【正文】 上的serviceip被收回的同時(shí)，datavg01 也被varyoff。啟動(dòng)HACMP，主機(jī)備機(jī)上都啟動(dòng)Smit clstart查看HA服務(wù)是否正常，結(jié)果表明HA服務(wù)正常啟動(dòng)，IBM HACMP 搭建成功,如圖所示.服務(wù)器故障測(cè)試：當(dāng)bootip/serviceip 網(wǎng)卡故障時(shí)，serviceip 會(huì)自動(dòng)切換到standbyip的網(wǎng)卡上，保證服務(wù)連接的可用性。IBM HACMP的搭建硬件軟件要求：IBM P520 小型機(jī)兩臺(tái)，配置本地硬盤以及雙網(wǎng)卡IBM DS4300 存儲(chǔ)一臺(tái)AIX 操作系統(tǒng)，HACMP 集群軟件操作系統(tǒng)的安裝配置：首先安裝aix ，安裝HACMP所需要的軟件包，列表如下 ,syscalls 主機(jī)網(wǎng)絡(luò)地址的配置(此配置通過smit菜單可以實(shí)現(xiàn) ）A01服務(wù)器：en0::A02服務(wù)器: en0::Datavg的配置，只需要在主機(jī)上配置，備機(jī)執(zhí)行importvg 即可,創(chuàng)建vg之后，關(guān)閉vg，使得備機(jī)能夠?qū)g信息importvg將vg信息導(dǎo)入到備機(jī)上，并且關(guān)閉卷組，以便安裝HA軟件應(yīng)用系統(tǒng)的啟動(dòng)腳本配置,串口線心跳測(cè)試（兩臺(tái)服務(wù)器通過心跳來判斷對(duì)方是否故障，一旦故障即接管對(duì)方服務(wù)）,磁盤心跳測(cè)試（兩機(jī)應(yīng)出現(xiàn) link operating normally 信息，表示磁盤心跳連接正常）使用獨(dú)立的pv來建立heartvg（要與datavg分開）mkvg y heartvg s 128 hdisk11通過smit菜單 安裝hacmp軟件（安裝過程不做敘述）配置雙機(jī)的網(wǎng)絡(luò)地址,備機(jī)相同的配置.建立雙機(jī)信任關(guān)系（主機(jī)備機(jī)相同配置）,.將HA服務(wù)寫入到/etc/inittab 并確定服務(wù)開啟,.以下操作用smit菜單進(jìn)行，可以只在一臺(tái)服務(wù)器上配置即可首先配置集群名稱： add a hacmp cluster =usc為集群添加兩個(gè)節(jié)點(diǎn)：add node =選擇兩個(gè)boot地址 （A01_BOOT,A02，BOOT)定義兩個(gè)節(jié)點(diǎn)的機(jī)器名：add a note to ha cluster = 以及配置各自的munication path 為自己的BOOTIP配置集群中的網(wǎng)絡(luò)類型：configure HA networks =確定系統(tǒng)net_ether_01 有兩種網(wǎng)絡(luò)類型，即bootip和standbyip兩個(gè)網(wǎng)段，并且將net_ether_01的 enable ip address tabkeover via ip aliases 設(shè)置為no，并且還要確定系統(tǒng)的串口心跳網(wǎng)絡(luò)和磁盤心跳網(wǎng)絡(luò)是否存在，不存在的話，要手工天劍心跳網(wǎng)絡(luò)。當(dāng)一臺(tái)服務(wù)器放生故障時(shí)，另一臺(tái)服務(wù)器將接管故障服務(wù)器的服務(wù)，從而實(shí)現(xiàn)服務(wù)的高可用。對(duì)此各個(gè)廠商都有自己的相應(yīng)的高可用集群，以此來保證服務(wù)的高可用性，服務(wù)的連續(xù)性不會(huì)受到服務(wù)器的故障而中斷，本論文重點(diǎn)研究的是IBM HACMP 。云計(jì)算中心采用云防護(hù)盾技術(shù)與虛擬環(huán)境進(jìn)行無代理動(dòng)態(tài)集成，這種技術(shù)使得休眠或者關(guān)機(jī)狀態(tài)下虛擬機(jī)能夠獲得最新的安全保護(hù)。即時(shí)啟動(dòng)的防護(hù)間隙：虛擬機(jī)的存在本身是為了提高資源利用率。資源的有限性：虛擬機(jī)分布在真實(shí)的物理服務(wù)器上，對(duì)于單個(gè)虛擬機(jī)來說其資源是有限的，拒絕服務(wù)攻擊，不僅能耗盡虛擬機(jī)自身的資源，而已還會(huì)影響到其他虛擬機(jī)，最后蔓延到整臺(tái)物理服務(wù)器，導(dǎo)致服務(wù)器的宕機(jī)。存在惡意的虛擬機(jī)用戶攻擊盜取同一臺(tái)物理服務(wù)器上其他服務(wù)器的用戶信息，對(duì)此，云計(jì)算平臺(tái)中心可以采用建立安全的可信平臺(tái)模塊和可信密碼模塊的方案，即在真是的物理上安裝一塊安全芯片，能夠抵抗相應(yīng)的軟件攻擊，還能夠提供秘鑰、加密、解密，數(shù)字簽名等安全功能，以此來作為信任系統(tǒng)的基礎(chǔ)。內(nèi)部攻擊：云服務(wù)中心的服務(wù)器架構(gòu)是一臺(tái)物理服務(wù)器上部署有多臺(tái)虛擬機(jī)，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，已經(jīng)不再適用于虛擬化的內(nèi)部平臺(tái)。常見的攻擊有暴力破解虛擬機(jī)管理機(jī)登錄密碼來控制其管理的虛擬機(jī)，拒絕服務(wù)攻擊則是使得虛擬機(jī)管理機(jī)宕機(jī)，造成其管理的所有虛擬機(jī)必須重新啟動(dòng)。選擇的云服務(wù)商不同，采用的虛擬化技術(shù)也不同，如IBM的power vm，vmware的 vm等等，各大服務(wù)商都能夠提供一個(gè)完整的虛擬化解決方案，虛擬化安全也日趨得到加強(qiáng)。 (x1*x2)因此RSA滿足乘同態(tài)加密。 (x1) * 167。RSA的乘同態(tài)性證明存在任意兩個(gè)大素?cái)?shù)p,qa=p*q存在整數(shù)ed=e1 moda加密算法167。 (x1*x2)即滿足 x1*x2=167。 (x1)*167。 (x1)=x1e167?！?x1+x2），滿足加同態(tài)乘同態(tài)加密存在加密關(guān)系167。 (x1+x2)解密關(guān)系為167。 (x1)+167。 (x1)=ax1167。加同態(tài)加密：存在加密關(guān)系167。通俗的來講，就是允許對(duì)加密之后的密文進(jìn)行特定的運(yùn)算，運(yùn)算的結(jié)果仍然是保密的，將得到的結(jié)果解密之后，與明文進(jìn)行相同的運(yùn)算的結(jié)果相同，對(duì)于云計(jì)算的數(shù)據(jù)保密性具有重要意義。用戶只需要將加密數(shù)據(jù)傳輸?shù)皆品?wù)中心，不需要進(jìn)行解密就可以完成所有的業(yè)務(wù)，用戶在客戶端下載、解密運(yùn)算過的數(shù)據(jù)即可，數(shù)據(jù)保密性大大提高了。RSA算法加密在linux系統(tǒng)上實(shí)現(xiàn)：首先建立需要加密的文件，以及生成公鑰和私鑰,.，我們將公鑰分離出來，,.對(duì)方向私鑰持有者發(fā)送信息，則用生成的公鑰來加密（生成的公鑰可以傳送給對(duì)方）.秘鑰持有者，利用私鑰來解密,.秘鑰持有者向?qū)Ψ桨l(fā)送消息，利用私鑰加密，即為簽名, 接收方利用我的公鑰來解密，且信息發(fā)送者無法抵賴，解密之后的密文與原文相同,. 同態(tài)加密技術(shù)要對(duì)信息進(jìn)行解密然后再進(jìn)行運(yùn)算，即使保密性做的再好，也難免會(huì)有信息會(huì)發(fā)生泄漏。RSA算法原理已知兩個(gè)素?cái)?shù)p和q 可得n=p * q 　　　t=(p1)*(q1) 任意取一個(gè)數(shù)e，在滿足條件[e*d]n==1可得整數(shù) n，d，e?。╪，d） 為公鑰，（n，e）為私鑰明文為a，加密后的密文為b，解密后的明文為c則可得b=[（a^d）]n則可得c=[ (b^e) ]n 如果甲給乙發(fā)信息，那么就用私鑰（n，e）加密，乙收到密文用甲的公鑰（n，d）進(jìn)行解密，而且甲無法抵賴。其算法的破解難度在于分解一個(gè)極大整數(shù)，到目前為止，還沒有人能夠發(fā)現(xiàn)有效的算法能夠?qū)崿F(xiàn)快速因式分解。DES加密算法的在linux系統(tǒng)上的實(shí)現(xiàn)： 加密前的文本 ,我們可以發(fā)現(xiàn)文件已經(jīng)成為亂碼，我們無法識(shí)別原文的內(nèi)容了。因此DES也做了相應(yīng)的改進(jìn)，發(fā)展成了三重DES,三重DES使用168位秘鑰對(duì)數(shù)據(jù)進(jìn)行三次DES加密，大大提高了數(shù)據(jù)的安全性。DES一度被認(rèn)為是最安全的加密算法，但是隨著科技的發(fā)展，計(jì)算機(jī)的運(yùn)行速度大大提高。使用子密鑰對(duì)其中一半應(yīng)用循環(huán)功能，然后將輸出與另一半進(jìn)行“異或”運(yùn)算；接著交換這兩半，這一過程會(huì)繼續(xù)下去，但最后一個(gè)循環(huán)不交換。RSA是最著名的非對(duì)稱秘鑰加密算法（公開秘鑰算法）。然后乙用自己私鑰(D)給信息解密，也只有乙才能看到對(duì)解密的密文，因?yàn)橐业乃借€（D)只有乙自己擁有，其他人無法得知。公鑰算法的加密模式：例如甲的公鑰是A,私鑰是B,乙的公鑰是C,私鑰是D,如果甲要給乙發(fā)送一條信息M，則甲先用乙的公鑰給信息加密C(M)，然后再用自己的私鑰給信息加密B(C(M))，經(jīng)過兩重加密之后，信息發(fā)送給乙。如果利用私有秘鑰進(jìn)行加密，那么所有知曉公開秘鑰的人都可以進(jìn)行解密，在安全上來說即所有的人都可以知道明文。對(duì)稱機(jī)密算法的加密速度和解密速度相比于公鑰加密快速高效，適用于大數(shù)據(jù)的加密和解密。但是如果沒有秘鑰，想要通過明文和密文來破解秘鑰，則是相當(dāng)困難的，破解者需要付出相當(dāng)?shù)挠?jì)算代價(jià)。wosh ixuz hian （2）按照替換規(guī)則，將明文,秘鑰替換成數(shù)字 a=01 ..... z=26（3）將秘鑰與明文相加之后模26（4) 將加密后的明文轉(zhuǎn)換成相應(yīng)的字符。AES，DES就是常見的對(duì)稱加密算法。這個(gè)秘鑰幾可以作為加密的秘鑰，也可以作為解密的秘鑰。數(shù)據(jù)加密有兩種形式對(duì)稱加密和非對(duì)稱加密。 圖22：云計(jì)算的三大核心安全域 第三章 云計(jì)算環(huán)境下用戶數(shù)據(jù)安全的關(guān)鍵技術(shù)數(shù)據(jù)加密的另一個(gè)名字是密碼學(xué)，在人類的發(fā)展歷史中，數(shù)據(jù)加密技術(shù)已經(jīng)發(fā)展了存在了很長(zhǎng)時(shí)間。運(yùn)維安全域的安全也很重要，直接影響到虛擬主機(jī)的安全。運(yùn)算區(qū)域主要的數(shù)據(jù)威脅便是服務(wù)器系統(tǒng)故障，數(shù)據(jù)庫(kù)服務(wù)以及相關(guān)服務(wù)的崩潰，都會(huì)導(dǎo)致數(shù)據(jù)安全收到威脅。云計(jì)算平臺(tái)還要能夠保證，即使出現(xiàn)地震，海嘯等自然災(zāi)害的不可抗力的時(shí)候，數(shù)據(jù)依然不會(huì)丟失可以快速恢復(fù)。簡(jiǎn)單的來說，就是當(dāng)云計(jì)算平臺(tái)遭受攻擊致使云計(jì)算服務(wù)器部分宕機(jī)或者自然故障，不影響數(shù)據(jù)的查詢計(jì)算，保證業(yè)務(wù)不中斷。云計(jì)算服務(wù)提供商還要保證數(shù)據(jù)在計(jì)算和存儲(chǔ)的時(shí)候數(shù)據(jù)的安全性，即數(shù)據(jù)的完整性和可用性，這個(gè)顯得尤為重要。另外云計(jì)算服務(wù)可以將用戶的數(shù)據(jù)存放在多個(gè)物理磁盤上，如何能夠獲取完整的數(shù)據(jù)，不造成數(shù)據(jù)的丟失也是值得考慮的問題。如果數(shù)據(jù)在傳輸或者下載的過程中，物理線路出現(xiàn)故障，數(shù)據(jù)沒有及時(shí)同步，可能會(huì)造成數(shù)據(jù)可用性的丟失。、可用性挑戰(zhàn)首先用戶在云計(jì)算中心與自己的客戶單傳輸數(shù)據(jù)時(shí)候，如何保證用戶在上傳和下載自己隱私數(shù)據(jù)的時(shí)候，能確定自己的數(shù)據(jù)是完整的，沒有在傳輸過程中丟失，也沒有被惡意截?cái)嗪透`取。以云存儲(chǔ)來說，物理磁盤虛擬化，用戶的數(shù)據(jù)可以存放在兩塊不同的磁盤上，不同的用戶的數(shù)據(jù)也有可能存放在同一塊物理磁盤上，即用戶的隱私數(shù)據(jù)和信息存放在共享磁盤上，這就嚴(yán)重影響了數(shù)據(jù)的安全，如何有效隔離數(shù)據(jù)，確保未授權(quán)用戶無法訪問共享磁盤上的其他數(shù)據(jù)是虛擬化安全的重要任務(wù)。另外虛擬化技術(shù)是云計(jì)算的核心技術(shù)之一。其次，云存儲(chǔ)將數(shù)據(jù)所有者和數(shù)據(jù)從物理位置上分隔開，云計(jì)算服務(wù)商需要保證用戶數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶非法訪問，對(duì)授權(quán)訪問的用戶劃分具體的等級(jí)權(quán)限。用戶要讓數(shù)據(jù)在傳輸?shù)倪^程中不被嗅探和非法獲取，用戶需要確認(rèn)自己的隱私數(shù)據(jù)在計(jì)算處理的時(shí)候，特別是多方參與的情況下，沒有被惡意竊取和泄露。不管用戶選擇云計(jì)算的哪種服務(wù)模式，都需要將自己的隱私數(shù)據(jù)，傳送到云計(jì)算中心，并且在云計(jì)算服務(wù)平臺(tái)進(jìn)行計(jì)算和存儲(chǔ)。 圖21大致描繪了云計(jì)算的基本架構(gòu)，用戶通過網(wǎng)絡(luò)接入到云計(jì)算平臺(tái)，并通過服務(wù)器節(jié)點(diǎn)來訪問存儲(chǔ)架構(gòu)上的數(shù)據(jù)，同時(shí)云計(jì)算平臺(tái)也要維護(hù)管理云服務(wù)設(shè)備。通俗的來講，云計(jì)算服務(wù)提供商，將軟件開發(fā)平臺(tái)整合為一種云服務(wù)提供給客戶，客戶通過平臺(tái)即服務(wù)可以實(shí)現(xiàn)開發(fā)的功能，而且不用負(fù)責(zé)基礎(chǔ)設(shè)施的管理，但需要管理應(yīng)用程序。PaaS(Platformasa Service)：平臺(tái)即服務(wù)。云服務(wù)提供商，根據(jù)客戶的需求，在服務(wù)器上部署相應(yīng)的服務(wù)。用戶在不用購(gòu)買、安裝軟件的情況下，實(shí)用云計(jì)算服務(wù)提供商提供的基于web的軟件服務(wù)。例如，用戶可以享受內(nèi)