CN102882966A - 一种用于云计算***的内部数据传输方法 - Google Patents
一种用于云计算***的内部数据传输方法 Download PDFInfo
- Publication number
- CN102882966A CN102882966A CN2012103653797A CN201210365379A CN102882966A CN 102882966 A CN102882966 A CN 102882966A CN 2012103653797 A CN2012103653797 A CN 2012103653797A CN 201210365379 A CN201210365379 A CN 201210365379A CN 102882966 A CN102882966 A CN 102882966A
- Authority
- CN
- China
- Prior art keywords
- server
- cloud computing
- computing system
- data transmission
- transmission method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种云计算***的内外部数据传输方法,该方法在***中的所有服务器上都进行了密钥同步,自服务器运行开始,启动密钥同步进程;当第一服务器要与第二服务器通信时,第一服务器的通信进程判断可用标识是否被锁,若没有则读取向量,然后通信进程使用对称加密信息。当第二服务器接受到信息后,先判断可用标识是否被锁,若未锁则读取自己的向量。该技术方案可以有效提高云计算***的安全性。
Description
技术领域
本发明属于信息技术领域,尤其涉及一种云计算***的内部数据传输方法。
背景技术
云计算是一种按照用户需求、便利地通过网络获取计算资源的计算模式,这些资源可以来自一个共享的、可配置的资源池,并能够快速地获取和释放,它提供了一个全新的互联网商业服务模型,即用户可以通过网络以按需、易扩展的方式租用所需的服务。云计算技术利用高速互联网的传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电力一样使用这些资源。采用云计算的模式能够提高计算效率和资源的可用性。目前云计算领域主要分为SaaS(Software-as-a-Service)软件即服务;PaaS(Plartform-as-a-Service)平台即服务和IaaS(Infrastructure-as-a-Service)基础设施即服务。
网络信息传输的安全性是云***安全的重要组成部分,也是最容易受到恶意攻击的部分,对网络传输中的数据进行安全保护是十分必要的,而最有效的方法之一就是对数据进行加密。从用户交互接口接受用户请求,到接口向用户返回数据之前这段数据通信,都属于云内部的通信。提高云内部通信的安全性,对于整个云计算***的安全,以及提供用户可信的计算环境都有很重要的意义。目前云计算领域的现有方法均不能满足更高度安全性要求,因此急需要一种新的内部数据传输方法,从而有效提高云计算***内部通信的安全性。
发明内容
鉴于上述,本发明的目的是提出一种云计算***的内部数据传输方法,针对云计算***内部的数据通信进行加密的技术,可有效提高云计算的安全性。
为解决上述技术问题,本发明采用如下技术方案:
一种云计算***的外部数据传输方法,其特征在于:该方法在***中的所有服务器上都进行了密钥同步,自服务器运行开始,启动密钥同步进程;
当第一服务器要与第二服务器通信时,第一服务器的通信进程判断可用标识是否被锁,若没有则读取向量,然后通信进程使用对称加密信息。
当第二服务器接受到信息后,先判断可用标识是否被锁,若未锁则读取自己的向量。
优选的,网络传输时延必须小于运算间隔。
优选的,当遇到服务器故障停机或重启,密钥同步进程需要重新获得当前***的向量值。
优选的,为每一台服务器安装数字证书,配备公钥-私钥对。
上述云计算***内部数据传输方法可使得云平台中使用的服务器获得更高的速度,并且可有效提高云计算的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明的部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本发明的SSCMIC 模型架构图;
图2为本发明的加密过程示意图;
图3为本发明的解密过程示意图。
具体实施方式
本发明技术方案的云计算***的内部数据传输方法是一种新型的内部数据传输***。从用户交互接口接受用户请求,到接口向用户返回数据之前这段数据通信,都属于云内部的通信。提高云内部通信的安全性,对于整个云计算***的安全,以及提供用户可信的计算环境都有很重要的意义。
云计算与网格的不同点之一在于云计算中所有的服务器结点都可由统一的服务提供商来控制管理的。那么,服务提供商就有能力对所有的服务器都进行某一特殊配置,基于这一点,设计了一种适用于云内部通信的简单安全通信模型(SSCMIC)。SSCMIC模型架构如图1所示。该模型不需要额外的硬件,只需要在云中的机器上运行一个KeySyn的进程来同步密钥,加密通信机制的可实施性强。在SSCMIC模型中,网络上传输的都将是经过加密的数据,通过选取强度高的加密算法,可以增强传输中的安全性,达到保护数据的目的。
无论使用哪种云计算的服务模式(SaaS/PaaS/IaaS),数据安全都是重要的。云用户和云服务提供商都必须避免数据丢失和被窃,在使用公共云时,对于传输中的数据最大的威胁是不加密的通信机制。另一方面,对于速度的要求,使得非对称加密算法在大数据量传输的条件下并不可取。
对称密码体制的加密密钥和解密密钥相同,或者虽然不相同,但是由其中的任意一个可以很容易地推导出另一个。对称密码体制具有很高的保密强度,可以达到经受较高级破译力量的分析和攻击。云服务提供商采用的统一控制机制可以保证密钥能够通过安全可靠的途径传递。因此,SSCMIC模型选择基于对称加密的机制。
加密***中,一次性密钥是很理想的状态,但鉴于云是大规模的分布式***,各服务器之间通信显然是异步的,而为每一对服务器都涉及一个动态变更的密钥显然不可能,本发明提出同步密钥流这个解决方案。同步密钥流中的密钥满足以下两个条件:一是无规律性,这样能提高字典攻击的难度;二是经常变更,变相减少明文样本,增加分析出密钥的难度,这样可以大大增加破解的难度,提高***的安全性。
在云中的所有服务器上都添加一个***进程KeySyn 进行密钥同步。自服务器运行伊始,启动密钥同步进程KeySyn。该进程保有一个向量r(Kp, Kn,Tc)以及可用标识V。
每一个服务器的K0都是一样的,每经过ΔT的时间,KeySyn对Kn进行一次运算,并更新Kp和Tc。进程KeySyn的处理步骤如下伪代码所示:
Begin:
Kp= K0 ;
LOOP:
Lock(V);
Kp= Kn;
Kn=R( Kn);
Tc=ChangeTime( Tc);
Unlock(V);
Wait(ΔT);
gotoLOOP;
End;
其中R(x)是一种不可逆运算,其反函数不可得,即如果y= R(x),在已知x的情况下很容易计算得到y,但已知y却无法得到x。哈希运算很满足这个条件,并且通过哈希运算得到的结果也是无规律性的,也使得密钥满足之前提出的第一个条件,所以可以考虑用哈希运算实现函数R(x)。
同时在实施中,需要保证网络传输时延必须小于运算间隔,以到达在信息传递过程中,密钥最多发生一次变化的约束。事实上,在实际应用环境中,针对特定的应用服务群,完全不需要高频度地改变频率,所以可以设置 ΔT>> Max(T时延)。
如此,向量r(Kp,Kn,Tc)即为动态同步密钥流的密钥载体,为通信过程提供加密解密所需的密钥信息。
当服务器C1要与服务器C2通信时,C1的通信进程p1判断可用标识V 是否被锁,若没有则读取向量r(Kp,Kn,Tc)中的Kn,Tc。然后通信进程p1使用Kn加密信息(此处使用对称加密),并把Tc置于信息首两个字节D,明文传送。加密过程如图2所示,该过程用下面的伪代码表示:
Begin:
while(!V);
rn=Get_r();
Kn= rn Kn;
D= rn Tc;
CryptMsg=Crypt(Msg, K n);
SendMsg(D+CryptMsg);
End;
服务器C2接受到信息后,先判断可用标识V是否被锁,若未锁则读取自己的向量r(K p,Kn,Tc),将 Tc 与信息中首两个字节进行对比。如果一致,则使用 K n 解密后面的信息内容;如果 Tc >D,则使用 K p 解密消息。解密过程如图 4.3 所示。该过程用下面的伪代码表示:
Begin:
ReceiveMsg((D+CryptMsg);
while(!V);
rn=Get_r();
K n= rn K n;
K p= rn K p;
Tc= rn Tc;
if(D>= Tc)
DecryMsg=DeCry(Msg, K n);
else
DecryMsg=DeCry(Msg, K p);
End;
当遇到服务器故障停机或重启,KeySyn 进程需要重新获得当前***的 r 向量值,本发明设计了两种方法。
(1)KeySyn 需要保有一个计数器值 N,该数值用于记录当前的K n 值是由K0经过多少次R(x)运算得到的。服务器重启后,立即向云***的管理服务器询问N值和Tc,由此得出完整的r(Kp,Kn,Tc)向量值。这种方法保证了r向量中的密钥不在网络中传播。
(2)为每一台服务器安装数字证书,配备公钥-私钥对。参考可信计算组 TCG[40]提出的一个设计可信平台模块(TPM)的芯片的标准,现在已经捆绑在硬件产品上了。TPM 包含一个被认可的可以唯一标识 TPM(指物理主机)的私人密钥(EK),以及一些不能修改的加密了的功能。相应的制造商签署相应的公共密钥,以保证芯片的正确性和密钥的有效性。在云***内部搭建类似 CA 的特殊服务器,用于向云内部的服务器分配数字证书。服务器向云***的管理服务器直接询问当前***的 r 向量值,管理服务器用自己的私钥和请求服务器的公钥加密 r 向量后发送给请求服务器,请求服务器使用自己的私钥和管理服务器的公钥解密直接得到 r 向量。这种方法采用的是非对称加密的方法来保证 r 向量的安全性。加密通信可以提高数据的安全性,同时也会消耗一定的时间和资源,降低通信的效率。
在CPU为Intel P7350主频2.0GHZ,CPU数目设定为1,内存设定为 512M 的 Linux虚拟机上测试得到的三种常用对称加密算法的加密速度,其中行标题为加密所用数据块大小,单位为byte,数据单位为M/s。从对称加密算法速度测试结果可以看出,DES 算法加密速度平均为43M/S,安全性更高的 3DES 和IDEA的速度都超过了15M/S。测试使用的计算机配置远低于普通服务器,云平台中使用的服务器将可以获得更高的速度。现有家庭宽带速度一般为4M/S,局域网速度显示为100M/S,但实际传输速率一般也不会高过 10M/S。所以,正常情况下,15M/S 的加密速度并不会对数据通信产生明显的制约影响。因此,本发明提出的 SSCMIC 模型是有效的和可行的。
这里本发明的描述和应用都只是说明性和示意性的,并非是想要将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是完全可能的,对于那些本领域的普通技术人员来说,实施例的替换和等效的各种部件均是公知的。在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进行其它变形和改变。
Claims (4)
1.一种云计算***的外部数据传输方法,其特征在于:该方法在***中的所有服务器上都进行了密钥同步,自服务器运行开始,启动密钥同步进程;
当第一服务器要与第二服务器通信时,第一服务器的通信进程判断可用标识是否被锁,若没有则读取向量,然后通信进程使用对称加密信息;
当第二服务器接受到信息后,先判断可用标识是否被锁,若未锁则读取自己的向量。
2.如权利要求1所述的方法,其中网络传输时延必须小于运算间隔。
3.如权利要求1或2所述的方法,其中当遇到服务器故障停机或重启,密钥同步进程需要重新获得当前***的向量值。
4.如权利要求3所述的方法,其中为每一台服务器安装数字证书,配备公钥-私钥对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103653797A CN102882966A (zh) | 2012-09-27 | 2012-09-27 | 一种用于云计算***的内部数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103653797A CN102882966A (zh) | 2012-09-27 | 2012-09-27 | 一种用于云计算***的内部数据传输方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102882966A true CN102882966A (zh) | 2013-01-16 |
Family
ID=47484108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103653797A Pending CN102882966A (zh) | 2012-09-27 | 2012-09-27 | 一种用于云计算***的内部数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882966A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010007127A1 (en) * | 1999-12-10 | 2001-07-05 | Staring Antonius A.M. | Synchronization of session keys |
| CN1469272A (zh) * | 2002-06-10 | 2004-01-21 | ��彡 | 数字内容发行***和数字内容发行方法 |
| CN101976317A (zh) * | 2010-11-05 | 2011-02-16 | 北京世纪互联工程技术服务有限公司 | 一种私有云计算应用中虚拟机镜像安全方法 |
| CN102075542A (zh) * | 2011-01-26 | 2011-05-25 | 中国科学院软件研究所 | 一种云计算数据安全支撑平台 |
-
2012
- 2012-09-27 CN CN2012103653797A patent/CN102882966A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010007127A1 (en) * | 1999-12-10 | 2001-07-05 | Staring Antonius A.M. | Synchronization of session keys |
| CN1469272A (zh) * | 2002-06-10 | 2004-01-21 | ��彡 | 数字内容发行***和数字内容发行方法 |
| CN101976317A (zh) * | 2010-11-05 | 2011-02-16 | 北京世纪互联工程技术服务有限公司 | 一种私有云计算应用中虚拟机镜像安全方法 |
| CN102075542A (zh) * | 2011-01-26 | 2011-05-25 | 中国科学院软件研究所 | 一种云计算数据安全支撑平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3210335B1 (en) | Efficient start-up for secured connections and related services | |
| CN111448779B (zh) | 用于混合秘密共享的***、设备和方法 | |
| WO2014069778A1 (ko) | 아이디 기반 암호화, 복호화 방법 및 이를 수행하기 위한 장치 | |
| CN105656859B (zh) | 税控设备软件安全在线升级方法及*** | |
| CN103401678A (zh) | 一种保障物联网数据传输安全的方法 | |
| CN102024123B (zh) | 一种云计算中虚拟机镜像导入方法及装置 | |
| CN101005357A (zh) | 一种更新认证密钥的方法和*** | |
| KR20040033159A (ko) | 무선 데이터의 암호 및 복호 방법과 그 장치 | |
| CN102025744A (zh) | 一种云计算中虚拟机镜像导入和导出*** | |
| CN107204997A (zh) | 管理云存储数据的方法和装置 | |
| Seo et al. | Encryption key management for secure communication in smart advanced metering infrastructures | |
| CN107070642B (zh) | 多品牌密码机异构资源池复用技术 | |
| CN108632251A (zh) | 基于云计算数据服务的可信认证方法及其加密算法 | |
| KR102609578B1 (ko) | 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램 | |
| CN107896216B (zh) | 一种电力量测仪表的密钥管理、数据加密与身份认证方法 | |
| Hahn et al. | Efficient IoT management with resilience to unauthorized access to cloud storage | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和*** | |
| CN113259722B (zh) | 一种安全视频物联网密钥管理方法、装置和*** | |
| CN102984146A (zh) | 用于云计算的数据管理方法 | |
| US20210336781A1 (en) | Network device, method for security and computer readable storage medium | |
| CN103873257A (zh) | 密钥更新、数字签名及签名验证的方法及装置 | |
| CN105871926A (zh) | 一种基于桌面虚拟化的usb设备安全共享方法及*** | |
| Li et al. | A Proxy Re-Encryption Scheme Based on Elliptic Curve Group. | |
| CN102118311A (zh) | 一种数据传输方法 | |
| CN112020037A (zh) | 一种适用于轨道交通的国产通信加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130116 |