云数据
基于云计算商业模式应用的数据集成、数据分析、数据预警的技术与平台的总称
云数据(Cloud data)是基于云计算商业模式应用的数据集成数据分析数据整合数据分配、数据预警的技术与平台的总称。
平台背景
云数据是由财富在线研发团队独立自主研发而成的金融数据集成处理平台,该平台通过高频数据清洗技术,研发出最完整的金融数据分析模型。为用户提供高效的投资决策参考。以数据层(数据流)——信息层(信息流)——精算层(多维整合平台)——多功能集成分配层——信息推送平台——超导报警系统为处理平台,是完整的证券信息高速处理平台。
聚合数据
聚合数据是一个为智能手机开发者,网站站长,移动设备开发人员及图商提供原始数据API服务的综合性云数据平台。包含手机聚合,网站聚合,LBS聚合三部分,其功能类似于Google APIS。聚合数据允许开发者免费自由调用JUHE平台所开放的有效数据API接口,这包含了数千万LBS数据,公共交 通,金融,日常生活,资讯等多个分类的有效数据。聚合数据提供XML,JSON,SOAP, GET/POST 四种调用模式方便开发者调用,同时提供相关数据统计服务!
云数据安全存储面临的挑战
在传统信息系统中,数据安全主要关注数据的加密存储和传输、安全审计和容灾备份;而在云中, 除了要关注上述内容外,还有更多关注,云计算的特点决定了要实现集中式的数据存储,必须确保不同用户数据的安全隔离;云端的服务器可能会“宕机”,在这种情况下,如何高效地进行数据安全地迁移很关键;云计算采用租赁方式向用户提供资源,这意味着一个用户使用过的存储区域会被其他用户使用,因而必须解决好数据残留问题。
(1)数据的加密存储
在传统的信息系统中,一般采用加密方式来确保存储数据的安全性和隐私性.在云中,似乎也可以这样做,但实现起来却不那么容易.在基础设施即服务云模式中,由于授权给用户使用的虚拟资源可以被用户完全控制,数据加密既非常有必要也容易做到(无论是在公有云或者私有云中)。但在平台即服务云模式或者软件即服务云模式中,如果数据被加密,操作就变得困难.在云中,对于任何需要被云应用或程序处理的数据,都是不能被加密的,因为对于加密数据,很多操作像检索、运算等都难以甚至无法进行. 数据的云存储面临这样的安全悖论:加密,数据无法处理;不加密,数据的安全性和隐私性得不到保证.
(2)数据隔离
多租户技术是PaaS云和SaaS云用到的关键技术。在基于多租户技术系统架构中,多个租户或用户的数据会存放在同一个存储介质上甚至同一数据表里。尽管云服务提供商会使用一些数据隔离技术(如数据标签和访问控制相结合)来防止对混合存储数据的非授权访问,但非授权访问通过程序漏洞仍然是可以实现的,比如GoogleDocs在2009年3月就发生过不同用户之间文档的非授权交互访问.一些云服务提供商通过邀请第三方或使用第三方安全工具软件来对应用程序进行审核验证,但由于平台上的数据不仅仅针对一个单独的组织,这使得审核标准无法统一.
(3)数据迁移
当云中的服务器(这里,服务器是指提供SaaS和PaaS的物理机,对于IaaS而言,服务器或者是物理机,或者是虚拟机)“宕机”时,为了确保正在进行的服务能继续进行,需要将正在工作的进程迁移到其他服务器上.进程迁移,实质上就是对与该进程相关的数据进行迁移,迁移的数据不仅包括内存和寄存器中动态数据(或称进程快照),还包括磁盘上的静态数据.为了让用户几乎无法感觉到“宕机”的发生,迁移必须高速进行;为了让进程能在新的机器上恢复运行,必须确保数据的完整性;另外,如果进程正在处理的是机密数据,还必须确保这些数据在迁移过程不会泄露.
(4)数据残留
数据残留是指数据删除后的残留形式(逻辑上已被删除,物理上依然存在).数据残留可能无意中透露敏感信息,所以即便是删除了数据的存储介质也不应该被释放到不受控制的环境,如扔到垃圾堆或者交给其他第三方.在云应用中,数据残留有可能导致一个用户的数据被无意透露给未授权的一方, 不管是什么云,SaaS、SaaS和PaaS都有可能.如果 一个未授权数据泄露发生,用户可以要求第三方或者使用第三方安全工具软件来对云服务提供商的平台和应用程序进行验证.迄今为止,没有哪个云服务提供商解决了数据残留问题.
(5)数据安全审计当数据以外包方式存储在云中时,用户会关注两个问题:外包存储的数据确实已存储到云中并归数据所有者所有;除所有者和授权用户外的任何人不能更新数据.这两个问题的解决都离不开安全审计.在数据存放到本地或企业可信域中时安全审计较易实现,而一旦将数据以外包方式存储到云中时,安全审计就变成了难题.显然,用户不可能将数据都下载下来后再进行审计,因为这会导致巨大的通信代价,更可行的思路是:只需取回很少数据,通过某种知识证明协议或概率分析手段,就能以高置信概率判断云端数据是否完整或为用户所有.
云数据安全存储框架
微软研究院的Kamara等人提出了面向公有云的加密存储框架.在该框架中,数据处理DP、数据验证DV、令牌生成TG和凭证生成CG是核心组件,这些组件工作在数据所有者的可信域中.数据处理组件负责在数据存储到云中前对数据进行分块、加密、编码等操作;数据验证组件负责验证存储在云中的数据块的完整性;令牌生成组件负责生成数据块访问令牌,云存储服务根据用户提供的令牌提取相应的密文数据;凭证生成组件负责为授权用户生成访问凭证.在访问授权时,数据所有者会将共享文件的令牌和凭证发往授权用户.授权用户使用令牌从云中提取共享文件的密文,使用凭证解密文件.该框架的主要特点有两个:数据由所有者控制;数据的安全性由密码机制保证.该框架除了能解决数据存储的隐私问题和安全问题外,还能解决数据访问的合规性、法律诉讼、电子取证等问题.不过,该框架只是一个宏观的模型,并没有给出具体实现方法.
云数据安全存储技术
(1)同态加密技术
同态加密是一种加密技术,运用这种技术可以实现对明文上执行指定的代数运算结果等同于在密文上的另一个(可能是不同运算)代数运算结果①同态加密,这个特性使得云计算面临的数据存储悖论迎刃而解.同态加密的思想起源于私密同态 ,它允许在不知道解密函数的前提下对加密数据进行计算。
(2)基于VMM的数据保护技术
鉴于云环境下虚拟机工作在虚拟化平台之上并由虚拟机监控系统或监控器进行管控,提出了一种基于VMM的云数据机密性保护方法,该方法基于SSL来保证数据传输的安全,利用Daoli安全虚拟监控系统保护数据存储的安全.数据在传输到云端前,用户客户端SSL模块会将数据加密.云端的操作系统接收到用户密文数据后,将密文数据提交给分布式文件系统.分布式文件系统的SSL模块会将数据解密以进行处理.如果用户要将数据保存到分布式文件存储系统,虚拟监控系统会在存储前对数据进行加密;反之,如果用户要从分布式文件存储系统中读取数据,虚拟监控系统会先将数据解密.该方法显著特点是将云端的操作系统和分布式文件系统进行了隔离,数据加解密由虚拟机监控系统来完成,实现了操作系统和用户数据的隔离.由于对于操作系统而言数据始终是加了密的密文,当虚拟机操作系统被攻破时,攻击者得到的都是加了密的密文数据,保证了内存数据和硬盘数据的安全性和机密性.该方案能保证多租户环境下隐私数据不会泄露给其他用户,但数据还是可能会泄漏给云服务提供商。
(3)基于加解密的数据安全存储技术
公有云中存储的数据一般属于外包数据,存在不少基于传统的加解密技术的研究来确保外包数据的安全.提出了基于代理重加密方法的数据分布式安全存储方案.数据所有者使用对称的内容加密密钥来加密文件内容,再使用主公钥加密所有的内容加密密钥,只有拥有主私钥的所有者才能解密这些内容加密密钥.所有者使用其拥有的主私钥和用户的公钥来生成代理重加密密钥.半可信服务器能使用代理重加密密钥将密文转化成指定授权用户能解密的密文,进而实现访问控制.该方案的主要问题是存在恶意服务器和任意一个恶意用户勾结就能计算出所有密文数据的解密密钥的漏洞,严重威胁着数据的安全.除此之外,用户访问权限得不到保护也是该方案的明显不足。
云数据安全审计研究
云数据安全审计面临两个难题。实际上,第2个难题是数据持有问题,第2问题是数据的完整性保护问题.云数据安全审计的重难点是数据的公开审计(或第三方审计),而一个理想的公开审计方案应具有这样几个特性:额外增加的时空代价小,隐私不会泄露,支持数据的动态变化(即支持数据追加、插入、修改、删除等基本操作)和支持批量审计。
参考资料
最新修订时间:2024-03-09 02:39
目录
概述
平台背景
聚合数据
参考资料