息队列服务、并行数据分析服务、持久化存储服务以及通讯及控制接口四部分组成，系统架构如附图3所示。同时可以合理地假设每个云平台都对外提供了服务水平协议数据库(SLA协议库)查询接口。数据采集服务接收来自云平台内各个虚拟主机上部署的数据采集终端采集的数据，这些数据将按照用户和服务进行分类汇集，并周期性地进行服务SLA合规性评估(评估周期由实际需要和数据采集服务的处理能力决定)。若某个用户名下的某个服务的SLA评估结果为异常，则将异常时间段内及前后一段时间内与该异常相关的监测数据提取出来，压缩后作为可信性评测证据，发送给互联网上的可信性评测中心；SLA评估结果正常的服务，只需要将评估结果封装为报告，将相应SLA参数标记为“合规”，发送给互联网上的可信性评测中心，不必发送原始的监测数据。完成评估处理后的监测数据，将被持久化存储在数据采集服务中，并被定期清理，数据保留时间由实际需要和可用存储空间的大小决定。在互联网部署可信性评测中心。可信性评测中心为独立的第三方服务，负责接收各个云平台中部署的数据采集服务发出的合规性报告和评测证据，以及用户给出的服务评价。可信性评测中心由消息队列服务、数据持久化存储、可信性评估程序、通讯及控制接口组成。接收到的数据首先由消息队列服务缓存，然后被可靠地持久化存储。可信性评估程序接受用户给出的评估请求，对用户评价和SLA合规性评估结果进行综合，并考虑评估历史数据，对云平台的可信性进行动态的综合评估，评估结果将返回给用户。该方法的步骤包括：步骤一，在互联网部署可信性评测中心(以下简称TP)。TP为每个数据采集服务、每个云平台生成一份公钥和私钥，用于后续的消息签名和加密；步骤二，在云平台内部环境中部署数据采集服务(以下简称DC)；步骤三，用户向云平台申请云服务，获得服务ID，签署服务水平协议SLA；步骤四，用户在TP上注册需要监测的云服务，需要提供的信息包括：云平台ID、(在该平台下的)用户ID、服务ID。TP为该用户生成一组公钥和私钥(该服务下的每台虚拟机一份)；步骤五，用户在分配的云虚拟机内部署数据采集终端(以下简称DT)，完成必要的配置，包括导入虚拟机私钥，设置数据采集服务地址、用户ID、服务ID等，需要监测的SLA参数可以通过从SLA协议库获取该服务的SLA来判定；步骤六，用户启动部署在虚拟机内的DT，周期性采集SLA监测结果，使用分配的私钥签名并加密发送给DC；步骤七，DC接收来DT采集的数据，数据将首先被缓存在可靠消息、队列服务中；并行数据分析服务将周期性地启动以处理消息队列服务中缓存的数据，并与从SLA协议库获取的服务SLA协议进行比对，以判断SLA协议的合规性。若发现某项SLA参数被违反，DC将提取该时间段内的与被违反的SLA参数相关的监测数据，打包、签名、加密后作为可信证据，发送给TP；没有被违反的SLA参数，DC将给出一个“合规”的标记，同样进行打包、签名、加密，作为SLA合规性报告发送给TP；步骤八，DC发送给TP的数据将首先被可靠的消息队列缓存，并进一步被持久化存储。可信性评估程序将对用户提交的主观评价数据和SLA合规性报告/可信证据做综合分析以得到云服务可信性评分并返回给用户。通过上述步骤，本专利技术的方法能够有效地完成数据采集和云平台可信性评估工作。同时，使用SLA合规性报告/可信证据代替原有方案的全量监测数据，避免了全量数据在互联网上的传输，大大减少了可信性评测中心的数据处理压力。附图说明图1是目前主流的“云平台可信性评估系统”架构图；图2是本专利技术所设计的“多级数据采集与证据提取的云平台可信性评估系统”架构图；图3是本专利技术所设计的“数据采集服务”架构图；图4是本专利技术所设计的“云平台可信性评测中心”架构图具体实施方式下面结合附图和具体实施方式对本专利技术做进一步的说明。本专利技术所提出的多级数据采集与证据提取方法，主要是为云平台可信性评估问题服务的，由数据采集终端、内网数据采集服务、可信性评测中心三部分组成，系统整体架构、数据采集服务和云平台可信性评测中心架构分别如附图2-4所示。本专利技术完成的云平台可信性评估，融合了用户对服务的评价这一主观数据以及从云虚拟主机处采集到的SLA监测数据等客观数据，并考虑历史数据，得出综合的云平台可信性评测结果。本专利技术的核心内容，除上述多级数据采集系统架构外，还有监测数据的组织与证据的提取方法，为了更好地加以说明，下面首先给出SLA协议的定义。本专利技术所涉及到的系统中，SLA协议的数据结构可以被定义为一个四元组：SLA：＝<idA，idC，idU，H&gt本文档来自技高网...

【技术保护点】
1.面向云平台可信性评估的多级数据采集与证据提取方法，其特征在于：在云虚拟主机上部署数据采集终端，在云平台内网中部署数据采集服务，在互联网上部署云平台可信性评测中心，建立由互联网可信性评测中心+内网数据采集服务+数据采集终端组成的多级数据采集机制。数据采集终端采集的云虚拟主机监测数据首先归集并存储到云平台内网中的数据采集服务，并周期性地依据服务的SLA协议进行合规性评测。当发现SLA异常时，将相关的虚拟主机监测数据提取并封装为可信证据发送给云平台可信性评测中心；当没有SLA异常时，只需要发送一个简化的SLA合规性报告即可。从而避免了在互联网上的大数据传输，大大减小了可信性评测中心的数据处理压力；而可信证据的提取，保留了出现异常时的监测数据，方便用户与云平台之间进行善后处理。该方法的步骤包括：步骤一，在互联网部署可信性评测中心(以下简称TP)。TP为每个数据采集服务、每个云平台生成一份公钥和私钥，用于后续的消息签名和加密；步骤二，在云平台内部环境中部署数据采集服务(以下简称DC)；步骤三，用户向云平台申请云服务，获得服务ID，签署服务水平协议SLA；步骤四，用户在TP上注册需要监测的云服务，需要提供的信息包括：云平台ID、(在该平台下的)用户ID、服务ID。TP为该用户生成一组公钥和私钥(该服务下的每台虚拟机一份)；步骤五，用户在分配的云虚拟机内部署数据采集终端(以下简称DT)，完成必要的配置，包括导入虚拟机私钥，设置数据采集服务地址、用户ID、服务ID等，需要监测的SLA参数可以通过从SLA协议库获取该服务的SLA来判定；步骤六，用户启动部署在虚拟机内的DT，周期性采集SLA监测结果，使用分配的私钥签名并加密发送给DC；步骤七，DC接收来DT采集的数据，数据将首先被缓存在可靠消息队列服务中；并行数据分析服务将周期性地启动以处理消息队列服务中缓存的数据，并与从SLA协议库获取的服务SLA协议进行比对，以判断SLA协议的合规性。若发现某项SLA参数被违反，DC将提取该时间段内的与被违反的SLA参数相关的监测数据，打包、签名、加密后作为可信证据，发送给TP；没有被违反的SLA参数，DC将给出一个“合规”的标记，同样进行打包、签名、加密，作为SLA合规性报告发送给TP；步骤八，DC发送给TP的数据将首先被可靠的消息队列缓存，并进一步被持久化存储。可信性评估程序将对用户提交的主观评价数据和SLA合规性报告/可信证据做综合分析以得到云服务可信性评分并返回给用户。通过上述步骤，本专利技术的方法能够有效地完成数据采集和云平台可信性评估工作。同时，使用SLA合规性报告/可信证据代替原有方案的全量监测数据，避免了全量数据在互联网上的传输，大大减少了可信性评测中心的数据处理压力。...

【技术特征摘要】
1.面向云平台可信性评估的多级数据采集与证据提取方法，其特征在于：在云虚拟主机上部署数据采集终端，在云平台内网中部署数据采集服务，在互联网上部署云平台可信性评测中心，建立由互联网可信性评测中心+内网数据采集服务+数据采集终端组成的多级数据采集机制。数据采集终端采集的云虚拟主机监测数据首先归集并存储到云平台内网中的数据采集服务，并周期性地依据服务的SLA协议进行合规性评测。当发现SLA异常时，将相关的虚拟主机监测数据提取并封装为可信证据发送给云平台可信性评测中心；当没有SLA异常时，只需要发送一个简化的SLA合规性报告即可。从而避免了在互联网上的大数据传输，大大减小了可信性评测中心的数据处理压力；而可信证据的提取，保留了出现异常时的监测数据，方便用户与云平台之间进行善后处理。该方法的步骤包括：步骤一，在互联网部署可信性评测中心(以下简称TP)。TP为每个数据采集服务、每个云平台生成一份公钥和私钥，用于后续的消息签名和加密；步骤二，在云平台内部环境中部署数据采集服务(以下简称DC)；步骤三，用户向云平台申请云服务，获得服务ID，签署服务水平协议SLA；步骤四，用户在TP上注册需要监测的云服务，需要提供的信息包括：云平台ID、(在该平台下的)用户ID、服务ID。TP为该用户生成一组公钥和私钥(该服务下的每台虚拟机一份)；步骤五，用户在分配的云虚拟机内部署数据采集终端(以下简称DT)，完成必要的配置，包括导入虚拟机私钥，设置数据采集服务地址、用户ID、服务ID等，需要监测的SLA参数可以通过从SLA协议库获取该服务的SLA来判定；步骤六，用户启动部署在虚拟机内的DT，周期性采集SLA监测结果，使用分配的私钥签名并加密发送给DC；步骤七，DC接收来DT采集的数据，数据将首先被缓存在可靠消息队列服务中；并行数据分析服务将周期性地启动以处理消息队列服务中缓存的数据，并与从SLA协议库获取的服务SLA协议进行比对，以判断SLA协议的合规性。若发现某项SLA参数被违反，DC将提取该时间段内的与被违反的SLA参数相关的监测数据，打包、签名、加密后作为可信证据，发送给TP；没有被违反的SLA参数，DC将给出一个“合规”的标记，同样进行打包、签名、加密，作为SLA合规性报告发送给TP；步骤八，DC发送给TP的数据将首先被可靠的消息队列缓存，并进一步被持久化存储。可信性评估程序将对用户提交的主观评价数据和SLA合规性报告/可信证据做综合分析以得到云服务可信性评分并返回给用户。通过上述步骤，本发明的方法能够有效地完成数据采集和云平台可信性评估工作。同时，使用SLA合规性报告/可信证据代替原有方案的全量监测数据，避免了全量数据在互联网上的传输，大大减少了可信性评测中心的数据处理压力。2.根据权利要求1所述的面向云平台可信性评估的多级数据采集与证据提取方法，其特征在于：本发明所提出的多级数据采集与证据提取方法，主要是为云平台可信性评估问题服务的，由数据采集终端、内网数据采集服务、可信性评测中心三部分组成，系统整体架构、数据采集服务和云平台可信性评测中心架构分别如说明书附图2-4所示。本发明所涉及到的系统中，SLA协议的数据结构可以被定义为由SLA协议ID、云平台ID、用户ID，高层(High-Level)SLA参数列表组成的四元组。高层SLA参数又可以进一步被定义为一个由相关联的低层(Low-Level)SLA参数列表，从低层SLA参数监测值到高层SLA参数值的映射函数，高层SLA参数标准值，合规性评估函数组成的四元组。低层SLA参数(Low-Level)被定义为一个包含数据采集程序名称，数据采集周期在内的二元组。数据采集终端部署于每一台云虚拟机上，从服务的SLA协议中，可以提取出需要监测的低层SLA参数列表，每个低层SLA参数定义中，都包含了该参数的数据采集程序名称和采集周期，数据采集终端负责按照设定的采集周期，调度数据采集程序完成数据的采集工作。并使用分配的私钥完成消息签名和加密传输，发送给数据采集服...

【专利技术属性】
技术研发人员：王琦，
申请(专利权)人：深圳中软华泰信息技术有限公司，
类型：发明
国别省市：广东,44