您当前的位置:成果库 > 轻量级多域安全私有云
基本信息
- 成果类型 高等院校
- 委托机构 西安电子科技大学
- 成果持有方 西安电子科技大学
- 行业领域 计算机科学与技术
- 项目名称 轻量级多域安全私有云
- 知识产权 软件著作权
-
项目简介
(一)项目背景
2018 年工信部印发了《推动企业上云实施指南(2018 年-2020 年)》, 指导和促进企业运用云计算加快数字化、网络化、智能化转型升级。目前多个省市出台了企业上云政策文件,政务云、金融云、交通云、能源云、电信云稳步推进,企业上云将进入长规划阶段。2020 年国家发展改革委和中央网信办联合发布了《关于推进“上云用数赋智”行动 培育新经济发展实施方案》,呼吁进一步加快产业数字化转型,在企业“上云”等工作基础上, 打造数字化企业,提升企业发展活力。据IDC 预测,到 2023 年中国私有云IT 基础架构支出将成全球最大市场。
然而,在企业上云尤其是中小企业上云中广泛存在着“不能用、不会用、不好用、不敢用”等许多问题。部分私有云基础功能不足,缺乏对虚拟云桌面的支持,不能根据企业实际需求进行定制化服务,缺乏对工作负载、使用率、流量和性能等的可视性,给企业管理带来巨大的盲点,严重限制了中小企业上云的落地实施。部署安装繁琐复杂,许多企业选择具有高难度和复杂性的OpenStack 等开源云平台,部署时间动辄数小时,且需要专业技术人员进行人工运维,缺乏完备的自动化运维系统,导致运维成本居高不下。通信及数据缺乏加密,数据冗余度低,没有可靠的安全防护体系,极易造成数据信息丢失泄露,导致灾难性的后果。这些问题直接影响着企业使用和数据安全,制约了企业上云的进一步发展、应用和普及。
(二)项目简介
本项目瞄准网络空间安全国家战略需求,立足学科前沿,坚持自主创新,依托国家“863”“973”、国家自然基金委、科技重大专项等项目,是行业内最早实现容器化部署和管理的轻量级云计算平台系统,支持高异构、广分布、多模式的非标准化软硬件的统一管控,提供 Iaas、PaaS 和SaaS 全栈服务,具有可组合配置的数据安全、计算安全和系统安全等智能防护能力,满足对信创产品和国产密码的良好兼容性,已在军事国防、电子政务、智能制造、航空电子、智慧城市、金融科技等领域得到实施应用。该项目申请/授权国际PCT 专利 4 项、国家技术发明专利 20 余项,获得 2019CCTV 中国十大创业榜样、中国“互联网+”大学生创新创业大赛陕西赛区金奖、陕西省科技工作者创新创业大赛银奖等。
相比于,同类的云计算解决方案,本项目能够有效防御各类外部和内部安全攻击与威胁,避免计算功能泄露、计算过程缺失和计算结果篡改等损失,率先实现了云计算平台的自证清白和主动安全。具体而言,本项目的主要核心技术和创新点是:(1)数据安全,提供域内数据安全存储、域外数据访问控制、域间数据可靠交换等数据安全能力;(2)计算安全,具备程序逻辑机密性保护、运算过程完整性保护和运算结果完备性验证等计算安全功能;(3)系统安全,通过态势感知与智能响应进行一站式健康管理,利用统一安全认证机制实现一体化安全认证,基于移动存储设备提供一键式快速部署,解决云计算平台部署建设繁复、运行维护困难的问题。
本项目已申请/授权专利 10 余件,获得软件著作权 7 件,有效解决了私有云产品兼容性与灵活性差,部署实施难,管理控制成本高、数据泄露丢失等行业应用痛点,已在教育、商业、军事、航空等领域实际应用。例如,在西安电子科技大学、河南工业大学、西安理工大学、河北师范大学、海南大学等高校建立了具有多个域的教育云安全平台;被中国人民解放军中央军事委员会联合参谋部某部队采购,应用于内部办公系统;为中国科学院无锡物联网研究中心视频物联网系统提供了云计算安全支撑平台;与河南金路网、山东金口玉芽智慧农业、中国航空工业第六三一研究所等企业及机关单位达成深度合作;本项目相关方案和产品先后获得 2019 年“沣东杯”陕西省科技工作者创新创业大赛银奖、第五届中国“互联网+”大学生创新创业大赛陕西赛区金奖、2019CCTV 十大创业榜样等,未来将与政务、金融、医疗、军工等对私有云安全有迫切需求的行业深度合作,力争成为国内私有云安全的领航者。
(三)关键技术
轻量级多域安全私有云包括软件、硬件等各类系统,提供存储、计算、网络等多种虚拟化资源,涉及服务提供者、用户、第三方机构等诸多角色, 本项目将其抽象描述为一种分布式多域的云计算系统,从数据、计算、系统三个维度,如图 1 所示。
总体思路如下:
首先,以数据安全保护为主线,解决当前云数据安全产品的分治化严重、普适性差、连续性弱等问题,根据云计算平台中数据所处位置的不同, 形成覆盖域内、域间和域外的完整数据安全保护功能集与产品链。
其次,以计算安全保护为主题,突破传统技术复杂度高、先危害后补救等困境,基于新型密码学原理和技术,设计开发具有主动防御机制的云脑安全计算组件,保护程序逻辑的机密性、计算过程的完整性、输出结果的完备性。
最后,以系统健康管理为主旨,克服现有云计算管理系统面临的部署配置繁复、监管响应滞后等限制,为用户提供友好易用的安装管理入口, 实时对云脑平台进行全面体检和态势感知,智能化地分析安全风险和威胁, 自动化地预警响应和动态处理。
本项目在研发和实施过程中,充分利用最新前沿成果与理念,实现了主动自适应安全防御机制,保持了功能、性能、安全和兼容方面的动态平衡,主要技术创新内容如下:
1. 全方位数据安全:数据安全实现在未经用户授权的情况下,谁也见不着,得不到,看不懂,形成良好的云端数据安全生态。
基于可证明数据恢复、可验证数据拥有等新型安全技术,构建高效的域内数据加密存储、密文操作方案,实现云端数据的安全可靠存储;利用分层分级密钥分配、访问控制加密等密码学工具,设计支持动态用户和数据的双向认证方法,对域外数据提供细粒度的访问控制和权限管理;结合不经意随机访问机、区块链(智能合约)等原理,建立数据安全传输、延伸控制与回溯验证方法,保障域间数据的安全交互和协同共享。
2. 全过程计算安全:计算安全实现不让他人知道有什么、干什么和得到了什么,保证用户的安全和隐私,使得云平台可以自证清白。
通过程序分析转义、功能解析盲化等手段,阻止包括云平台在内的其他人窥视并获取原始用户程序,保护程序逻辑机密性;利用程序标注监督检查、随机飞行检查,防止程序流程被破坏或缺失,保障计算过程完整性;借助可验证计算、多方冗余校验等方式,防止计算结果错误或被篡改,可靠审查计算结果的正确性,确认输出结果完备性。
3. 全天候健康管理:系统健康管理为云计算平台提供实时的体检,保证云脑平台自动化运行、智能化维护、快捷化管控。
利用态势感知、机器学习等理念,设计系统运行状态和日志的收集、存储、展示、分析综合化解决方案,实现一站式健康管理;结合单点登录、多因素认证、智能无感验证等技术,提出基于 U 盾的统一安全认证机制, 支持一体化安全认证;自研支持异构虚拟技术的管理中间件,提出基于移动存储设备的云计算平台部署方法,实现一键式快速部署。
在云计算平台安全防御方面,当前主流云服务提供商和云安全服务提供商的主要措施和手段仍然基于入侵检测、病毒查杀、安全隔离等传统技术,被动式地处理各类外部安全事件和攻击,较少涉及内部安全问题;本项目在研发和实施的过程中,关注数据和计算本身的保护,利用新型密码学方法,结合区块链和机器学习等新理念,实现了主动安全防御和自适应安全防御机制,积极阻断外部和内部的安全威胁,保持了功能、性能、安全和兼容方面的动态平衡。
在云计算平台建设部署方面,与 OpenStack、CloudStack 和 VMware vCloud 技术对比,本项目在灵活性、实时性、安全性、兼容性和部署效率上优势明显,
交易信息
- 意向交易额 面议
- 挂牌时间 2023/03/28
- 委托机构 西安电子科技大学
- 联系人姓名 苏老师
- 联系人电话 13991958837
- 联系人邮箱 51978575@qq.com
- 分享至: