云计算中数据隐私性保护策略研究.docVIP

云计算中数据隐私性保护策略研究 　　【摘要】 　　随着云计算技术的广泛应用与普及，用户数据隐私保护正在成为一个重要挑战。例如：在公共云中，当用户数据上传到了云服务器端，用户就不再能够保证数据是受到保护的。本文研究探讨了一种可靠的数据隐私保护的途径，并借助可信计算技术和虚拟机监控器，实现了Destroy原型系统。实验表明，通过数据生命周期管理，利用可信的虚拟机监控器负责保护敏感数据，按照用户命令对相关数据进行彻底销毁，可以有效地保护数据隐私性。 　　【关键词】 　　云计算 数据隐私性保护 虚拟化 Destroy原型系统 　　一、引言 　　云计算作为未来IT应用的发展方向之一，正迅速在企业级应用中普及。然而，目前大部分云计算的应用主要局限于对于企业内部IT资源的虚拟化和自动化管理，由于所有数据由企业自己管理，这种云计算模型称为私有云。云计算的另一种模型为公共云或者称为第三方云。它有着更大的灵活性和成本优势，企业能够将计算和存储外包给云计算提供商，而不需自己购买设备或投入专业人力来做云系统的维护，还能在计算需求变化时灵活地增减云资源的租用。但是，计算和存储的外包意味着数据的外包，对于一些敏感和私密的数据，企业在租用云计算服务时还是存在顾虑。目前，数据隐私性问题是公共云普及中最重要的难题之一，用户担心敏感数据一旦上传到云服务器端，就失去了对数据的绝对控制权，其隐私性就可能受到多个方面的威胁。 　　为加强公共云计算中的数据隐私性保护，本文研究了用户数据生命周期的隐私性管理，并基于Xen虚拟机监控器和CHAOS系统，提出了Destroy原型系统。Destroy保证了明文形式的用户数据只存在于私密运行空间中，用户密钥只存在于虚拟机监控器的内存空间，实现了在用户指定的时间点内，内存中的数据以及用户密钥将被强制销毁，从而确保了数据的私密性。 　　二、技术背景 　　2.1基于虚拟机监控器的进程保护技术 　　Xen和CHAOS等系统借助虚拟机监控器将用户数据与操作系统的运行空间隔离，为用户数据在运行时提供一个私有运行空间，用户数据与操作系统的内存空间是隔离的，操作系统无权直接访问，这保证了即使操作系统被攻击者入侵并控制，也无法获得用户数据在内存中的信息。 　　在虚拟化环境中，虚拟机监控器运行于最高特权级，所有系统结构性事件都会首先陷入虚拟机监控器中。系统结构性事件是指会引起从非特权级到最高特权级陷入的事件，包括外部中断、异常与陷入，系统调用、特权指令的执行等。 　　2.1.1用户进程内存保护技术 　　X86体系结构的MMU（内存管理单元）由段寄存器和页表组成。所有CPU对内存的访问都需要经过MMU的翻译和权限检查。在一个虚拟化的系统中，虚拟机监控器取代了操作系统，控制整个物理内存的分配和访问权限设置，反映在具体的硬件环境中，段寄存器和页表是由虚拟机监控器维护的，操作系统对其没有写权限，虚拟机监控器负责将物理内存分配给多个虚拟机，每个虚拟机中的操作系统负责分配属于该虚拟机的内存给各个用户进程。所不同的是，操作系统不能直接操作为页表来完成内存分配和回收，由于页表对于操作系统是只读的，对页表的修改会触发页保护异常，虚拟机监控器在处理该异常时会审核操作系统所要映射内存的合法性，然后再代操作系统作页表的修改。 　　CHAOS为操作系统和需要保护的用户进程提供2张不同的页表。在用户进程的页表中有完整的对用户态内存的映射，而在操作系统使用的页表中，这部分的映射被完全清除。也就是说，操作系统无法通过MMU访问到用户进程的物理内存。另一方面，虚拟机监控器会对每个物理内存页记录一些信息，标记其是否属于某个受保护的用户进程。当操作系统进行内存映射操作时，虚拟机监控器会拒绝其对于受保护内存页的映射请求。 　　2.1.2数据交换保护 　　用户进程内存保护技术完全禁止了操作系统对受保护的用户进程内存的访问。然而，其中一些访问是合法的和必须的。这些访问包括系统调用传参、文件读写、内存映射的文件读写，以及信号的返回栈等。CHAOS使用虚拟机监控器透明地中转这些数据。例如在系统调用传参时，虚拟机监控器根据系统调用接口的传参语义，将存在于栈和堆上的参数拷贝到操作系统能够访问的中间缓存中，并修改系统调用指针，使其指向缓存中的对应位置。 　　在进程进行文件读写时，无论是通过sys-read或sys-write等系统调用还是通过内存映射的文件读写，CHAOS都通过虚拟机监控器作为中间人来辅助数据交换。并且，CHAOS系统利用这一时机，同时进行了数据的加解密。 　　2.1.3数据的传输和加解密 　　CHAOS为每个受保护的进程都维护了一个已打开文件的列表。在进程进行文件读写时，如果所访问的文件是本地磁盘文件，则虚拟机监控器将对此次文件读写加入额外的加解密处理。 　　在用户进程进行文件读写