一种基于分布式信息流控制的跨云资源共享系统及方法技术方案

本发明专利技术提供的基于分布式信息控制的跨云资源共享系统及方法实现对云数据资源的细粒度跟踪及控制，从保密性和完整性方面严格保护共享数据的过程安全，系统开销小且不会造成额外的存储开销。

A cross cloud resource sharing system and method based on distributed information flow control

【技术实现步骤摘要】
一种基于分布式信息流控制的跨云资源共享系统及方法
本专利技术涉及跨云资源共享领域，更具体地，涉及一种基于分布式信息流控制的跨云资源共享系统及方法。
技术介绍
云计算作为一种新的计算模式，给人们生活带来了巨大变化，提供了诸多便利。但是，在复杂的网络和云环境下，使得大量用户数据面临各种安全威胁，其中用户隐私数据、敏感信息的泄露将对企业和个人造成不可接受的经济损失，这将严重阻碍云计算的快速发展。目前，对云数据隐私保护主要集中在云内的隐私保护，主要涉及的技术包括云身份认证、访问控制、安全隔离、虚拟化、信息流控制、安全计算及安全存储等方面，较少研究工作将这些技术应用到跨云的数据安全或资源共享方面，但是在当下越来越复杂的租户需求情形下，云间协同、云间服务组合模式变得越来越普遍，这数据安全性保护面临着更高的要求，即需要在跨云进行数据共享时保证数据的安全性。跨云的数据共享，目前研究工作主要集中在基于网络、基于硬件及基于密码学方法、基于安全协议、访问控制技术等方面。基于网络，主要方法有设计专用的VPN网络、可编程的网络平台等方法，VPN技术能很好保护数据的传输安全，但是不能保证所传输数据不包含恶意更改或被恶意攻击的数据资源；可编程的网络平台通过将制定的安全策略部署在平台上，在数据进行共享传输时在网关处检查数据的安全性以保证共享安全，但是在发生大量数据共享情形下将对网络设备带来严重的计算开销进而造成网络拥堵，影响传输效率和实时性。基于硬件，通过虚拟化技术对硬件资源进行改造成为独立的数据共享传输环境，但是该方法代价高昂，并不能普及适用。基于密码学方法，主要通过使用同态加密、分块加密等方法将目标数据进行加密然后进行传输，在数据接收方进行解密验证，但是该方法具有较大的计算复杂性和开销。基于安全协议的云间信息共享方案主要通过设计新的或使用现有的安全传输协议实现云间资源数据共享，其中涉及到的数字签名及非对称加密等技术在诸如密钥管理、密钥分发等方面存在不足，同时忽略了云联合身份管理方面。基于访问控制技术方面，主要采用了基于角色访问控制(RBAC)和基于属性(ABAC)的访问控制方法，将云服务使用者的属性或角色映射到目标云，进而实现数据资源共享功能，但是控制对象粒度较粗。然而，分布式信息流控制(DIFC,DecentralizedInformationFlowControl)技术能从保密性和完整性方面以一定的安全策略保护数据端到端的安全，在保密性方面严格限制信息的流出，在完整性方面严格限制信息的流入，可以实现细粒度信息流动控制，且DIFC标记随着传输数据在实体之间传递，系统开销小且易于实现，因此DIFC能满足复杂云环境下日益增加的安全性需求。
技术实现思路
为了解决现有技术中的不足，本专利技术提供了一种基于分布式信息流控制的跨云资源共享系统及方法。为解决上述技术问题，本专利技术的技术方案如下：本专利技术第一方面提供一种基于分布式信息流控制的跨云资源共享系统，包括注册管理模块(RM,RegistrationManagement)、数据管理模块(DM,DataManagement)、身份认证模块(IM，IdentificationManagement)、信息流控制模块(DIFC,DecentralizedInformationFlowControl)、日志数据库(LD,LogsDatabase)和日志审计模块；所述的注册管理模块用于完成对资源请求云和提供云的信息注册；所述的身份认证模块用于完成当资源共享时资源请求云(Cloud-R)和资源所属云(Cloud-P)的身份验证；所述的数据管理模块用于存储云在注册时候提交的所拥有资源目录及数据映射关系，方便在根据请求云所发送的参数查询并确定资源的所属云，进而辅助完成云身份认证；所述的信息流管理模块用于对接收到的资源提供云的数据资源进行降密、认证的安全操作；然后，对数据进行标记或重新标记；若所接收的数据未被标记则对其使用保密性标记和完整性标记进行标记，若接收的是标记后的数据，则在降密、认证操作完成后对数据进行重新标记；最后，将数据资源及相应操作特权传递给请求云；所述的日志数据库用于存储上述模块生成的日志信息；所述的日志审计模块用于对日志数据库中的日志信息进行审计分析，进行行为安全预警和检测。在一种优选方案中，所述的注册管理模块包括注册子模块、注销子模块及名单列表；所述的注册子模块、注销子模块根据资源请求云的注册请求判断进行注册或删除操作；所述的名单列表包括已注册列表(Registeredlist)、黑名单(blacklist)、白名单(whitelist)，其中已注册列表存储已经注册过的云，其中包括资源请求云和资源所属云；黑名单存储不可信或恶意云的相关信息；白名单存储已成功注册的云的相关信息。在一种优选方案中，所述的认证管理模块包括消息端点(messagepoint)、令牌端点(tokenpoint)和授权端点(authorizationpoint)，所述的消息端点用于消息的接收、解析、验证及生成所述的令牌端点用于对令牌的处理，包括对令牌(token)的解析、验证及生成新的令牌；所述的授权端点用于对权限信息进行解析、处理并对资源请求云进行安全授权。在一种优选方案中，所述的信息流控制模块包括标记服务器(labelserver)、标记代理(labelserver)、安全级(securitylevel)、DIFC规则(DIFCrules)及任务管理(taskmanagement)；所述的标记服务器用于统一生成标记并执行管理；所述的标记代理用于向标记服务器请求标记、标签、查询以及删除的操作；所述的安全级存储每个云的安全级别，根据云的详细信息对应生成一个安全值SV，并将安全级别表示成云名与安全级别的对应关系，安全级别的高低由SV值决定，SL值相同表明云间的安全级别相同；所述的DIFC规则包括信息流动规则、标记变化规则、给予特权的标记变化规则、降密及认证；所述的任务管理产生资源共享任务完成对资源的安全性操作并发送给资源请求云。本专利技术第二方面一种基于分布式信息流控制的跨云资源共享方法，应用于上述的系统，包括以下步骤：S1.资源请求云发起注册请求，请求消息通过网络平台转发到注册管理模块，注册管理模块对请求消息进行解析判断是否同意注册，若同意注册则执行注册操作并将请求云包含的资源信息存储到数据管理模块，同时生成的注册管理日志信息存储到日志数据库中；S2.数据管理模块存储的请求云的资源信息以一定的数据结构存储并发送身份认证模块对所属资源请求云进行身份认证，同时将生成的数据管理日志存储到日志数据库中；S3.当资源请求云的请求消息通过网络平台发送至身份认证模块，解析请求消息并根据解析结果对资源请求云进行验证，根据请求资源内容向数据管理模块发送查询资源所属云请求消息以确定资源所属；数据管理模块将查询结果反馈给身份认证模块，完成对资源所属云的验证，并将执行身份认证本文档来自技高网...

【技术保护点】
1.一种基于分布式信息流控制的跨云资源共享系统，其特征在于，包括注册管理模块、数据管理模块、身份认证模块、信息流控制模块、日志数据库和日志审计模块；/n所述的注册管理模块用于完成对资源请求云和提供云的信息注册；/n所述的身份认证模块用于完成当资源共享时资源请求云和资源所属云的身份验证；/n所述的数据管理模块用于存储云在注册时候提交的所拥有资源目录及数据映射关系，方便在根据请求云所发送的参数查询并确定资源的所属云，进而辅助完成云身份认证；/n所述的信息流管理模块用于对接收到的资源提供云的数据资源进行降密、认证的安全操作；然后，对数据进行标记或重新标记；若所接收的数据未被标记则对其使用保密性标记和完整性标记进行标记，若接收的是标记后的数据，则在降密、认证操作完成后对数据进行重新标记；最后，将数据资源及相应操作特权传递给请求云；/n所述的日志数据库用于存储上述模块生成的日志信息；/n所述的日志审计模块用于对日志数据库中的日志信息进行审计分析，进行行为安全预警和检测。/n

【技术特征摘要】
1.一种基于分布式信息流控制的跨云资源共享系统，其特征在于，包括注册管理模块、数据管理模块、身份认证模块、信息流控制模块、日志数据库和日志审计模块；
所述的注册管理模块用于完成对资源请求云和提供云的信息注册；
所述的身份认证模块用于完成当资源共享时资源请求云和资源所属云的身份验证；
所述的数据管理模块用于存储云在注册时候提交的所拥有资源目录及数据映射关系，方便在根据请求云所发送的参数查询并确定资源的所属云，进而辅助完成云身份认证；
所述的信息流管理模块用于对接收到的资源提供云的数据资源进行降密、认证的安全操作；然后，对数据进行标记或重新标记；若所接收的数据未被标记则对其使用保密性标记和完整性标记进行标记，若接收的是标记后的数据，则在降密、认证操作完成后对数据进行重新标记；最后，将数据资源及相应操作特权传递给请求云；
所述的日志数据库用于存储上述模块生成的日志信息；
所述的日志审计模块用于对日志数据库中的日志信息进行审计分析，进行行为安全预警和检测。


2.根据权利要求1所述的基于分布式信息流控制的跨云资源共享系统，其特征在于，所述的注册管理模块包括注册子模块、注销子模块及名单列表；
所述的注册子模块、注销子模块根据资源请求云的注册请求判断进行注册或删除操作；
所述的名单列表包括已注册列表、黑名单、白名单，其中已注册列表存储已经注册过的云，其中包括资源请求云和资源所属云；黑名单存储不可信或恶意云的相关信息；白名单存储已成功注册的云的相关信息。


3.根据权利要求1所述的基于分布式信息流控制的跨云资源共享系统，其特征在于，所述的认证管理模块包括消息端点、令牌端点和授权端点，
所述的消息端点用于消息的接收、解析、验证及生成；
所述的令牌端点用于对令牌的处理，包括对令牌的解析、验证及生成新的令牌；
所述的授权端点用于对权限信息进行解析、处理并对资源请求云进行安全授权。


4.根据权利要求1所述的基于分布式信息流控制的跨云资源共享系统，其特征在于，所述的信息流控制模块包括标记服务器、标记代理、安全级、DIFC规则及任务管理；
所述的标记服务器用于统一生成标记并执行管理；
所述的标记代理用于向标记服务器请求标记、标签、查询以及删除的操作；
所述的安全级存储每个云的安全级别，根据云的详细信息对应生成一个安全值SV，并将安全级别表示成云名与安全级别的对应关系，安全级别的高低由SV值决定，SL值相同表明云间的安全级别相同；
所述的DIFC规则包括信息流动规则、标记变化规则、给予特权的标记变化规则、降密及认证；
所述的任务管理产生资源共享任务完成对资源的安全性操作并发送给资源请求云。


5.一种基于分布式信息流控制的跨云资源共享方法，应用于上述权利要求1-4任一项的系统，其特征在于，包括以下步骤：
S1.资源请求云发起注册请求，请求消息通过网络平台转发到注册管理模块，注册管理模块对请求消息进行解析判断是否同意注册，若同意注册则执行注册操作并将请求云包含的资源信息存储到数据管理模块，同时生成的注册管理日志信息存储到日志数据库中；
S2.数据管理模块存储的请求云的资源信息以一定的数据结构存储并发送身份认证模块对所属资源请求云进行身份认证，同时将生成的数据管理日志存储到日志数据库中；
S3.当资源请求云的请求消息通过网络平台发送至身份认证模块，解析请求消息并根据解析结果对资源请求云进行验证，根据请求资源内容向数据管理模块发送查询资源所属云请求消息以确定资源所属；数据管理模块将查询结果反馈给身份认证模块，完成对资源所属云的验证，并将执行身份认证和资源所属查询所生成的身份认证日志存储到日志数据库中；资源请求云和资源所属云身份通过验证提允许资源共享资源所属云将所请求的资源或服务数据发送至信息流控制模块，进入S4；否则不允许资源共享；
S4.信息流控制模块对接收到的的资源或者服务数据进行...

【专利技术属性】
技术研发人员：金舒原，鲁金钿，陈浩，
申请(专利权)人：中山大学，
类型：发明
国别省市：广东;44