【正文】 的相應(yīng)修改。 圖 313 加載受限安全策略 權(quán)限審批 對于一般的企業(yè)文件管理系統(tǒng)，內(nèi)部文件共享的機制并不完善。當(dāng)用戶由于某些需要將該用戶的數(shù)據(jù)和其他某用戶進行共享時，可以通過權(quán)限控制來實現(xiàn)其他用戶瀏覽或下載該用戶在服務(wù)器端的映像文件，從而達到數(shù)據(jù)共享的目的 。 第 26 頁 共 71 頁 相關(guān)技術(shù)實現(xiàn)見下面的 Filedisk— 文件驅(qū)動源碼分析。 除此之外，用戶可以右鍵，更改映像文件的名稱、將映像文件的自動加載狀態(tài) 第 25 頁 共 71 頁 置為 “ 是 ” 從而在下次登錄的時候能自動加載該映像文件。 然后，客戶端程序檢查參數(shù)是否自動加載，如果為 “ 是 ” ，則向服務(wù)器發(fā)送加載該映像文件的請求。 屏幕拷貝 控制 屏幕拷貝主要通過對用戶鍵盤操作進行控制完成，一方面禁用屏幕拷貝按鈕，另外 一方面禁止具有屏幕拷貝功能的進程出現(xiàn)。這時鉤子函數(shù)既可以加工處理 （ 改變 ） 該消息 ， 也可以不進行處理而繼續(xù)傳遞該消息 ， 還可以強制結(jié)束消息的傳遞。二是操作環(huán)境的記錄與跟蹤審計。 圖 38 文件分塊存儲索引 上圖 38是 NameNode上文件分塊存儲索引。 容災(zāi)備份技術(shù) HDFS文件塊的概念 與普通的文件系統(tǒng)中分塊的概念基本相同 ，不過是更大的單元，默認(rèn)為 64 MB，這樣的一個好處是減少尋址時間開銷。 17. } 18. } 容崩自檢機制 沒有名稱節(jié)點，文件系統(tǒng)將無法使用 。 文件寫入剖析如圖37： 圖 37 文件寫入剖析 在 eclipse 中， 實現(xiàn)將本地文件復(fù)制到 Hadoop 文件系統(tǒng) (HDFS)并顯示進度 : 1. public class FileCopyWithProgress { 2. public static void main(String[] args) throws Exception { 3. String localSrc = args[0]。 第 19 頁 共 71 頁 圖 35 HDFS結(jié)構(gòu)圖 客戶端代表用戶通過與名稱節(jié)點和數(shù)據(jù)節(jié)點交互來訪問整個文件系統(tǒng) ， 如圖 35。 HDFS HDFS是為以流式數(shù)據(jù)訪問模式存儲超大文件而設(shè)計的文件系統(tǒng)，在較低配置要求硬件的集群上運行。如果其中一個任務(wù)失敗， jobtracker 可 以 重 新 調(diào) 度 任 務(wù) 到 另 外 一 個 MapReduce,稱為輸入分片 第 18 頁 共 71 頁 (input split)或分片。 第 17 頁 共 71 頁 圖 34 透明加解密過程 云平臺 管理 技術(shù) 云計算簡介 云計算 (Cloud Computing)是分布式處理 (Distributed Computing)、并行處理 (Parallel Computing)和網(wǎng)格計算 (Grid Computing)的發(fā)展，或者說是這些計算機科學(xué)概念的商業(yè)實現(xiàn)。 加解密采用 分組長度 128 位 的 AES 加密算法。 2) 應(yīng)用層源碼分析 mount 調(diào)用 DefineDosDevice在應(yīng)用層創(chuàng)建一個指向設(shè)備命名空間的符號鏈接，用CreateFile 打開此鏈接，然后調(diào)用 DeviceIoControl ，控制碼是IOCTL_FILE_DISK_OPEN_FILE，內(nèi)核程序響應(yīng)后，執(zhí)行真正打開源映像文件的操作。 FileDiskCloseFile：調(diào)用 ZwClose關(guān)閉文件。 return status。 n n_devices。object_attributes, amp。 //參數(shù)的路徑 RTL_QUERY_REGISTRY_TABLE query_table[2]。如果驗證通過， A 確認(rèn)通信對方為 B ,并對 ( || )AP A BID RE進行解密，解密 ( ( || ))AP A BID RE= ||ABID R ，再分離出 AID 和 BR ； ④ A 將求得的 BR 用 B 的公鑰 BP 加密傳送給 B ,因為只有合法的 A 可以求得BR 從而可以得到正確的 ()BPBRE ； B 只需用自己的私鑰 BS 解密 ()BPBRE 即可得到 BR ，將此 BR 與原來的 BR 對比就可 以確認(rèn)對方是否是意定的通信方 A. 該身份認(rèn)證技術(shù)具備以下特點： ⑴ 實現(xiàn)了通信雙方的交互認(rèn)證； ⑵ 防敵手的假冒攻擊； ⑶ 防重放攻擊； ⑷ 提供了消息的機密性和完整性保護。云存儲標(biāo)準(zhǔn)可以幫助用戶解決日益增長的數(shù)據(jù)的可訪問性、安全性、移動性和成本問題，還可以幫助明確定義與數(shù)據(jù)所有權(quán)、歸檔、發(fā)現(xiàn)和搜索相關(guān)的角色和職責(zé)。企業(yè)內(nèi)部，成員之間可以進行方便快捷的文件共享，但對于部門之間的共享行為，需要通過相關(guān)部門的負責(zé)人進行審批。 與上述工作相比，本作品有自己的獨特之處，主要表現(xiàn)為： 本作品能在實現(xiàn)文件共享的前提下保障文件安全，將內(nèi)部泄密的可能性降低到最小。它 在一定程度上可以規(guī)范計算機用戶的網(wǎng)絡(luò)行為，降低了內(nèi)部 人員對企業(yè)網(wǎng)絡(luò)發(fā)起攻擊的風(fēng)險，然而卻將用戶帶到了一個兩難的境地：用戶要么為了必要的、正常的工作交流而留一些 “ 口子 ” ，從而大大降低系統(tǒng)的可靠性；要么就堵死所有的 “ 漏洞 ” ，以犧牲方便性為代價來換取嚴(yán)格的安全性。 外網(wǎng)安全系統(tǒng) 在計算機安全產(chǎn)品中，殺毒軟件、防火墻、入侵檢測等系統(tǒng)。 高效方便。 文件加密后在信道中分塊傳輸至云端 ，防止惡意的網(wǎng)絡(luò)監(jiān)聽、截獲，確保傳輸過程中的安全性。 特色 描述 作品分為三個組成部分： 代理服務(wù)器、云端和客戶端。海量的存儲數(shù)據(jù)會給服務(wù)器造成很大的負擔(dān)，降低讀寫效率。 為了保障企業(yè) 或部門 內(nèi)部的信息安全，目前安全界采用了多種防護手段和技術(shù)，包括 外網(wǎng)安全系 統(tǒng) ，如 殺毒軟件、防火墻、入侵檢測等系統(tǒng) ， 主動型文件和文件夾加密系統(tǒng) ， 網(wǎng)絡(luò)監(jiān)控與審計系統(tǒng) ， 文件權(quán)限集中管理系統(tǒng) 等，然而他們均存在 安全 漏洞，防不住內(nèi)部人員主動泄密。 同時 刪除多個服務(wù)器，關(guān)閉一個內(nèi)存網(wǎng)絡(luò)， 使員工無法登陸，網(wǎng)上購物平臺也不能運作 給企業(yè)造 成了重大損失。 關(guān)鍵字： 云 計算 ， 虛擬磁盤， 透明加密，權(quán)限審計， 文件共享 第 2 頁 共 71 頁 第二章 作品介紹 背景與意義 文件 共享 是企業(yè)信息化進程中提高生產(chǎn)效率的基石。 所以， 解決安全性和數(shù)據(jù)共享之間的矛盾，在保證用戶數(shù)據(jù)安全、操作簡單、使用方便的前提下能實現(xiàn)數(shù)據(jù)的共享，成了確保 業(yè)務(wù) 信息化健康發(fā)展的關(guān)鍵所在。 3. 作品報告中各項目說明文字部分僅供參考，作品報告書撰寫完畢后，請刪除所有說明文字。除標(biāo)題外，所有內(nèi)容必需為宋體、小四號字、 。但是這樣的一系列措施又給業(yè)務(wù)上帶來了諸多不便，這與業(yè)務(wù)要求本地數(shù)據(jù)安全可靠、內(nèi)部資源共享方便安全等需求自相矛盾，因而相關(guān)部門在實際實施過程中并沒有嚴(yán)格按規(guī)定進行，從而導(dǎo)致了安全隱患。 測試表明，本作品功能 較 完善、性能良好， 通過高效快捷的存儲管理機制，能夠有效地對抗 強制說出密碼的威脅 ，防止硬件故障造成的損失，將內(nèi)部故意泄密的危險降到最低，從而有效保障企業(yè) 開發(fā)、電子政務(wù)過程中 安全 的 內(nèi)部文件共享。他 因為對公司做法感到不忿，以及想要炫耀自己的才能，多番入侵 Gucci的計算機系統(tǒng)，干擾網(wǎng)絡(luò)的運作，關(guān)閉服務(wù)器及刪除內(nèi)存數(shù)據(jù)， 使得 Gucci 計算機網(wǎng)絡(luò)的文件及電郵功能癱瘓將近 24 小時，大部分文件及電郵 也 被刪除， Gucci 對此進行修復(fù)及補救，花費逾 20 萬元。 傳統(tǒng)的安全防護手段已經(jīng)難以應(yīng)對目前的安全威脅 。企業(yè) 再也不能只管理自己的數(shù)據(jù)，未來的成功很大程度上取決于能否從其他 組織的數(shù)據(jù)中提取出價值。 鑒于以上背景，本作品旨在開發(fā)一款基于云平臺的分布式文件管理系統(tǒng)，以云平臺為基礎(chǔ)， 結(jié)合虛擬磁盤技術(shù)，從文件的信道傳輸以及存儲方式、瀏覽方式入手，進行透明 加解密，同時 采用 平臺分塊存儲 和云平臺管理技術(shù)達到 防災(zāi)備份，確保數(shù)據(jù)的安全性，從而保障了 相關(guān) 企業(yè) 或部門 業(yè)務(wù)、開發(fā)和電子政務(wù)的順利進行 。 權(quán)限審批結(jié)果進行日志記錄，方便管理以及追究責(zé)任。 HDFS文件塊通過索引表進行管理，不僅能減少尋址時間開銷，還能在一個塊發(fā)生損壞或機器故障時，在其他地方讀取另一個副本并復(fù)制，通過查看 文件塊分配索引表，將新的副本存放在選定的數(shù)據(jù)結(jié)點上。然而他們都存在一定的缺陷。企業(yè)中計算機管理人員對每一臺涉密計算機進行監(jiān)控，并可根據(jù)這些操作制定不同的策略，這種系統(tǒng)的核心便是 “ 監(jiān)視 ” 、 “ 控制 ” 、 “ 審計 ” ，而其基本思想在于 “ 堵漏洞 ” 。當(dāng)采用實時加密技術(shù)時，在大文件的打開或保存時會有一定的延遲現(xiàn)象。對于部門一每個員工來說，他可以通過云終端（客戶端）創(chuàng)建自己的用戶空間。 性能指標(biāo) 登錄系統(tǒng)的響應(yīng)時間： 映像文件的大?。?2M～ 4G 映像文件在局域網(wǎng)中的傳輸速度：大于 12M/s（視帶寬而定） 加解密速度：不低于 40M/s 相關(guān)技術(shù)與原理 近年來，云存儲技術(shù)發(fā)展日益成熟。由于只有合法的 B 才擁有私鑰 BS ，因 此 A 就可以通過上述等式成立與否確認(rèn)通信對方是否為 B。 Filedisk— 文件驅(qū)動 技術(shù) 1) 核心層源碼分析 DriverEntry DriverEntry (IN PDRIVER_OBJECT DriverObject , IN PUNICODE_STRING RegistryPath) { UNICODE_STRING parameter_path。 //已經(jīng)創(chuàng)建設(shè)備的個數(shù) …… InitializeObjectAttributes( amp。 for (n = 0, n_created_devices = 0。 第 14 頁 共 71 頁 } } if (n_created_devices == 0) { ZwClose(dir_handle)。 FileDiskOpenFile：根據(jù)用戶程序傳入的映像文件全路徑，調(diào)用 ZwCreateFile在內(nèi)核中打開它，如果文件不存在則再創(chuàng)建它，返回文件句柄。 有 4種操作是自定義的 FileDiskReadWrite 函數(shù)兩種， FileDiskDeviceControl函數(shù)兩種，對應(yīng)的操作碼分別是： IRP_MJ_READ ， IRP_MJ_WRITE ， IOCTL_FILE_DISK_OPEN_FILE ，IOCTL_FILE_DISK_CLOSE_FILE這 4種， 在 FileDiskThread中 等待這 4種事件發(fā)生，如果等到，就調(diào)用相應(yīng)的函數(shù)處理。即在正常使用時，計算機內(nèi)存中的文件是以受保護的明文形式存放，但硬盤上保存 的卻是加密狀態(tài)的 數(shù)據(jù) 。在派遣函數(shù)中執(zhí)行加解密操作，加解密操作結(jié)束后，得到結(jié)果， 并將結(jié)果返回給 IO 管理器 。 Tasktracker運行任務(wù)的同時，把進度報告?zhèn)魉偷?jobtracker,jobtracker則記錄著每項任務(wù)的整體進展情況。這就是所謂的 data locality optimization（ 數(shù)據(jù)局部性優(yōu)化 ） 。名稱節(jié)點也記錄著每個文件的每個塊所在的數(shù)據(jù)節(jié)點，但它并不永久保存塊 的位置，因為這些信息會在系統(tǒng)啟動時由數(shù)據(jù)節(jié)點重建。NameNode負責(zé)維持整個文件系統(tǒng)的負載均衡以及分塊副本數(shù)目。 15. 16. (in, out, 4096, true)。在這種情況下，一般把存在 NFS上的主名稱節(jié)點元數(shù)據(jù)復(fù)制到二級名稱節(jié)點上并將其作為新的主名稱節(jié)點運行。另外，對于完整性，由于所有映像文件分塊存儲在云端，而數(shù)據(jù)分塊副本機制為實現(xiàn)容錯、容災(zāi)和備份奠定了 第 22 頁 共 71 頁 基礎(chǔ)。包括兩大版塊，一是安全策略的實施，對業(yè)務(wù)系統(tǒng)操作 進行安全控制。當(dāng)消息到達后 ， 鉤子機制允許應(yīng)用程序截獲處理窗口消息或特定事件。 系統(tǒng)調(diào)用剪貼板的簡化步驟為 :首先通過調(diào)用 OpenClipboard函數(shù)打開剪貼板 ， 如果是獲取剪貼板的內(nèi)容則調(diào)用 GetClipboardData函數(shù) ， 如果是設(shè)置剪貼板內(nèi)容則先通過調(diào)用 EmptyClipboard函數(shù)清空剪貼板 ， 然后調(diào)用 SetClipboardData設(shè)置剪貼板內(nèi)容（ 在獲取和設(shè)置剪貼板內(nèi)容的函數(shù)的參數(shù)中都要有相應(yīng)的數(shù)據(jù)格式 ） 。 接著，服務(wù)器端的程序?qū)⑦@些信息傳給客戶端，客戶端成功接收到這些信息后，將這些信息顯示在磁盤管理界面上。 該功能給用戶的體驗是 ， 本 地憑空多出來了一個磁盤，這個 磁 盤可以像其它本地磁盤一樣進行格式化、添加文件、刪除文件等操作。 ? 卸載虛擬磁盤：將創(chuàng)建的虛擬磁盤從資源管理器中卸載，系統(tǒng)將磁盤里面的內(nèi)容更新到映像文件中去，并用對應(yīng)的密鑰進行加密，并自動將其上傳到服務(wù)器上 。 第 28 頁 共 71 頁 權(quán)限控制 圖 312 權(quán)限控制界面 用戶對其它用戶的映像文件 默認(rèn)的權(quán)限是不可 加 載且不可瀏覽。 如圖 。除此之外，管理員還可以設(shè)置每個用戶在