关键词:云平台检测Android安全检测IaaS
1引言
通过云计算[1-2]构建的软件平台,充分利用云计算硬件资源虚拟化易于拓展、灵活、海量计算、大存储能力的优势,能有效解决测试过程中测试能力快速升级、应用大量预处理计算、大容量存储等问题,总体减少测试时间,降低测试成本,带来新的商业模式,因此基于云计算的软件测试服务平台[5-6]应运而生。在现有的云计算软件测试平台中,已经有TestIn、腾讯优测、中国泰尔实验室智测云等多个技术公司或单位提供的商业解决方案,这些商业平台主要思路是面向Android应用提供兼容性、网络友好、弱网、H5、压力测试等测试服务。
本文研究的项目主要研究面向移动互联网企业和普通用户提供Android云安全测试服务,该服务平台融合多种Android安全检测技术[7-12]。云安全测试平台构建在移动智能终端安全测试能力基础上,主要是增强Android自身安全防护能力,防止和抑制安全事件在智能终端上的发生,最终保护用户信息安全。本文研究的安测云安全产品项目在前期调研中,考虑到当前商业平台的技术相对较封闭、商用成本较高、无法深入底层二次开发以完全符合自身业务需求等3个方面的缺点,以及安测云业务后期灵活扩展的需求,计划采用社区驱动的成熟开源技术而不是商业方案构建平台。移动智能终端安全测试产品-安测云主要基于开源云社区OpenStack项目构造Android终端云安全测试一体化平台。本文介绍了安测云系统模型、结构以及构建过程,设计和实现了Android操作系统和应用云测试服务,对云计算技术在信息安全领域的产品应用提供思考和实践经验。
2安测云基础架构
2.1安测云层次模型
安测云功能的设计参考YD/T2407-2013《移动智能终端安全能力技术要求》以及YD/T2408-2013《移动智能终端安全能力测试方法》,层次模型包括IaaS(InfrastructureasaService,基础设施即服务)、PaaS(PlatformasaService,平台即服务)和门户三个主要组成部分。基于OpenStack实现的IaaS实现并管理灵活可配置的计算、存储以及网络虚拟化资源;PaaS层基于IaaS提供的基础弹性可伸缩资源,主要向上层用户提供运行时环境、中间件、分布式计算、分布式存储、负载均衡等基础服务;门户主要是通过浏览器的方式用户和管理员可以直接操作的一些产品功能。测试平台层次模型如图1所示。
主要考虑到移动互联网快速升级、Android智能终端种类较多、新安全测试能力需要不断升级等特点,安测云整体的架构特点主要包括客户端功能自动升级、规避终端差异带来的测试工具兼容问题、模块化易于拓展、安全可靠、性能稳定强大、负载均衡等特点。实现过程中具体表现为APP层能力快速可达、自主定制、手机快速接入、兼容性好;PaaS拓展升级灵活数据、资源安全可控;IaaS层资源虚拟化、弹性可伸缩、全冗余备份。
2.2安测云系统结构
“安测云”是集应用软件测试,终端操作系统认证测试为一体的云端测试平台,平台为用户软件商和终端厂商提品上线前全面的终端安全认证服务,主要包括操作系统安全认证、预置应用安全认证,预置应用安全认证包括安全检测扫描和动态安全检测服务两个业务。在安测云层次模型的基础上,结合智能终端信息安全测试自身的特点,设计系统结构如图2所示:
3安测云平台构建
3.1安测云IaaS构建
IaaS构建的主要目标是基于开源项目实现计算、存储和网络资源的虚拟化,并且通过安装Horizon平台管理工具完成对这些虚拟资源的灵活调配和控制。无论是CloudStack还是OpenStack,对CPU架构、存储驱动、交换机端口及其速率等基A软硬件设施都有兼容性、性能等方面的要求。
安测云面向Android操作系统和应用检测需求,服务于个人、终端厂商、应用商店等用户。其中,操作系统检测服务域为本地引擎。应用检测集成静态扫描、静态源码分析、动态行为监控等多种类型检测引擎,静态扫描引擎由本地查杀引擎和主流云查杀厂商的引擎接口构成,静态源码分析和动态行为监控引擎均为本地引擎。在平衡经济与性能的条件下,安测云硬件主体由12台x86架构的服务器、1台NAS存储服务器、2台交换机构成,物理上采用分布式部署,各服务器和NAS存储之间通过交换机互联。为保持物理上的最大并行计算能力,尽量降低以太网数据传输量,虚机按照应用检测引擎类别进行归类部署,分布式调度由单台虚拟服务器管理,NAS服务器则作为独立存储部署。
在云计算管理平台、虚拟机和基础操作系统选型方面,安测云平台结合移动互联网灵活快速、智能终端机型差异化较大并且安全测试系统较复杂的特点,重点考虑开源项目自身的技术架构、技术成熟度和稳定性、受到商业公司和开源组织的支持力度、应用现状、发展趋势等综合因素,采用开源的OpenStack作为云平台管理项目,采用Linux平台中主流的易于管理的KVM虚拟化软件以及对OpenStack平台支持最好的Ubuntu操作系统。详细配置如表1所示:
(1)OpenStack部署
OpenStack基于基础软件陆续完成硬件模块的虚拟化,在Ubuntu系统之上安装MySql、NTP等基础服务,陆续安装和配置核心的控制节点、计算节点、网络节点和存储节点,主要包括身份认证服务Keystone(IdentityasaService)、Glance虚拟机镜像服务(ImageasaService)、Swift对象存储服务(ObjectasaService)、可视化仪表盘服务Horizon(DashboardasaService)等。OpenStack大体安装配置过程如图3所示:
(2)机服务器部署
安测云平台采用KVM虚拟化技术,硬件资源虚拟化的意义在于可编程,软件技术上可以轻松实现计算、存储节点的负载均衡以及灵活动态调度。在Nova(ComputingasaService)计算节点上运行的Nova-compute服务调用LibvirtAPI管理KVM虚机。在配置虚拟服务器时,通过KVM制作操作系统镜像文件,然后通过Glance功能函数上传到云平台中。构建控制节点、计算节点和存储节点集群的过程就是根据需要通过创建授权、加载镜像、连接和使用镜像等步骤灵活地批量实例化虚拟服务器。至此,OpenStack和虚机服务器部署完毕,安测云IaaS构建完成。
3.2安测云PaaS构建
PaaS主要目标是构建Android安全测试即服务,主要包含公共服务组件、核心安全能力测试组件、分布式样本库和样本扫描特征库等功能。自主定制的公共服务包含身份认证、消息组件、用户组件、计费组件、报表组件等商用功能的组件;核心组件包括测试过程管理、测试设备管理、测试文档管理、日志审计以及测试组件自身的管理;核心安全能力测试组件主要包括操作系统测试核心组件、应用真机群调试库、多引擎检测组件。为了应对大批次的样本上传及安全检测,PaaS层部署结合云计算技术采用分布式存储大批量保存样本形成样本库,以及分布式虚拟机集群部署特征库。
(1)对IaaS资源的调用方法
安全测试管理平台主要基于Http+Json的方式调用OpenStackRestful相关API来访问和使用IaaS平台资源。安全测试管理平台通过获得IaaS平台的消息和运行状态,满足本系统云引擎组件测试大批量应用的需要。安全测试管理平台能够和Nova等组件传递消息,根据APK特征值提取的计算量的需要分配计算资源。安全测试管理平台通过调用Swift组件功能实现新样本资源的云端分布式存储。
(2)业务流程
终端制造商、移动互联网公司、公众均可以通过浏览器将应用软件上传至应用安全扫描引擎,检测结果汇集到云端。快速扫描引擎首先根据应用特征试图匹配特征库,如果命中,直接反馈结果给用户。如果没有命中,安全扫描云组件会负载均衡分配给相对空闲的服务器集群,服务器集群根据负载均衡分配到相对空闲的虚拟机计算节点,每个计算节点都有部署静态源码分析、动态安全扫描等安全检测工具,新的安全测试的结果新增到特征库,样本云存储到样本库,同时向前端用户反馈安全扫描的结果。可以预见,随着样本库的增长,应用软件平均检测速度将会快速提高。业务流程如图4所示。
(3)实现效果
安测云云管理平台如图5所示,主要包括云资源管理、云服务管理、统计分析、系统管理、USB设备管理服务器等功能。云资源中心主要包括数据中心、集群、主机等管理功能;云服务管理主要是虚拟机关系、审批、告警、事件等;统计分析包括项目资源统计、单位资源统计;系统管理包括单位管理、用户管理、资源分级管理、模板中心管理、方案管理、系统日志、报表管理、全局设置。针对移动终端测试的特点,定制USB设备服务器管理,包括USB设备服务器管理,涉及到名称、IP、是否自动分享、S/N、状态、虚拟机等信息。
用户通过授权提交批量Android应用样本,安测云快速反馈扫描结果,包括状态包括安全、检测中和恶意行为,恶意行为涵盖隐私窃取、资费消耗、恶意广告等检测数据,如图6所示。
4结束语
用户通过本产品陆续意识到自身终端或者应用在安全方面存在的一些风险,并从反馈的测试信息中得到解决安全问题的提示。由本文的分析可知,安测云为企业智能终端检测提供了强有力的平台支撑,依托灵活强大的云测试服务切实帮助企业提升产品研发的进度,降低了移动恶意应用给用户和产业带来的经济损失,对于保障消费者合法权益、维护产业健康发展起到了积极的作用。
参考文献:
[1]ChenKang,ZhengWeimin.CloudComputing:SystemInstancesandCurrentResearch[J].JournalofSoftware,2009,20(5):1337-1348.
[2]AaronWeiss.ComputingintheClouds[J].Networker,2007,11(4):16-25.
[3]LRiungu-Kalliosaari,OTaipale,KSmolander.TestingintheCloud:ExploringthePractice[J].IEEESoftware,2012,29(2):46-51.
[4]ElfriedeDustin,JeffRashka,JohnPaul.AutomatedSoftwareTesting:Introduction,Management,andPerformance[J].Addison-WesleyProfessional,1999.
[5]BanzaiT,KoizumiH,KanbayashiR,etal.D-Cloud:DesignofaSoftwareTestingEnvironmentforReliableDistributedSystemsUsingCloudComputingTechnology[A].10thIEEE/ACMInternationalConferenceonCluster,CloudandGridComputing(CCGRID)[C].IEEEComputerSociety,2010:631-636.
[6]HanawaT,BanzaiT,KoizumiH,etal.Large-ScaleSoftwareTestingEnvironmentUsingCloudComputingTechnologyforDependableParallelandDistributedSystems[A].3rdInternationalConferenceonSoftwareTesting,VerificationandValidation(ICSTW)[C].2010:428-433.
[7]SCHMIDTAD,SCHMIDTHG,CLAUSENJ.Staticanalysisofexecutablesforcollaborativemalwaredetectiononandroid[A].IEEEInternationalCongressonCommunication(ICC)2009CCommunicationandInformationSystemsSecuritySymposium[C].2009.
[8]JBergeron,MDebbabi,JDesharnais,etal.Staticdetectionofmaliciouscodeinexecutableprograms[A].ProceedingsoftheSymposiumonRequirementsEngineeringforInformationSecurity[C].USA:Int.j.ofReq.eng,2001:20-24.
[9]SatoR,ChibaD,GotoS.DetectingAndroidmalwarebyanalyzingmanifestfiles[A].Proc.oftheAsia-PacificAdvancedNetwork[C].2013:23-31.
[10]SuMY,ChangWC.Permission-Basedmalwaredetectionmechanismsforsmartphones[A].Proc.ofthe2014IEEEInt’lConf.onInformationNetworking(ICOIN2014)[C].2014:449-452.
云计算技术是在近些年比较流行的网络技术,对网络的整体发展起到了重要推动作用,云计算技术的应用对人们的多样化网络需求得到了很大程度的满足。而云计算环境下的网络安全问题在当前的技术应用中也比较突出,需要从多方面加强对网络安全问题的解决,在这一发展需求下加强对网络安全理论研究就有着实质性意义。
1云计算的特征体现以及服务系统架构分析
1.1云计算的特征体现
云计算主要是在扩展方式下进行对网络资源搜索以及获取,在支付以及使用方面是建立在TT设施上的,从云计算自身的特征体现方面也较为明显。云计算这一系统的运行规模较大,要比本地管理系统运行规模强大,通常通过管理成千上万台服务器。云计算在虚拟性的特征上也比较明显,网络用户能够在这一系统下对所需的资源以及服务得以获取,对云计算的准确位置也不需进行确定,只要能够有终端即可。除此之外,在云计算的通用性特征以及可靠性特征方面也比较显著,在计算节点同构和多数据副本容错下对资源分配失误率得到了降低,所以在可靠性方面较强,并且还能对不同应用能够兼容,通用性特性也比较强。
1.2云计算的服务系统架构分析
云计算的不断发展过程中,已经有比较大型的公司对属于自己的计算机服务终端和向外提供云计算的服务业务进行了建立,从而对自身的发展以及市场竞争力的提升就有了保障。云计算服务系统的架构主要分为三个层次,也就是应用接口层、访问层、基础管理层。其中在应用接口层方面是对对外服务进行提供的,有用户的验证以及网络接入和权限管理等,这也是云计算服务上比较集中部署的应用系统。而在基础管理层的架构方面主要是对资源共享进行解决的,例如在数据的存储以及服务器等资源方面。最后就是访问层的架构,这一层是提供具体化的应用来满足网络用户的,例如在运营商空间租赁事业单位的数据备份以及个人空间服务等等应用。通过云计算服务系统架构就能够在网络用户的需求满足程度上有效提升。
2云计算下网络安全问题及优化策略探究
2.1云计算下网络安全问题分析
云计算下网络安全的问题是多方面的,其中在数据的存储以及通信安全方面体现的比较明显。数据存储的安全性对网络健康和稳定发展有着直接影响,实际应用中用户在广域网作用下能实现数据共享,而存储的方式也是在单机存储方式下进行实施的,并且存储安全性也是在系统防护以及数据通信过程安全所决定。云计算环境下存储安全是和云服务提供商有着直接关系,所以一旦在提供商的信用度下降以及技术水平的滞后下,就必然会影响数据存储的安全性。并且在数据的通信安全问题也是比较突出,主要是系统入侵以及篡改数据等问题造成的终端通信不能顺利完成。再者,云计算下网络安全问题还体现在使用环境的安全性层面,使用环境对网络安全的影响时比较突出的,也是最为基础的。在计算机网络的使用中主要是依靠着软硬件共同结合下进行建立的完整应用系统,在自然环境的影响下一些电磁波和潮湿等都会对网络安全产生影响,由于在云计算下网络数据存储的管理模式有了很大的变化,所以在使用环境上也就要求更高。除此之外,云计算下的网络安全还体现在虚拟环境的安全以及身份认证的安全性等层面,要及时的对这些问题加以解决,进而保障网络安全。另外,云计算技术的应用对传统的信息安全领域所产生的影响也比较大,云计算的服务提供上在网络安全方面有保证吗,会不会在数据管理方面存在着漏洞等等,这些方面的问题都需要得到及时的解决。而在客户运用云计算提供的服务过程中也要能够充分重视,云计算服务提供商在安全性以及数据的安全方面要能进行衡量,当前的云计算服务提供商的诸多层面还有着相应问题需要解决,只有一些基础性的问题得到了解决才能真正的促进网络安全的健康发展。
2.2云计算下网络安全优化策略探究
(1)对云计算下网络安全的优化策略实施要从多方面进行实施,可通过建立虚拟化技术安全防护体系加强对网络安全的防护。从目前的发展来看,虚拟化作为云计算服务上所提供的按需服务技术手段,其中的网络架构以及计算机资源等在对虚拟化的技术支持上有着很大的发展,在个性化的存储计算以及资源分配上都有着较为科学化的发展。通过虚拟化技术支持的安全防护体系,就能有效的保障网络的安全。(2)通过对云端数据防护也能对网络安全从一定程度上得到保障,在云端数据库的引入下能够为用户带来很大方便,云计算服务提供商要能在云端数据库的维护力度层面得到进一步加强,可通过建立相应规章制度对自身高信用水平得以保障。然后就是加强创新力度,来消除用户对个人信息泄露的担忧,在用户自身的安全防范意识也要加强,可利用数据加密方式对自己比较重要的信息实施加密处理,这样在数据安全的保障上才能良好维持。(3)从技术层面加强对云计算下网络安全的防护,可从对云计算网络框架进行构建,从而强化云计算的使用环境,有需要还要对云计算运行网络实施监测,从具体的措施实施层面来看,主要就是要能够对云计算的软件及时更新,对漏洞所造成的数据丢失问题加强防护。还要能够对用户数据隔离机制加强构建,从而来保障虚拟环境的安全性,用户也要对云计算网络的一些理论能及时的掌握了解,通过对云加密技术的灵活运用能从很大程度上保障网络安全。(4)对电子邮件以及保存的文件都要采取加密防护的措施,使用信用比较好的服务,要对隐私声明详细的阅读。只有从多方面对云计算网络安全的防护充分考虑,才能够真正的保障云计算网络的安全。除此之外,还要能够对云安全模式加以利用,在云端以及客户端的关联耦合方面要充分重视,要对云端超强计算能力加以充分利用,从而来保障云模式的安全检测和防护,这也是后续工作比较重要的发展方向。在对云端检测计算能力快速定位解析安全威胁中,要能够将安全威胁协议特征推送到安全网关,这样就能将云端和客户端的耦合得到有效加强。(5)将运营管理的安全策略实施要进一步深化,云服务商不只是要在合同基础上进行自我约束,从而来实现数据信息的安全性,另外也要能够将第三方认证进行引入,从而来对企业信誉以及合约约束手段进行完善。然后要能够对服务质量以及技术层面的支持进行规范化,只有将自身的信誉得到了提升,才能够真正获得更多客户的支持。在第三方的认证上能够有效将双方信任关系得到提升,而在中立机构层面也能够对双方起到有效约束作用,信息的安全领域单从技术上是很难实现绝对安全的,所以这就需要在信誉以及合同等手段来进行保障网络的安全。(6)加强云计算下网络服务端的优化,通过多种技术对用电环境进行保护,同时也能通过虚拟化技术将多台物理服务器虚拟为大型逻辑服务器。然后将存储设备和服务器进行统一化的管理,在操作系统层面,针对系统的漏洞要能及时的下载补丁进行防护,通过对入侵检测系统的有效应用等对网络安全风险进行降低。从客户端方面的优化来看,就要能够在病毒防范以及入侵防护和数据加密等方面进行有效保障,这样才能够真正的使网络的安全得到有效保障。
3结语
总而言之,在当前的网络迅速发展下,在云计算环境下的网络安全防护也要能得到重视,面对实际的网络问题要及时的进行分析,采取针对性的措施进行防护。只有从技术上以及理念上对网络安全的问题得到充分重视,才能够有效的防范网络安全中的一些具体问题,这样才能进一步的促进我国网络的健康发展。此次主要对云计算特征和体系架构进行了阐述,然后对网络安全问题以及防护措施进行了相应分析,由于受到篇幅限制不能进一步深化探究,希望对我国的网络安全防护提供一些有益发展思路。
作者:邱敏单位:南京高等职业技术学
引用:
[1]曾志峰,杨义先.网络安全的发展与研究[J].计算机工程与应用,2014.
[2]邱燕燕.网络安全与伦理建设[J].情报杂志,2013.
[3]马婷婷.浅谈计算机网络安全[J].人民长江,2013.
[4]郭翠英,刘元明.漫谈网络安全[J].科技情报开发与经济,2014.
关键词:信息产业;云计算;产业链;整合思路
中图分类号:F127文献标识号:A文章编号:1007-5194(2012)01-0104-06
云计算是当前信息产业比较流行的话题,云计算从提出时广受人们质疑,发展到如今备受理论界和实业界关注。从技术概念到实体操作,从首台服务器下线到全系列产品亮相,云计算挟着排山倒海的气势,铺天盖地而来,未来的云应用之多、终端之强、体验之新,将令人目不暇接,对人们的工作和生活带来很大的影响。云计算产业对重庆信息产业来说,是一个必须紧紧抓住并且可以大有作为的重要战略。重庆高度重视信息产业的发展,制定了“云端”计划,打造中国乃至亚洲最大的云计算数据处理中心,并写入“十二五”规划。
一、解剖云计算产业链的特征
分析云计算产业链必须要对“云计算”特征有个清晰的认识。云计算和互联网的一个根本区别:前者是一个融合、集中、集约化型的产业和技术架构,而后者却是多元、分布、分散型的产业和技术架构。云计算和其他计算相比,是具有一系列共同特征的集合称谓,可以随时获取,按需使用,随时扩展,按使用付费,这种特性经常被称为像水电一样使用IT基础设施。这些特性也使得云计算明显区别于传统的计算服务,云计算基本特征体现在以下几个方面。
1、虚拟化。云计算是通过提供虚拟化、容错和并行处理的软件将传统的计算、网络、存储资源转化成可以弹性伸缩的服务。云计算通过资源抽象特性(通常会采用相应的虚拟化技术)来实现云的灵活性和应用广泛支持性。使用者所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,最终用户不知道云端的应用运行的具体物理资源位置,同时云计算支持用户在任意位置使用各种终端获取应用服务。用户经常并不控制或了解这些资源池的准确划分,但可以知道这些资源池在哪个行政区域或数据中心。
2、弹性伸缩。云计算具有并行计算、网格计算、分布式计算、分布式存储等功能,通过网络把很多计算机资源整合起来,从而构成技术存储模式等。IT能力以服务形式提供,服务的提供者与使用者分离(针对公共云,提供者和使用者是不同企业;针对私有云,提供者和使用者是不同部门),使用者无需拥有IT资产。云计算可以根据访问用户的多少,增减相应的IT资源(包括CPU、存储、带宽和中间件应用等),使得IT资源的规模可以动态伸缩,满足应用和用户规模变化的需要。
3、快速部署。云计算模式具有极大的灵活性,足以适应各个开发和部署阶段的各种类型和规模的应用程序。提供者可以根据用户的需要及时部署资源,最终用户也可按需选择。对消费者来讲,云计算提供的这种能力是无限的(随需的、大规模的计算机资源),并且在任何时间以任何量化方式可购买的。自动化管理与快速交付,有效降低服务的运行维护成本,平均每百台服务器所需的运行维护人员数量应小于1个(现有IT服务管理模式下,每百台服务器运行维护人员数量大于5人);对于服务使用者的服务申请快速响应,响应时间应在分钟级(现有IT服务模式下,服务交付时间多为天级)。
4、资源使用计量。服务可计量,按用量收费,即付即用(pay-as-you-go)的方式已广泛应用于存储和网络宽带技术中(计费单位为字节)。云计算服务提供商(云资源服务提供商、云平台服务提供商、云应用服务提供商)通过租用网络运营商的带宽,按资源的使用量及使用时间来收取用户的费用,使用时间可以是包月或者按照小时数等多种方式进行统计。云服务提供标准化的接口供其他服务,资源的使用可被监测、控制以及对供应商和用户提供透明的报告(即付即用的模式),方便服务开发者构建新服务。
5、按需自助服务。大规模、多租户、高安全高可靠是云计算的特征。“云”是一个庞大的资源池,用户按需购买,消费者无需同服务提供商交互就可以自动地得到自助的计算资源能力,如服务器的时间、网络存储等(资源的自助服务)。服务使用者只需具备基本的IT常识,经过业务培训就可使用服务,无需经过专业的IT培训(现有IT用户需要经过专业的IT培训和认证),自助服务的内容包括服务的申请/订购、使用、管理、注销等。
二、云计算与信息产业整合的影响作用
所谓产业链是在一定地域范围内,有着竞争及合作关系的相关企业根据产品及服务的生产流程和价值分布进行分工合作的产业组织形式。产业链有多种表现形式,产业链的内涵不仅是一个产品链,而且是一个信息链和功能链。以在产品和服务的生产消费过程中进行知识传递、信息反馈为联系内容的产业形态,以构成产业信息链。人们对云计算还存在着简单化的理解和误解。提到云计算的产业链,人们脑海中首先浮现的一定是Iaas、Paas以及Saas这三个词语,但实际上这只是云计算基础的三种服务模式,云计算的产业链并不止于此。不是说有了大规模数据处理和大数据量存储就是云计算,不是说放到网络上就是云计算。通过传统IT产业和互联网产业链与云计算产业链比较,分析云计算产业链主体及结构、产业链价值关系、产业链主要关键环节,揭示云计算催生商机按1:6的比例放大的内在机理。
1、从规模化角度讲,云计算可以满足海量数据高速处理的需求,缓解当前信息时代“信息爆炸”的压力,云计算适应了业务需求和业务量的快速变化及软件服务化Saas的趋势。最早的“主机――终端”模式是集中计算,一切计算资源都集中在主机上。到了PC时代,变成了分散计算,主要计算资源分散在各个PC上。互联网的出现将分散的PC连在了一起,部分计算资源虽然还分布在PC上,但已经越来越多地集中到互联网上。“云”具有相当的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。云计算的集中是一种比过去的集中更高阶段的集中,并不是简单地回到过去。云计算这种信息化模式的巨大变化,体现了规模化采购降低采购成本,规模化运营降低人力成本,规模化服务提高峰值复用水平,会吸引更多的企业参与信息产业链里面,最终形成良性的互动结果。同时,集中规模的累积必然会使得云计算物理平台发生质变,就好比小型发电机必然会被大型发电机组取代一样,分散的、过渡的模式将被逐步取代。云计算会催生出很
多云计算的优秀厂商。所以云计算成为继大型封闭计算机、个人计算机和互联网的网络计算之后的第四次IT产业革命。
2、从精细化角度讲,国际竞争已不是企业的竞争,也不是产品的竞争,而是进入了一场前所未有的产业链竞争时代。产业集群最明显的优势就在于它的集聚效应。所谓的产业集聚,就是在产业链上相关的各上下游的企业和相关辅助产业服务业聚合在一起形成的产业集群。云计算产业链整体形态的内涵和外延比传统产业链更为丰富、更为广泛。云计算主要解决的问题是如何把IT资源变成像水、电一样的公共设施而易于获取和使用,它的形式也更呈网状,具有复杂网络的特点。互联网的普及和大带宽的发展造就了云计算,云计算把各种分散的计算需求通过网络集中到共享的“云中心”完成,必将重构IT设备形态和产业链。云计算产业链由基础设施提供商、系统集成商、服务提供商和应用开发商组成,分别提供基础即服务(Iaas)、平台即服务(Paas)、软件即服务(Saas)。云计算形成了一条包括云平台供应商、云平台使用者/云计算服务商、云计算用户、云端设备在内的产业链。使得企业在云计算的产业链中,既可以是云服务消费者,也可以是云服务的提供商,甚至是云服务集成商。
3、从专业化角度讲,云计算产业作为一个新兴技术集合产业,各个产业链环节之间技术联系紧密。在传统IT产业和互联网产业中融合产生的云计算,带有鲜明的产业链扩张、交叉、融合的特点。云计算是在整个IT行业中孕育而生的,是产业链上下游通力协作的结果,产业链上相关主体其在自己传统业务基础上,充分利用自身擅长的技术,适应云计算的潮流转型而成以提供相关云计算服务。基于云计算体系的在线应用服务,如同其他互联网应用一样,其天生就具有为协作而生以及更为易于集成的特征。从国际上产业集群发展的经验看,“嵌入性”或“植根性”是产业集群能够取得成功和持久发展潜力的关键。运营商可以重新定义自己的角色,将自身置于云计算价值链中,促进网络结构的优化和整合,有利于合理配置计算资源并提高其利用率。
4、从自助化角度讲,云计算产业由传统的IT产业、通信产业、广电传媒和互联网产业相互融合中产生,云计算产业链的融合、延伸特性,使得云计算产业链呈网状,是一个动态变化的复杂网络系统。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同需求的应用运行。持续的服务更新与孵化,云计算提供的各种服务能力可随使用者需求的变化而不断演化,并孵化出新的能力,同时这种改变可做到向下兼容,即保证原有使用者的持续使用。
5、从运营商成本角度讲,云计算服务方式更新创造了许多新的产业业态,云计算使信息共享成为可能,形成新的经济增长点。云计算的服务模式、紧密联系的产业链提供的高效的物流、信息流,给企业提供了进一步降低成本的空间。云计算数据中心模型具有更高速的创新性、可伸缩性和对企业核心功能的支持等,大大降低许多运营成本,从而为运营商带来显著的经济效益。运用云计算技术可以提高服务器的利用率,减少现有网络和平台硬件设施的数量,从而降低对网络基础设施的需求。“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。基于云计算的IT技术架构将企业构建IT环境的成本降到了原来的1/10,能够节约巨大的成本,符合可靠、低成本信息化的要求,也符合建设资源节约型和环境友好型社会的要求。
三、提升重庆云计算产业链整合的路径
在国家“十二五”规划、战略性新兴产业发展规划及云计算服务创新发展试点示范政策的共同作用下,各地正在积极推动云计算产业发展。重庆为何把目光瞄准信息产业发展与云计算?云计算新的信息技术推动实体空间向虚拟空间拓展,放大了经济活动的规模和范围。据东方证券测算,预计未来几年,全国“云计算”产业链规模可能达到7500亿至1万亿人民币,有望占到2015年战略性新兴产业15%以上的产值规模。发展云计算目的并不只是看它可以创造多少经济效益,重要的是利用产业链的独特优势,“今后10年,整个世界将进入‘云计算’时代。”在重庆市市长黄奇帆看来,在新的市场格局中,如果中国内地的份额还是零,将会非常可悲。推进重庆云计算产业链的发展主要有以下关键途径:
1、加速突破云计算关键技术。云计算的实现主要依赖于能够实现虚拟化、自动负载平衡、随需应变的软硬件平台。云制造应具备一个体系结构,它共有五层――物理资源层、虚拟资源层、云制造核心服务层、应用接口层和应用层。数据中心是云计算的载体,提供了支撑云计算产业的云后台。在云计算产业链的重组、扩张和融合的过程中,数据中心成为云计算产业链汇聚、交融的关键节点。而这也决定了云计算将成为基础性的创新,对IT、互联网和电信行业都会产生深刻的影响,也将随之出现不同的产业竞争力量、技术流派和主流市场。借鉴和吸收IBM、EMC、Intel等跨国设备制造商和新浪、腾讯、阿里巴巴、世纪互联等国内互联网企业的成功案例,采用模块化、高密度的集装箱式的数据中心,为数据中心的变革注入新的技术因素。注重关联产业发展,加强海量数据管理技术等云计算核心技术研发和产业化,通过开源技术和运营服务,可以发挥市场规模和丰富人力资源的优势,规避在芯片技术、硬件技术、基础软件技术方面的不足。
2、完善云计算生态链建设。优势产业集群不是单独存在的,它一定是同相关强势产业一同崛起。创优环境是前提和关键。在“数据为王”时代到来的今天,产业集聚形成重要的内在机制是合作,重要的外在环境是制度。按照重庆“第十二个”五年规划的要求,“把新一代信息产业建设为重要支柱产业。按照‘2+10’的思路集中建设一批产业链(集群),建设全球最大的笔记本电脑加工基地、亚洲最大的离岸数据开发和处理中心。”鉴于云计算涉及服务器、存储、网络、安全等技术以及不同的应用模式等,把与数据中心相关的上游、中游、下游配套好。上游是支撑云计算的通讯、电力、宽带、厂房等基础设施;中游是海量数据的运行和管理;下游是软件开发和各种数据业务的提供。改变重庆目前在云计算领域存在“重硬件轻软件”的投资误区、各个环节之间基本上处于各自为战的局面,在云计算产业链上,理顺产业链关系,建立科学的利益分享与协作机制,争取把产业链上下游各环节的优势力量组织起来。同心协力实现在技术、产品、服务方面的协同,从而完善云计算生态链建设,才能把重庆云计算这块“蛋糕”真正做大。
3、建设云计算产业基地。产业集群是同一产业
以及该产业的相关产业的集中,反映了产业在商务联系基础上所存在的组合现象。产业聚集的平台是实现产业链的“抓手”,也是技术创新的载体和制度创新的平台。重庆实施的“云端计划”中的“端”是指终端的生产,就是发展网络通信的终端设备,目前该计划已基本到位,形成了惠普,宏和华硕三个品牌商,富士康、广达、英业达、仁保、伟创、和硕等六个代工商以及三百多个零部件产商的笔记本电脑企业,形成了“3+6+300”的产业集群。“云端计划”中的“云”是指云计算,其实就是随着互联网技术的发展,大量用网络连接的计算资源汇聚到一个网络通讯数据中心进行统一管理和调度,构成一个计算资源池向用户提供服务。这个提供资源的网络通讯数据中心就被称为“云”,可能为此又可以诞生一个到2022年规模高达1800亿的服务外包产业,跻身全国三强。借鉴和吸收上海“云海计划”、北京“祥云计划”、成都云计算中心等率先启动云计算中心的模式与运作方式。重庆的“两江国际云计算中心”与江津区云计算产业基地,力争在今年形成10万台服务器的规模,争取明年有30万台服务器规模,到2015年达到100万台服务器。实现“端”和“云”的完整产业链,使重庆成为信息产业真正的成本洼地。形成国家重要的战略性新兴产业基地,必然会让来自全球的大量数据处理和数据整理业务聚集到重庆,吸引和大力推动众多的服务外包企业围绕着数据清理、数据整理等环节。
4、鼓励云计算行业应用。以信息服务为目标的云计算,其规模能做到多大,完全取决于需要这些服务的用户有多少。市场上最终用户对于云计算的需求将成为其在未来几年中高速发展的基石。一是鼓励计算行业的云应用。云计算涵盖了政务、产业转型、城市管理和社会民生服务等领域,重庆有潜在的最大消费市场,用本土强劲的消费能力来保证所需要掌握的核心技术,建设电子政务、电子商务、数字校园、区域医疗等信息系统。鼓励政府和大型企业集团运用云计算架构,支持有条件的单位建设节能、环保、低碳的新型云计算基础设施。二是利用主导产业链进行方向延伸,依托产业集群开展创业孵化、创业扶持,促使区内的新企业产生、老企业的革新和多元化,形成该产业的一个扩散效应。三是利用下一代信息技术为产业转型升级和城市智慧服务提供有力支撑,建成国家重要的数据中心,建立起城市公共信息服务系统,建成云端智能城市。
5、离岸数据处理“两头在外”。打造重庆云计算的产业集群,把云计算产业链放到构建内陆开放型经济的全局战略审视,产业集群产生协同效应,或者说是激光束效应,由于簇群内既有竞争又有合作、既有分工又有整合,通过走出去、引进来的产业链整合措施,可以迅速打造完整的云计算产业链。一是重庆云计算产业链既发展在岸的数据处理,也发展离岸的数据处理。离岸数据处理与加工贸易都应该是“两头在外”,数据处理外包业务可相对放开一点,探索开放离岸数据中心的营业执照,突破原有的限制外资进入增值服务的相关规定,外方可以独资也可以控股。因为现在的数据处理外包,不再是中国的数据外包给外国企业,而是外国企业的数据外包到中国来处理。二是联合组成的“开放式数据中心联盟”。联盟发展正成为云计算产业发展的重要模式,因为国内外大的领先的IT公司已经在云计算核心技术上面走在了前面,目前几大知名的可以部署的企业级虚拟机方案和技术都是被国外大公司所掌握,只有通过合作的方式,才能保证自主创新能够在最短的时间内有成果。
四、提升重庆云计算产业链整合的基本措施
云计算是创新型产业,既是技术革命,又是产业革命,它还将引发管理革命,其发展将给信息产业带来全方位的、有些方面甚至是颠覆性的。提升重庆云计算与信息产业链的竞争力,才能在未来的信息产业变革中立于不败之地。
1、探索各类云计算服务模式。云计算是以虚拟化技术为基础、以按需付费为商业模式,具备弹性扩展、动态分配和资源共享等特点的新型网络化计算模式,本质就是面向服务的商业模式创新。一是云计算就是把廉价硬件软件化,软件服务化,服务运营化,运营规模化的一套技术和业务模式。要以云计算服务示范为核心,形成技术创新、应用方案创新和商业模式创新的合力,培育全新商业模式和业态。二是推动重庆信息服务骨干企业针对政府、大中小企业和个人等不同用户需求,积极探索各类云计算服务模式。服务创新能力正成为产业发展的制高点,哪些能够充分理解客户需求并据此不断进行业务创新的云计算企业将成为产业发展的领导者。三是加快扶持龙头企业,打造云计算产业链,支持云计算厂商与用户对接等。随着云计算产业链的形成,云计算价值链也将逐步向着多维度方向拓展,企业或者重整内部资源,优化内部价值链;或者向外拓展,谋求价值链的横向和纵向延伸,有利于集中管理,便于运营维护,最终也将增强信息安全。
2、提升基础工作工程。云计算能够实现大数据的计算、海量数据的计算;云计算是智慧城市的基础支撑,一定会需要云计算在后台做支撑。一是应该不断完善通信基础设施,包括优化信息网络,完善以光纤为主,数字微波、卫星通信相协调的干线传输网,加快光纤接入网、宽带无线接入网、下一代移动通信网建设,为云计算提供技术支撑。中国国际电子商务中心重庆数据产业园由中国国际电子商务中心斥资16亿元打造,该项目计划在两年内完成,为打造亚太地区最大的离岸数据中心提供支撑。重庆市已经与重庆电信在网络通信基础设施、三网融合、城市信息化等方面进行战略合作。实行数据中心产业链一体化、离岸和在岸数据处理有机结合双向管理的模式,实现企业数据中心向内云架构的转化。电信、广电和互联网的三网融合趋势,推动了云计算产业链向传统电信、广电产业延伸和发展。二是云计算数据中心的电力供应问题,当中心服务器上百万台的时候,需要强有力的电力保障作支撑。要像大型企业搞自备电厂那样,在云计算数据中心基地也建一个自备电厂,这样就不用外购电,电力成本会大大降低。三是要进一步发展本地人才库,来提高互联网的普及,播种创新的种子,使重庆成为全球范围内极具竞争力的知识中心。
3、构建公众云的服务市场。现代信息系统日益大型化、综合化、集成化,构建公众云服务的市场,这对云计算企业业务开展提出了较高的要求。一是在技术层面或者说产业链层面,依靠操作系统、数据库、中间件、云计算应用软件等厂商的共同协作,围绕着云计算的“公众云”展开产业链的竞争。二是公众云服务的市场广阔需要创新的精神去开拓市场,要把单个企业的信息化转变成为社会化服务方式及云服务的方式去实现新一轮的社会信息化,促进重庆从终端产品向服务外包和数据处理拓展延伸,以形成本土业务在岸业务和离岸业务的有效结合。三是公众云计算,包括云计算服务商、云计算解决方案提供商、硬件供应商在内,以后将囊括企业服务和商业服务的各个领域之间的协调。要鼓励有条
件的大型企业先用云服务概念去整合现有分散的资源,在整合过程中提升现有的数据中心的智能化的水平,提升软件操作的版本,调整和理顺现行管理的程序与制度,以实现与世界同步,资源共享。
【关键词】云计算;安全问题;安全对策
一、云计算的概念
作为正在发展中的云计算,对其存在多样化的解释,概括的说,云计算是一种基于互联网的计算机方式,通过互联网将大量规模化的虚拟化资源以服务的形式提供给外部用户。用户享受服务的同时不需要知道支持该项服务的软硬件基础设施是如何运作和管理的,由云服务商负责软硬件资源的管理、维护、安全保护等。一般来讲云计算具有如下特征:
1、软硬件资源均通过互联网提供给用户,对网络带宽具有一定的要求;
2、云中资源具有动态扩展性,根据用户的需求资源能够进行扩展和动态配置;
3、资源以整体的形式呈现给用户,但是在物理上资源是以分布式共享方式存在的,用户并不了解服务基于的软硬件资源位置以及服务的实现方式;
4、用户按照需求使用资源,并根据实际使用量付费,不必为其它空闲计算资源负担费用。
二、云计算部署方式
云计算的部署方式根据服务对象范围的不同,分为:私有云、混合云、社区云、公共云,这四种云按顺序其数据安全性和隐私性依次降低,但是其节约的成本逐渐增多。
1、私有云主要运行在企业或者组织的内部,在企业或者组织内部实现计算机资源的统一管理和动态分配,此种云模式需要企业自己购买软硬件设备,安排专门人员进行整个云计算系统的运行管理和维护,一般存在于Google、Amazon、微软等大型公司,私有云开放性不高因而所面临的安全威胁相对较少。
2、社区云一般由多个私有云通过VPN链接在一起构成,其规模要大于私有云。
3、公共云是云计算的初衷,其基础设施由大型运营企业建立和维护,如Amazon、Google、微软、百度等IT巨头企业,企业将服务以按需购买的形式销售给外部用户,对于用户而言只需要对自己使用的资源和服务进行付费,不需要建立自己的实体数据中心。因为公共云具有较高的开放性,并且用户失去了对计算和数据的直接控制权,因此公共云面临的安全威胁最为突出,以致于目前多数企业仍不愿意将核心数据上传到公共云中,只是将边缘数据上传,对于云计算安全的要求也主要集中在公共云方面。
4、混合云是私有云和公共云的混合,一般用户将敏感数据存放在私有云中,而将非敏感数据存放在一个或者多个公共云中,这种模式是目前多数公司开始使用云计算服务的初期策略。
三、云计算面临的主要信息安全风险
云计算技术作为近年来IT热点研究技术,其应用不断普及,随之带来的是安全问题的不断出现。2011年4月,亚马逊云计算数据中心服务器大面积崩溃,造成其云服务连续中断四天,受影响服务涉及应答服务、新闻服务和位置跟踪等。2012年2月,微软Azure云基础设施和开发服务出现了严重的中断故障,其系统的服务管理组件在世界范围内断网。2013年2月微软Azure云存储服务中断达12小时以上,用户无法访问云计算连接的数据或者利用任何捆绑到这些服务的多媒体内容。2013年10月,知名企业级云存储服务商Nirvanix公司宣布破产,要求用户在2个月内取回自己的数据,致使很多企业客户的需要面对巨量数据迁移的困境,其中不乏IBM和惠普的很多合作伙伴和客户。不断出现的云计算相关安全问题使得云计算的可靠性得到质疑并成为制约其发展的主要因素。
云计算的核心特征之一是数据的计算、存储完全在云端进行,数据的安全由供应商完全负责,用户减轻了负担的同时,也失去了物理隔离以及访问权限控制等最为有效的传统数据保护措施,对于用户而言唯一的保障就是与服务商签订的一纸协议。
云安全联盟CSA与惠普公司共同列出了云计算安全问题的七个方面:
1、数据丢失和泄露。云计算中对数据的安全控制力度并不高,管理方面的不足以及安全机制的缺失都可能造成数据泄露,无论是私人数据还是企业乃至国家的重要数据,一旦出现泄露甚至丢失都会造成严重的后果。
2、共享技术漏洞。云计算本身也是一个超大的数据共享平台,共享程度越大漏洞就会越多,攻击点也会随之增多。
3、供应商可靠性不易评估。数据对于服务商而言是透明的,要避免敏感数据的泄露,需要一个可信的服务提供商,如何对服务商进行可信度评估仍需要进一步研究。
4、身份认证机制薄弱。由于大量数据和资源都集中在云中,有效的身份验证机制能够防止入侵者获取账号的几率,减少未经授权的非法操作。
5、不安全的应用程序接口和API接口。云计算的应用程序系统十分复杂,保障其安全性更为困难,有的应用程序接口可能会成为攻击的渠道,对系统安全产生威胁。
6、恶意使用云计算。在技术的更新和运用过程中,黑客的进步速度往往不亚于技术人员,黑客可以利用合法身份作掩护,非法运行云计算。
7、未知的风险。用户使用浏览器便可使用相关服务,但是用户并不知道该服务使用哪种平台以及提供哪些安全机制,以及该服务上应履行的义务条款情况。
四、云计算信息安全对策
1、数据加密
数据加密是最好的数据隐私的保护方式,数据的存放以及传输应该以密文的形式进行,但是加密无疑会增大计算上的开销,因此要在计算开销和可靠的数据加密型之间取得平衡;如果云服务器能够确保用户匿名访问云资源并且能够安全的记录数据起源信息,用户的隐私将进一步得到保证,此外运算的结果需要返回给用户的时候,也应该使用密文的形式。减少明文的出现,使服务器能够直接在密文上进行操作将是隐私保护的重要方向。
在最理想的情况下,服务器上所有的明文操作都有对应的密文操作,这种完全同态加密方式能够在不降低效率的情况下很好地保护用户隐私。另外,信息检索作为云计算的常用操作,支持搜索的加密无疑成为云计算安全的另一个重要需求,如何在现有的单关键字加密搜索之上,实现多关键字搜索、模糊搜索以及搜索结果排序等将成为加密搜索的主要研究方向。如果不能进行密文搜索,那么用户操作所涉及到的数据都要发回用户方进行解密,无疑会严重降低效率。
2、数据完整性验证
很多云计算公司推出了基于云计算的云存储服务,例如GoogleDrive、Dropbox、亚马逊的简单储存服务(S3)、微软公司的SkyDrive等,都需要确保数据存储的完整性。数据存储在云端,用户完全失去了对数据的控制权,对于用户而言,不可能完全信任服务商对数据进行了可靠的完整性保护,所以用户对数据的完整性验证就显得十分必要。远程数据完整性验证能够很好地满足这一需求,验证无需进行数据的下载操作,而是根据数据的标识以及服务器对挑战码的响应对数据进行完整性验证。完整性验证的需求主要源自于用户对云存储服务商的不信任,Nirvanix云存储的关闭无疑扩大了用户对服务商的不信任。
3、访问控制机制
完善的访问控制机制能够有效阻止非法用户以及未经授权用户访问资源和数据,并实现对合法用户的访问权限控制。要实现有效的访问控制,云计算服务器需要验证用户的访问行为是否合法。访问控制主要体现在两个方面:网络访问控制和数据访问控制,网络访问控制主要是对基础设施环境中主机相互访问的控制;数据访问控制主要是对云端存储数据的访问控制,数据的访问控制机制要能保证对用户数据的各种操作的支持。
4、身份认证
目前身份认证主要有三种:基于用户隐私信息的认证;基于用户持有的IC卡、U盾等硬件设备的认证;基于指纹等生物特征的认证。目前主流的应用较为广泛的认证方式依然是口令认证和X.509证书认证。多因子身份认证和多层次身份认证能够进一步提高身份认证的安全性和实现层次化身份管理。
5、可信云计算
随着云计算的发展和应用范围的扩大,单纯依靠技术手段难以解决全部的安全问题,迫切需要构建可信的云计算。构建可信的云计算、云存储等服务,可以从以下两个方面出发:一是建立云计算问责机制,云服务提供商如果可以确保可视化、有效的控制措施以及严格的法律遵从,用户无疑会信任服务商提供的云环境;二是构建可信的云计算平台,通过云端网关技术、可信计算以及安全启动等技术手段确保云计算平台的可信性。
6、安全管理
云计算环境的复杂性、高度虚拟化和动态化以及海量的数据给安全管理带来了新的挑战,云计算服务提供商应该从系统安全管理、安全审计、安全运维等方面出发加强安全管理。
系统安全管理主要涉及以下几个方面:
(1)可用性管理,对系统组件进行冗余配置管理,保证系统高可用性的同时确保大负载情况下的负载均衡;
(2)漏洞补丁及配置管理;
(3)高效的入侵检测和响应机制;
(4)人员安全管理,采用访问权限控制和细粒度访问控制策略。
安全审计主要是由服务商为多租户用户提供审计管理支持,能够进行大数据量、模糊边界以及复用资源环境下的取证。
安全运维方面,需要云计算平台的基础设施、各种应用以及业务的安全监控、入侵检测和进行灾难恢复、提供有效的安全事件处理机制和应急响应机制。
7、法律法规和监管
云计算作为一种新的技术和服务模式,对应的法律法规以及监管相对滞后。云计算的可持续发展除了技术的不断更新之外,完善的法律法规和管理体系同样十分关键。在法律法规方面,目前我国在云计算方面急需建立一套完善的法律法规,诸如:有关云计算各组成部分的责任法规、个人隐私保护法规、电子签名和电子合同法规、取证法规等。
在安全监管方面,应加强异常监管和内容监管以及合规性监管。
五、总结
当前,云计算出现至今,其应用越来越广泛,随之而来的是不断出现的各种安全问题,构建可信的安全的云计算机环境成为迫切需求。本文介绍了云计算的相关概念、云计算的部署方式和特征,分析了云计算面临的主要信息安全风险,并提出了数据加密、数据完整性验证、访问控制机制、身份认证、可信云计算、安全管理、法律法规和监管等云计算信息安全对策。
参考文献
[1]俞能海,郝卓,徐甲.云安全研究进展综述[J].电子学报,2013,41(2)
[2]江雪,何晓霞.云计算安全对策研究.微型电脑应用[J],2014,30(2)
针对目前数字图像置乱算法在双重置乱方面的欠缺问题,提出一种新的云模型图像置乱算法。该算法利用三维云模型生成的函数值来改变图像像素位置和像素值,实现了双重置乱。经实验验证以及定量定性分析,置乱图像呈现白噪声,真正实现了图像置乱,并不存在周期性恢复的安全问题,该算法能较快达到理想的置乱效果,且能抵抗一定的剪切、加噪、滤波以及缩放攻击;证明了该算法的有效性和合理性,可以较好地应用于图像置乱。
关键词:图像置乱;云模型;双重置乱;置乱程度
中图分类号:TP309.2;TP311.564.2
文献标志码:A
0引言
数字图像置乱技术是图像信息安全与隐藏的基础性工作,既可以看成图像加密的一种途径,又可用作图像分存、水印以及隐藏技术的预处理和后处理[1],其作用是将图像信元的次序打乱使得置乱后的图像有较低的可懂度、一定的安全性,并能抵抗一定程度的破译攻击,解密后的图像能准确地表达原始图像内容[2]。图像置乱技术一直是学术领域研究的热点。
研究者从改变图像像素位置和像素值角度出发提出了很多置乱算法,例如:Arnold[3]、Fibonacci、幻方、骑士巡游[4]、位平面[5]、Gray码、M序列等。其中位置置乱研究颇多,灰度值置乱研究较少,两种方法结合的双重置乱算法更少,但相比较而言,双重置乱算法要比单独改变位置或是灰度值的方法在置乱程度和抗攻击能力方面都更上一个层次。文献[6]是利用M序列产生器中移位寄存器的状态调整图像像素位置;文献[7]是在Arnold置乱基础上的改进,利用混沌序列重新设计Arnold变换矩阵中的参数值;文献[8]也是在Arnold置乱基础上的改进,提高了置乱算法的通用性;文献[9]是基于传统的骑士巡游置乱的改进,进一步提高了算法的安全性,这些置乱算法都是基于图像位置的置乱,仅仅改变了图像的纹理特征,而没有考虑图像的统计特征,这样很容易受到非法攻击。文献[10]是将位平面和Gray结合改变图像灰度值,但由于位平面和Gray码本质上都是二进制的异或运算,有一定的规律性,存在周期性恢复的可能性,因此该算法在置乱程度和安全性方面都不甚理想;文献[11]是基于位平面和Arnold变换置乱图像,但这些算法依然是只改变图像的像素值,在置乱程度和抵抗非法攻击方面有一定的缺陷。文献[12]是利用混沌序列对图像进行像素位置和像素值的改变,但混沌系统是不稳定的,密钥空间有限;文献[13]是通过Arnold矩阵对图像进行像素位置和像素值改变,但仍是基于对已有算法的改进,不仅如此,这种置乱算法相对来说研究较少且存在一定的挑战性。
基于以上分析,本文提出一种云模型的图像置乱算法。该算法利用云模型随机性的特点,得到三维云模型,分别对图像进行像素位置和像素值置乱,实现了对数字图像的双重置乱。与已有算法相比,该算法将图像置乱的两类算法相结合,弥补了已有算法双重置乱方面的欠缺,有效地提高了置乱程度和效率。
1云模型
1.1云模型相关概念
云模型是用自然语言表示的定性定量互换的不确定性模型,它将随机性和模糊性有机地结合在一起,是在传统模糊集理论和概率统计基础上提出的。云模型的数字特征用期望Ex、熵En和超熵He三个数值表征,它把模糊性和随机性完全集成到一起,构成定性和定量相互间的映射,如图1(a)一维正态云的数字特征。其中,期望值Ex是数域空间中最能够代表这个定性概念的点,反映云滴群所处的重心位置。熵En既反映了在数域空间概念可被接受的范围,即模糊度,同时也反映了在数域空间的点能够代表这个概念的概率,表示定性概念的云滴出现的随机性,其用于揭示随机性和模糊性的关联性。超熵He是熵的不确定度量,即熵的熵,反映了在数域空间代表该语言值的所有点的不确定度的凝聚性,即云滴的凝聚度。云模型仅用三个数值就勾画出成千上万的云滴群,这是云模型的独特之处。
1)定性分析。
从图2不同尺寸的置乱图中可看到置乱后视觉效果良好,置乱后图像呈现白噪声;从图2的正确恢复图中可看到恢复图与原始图相比无任何损失;从图2的错误恢复图中可看到错误的置乱密钥得不到正确的置乱恢复图,即置乱过程和解置乱过程的置乱密钥要严格一致,这从一定程度上提高了算法的安全性;另外,算法适用于任意尺寸的图像,说明本文算法通用性强。
2)定量分析。
定量分析一般是采用客观评价的方法,即用置乱恢复图像偏离原始图像的误差来衡量恢复图像的质量。峰值信噪比(PeakSignaltoNoiseRatio,PSNR)和均方误差(RootMeanSquaredError,RMSE)是较为常用的方法。
4结语
本文提出的云模型图像置乱算法,实现了图像的双重置乱。算法使用云模型三个参数和置乱迭代次数作为置乱密钥,置乱过程完全依赖于用户选择的置乱密钥,大大提高了置乱算法的安全性,且不存在周期性恢复的安全问题;算法对图像尺寸无要求,适用于任意大小的二维灰度图像,也可类似应用于彩色图像;算法能够抵抗一定的几何攻击,且置乱图像表现为白噪声,降低了非法攻击的可能性。经理论分析和实验结果进一步证明,云模型图像置乱算法可较快达到良好的视觉效果和定量评价结果。另外,算法中云模型的三个特征参数的选择很重要,若选择不适当,恢复的图像会出现疵点,需要重复多次尝试才能得到恰当的参数,因此,下一步的工作就是探索快速寻找云模型参数的方法。
参考文献:
[1]邹玮刚,陈沛云,黄江燕.基于三维亚仿射变换的数字图像置乱技术[J].计算机应用,2012,32(9):2595-2602.
[2]袁玲,康宝生.基于Logistic混沌序列和位交换的图像置乱算法[J].计算机应用,2009,29(10):2681-2683.
[3]
王圆妹,李涛.基于Arnold变换的高效率分块图像置乱算法的研究[J].电视技术,2012,36(3):17-19.
[4]BEASLEYJD.Magicknightstours[J].TheCollegeMathematicsJournal,2012,43(1):72-75.
[5]SUNQD,YANWY,HUANGJW,etal.Imageencryptionbasedonbitplanedecompositionandrandomscrambling[C]//Proceedingsof2012the2ndInternationalConferenceonConsumerElectronics,CommunicationsandNetworks(CECNet).Piscataway,NJ:IEEEPress,2012:2630-2633.
[6]高恩婷,刘家胜.基于M序列的数字图像置乱方法[J].微电子学与计算机,2009,26(6):171-174.
[7]张健,于晓洋,任洪娥.基于Arnoldcat变换的图像位置均匀置乱算法[J].计算机应用,2009,29(11):2960-2963.
[8]赵洋,孙燮华.针对非正方形图像置乱的算法[J].微计算机信息,2009,25(27):99-106.
[9]雷仲魁,孙秋艳,宁宣熙.马步哈密顿圈(骑士巡游)在图像置乱加密方法上的应用[J].小型微型计算机系统,2010,31(5):984-989.
[10]谭永杰,马苗.位平面与Gray码相结合的图像置乱方法[J].计算机工程与应用,2010,46(16):174-177.
[11]沈磊,周鹏颖,田小林,等.基于图像位平面的数字图像混合置乱算法[J].微计算机信息,2010,26(14):209-211.
[12]王青松,范铁生.基于位置和灰度变换的混沌图像置乱算法[J].小型微型计算机系统,2012,32(6):1284-1287.
[13]郭琳琴,张新荣.基于二维Arnold变换的图像双置乱算法[J].计算机应用与软件,2010,27(4):264-266.
[14]黄健,柏森.一种有效的图像置乱程度衡量方法[J].计算机工程与应用,2009,45(30):200-203.
关键词:激光扫描仪监控量测信息化
目前我国的隧道变形监测方法一般采用手工作业模式,监测量需多名监测人员同时作业,由于监测项目多、线路长、测点多、观测频繁和数据量大,使得监测数据处理、分析和资料管理等工作滞后,不能及时快速地反馈监测信息,指导隧道信息化施工,严重的影响了隧道等地下工程的监测工作开展和技术的发展。随着隧道及地下工程修建技术不断提高,信息化施工已成为地下工程发展的必然趋势,三维激光扫描技术可以实时、准确、全方位获取隧道空间变形数据,进行隧道施工变形分析和反分析,对隧道施工进行风险预警预报,指导隧道信息化施工,也必将成为隧道监控量测的主要发展方向。
1点云数据的获取
隧道工程为一狭长结构,施工安全步距一般为几米至几十米,三维激光扫描仪的点云扫描密度是随着扫描距离的增加而下降的,所以在隧道有限的管状空间内,为了保证有充足的点云数据用于提取隧道的形变信息,通常每个测站所获取的点云数据中有效范围只有几十米,这是隧道特殊结构下不可避免的特殊问题。采用三维激光扫描技术进行隧道监控量测时需通过分站式扫描才能采集全部数据。为了使监测数据连续可靠,扫描数据必须有一定的重合度,即保证点云数据拼接过程中每两个测站间的公共部分,监测时需根据隧道断面尺寸大小,每隔一定距离设置一个测站,在两站间的衔接部分设置用于不同测站数据拼按的控制点,为了保障数据的拼接质量一般在每两个测站间的隧道内壁上均匀布设5~6个(不少于3个)反光靶(球),在地面上布设3~4个反光靶(球),三维扫描仪监测数据分别在以各站站点为原点的独立坐标系中,以此分析隧道变形时需要对各测点数据进行拼按,在数据拼按时将第一站作为基准站,其后每一站分别与相邻的前一站作拼按,前后测站间首尾相连。
2点云数据拼接方法与分析
隧道监测区段的数据采集过程中需对隧道进行分站式扫描,监测时既要保证扫描数据的精度,也要有足够的控制点和扫描数据的重合度才能保证点云数据的拼接精度,保证点云数据的拼接质量和拼接精度是掌握隧道等地下工程变形和施工安全的前提,所以要尽量提高点云数据的质量,减小拼接误差。
点云数据拼按是按照一定的数学法则,求取相邻测站所在独立坐标系统之间的转换参数,通过刚体变换、平移的旋转等数学方法,将所有测站点的点云数据几何信息统一到同一个三维空间坐标系下,转换过程不能对点云数据进行任何扭曲和缩放,以保证点云数据的几何信息无缝连接,不产生任何变形。
点云数据拼按主要采用以下方法:(1)基于控制点三维坐标的点云拼接,该方法采用全站仪和GPS等测量拼接区域的控制点的三维坐标,然后各控制点坐标对各测站的点云数据进行拼按,方法简单,拼接精度依赖于控制点测量精度;(2)基于测量表面贴附标记点的方法,该方法在要扫描的目标区域的内部或周围两站或多站公共扫描目标区域放置三个以上的标靶,扫描并获取扫描区域的三维点云数据,计算两组相邻区域点云数据间的拼按变换参数,拼按精度受标记点数量和位置影响;(3)基于特征点云的混合拼按,该方法要求扫描实体时要有一定的重合度,拼接精度主要依赖于拼按算法,可分为基于点信息的拼接算法、基于几何特征信息的拼按算法、动态拼接算法和基于影像的拼按算法等。
3混合拼接方法主要如下几种
3.1基于点信息的迭代拼接方法
基于点信息的迭代拼接方法(ICP)是提出最早也是最为经典的点云拼按方法,经过20多年的发展已成为点云配准中的主流算法,是点云配准研究的开创性工作,也是后续基于迭代的配准算法的理论基础和框架,该算法是由Besl和Chen分别提出的,Besl使用参数是点点距离,而Chen使用参数是点面距离,其原理都是基于最小二乘法算法的最优匹配方法,重复进行配准,确定最优刚体变换参数,迭代计算至误差收敛。
3.2基于几何特征信息的预处理拼接方法
所谓基于几何特征的拼按,就是根据三维实体几何形状特征进行拼接,分为整体拼按、曲面特征拼接和点信息特征拼接等算法,整体拼接算法通常用于预拼接,通常与ICP算法一起来完成拼按整个过程,首先以点云数据中的特征点几何信息进行粗略拼按,再进行迭代处理,拼接效率较高。根据曲率特征拼接的算法最能准确反映出三维实体的表面几何特征信息,拼接过程简单,整体精度较高;利三维实体的特征点信息或特征线信息进行拼按的方法是曲面特征拼按方法的补充,一般适用于小范围的点云数据拼接,且需要有某些先验知识。
基于几何特征信息的预处理拼接算法的总体思路是相同的,根据拼按时所选择实体的几何特征拼接方法分为如下几种:①曲面法向矢量法,其主要特征是对要拼按的两组点云数据,计算出测点及其邻域点每个点的曲面法向矢量,按法向矢量方向进行拼按。②曲面曲率法,其主要特征是根据点云数据计算出各个测点的曲率,根据测点的曲率大小将相同的点集合进行配准。③几何哈希方法,其主要特征是首先将每个点对的法向映射为三维空间变换,把点对法向一的集按照数学法则进行拼接,再进行点云数据迭代运算进行拼按。④ICP算法迭代法,其主要特征是找出几何特征信息,采用ICP算法进行预拼接,并以算计结果为基础,把上次拼接点对集合再运用ICP算法进行二次拼按,经过多次迭代计算,实现点云数据的精确拼接。
3.3多条件动态拼接方法
动态拼接是指对运动和形变的采样点,在不同的帧之间根据运动学原理完成插值拼接。在该拼接模式下对三维实体的数据获取采用的是旋转式扫描法,其特征是扫描仪固定在站点,三维物体沿着中轴线旋转,扫描方式得到多帧组成的点云数据,通过相邻帧之间相互关系,由旋转速度计算得出每一帧的旋转夹角来进行拼接,是特殊条件下的一种拼接方法。
2004年NiloyJ,Mitra提出了一种新的动态拼接算法,对采样线的点进行光顺,其中整体的误差最小,并得到了比较好的效果。
3.4基于影像的拼接方法
在点云数据拼按时借助于数字图像处理技术,利用计算机数字融合技术和逆向工程理论在立体像对上自动搜索同名像点,并进行同名点自动识别,根据拼按的基元分为基于灰度的拼接算法和基于几何特征的拼按算法二种,其中:基于灰度拼接算法技术较为成熟,拼接精度较高,主要特征信息为图像灰度特征,强调光强和对比度,对其他信息顾及较少,拼接结果容易出现错误,影响成果鉴定的使用;基于几何特征的拼接算法通常利用Harris算法进行角点检测,然后利用归一化相关法进行匹配,从而得到匹配点对,可有效地提高了图像拼接的精度和速度。
4点云数据拼接方法存在问题与改进
目前国内外点云数据拼接方法均基于ICP算法,第一步先确定对应点集,然后根据对应点集确定点云间对应的坐标变换矩阵,再进行迭代计算直至满足精度要求为止。该方法中确定对应点集是决定算法的关键问题,也决定的了收敛的速度和拼接的精度,无论对应点集是点到点的距离还是点到面的距离,要计算过程中都容易产生对点错误,影响点云拼按的质量和速度。
1998年dorai等提出了用候选对应点到点距离约束来减小对应点对的方法,2002年sharp等人又提出了利用被测物体表面的特征不变量来确定对应点对的方法,结合点对之间的共线约束和临近性约束来排除错误对应点,从而提高了对应点的正确性,使点云拼接质量得到大大的提高。
5结语
三维激光扫描测量产生误差的原因主要有仪器本身的误差、扫描目标的误差和外界环境条件误差等,数据处理误差主要焦距在数据拼接过程中的拼接算法上,改进测量方法和测量条件,采用先进的拼接算法是提高点云数据拼按质量的关键问题。
关键词:不良数据识别云计算电力系统
中图分类号:TM732文献标识码:A文章编号:1007-9416(2013)07-0066-01
1电力系统不良数据识别
智能电网是未来电力系统发展的方向,智能电网需要对目前电网进行电力监测系统的升级改造,提高电网智能化测量水平。随着数字化变电站、输电线路监控系统、GIS集成监控平台等智能系统的发展,未来电力系统将会采集到海量的实时数据,这些数据是否准确决定着电力系统的安全可靠,在实际数据采集中,由于测量系统可能受到随机干扰或者存在偶然故障,电力系统可能出现不良数据。电力系统不良数据可能影响到电力调度决策,对电力系统正常运行带来威胁。电力系统不良数据识别就是要发现并消除测量数据中出现的偶然不良数据,保证系统运行安全性,电力系统不良数据识别和处理对电力系统安全可靠运行有重要意义。
目前,电力系统不良数据识别主要是基于状态估计和数据挖掘两个方面。基于状态估计的不良数据识别算法可能出现残差污染的现象,造成数据误检。基于数据挖掘的识别算法主要是基于智能算法进行不良数据识别,这些算法包括神经网络、聚类分析、模糊理论等,这些智能算法存在计算量大、复杂度高的问题,在电力系统大数据量的情况下,不能很好地满足智能电网的需求[1]。
2云计算概述及分析
云计算是一种新兴的计算模式,它通过将计算任务分布在大量计算机资源上提供超强计算能力、大存储空间服务。“云”是一些可自我维护管理的计算资源,通常情况下是大型服务器集群,其中有计算、存储服务器,云计算是分布式计算、并行计算在商业中的实现,云计算集中计算资源并进行管理,但对用户屏蔽了运行细节[2]。云计算的特点主要有:(1)大规模,云计算具有超大规模,能够实现非常强大的计算能力,比如谷歌云拥有百万台服务器;(2)虚拟化,用户所请求的资源来自“云”而非固定实体,用户不需要了解服务具体运行的位置,只需通过网络即可获得高性能服务;(3)通用性,同一“云”可以提供不同的应用服务;(4)可靠性,云计算采用数据多副本容错以及计算节点互换等措施使得云计算比本地计算可靠性更高;(5)扩展性,云计算可以根据需求动态伸缩满足用户需求;(6)廉价性,云计算采用廉价硬件资源构建服务器集群,降低了数据中心成本,提高了其资源利用率。
按照服务类型,云计算可以分为三类:基础设施即服务(InfrastructureasaService,IaaS)、平台即服务(Platformasaservice,PaaS)、软件即服务(Softwareasaservice,SaaS)。Iaas是将硬件设备及其他的基础资源封装为服务供用户来使用,用户可以让平台运行windows系统或者linux系统,这种方式最大的优势是允许用户动态释放节点。PaaS提供了用户应用程序所需的运行环境,在这种模式中,用户自有所下降,用户需要使用特定的编程环境及编程模型。SaaS将一些特定的软件封装成服务,这种模式中软件通过服务模式,SaaS将逐渐成为在线软件主要的应用模式,但未来的发展可能受限于网络带宽以及信息存储等基础设施。
3云计算在电力系统不良数据识别中的应用
随着电网信息化的不断发展,电网状态数据的存储以及计算面临着非常大的挑战,电网运行结构具有分布式特性使得电力系统数据具有分布式特征,将云计算的文件系统引入电力系统可解决电力系统数据存储的难题。云计算还可以适用于电力系统数据处理的很多方面,云计算在电力系统不良数据识别方面的应用优势主要有:(1)构建以云计算技术为中心,以快速数据识别为目标,提供实时数据处理及存储的软件平台和工具,及时发现并排除不良数据。(2)依托于云计算强大快速的数据处理能力,基于云计算的不良数据识别算法可以最大限度发挥优势,克服传统不良数据识别中过度依赖调度员的缺陷,可以根据电力系统状态数据快速准确判断电力系统状态。(3)不良数据识别算法能够很好地适应云计算技术中的分布式计算存储等特点,可以根据不良数据辨识算法的这一特性设计适合云平台的算法模型。(4)电力系统中的状态数据符合分布式特征,这样待检测数据可以来自于不同的存储节点,利用虚拟化方法对电力系统存储资源整合,可解决资源不足的难题,可以为数据云化处理提供基础。(5)以云为基础的电力系统调度平台,可以实现对任意节点的电力系统数据进行离线分析计算,验证辨识算法的性能。(6)基于云计算的虚拟化平台可以针对不同电网节点提供不同电力辨识算法,提高算法性能。
将云计算应用到以数据挖掘理论为基础的电力系统,可以有效提升电网的数据计算能力以及存储能力。数据挖掘算法有基于聚类分析和基于神经网络两种,常用于电力系统不良数据识别中的聚类分析算法是k-means算法及间隙统计算法,间隙统计法可以较好地确定最佳聚类个数[3]。间隙统计算法中计算复杂度最高的是对不同的聚类个数k进行聚类和将数据聚类到k个中心,这两部分具有云化特征,将云算法与间隙统计算法结合可以有效提高算法效率。
参考文献
[1]蒋德珑,王克文.不良数据检测与辨识算法的评估研究[J].计算机工程与应用,2012,48(22):239-241.
收稿日期:20131030
基金项目:国家自然科学基金资助项目(71340003)
作者简介:王瑛(1964-),女,湖南汉寿人,湖南大学副教授
通讯联系人,E-mail:
摘要:针对科技奖励评价问题,用标准差系数改进CRITIC法对专家评分进行动态赋权,结合云模型用逆向云发生器构造模糊评价矩阵,用虚拟云计算出评价项目的期望、熵和超熵,得出评价结果并排序.既考虑了科技奖励评价过程中专家评分的模糊性和随机性,又实现了定性语言与定量数值之间的转换,减少了专家主观因素的干扰,使评价结果更加准确、客观.
关键词:云;改进的CRITIC法;科技奖励评价
中图分类号:G311文献标识码:A
ResearchontheEvaluationofScienceandTechnologicalAwards
BasedonImprovedCRITICMethodandCloudModel
WANGYing,JIANGXiaodong,ZHANGLu
(CollegeofFinanceandStatistics,HunanUniv,Changsha,Hunan410079,China)
Abstract:Toaddresstheproblemsintheevaluationofscienceandtechnologyawards,thispaperproposedanimprovedCRITICmethod,whichwasmodifiedbycoefficientofstandarddeviationtocarryonthedynamicempowerment.Andcombinedwithcloudmodel,themethodusedreversecloudgeneratortoconstructafuzzyevaluationmatrixandusedthevirtualcloudtocalculatetheexpectationentropyandhyperentropyofevaluatedprojecttogetandsorttheevaluationresults.Thismethodcanconsiderthefuzzinessandtherandomnessofexpertscoreintheevaluationofscienceandtechnologyawards,andrealizetheconversionbetweenthequalitativelinguisticandthequantitativenumericalvalue,thusreducingtheinterferenceofexpertsubjectivefactorsandmakingtheresultsmoreaccurateandobjective.
Keywords:clouds;improvedCRITICmethod;theevaluationofscienceandtechnologyawards
科技奖励制度是中国科技工作的一个重要组成部分,也是国家促进科技创新和发展的一种举措,它对于激发科技工作者的工作积极性,鼓舞科技工作者的创造热情,促进科技工作与经济发展相结合等各方面都有重要作用.如何公正、客观、有效地评价科技成果,为指导科技奖励评价提供理论和方法依据,显得尤为重要.因此,研究和完善科学的科技奖励评估机制,并将科学评价理论、方法和技术运用到科技奖励评审工作中成为新时期科技奖励研究的重点内容.
对于科技奖励综合评价方法的探索,不少专家在这方面都进行过研究.如:石磊等\[1\]用模糊决策理论对科技奖励评价建立数学模型,并探讨用该模型进行科技奖励评价的步骤.李茹等\[2\]在分析传统综合评价方法的基础上,将主观评价与客观评价相整合,提出了一种基于模糊集理论的组合赋权模糊综合评价方法,对项目完成情况进行横向与纵向的比较后采用组合赋权法进行评价.刘业政等\[3\]提出根据专家个体决策与群体决策之间的偏离度计算专家权重,并用熵值法计算属性权重,以新的权重计算出专家个体决策与群体决策的差异,保证项目评价的客观性.张立军等\[4\]建立信度系数分析模型,计算单个专家评分的信度系数,根据单个专家对项目的排序与综合排序之间的一致性,测量专家评议的质量.王瑛等\[5-7\]提出了EBP科技奖励综合评价智能模型、最小二乘支持向量机模型和基于改进DS证据理论的TOPSIS模型.金聪等\[8\]采用定性定量相结合的方法,将人工神经网络模型与模糊系统的理论和方法相结合实现对科技成果奖励的智能评审.
湖南大学学报(自然科学版)2014年
第4期王瑛等:基于改进的CRITIC法和云模型的科技奖励评价研究
针对科技奖励评价涉及多个指标、多个专家、多个项目的特点,本文提出了一种新的评价方法,采用改进的CRITIC法对专家进行动态赋权,结合云模型对科技奖励进行综合评价.该方法既考虑了专家动态权重,又考虑了指标权重,将专家评分的模糊性和随机性相结合,实现了定性语言与定量数值之间的转换,降低了专家评分主观性影响,使评价结果更加科学、准确和客观.
1基于改进CRITIC法的专家动态权重
在综合评价中,各个专家受其自身知识结构、对评判项目熟悉程度以及个人偏好等因素的影响,对评判项目的评分存在差异,因此,在综合评价中有必要考虑到不同专家意见的重要性,有必要对专家赋权.
根据专家赋权所考虑的因素划分,专家赋权方法可以分为两类:一类是根据专家有关的先验信息为专家赋权,此时赋予的权重是对专家知识、经验、水平等的综合数量表示,据此确定的专家权重被称为主观权重\[9\];另一类是根据专家提供的判断信息质量对专家进行赋权,据此确定的专家权重被称为客观权重\[10\].一般情况下,专家的主观权重是事先赋予的,不随专家给出的评判信息的质量而改变,故主观权重其实是一种静态权重,而专家的客观权重随其给出的评判信息质量改变,因而客观权重是动态的,称之为专家动态权重.本文根据各个专家对各项目的各项指标的评分对专家进行动态赋权.
1.1CRITIC法的基本原理
CRITIC法是由Diakoulaki于1995年提出的一种新的客观赋权方法,它是以特征的对比强度和特征的冲突性两方面来综合确定特征的客观权重\[11\].用CRITIC法对专家动态赋权,对比强度表示同一个项目各专家评分差距的大小,用标准差来表示,标准差的大小表明了各专家评分方案差距的大小,标准差越小说明各专家评分差距越小,所赋权重应越大,反之则越小;冲突性则是用专家评分间的相关性来衡量,如果2个专家评分之间具有较强的正相关则说明冲突性较低,所赋权重应较大,反之则越小.
1.2基于改进的CRITIC法的专家动态权重
设有n个评价项目A1,A2,…,Ai,…,An,m个评价指标P1,P2,…,Pj,…,Pm以及r个评分专家C1,C2,…,Ck,…,Cr,组成评价指标的样本集xkij如表1所示.
表1专家评分的原始数据
Tab.1Theoriginaldataofexpertscore
C1
…
Cr
P1
P2
…
Pm
…
P1
P2
…
Pm
A1
x111
x112
…
x11m
…
xr11
xr12
…
xr1m
A2
x111
x112
…
x11m
…
xr11
xr12
…
xr1m
An
x1n1
x1n2
…
x1nm
…
xrn1
xrn2
…
xrnm
CRITIC法是用标准差来衡量对比强度绝对变动的方法,用标准差系数这一相对变动来进行改进[12],以减少专家评分差异程度的影响.
对于特定评审项目Ai,用f(k)ij表示第k个专家Ck对指标Pj评分所包含的信息量和独立性的综合度量,用标准差系数uij来反映对比强度,用∑rl=1γkl来反映专家Ck与其他专家间的冲突性,其中γkl表示第k个专家与第l个专家之间的相关系数,则f(k)ij表示为:
f(k)ij=1uij∑rl=1γkl.(1)
式中:uij=σijij,xij=1r∑rk=1x(k)ij,σ2ij=1r∑rk=1(x(k)ij-xij)2.
因此,f(k)ij越大表示第k个专家Ck评分所包含的综合信息量越多,即该专家的相对重要程度越大,所赋权重也应该越大,所以第k个专家Ck的客观权重w(k)ij应该为:
w(k)ij=f(k)ij∑rk=1f(k)ij,j=1,2,…,m.(2)
由于专家对每个项目中的每个指标的判断和评分情况都不同,因此对于每个项目中每个指标的各位专家的动态权重可用以下向量来表示:
Wij=(W1ij,W2ij,…,Wkij,…,Wrij).
从表1可知,对于特定项目Ai,专家Ck的第j个指标值为xkij.专家Ck的第j个指标Pj的客观权重为w(k)ij,则考虑专家权重后第j个指标Pj的得分可以表示为:
ykij=w(k)ijx(k)ij,i=1,2,…,n.(3)
2云模型
2.1云的概念及其数字特征
云模型由中国李德毅在90年代初期提出的,它是在随机数学和模糊数学的基础上,用于刻画语言值随机性、模糊性及二者间的关联性的一种方法.云模型综合考虑了不确定概念的随机性和模糊性,实现了不确定语言与定量数值之间自然转化\[13\].
设U为一论域,U={X},T为与U相联系的定性语言,GT(X)是U中的元素X对于T所表达的定性概念的隶属度,它是一个具有稳定倾向的随机数,其在论域上的分布称为隶属云,简称为云,每个X称为一个云滴(X,GT(x))\[14\].GT(X)在[0,1]中取值,云是从论域U到区间[0,1]的映射,即GT(X):U[0,1],x∈U,xGT(X).
云的数字特征用期望Ex,熵En,超熵He3个数值来表征\[15\],如图1所示.
云滴
图1云的数字特征示意图
Fig.1Schematicdiagramofthecloud
digitalcharacteristics
期望Ex:云滴在论域空间分布的期望,是论域空间中最能代表定性概率的值,其确定度是1.
熵En:定性概念的不确定性度量,熵既度量了定性概念的亦此亦彼性,又度量了定性概念随机性,它反映了论域空间中可被语言值接受云滴的取值范围,同时代表定性概念云滴的离散程度.
超熵He:熵的不确定性度量,也就是熵的熵,反映了在论域空间代表该语言值的所有点的不确定度的凝聚性.
2.2云发生器
云发生器,即云模型的生成算法,它是构造不确定性推理的基础,是建立定性和定量之间相互联系、相互依存、量中有性、性中有量的映射关系.
正向云发生器是由云的3个数字特征产生云滴,积累到一定数量汇聚为云,是从定性到定量的映射,它是一个直接、前向的过程,具体来说是从语言值的定性信息中获取定量数据的范围及分布规律.
逆向云发生器是由云滴产生云的3个数字特征,是从定量到定性的映射,它是一个间接、逆向的过程,具体来说是将一定数量的精确数据有效转换为恰当的定性语言(Ex,En,He)表示的概念,并据此代表这些精确数据所反映的云滴的整体,如图2所示.
图2逆向云发生器
Fig.2Reversecloudgenerator
逆向云发生器是以统计理论为基础,其有2种基本运算方式:一种是包含确定度信息的运算,另一种是不包含确定度信息的运算.本文采用不含确定度信息的算法,算法如下\[16\]:
输入:样本点xi,其中i=1,2,…,n.
输出:这n个云滴所表示的定性概念的数字特征(Ex,En,He).
算法步骤:
1)根据xi计算样本均值=1n∑ni=1xi,一阶样本绝对中心距1n∑ni=1xi-,样本方差S2=1n-1∑ni=1(xi-)2;
2)期望Ex=;
3)熵En=π2×1n∑ni=1xi-Ex;
4)超熵He=S2-E2n.
2.3虚拟云算法
虚拟云\[17\]是按照某种应用目标,对各个基云的数字特征进行计算,将得到的结果作为新的数字特征所构造的云,对于一个语言变量T,可通过基云定义为:
T{T1(Ex1,En1,He1),T2(Ex2,En2,He2),…,Tn(Exn,Enn,Hen)}.对各个基云进行逻辑运算――软“AND”或软“OR”得到的新云就是虚拟元T(Ex,En,He).
采用虚拟云理论中的一种综合算法,计算公式如下:
Ex=w1Ex1+w2Ex2+…+wnExnw1+w2+…+wn,
En=w21w21+w22+…+w2nEn1+w22w21+w22+…+w2nEn2+
…+w2nw21+w22+…+w2nEnn,
He=w21w21+w22+…+w2nHe1+w22w21+w22+…+w2nHe2+
…+w2nw21+w22+…+w2nHen.
式中:wi为第i个指标的权重;(Exi,Eni,Hei)为第i个指标的云模型参数;n为指标的个数.
3改进的CRITIC法和云模型结合的科技
奖励综合评价步骤
假设在科技奖励中有n个评价项目{A1,A2,…,Ai,…,An},m个评价指标{P1,P2,…,Pj,…,Pm}以及r个评分专家{C1,C2,…,Ck,…,Cr},实施步骤如下:
1)确定科技奖励评价的指标论域.目前,国家科学技术进步奖(社会公益项目)的评价设定了5个指标,其评价依据主要是技术创新程度P1,技术经济指标的先进程度P2,推广应用程度P3,已获社会、生态、环境效益P4和对科技进步的推动作用P5这5个指标,则评价指标论域为:
P=P1,P2,P3,P4,P5.
2)确定评价指标的权重.权重是表征因子相对重要性大小的表征量度值,是为了使综合评价能够考虑各影响因素对总体影响程度的不一致性.引入P上的一个模糊子集S,称为权重分配集,S=(s1,s2,…,sm),其中si>0,∑mi=1si=1.
3)确定考虑专家动态权重的模糊评价矩阵.以项目Ai为例,根据式(1)和式(2)计算专家Ck的第j个指标Pj的客观权重为wkij,根据公式(3)计算考虑专家动态权重后指标Pj的得分ykij.采用逆向云发生器计算模糊评价矩阵,得到对于特定项目Ai的评价矩阵:
Ri=r1r2rm=(Ey1,En1,He1)(Ey2,En2,He2)(Eym,Enm,Hem).
项目Ai的评价指标Pj(j=1,2,…,m)的专家评价结果云rj(Eyj,Enj,Hej),每个专家对每个指标的评分都具有一定的随机性和模糊性,对于评价指标Pj可以打分为Eyj,则不同专家对于这个分数的评定一般在[Eyj-3Enj,Exj+3Enj]范围内,而Hej则进一步体现了主观评定的随机性.
4)利用虚拟云算法,计算项目Ai的综合评价结果:
Bi=S•Ri=s1,s2,…,sm•r1r2rm=s1,s2,…,sm•(Ey1,En1,He1)(Ey2,En2,He2)(Eym,Enm,Hem)=
s1Ey1+s2Ey2+…+smEyms1+s2+…+sms21s21+s22+…+s2mEn1+s22s21+s22+…+s2nEn2+…+s2ms21+s22+…+s2mEnms2ms21+s22+…+s2mHe1+s2ms21+s22+…+s2mHe2+…+s2ms21+s22+…+s2mHemT=(Ex,En,He).
5)计算n个项目的综合评价结果并排序.同理,可以得到n个评价项目的综合评价结果为:
B=B1B2BnT=(Ex1,En1,He1)(Ex2,En2,He2)(Exn,Enn,Hen)T.(4)
由公式(4)得到每个项目的综合评价结果,再结合期望Ex、熵En、超熵He的大小排序,期望值越大排名越靠前,若两者期望相同,再比较熵En的大小,熵值越小(即稳定性越好)排名越好;若两者期望、熵都相同,则再比较超熵He的大小,超熵值越小(即随机性越小)排名越好.
4实证分析
选取25位专家对中国国家科技进步奖(社会公益项目)24项科技成果的等级评价数据(数据来源:科技部国家科学技术奖励工作办公室,原始数据略),运用Matlab7.0软件进行实证分析.
1)确定科技奖励评价的指标论域.根据原始数据确定科技奖励的评价指标论域为:
P=P1,P2,P3,P4,P5.
2)确定评价指标的权重.根据给定指标的权重,得到与评价指标论域相对应的模糊子集S=(0.2,0.2,0.2,0.25,0.15).
3)确定考虑专家动态权重的模糊评价矩阵.以项目A1为例,根据公式(1)和(2)求得25位专家的动态权重,如表2所示.
表225位专家的动态权重计算结果
Tab.2Thedynamicweightscalculationresultsof25experts
[BHDFG2,WK7,WK5,WK5。4W]P1
P2
P3
P4
P5
C1
0.3753
0.3777
0.3340
0.3730
0.3002
C2
0.1212
0.1727
0.2357
0.2364
0.1823
C25
0.3140
0.2659
0.2949
0.3012
0.3433
根据公式(3),得到考虑专家动态权重后项目A1各指标的得分,如表3所示.
表3考虑专家动态权重后项目A1各指标的得分
Tab.3EachindexscoretableofprojectsA1after
consideringexpertsdynamicweights
指标
P1
P2
P3
P4
P5
A1
0.7505
0.2425
0.9420
0.75540.5180
0.7977
0.6681
0.7071
0.8847
0.7460
0.7092
1.2047
0.6004
0.5470
1.0299
采用逆向云发生器计算模糊评价矩阵,根据逆向云发生器计算指标的评价云滴为(0.7207,0.271,0.0136).
同理,计算项目A1其他4个指标的评价云滴,得到项目A1的评价矩阵为:
R1=r1r2r3r4r5=(Ey1,En1,He1)(Ey2,En2,He2)(Ey3,En3,He3)(Ey4,En4,He4)(Ey5,En5,He5)=
(0.7207,0.2710,0.0136)(0.6856,0.2593,0.0886)(0.7935,0.2490,0.1345)(0.8964,0.3194,0.0739)(0.8004,0.4231,0.1032)
4)利用虚拟云算法,计算项目A1的综合评价结果.
B1=S•R1=s1,s2,…,s5•
r1r2r5=0.2,0.2,0.2,0.25,0.15•
(0.7207,0.2710,0.0136)(0.6856,0.2593,0.0886)(0.7935,0.2490,0.1345)(0.8964,0.3194,0.0739)(0.8004,0.4231,0.1032)=
(0.7814,0.2959,0.0800).
5)确定24个项目的综合评价结果并排序.同理,可计算出24个评价项目的综合评价结果,如表4所示.
表424个项目的综合评价结果
Tab.4Comprehensiveevaluationresultsof24projects
项目
综合评价结果
项目
综合评价结果
A1
(0.7814,0.2959,0.0800)
A13
(0.6960,0.6954,0.1139)
A2
(0.6451,0.6453,0.0732)
A14
(0.8566,0.8634,0.0818)
A3
(0.7025,0.7004,0.1499)
A15
(0.9481,0.9496,0.0614)
A4
(0.6252,0.6229,0.0426)
A16
(0.8296,0.6229,0.0426)
A5
(0.6308,0.6408,0.0659)
A17
(1.0756,1.0849,0.0740)
A6
(0.8998,0.9075,0.0587)
A18
(0.9644,0.9713,0.0484)
A7
(0.8015,0.8076,0.0876)
A19
(0.8246,0.8307,0.0998)
A8
(1.0184,1.0271,0.0784)
A20
(0.7582,0.7614,0.0652)
A9
(1.0630,1.0712,0.1044)
A21
(0.7810,0.7790,0.0420)
A10
(0.9343,0.9449,0.0595)
A22
(0.8460,0.8468,0.0678)
A11
(0.8375,0.8395,0.1181)
A23
(0.6878,0.6881,0.0980)
A12
(0.9634,0.9674,0.1099)
A24
(0.8799,0.8849,0.0640)
以项目A1~A4为例进行排序,得到项目A1~A4的综合评价结果云模型图如图3所示.
评价云滴
图3项目A1~A4的综合评价云模型图
Fig.3Comprehensiveevaluationcloudmodel
diagramofprojectA1~A4
由图3可知,项目A1的Ex较大,综合评价结果较好,En较小,离散程度较小,稳定性较好,项目A4的He在4个项目中最小,云滴较薄,确定度的随机性最小.由排序规则,项目A1~A4的排序依次为A1,A3,A2,A4.
同理,可以得到24个评价项目的排序结果,如表5所示.
表524个项目的排序结果
Tab.5Sortingresultof24projects
项目
排序
项目
排序
项目
排序
A1
16
A9
2
A17
1
A2
22
A10
7
A18
4
A3
19
A11
12
A19
14
A4
24
A12
5
A20
18
A5
23
A13
20
A21
17
A6
8
A14
10
A22
11
A7
15
A15
6
A23
21
A8
3
A16
13
A24
9
5结论
1)利用标准差系数衡量CRITIC法中专家的对比强度,将其与专家间的冲突性相结合确定专家动态权重,计算各项目每个指标的得分,提高了样本数据的代表性.
2)采用逆向云发生器确定评价项目的模糊评价矩阵,考虑了每个专家的评分具有一定的模糊性及随机性,降低了专家评分受主观因素影响的程度.
3)改进的CRITIC法和云模型相结合对科技奖励进行综合评价,得出各个项目的评价结果并排序,实现了定性语言与定量数值之间的转换,与传统的评价方法相比,评价结果更加科学、准确和客观.
参考文献
[1]石磊,苏明.科技奖励评价模型研究\[J\].现代机械,2004(6):72-73.
SHILei,SUMing.Thestudyofscienceandtechnologyencouragementmodel\[J\].ModernMachinery,2004(6):72-73.(InChinese)
\[2\]李茹,张丽芳,褚诚缘.科技项目模糊综合评价方法研究\[J\].系统工程理论与实践,2006(9):66-75.
LIRu,ZHANGLifang,CHUChengyuan.Theresearchonthefuzzycomprehensiveevaluationofscientificandtechnicalprojects\[J\].SystemsEngineeringTheory&Practice,2006(9):66-75.(InChinese)
\[3\]刘业政,徐德鹏,姜元春.多属性群决策中权重自适应调整的方法\[J\].系统工程与电子技术,2007(1):45-48.
LIUYezheng,XUDepeng,JIANGYuanchun.Methodofadaptiveadjustmentweightsinmultiattributegroupdecisionmaking\[J\].SystemsEngineeringandElectronics,2007(1):45-48.(InChinese)
\[4\]张立军,董艳青.科技成果奖励评价中专家评议质量的测度\[J\].科技进步与对策,2009,26(8):119-121.
ZHANGLijun,DONGYanqing.Thequalitymeasureofexpertsassessmentintechnologicalachievementsrewardappreciation\[J\].Science&TechnologyProgressandPolicy,2009,26(8):119-121.(InChinese)
\[5\]王瑛,赵谦,曹玮.基于EBP神经网络的科技奖励评价模型研究\[J\].科技进步与对策,2011,28(10):111-114.
WANGYing,ZHAOQian,CAOWei.BasedonEBPneuralnetworkmodelforintelligentevaluationofscienceandtechnologyaward\[J\].Science&TechnologyProgressandPolicy,2011,28(10):111-114.(InChinese)
\[6\]王瑛,罗丽雯,欧阳显斌.基于最小二乘支持向量机的科技奖励评价模型\[J\].统计与决策,2013(6):51-53.
WANGYing,LUOLiwen,OUYANGXianbing.TheapplicationofLSSVMmodelintheevaluationofscientificandtechnologicalachievements\[J\].StatisticsandDecision,2013(6):51-53.(InChinese)
\[7\]王瑛,李自光,陈吴丽.基于改进的DS证据理论的TOPSIS模型在科技奖励评价中的应用\[J\].统计与信息论坛,2013,28(2):93-97.
WANGYing,LIZiguang,CHENWuli.TheapplicationofTOPSISmodelbasedonimprovedDSevidencetheoryintheevalutionofscienceandtechnologicalawaeds\[J\].Statistics&InformationForum,2013,28(2):93-97.(InChinese)
\[8\]金聪,彭嘉雄.科技奖励的智能评审模型\[J\].软科学,2002,16(5):6-9.
JINCong,PENGJiaxiong,Anintelligentevalutionmodelforthescienceandtechnologyreward\[J\].SoftScience,2002,16(5):6-9.(InChinese)
\[9\]王硕,费树岷,夏安邦.关键科技选择与评价的方法论研究\[J\].中国管理科学,2000,8(11):69-75.
WANGShuo,FEIShumin,XIAAnbang.Aresearchonthemethodsofkeytechnology\[J\].ChineseJournalofManagementScience,2000,8(11):69-75.(InChinese)
\[10\]刘向阳.专家权威性权重与改进的群体决策AHP法\[J\].中国管理科学,1994(3):41-48.
LIUXiangyang.ExpertsauthoritativeweightandimprovedAHPgroupdecisionmakingmethod\[J\].ChineseJournalofManagementScience,1994(3):41-48.(InChinese)
\[11\]DIAKOULAKID,MAVROTASG,PAPAYANNAKISL.Determingobjectiveweightsinmultiplecriteriapromblems:theCRITICmethod\[J\].Computers&OperationsResearch,1995,22(7):763-770.
\[12\]曹玮,王瑛.基于改进的CRITICCPM的科技奖励评价模型\[J\].科学学与科学技术管理,2012,33(2):17-20.
CAOWei,WANGYing.TheimprovedCRITICCPMevaluationmodelinscienceandtechnologicalawards\[J\].ScienceofScienceandManagementofS&T,2012,33(2):17-20.(InChinese)
\[13\]宋远骏,杨孝宗,李德毅,等.多机多任务实时系统云调度策略\[J\].计算机学报,2000,23(10):1107-1113.
SONGYuanjun,YANGXiaozong,LIDeyi,etal.Thecloudschedulerpoliticsofmultiprocessormultitaskrealtimesystems\[J\].ChineseJournalofComputers,2000,23(10):1107-1113.(InChinese)
\[14\]LIDeyi,HANJiawei,SHIXuemei.Knowledgerepresentationanddiscoverybasedonlinguisticatoms\[J\].KnowledgeBasedSystems,1998,10(7):431-440.
\[15\]张莹,代劲,安世全.基于云模型的定性评价及在学评教中的应用\[J\].计算机工程与应用,2012,48(31):210-215.
ZHANGYing,DAIJin,ANShiquan.Qualitativeevaluationbasedoncloudmodelandapplicationinstudentratingofteaching\[J\].ComputerEngineeringandApplications,2012,48(31):210-215.(InChinese)
\[16\]刘常昱,冯芒,戴晓军,等.基于云X信息的逆向云新算法\[J\].系统仿真学报,2004,16(11):2417-2420.
LIUChangyu,FENGMang,DAIXiaojun,etal.Anewalgorithmofbackwardcloud\[J\].ActaSimulataSystematicaSinica,2004,16(11):2417-2420.(InChinese)
1基于信任的入侵防御模型分析
云计算拥有很强的计算能力和很大的存储能力,它所提供的网络资源、服务、应用以及云用户之间的协同工作的能力对他们之间建立起来的信任关系依赖性很强.在构建入侵防御系统模型时,与可信计算思想结合,做到实体行为特征的可采集检测,行为的结果可评估,行为特征可聚类分析
1.1模型的物理构建Daoli[2]是华中科技大学、武汉大学、清华大学等国内知名大学与EMC公司合作的并进行深入研究的项目,Daoli项目便逐渐发展成为以可信计算支撑的云计算服务系统.在该系统中将进行恶意破坏行为的隔离部件划为TCB,这些就是保证系统平台安全的基础.结合Daoli系统,规划设计出如图1所示的模型中的云中TCB的构成.在图1的结构中,BIOS、TPM就是硬件的可信基.根据TCG的设计,CRTM一般是在BIOS中进行实现的,因此图1中已将CRTM融入了模块HTCB中.另外,按照TCB的设计意图和思想,它是一组核心软硬件的组合,根据文献[2]可知,SRK是TPM密钥管理体系中的存储根密钥,利用该密钥的与TPM平台进行了有效绑定不会导出TPM之外的性质,使用该密钥进行密文封装之后的数据,即使离开了TPM平台依旧是无法正常的使用的.TCG为了能够实现这一设想,在TPM内部产生了一段随机数,称为tpmProof,它是由TPM的内部来产生的,不会导出至TPM之外,同时在密文封装过程中,tpmProof被打包到加密信息中,TPM是无法获知tpmProof信息,也就无法解密该信息的秘密.因此本文将VMM和TGrub作为了软件可信基重要组成部分STCB中,与此同时HTCB与STCB必须以一种耦合关系存在,实现自我保护能力.基于可信计算的云入侵防御总体模型框架如图2所展示。集群文件检测服务器将多引擎检测技术与虚拟化技术相结合,对所有的可疑应用程序文件的行为特征进行采集并全面综合检测,并将检测的结果反馈给用户,由云用户自己来做最后决策.可信度评估服务器是结合图2中CTCB,对某用户的信任度进行评估计算,为云端提供安全策略.综合分析服务器将这些特征进行规范化,然后结合可信计算的信任理论进行特征综合的分析决策.聚类分析服务器是对规范化的特征进行聚类关联分析.
1.2模型工作步骤该模型充分利用了云的超强计算能力和存储能力,为海量的云用户提供安全的入侵防御服务,对用户和用户提交的文件都进行安全性评估判断,其主要的工作流程如图3所示.工作步骤如下:1)用户登录云端向云请求服务之前,可信度评估服务器对未知可信度的用户进行评估计算,从而确定该用户是否为可信用户.2)集群文件检测服务器对授权登录用户提交的文件进行特征行为的收集,若是已知特征的恶意行为,则将结果反馈给用户,由用户最终决策,否则执行步骤3.3)对未能够检测出来特征的文件即新的特征,综合分析服务器对未知文件的行为特征进行综合决策分析来判断该文件是否安全.4)聚类分析服务器对文件的行为特征进行分类.5)聚类分析服务器将分类结果反馈给集群检测服务器并存储到云中,使得集群检测服务器更加便捷快速来进行工作.
1.3模型相关描述定义1设度量用户或者应用程序的可信程度有n项测量因素,即对应有n种行为特征集。
1.4行为特征的规范化在进行行为特征的规范化之前,必须对用户提交的文件获取其相应的行为特征[14],因此可以根据系统运行状况对系统的软硬件进行检测来获得.获取行为特征的方法也有很多,主要的获取方法有:入侵检测系统,如snort就能够监测多种网络攻击和检测;专业化的病毒查杀软件的病毒库和网络数据采集工具,如360云查杀、Flunk和NetFlowTracker等等。在获取了行为特征之后,会发现所有行为特征都有着不同的表现形式,如二进制代码、具体数值等.为了便于计算用户或者应用程序的数值特征,则需要将其全部规范为[0,1]区间内沿正向递增的无量纲值.规范化过程如图4所示.
2特征的综合决策和聚类分析
2.1综合决策及算例分析综合决策服务器是在可信度评估服务器确认用户为正常用户后的基础上,负责对用户提交的未知安全文件的行为特征因素做决策分析,判断该行为是否是可信的安全行为.根据上文中的模型相关定义,用U上的模糊集A与R进行合成,就能够得到用户或者某些应用程序行为特征的综合决策结果决策过程为:对于u1因素若有70%的情况认为文件非常可信,20%的情况认为文件可信,10%认为不太可信,则判断集为(0.7,0.2,0.1,0.0).对于若有u2因素若有20%的情况认为文件非常可信,30%的情况认为文件可信,40%认为不太可信,10%认为不可信,那么判断集为(0.2,03,04,01).对于u3因素若有30%的情况认为文件非常可信,40%的情况认为文件可信,20%认为不太可信,10%认为不可信,则判断集为(03,04,02,0.1).综合得到判断矩阵。
2.2用户信任度计算对于云用户本身的信任度,也需要进行评估,对用户的信任度进行判断的评估,可以通过借鉴层次分析法[4](AnalyticHierarchyProcess,AHP)进行.其中,设所有相关特征组成的并进行了规范化处理证据矩阵为每当有用户发出申请服务后,云端都会计算该用户的当前信任度.若该用户是老用户,那么需要对该用户的历史信任度和当前信任度进行结合更新信任度,并计算出综合信任度;若该用户是新用户,则根据当前信任度即可.实施对用户信任度的计算,对用户进行行为的安全监控,能够全面地提升云计算环境下共享资源中面对恶意攻击和破坏行为的入侵防御能力.
2.3特征的聚类分析及算例分析云聚类分析是在图2中综合决策分析服务器分析的特征结果的基础上,聚类分析服务器对行为特征因素进行分类的过程,将有相似或者相同特征的行为划为一类,以此来决定哪些行为是可信的,哪些是不可信的.聚类分析主要有模糊等价关系聚类和直接聚类.同时,聚类分析前首先必须要建立起模糊相似关系,建立模糊相似关系的方法有很多,如:数量积法、相关系数法、最大最小法、算术平均最小法、几何平均最小法等等.下面的过程中将采用模糊等价关系聚类方法,建立模糊相似关系采用最大最小法.聚类分析过程:采用模糊等价关系聚类时,模糊相似矩阵G一般只满足自反性和对称性.因此,可以使用平方法求出G的传递闭包^G,则^G即为模糊等价矩阵,利用^G便可以对U进行聚类分析.例如,对5个应用程序文件U=u1,u2,u3,u4{,u}5进行分类,根据上文的综合决策过程的应用程序的因素集:文件正常运行,文件捆绑了插件,文件携带木马病毒.对这3个因素进行评价打分,分数范围是[0,1].如得到下面5个评价向量:(05,06,03),(06,07,04),(08,06,02),(09,05,01),(07,05,08)用最大最小法建立相似关系,可以得到相应的分类为{u1,u2,u3,u4,u5}.由此能够得到:(1)当0≤λ≤07时,将U分为一类.(2)当07≤λ≤08,将U分为三类.(3)当08≤λ≤10,将U分为5类.当然,在求解传递闭包之前需要求证该传递闭包是否存在以及在采用平方法求传递闭包时工作量太大,无法实时进行防御都是未来研究中需要解决的问题.
3结论
关键词:点云;初始配准;精确配准;邻域特征;迭代最近点算法
中图分类号:TP391.41;TP391.7文献标志码:A
Applicationofneighborhoodfeatureinpointcloudregistration
HEYongxing1*,OUXinliang2,KUANGXiaolan3
(
1.CollegeofComputerandCommunication,HunanUniversityofTechnology,ZhuzhouHunan412008,China;
2.DepartmentofComputerScienceandTechnology,ChangshaUniversity,ChangshaHunan410003,China;
3.DepartmentofComputerScienceandTechnology,ChangshaCommerceandTourismCollege,ChangshaHunan410003,China
)
Abstract:
Anewregistrationmethodoflargescalescatteredpointcloudsbasedoninvariantfeaturesofneighborhoodwasproposed,whichconsistedofpreliminaryregistrationandexactregistration.Firstly,thetargetpointsetwasweightedtoreducetheamountofcorrespondingpointpairsefficiently.Secondly,onthebasisofdistancefeaturesbetweenpointsandtheirneighborhoodcentroids,thispaperaddedanadditionalgeometricfeaturevectorofincludedangletoeliminatebadpointpairs,andthenthepreliminaryregistrationwascompleted.Finally,theIterativeClosestPoint(ICP)algorithmwithimprovedinvariantfeaturewasusedtoregisteraccurately.Theexperimentalresultsindicatethegoodresultsofthepreliminaryregistrationandthebetterresultsoftheexactregistration,whichhavemettherequirementofregisteringpointcloudsfromdifferentviewpoints.
Keywords:
pointcloud;preliminaryregistration;exactregistration;neighborhoodfeature;IterativeClosestPoint(ICP)algorithm
0引言
随着现代三维扫描技术的提高,点云建模已经成为重要建模方式,对点云模型的处理已成为近年来研究的热点。为了对被测物体进行三维重建,首先需要获得物体表面的真实数据。但是,由于测量设备和环境等因素的限制和影响,每次测量得到的点云数据只是实体表面的一部分,并且可能出现平移错位和旋转错位。因此,必须对物体进行多次不同角度、不同位置的测量,并将从各个视角得到的点云数据转换到一个统一的坐标系下,以形成物体表面完整的测量数据,这个过程就是点云数据的配准。
点云数据配准分为初始配准和精确配准两部分。通常,初始配准是基于几何特征的配准,首先计算两个待配准点集的几何特征量;其次,通过对相似几何特征的比较来选取有效的匹配点对;最后,以匹配点对的几何特征(如法矢量等)为依据,计算刚体变换矩阵,进而完成初始配准。初配准只能从整体上完成点云的大致对齐,其精度并不高,故要引入二次精确配准。常用的精确配准方法是由Besl等[1]和Chen等[2]提出的迭代最邻近点(IterativeClosestPoint,ICP)算法。由于ICP算法是一种迭代收敛的算法,它对点云初始位置要求较高,并且易受噪声的干扰而陷入局部最优[3],所以应加入初始配准来调整点云位姿,以此来提高ICP算法的准确性。初始配准的关键在于确定匹配点对,快速准确地获取匹配点对已成为点云配准的研究重点。
匹配点对的选取,通常需要提取点云的几何特征,如高斯曲率、法矢量、切矢量、局部张量、点与邻域重心的距离等[4]。
曲率能够表示测点的邻域形状变化,具有平移、旋转和缩放不变性,是描述曲面几何特征的重要依据。曲率估算的方法主要有:最小二乘法[5]、Voronoi法[6]和Taubin算法[7]。文献[8-9]对以上的曲率估算方法进行了验证,由于噪声对曲率估计的影响,基于曲率特征的点云配准方法鲁棒性并不高,而且时间复杂度较大。
Jiang等[10]提出了一种基于夹角特征的点云配准方法,用任意点与其邻近点法向之间的夹角作为配准的几何特征,该方法在估计法向量时也会受噪声点的影响,从而降低了夹角特征估计的准确性。Mian等[11]提出使用包围盒来选取局部区域,计算该区域的张量特征,并用张量特征进行粗配准。该方法抗噪声的能力强、鲁棒性好,但是要得到好的配准结果,其初始点云的重叠率必须大于50%,并且计算张量特征比较费时。
关键词:PMD;位姿测量;三维点云;配准
中图分类号:TP274文献标识码:A文章编号:1009-3044(2016)10-0269-03
Abstract:Todealwiththeproblemofmeasuredrelativeposeinspacecraftdockingoperations,Thispaperusethecircularstructureofthespacecraft,designedaposemeasurementmethodbasedonthePMDcamera,Themethodusesthecameratoobtainthree-dimensionalpointclouddata,bythismethodofpointcloudregistrationtoachieveanaccuratemeasurementoftherelativeposeofthetarget.
Keywords:PMD;posemeasurement;3Dpointcloud;registration
1概述
在航天领域,要完成航天器目标的对接任务,需要获得目标的相对位姿参数,对于非合作目标,航天器本身没有预先安装合作标识器,需要利用航天器本身的结构特征来实现目标的识别和定位[1]。航天器有对接环和发动器喷口等圆形结构,本文利用目标的圆特征,进行位姿测量。相较于其他特征,利用圆特征进行位姿测量的最大优势是能够抗遮挡,通过部分圆特征就能解算出位姿。然而,对于非合作目标,在没有任何约束条件下,基于单个圆的单目视觉位姿测量的解具有二义性[2],所以在实际应用中需要解决目标二义性的问题。
本文提出了一种基于PMD相机的非合作目标[3]的空间位姿测量方法,通过空间点云配准的方法能够直接获取位姿的唯一解,解决了二义性的问题,该方法首先对PMD相机采集的深度图像进行滤波去噪、去除不可靠点和异常值。然后把目标的深度数据转化为空间三维点云数据,通过模版匹配的方法对两幅目标点云进行粗配准,再利用改进型的ICP算法[4]对点云进行精配准,获取两幅点云的平移矩阵和旋转矩阵,最终得到目标相对位姿测量结果。最后,通过实验验证了算法的有效性。
2位姿测量过程
2.1相机简介
本文采用3D相机是德国PMDTec公司的PMD[vision]?Camcube2.0相机。它是一种基行时间(Time-of-Flight)原理的3D相机,它是一种新型、小型化的主动式立体成像设备,无需扫描便可实时的获取目标的深度信息、灰度信息和幅度信息[5]。PMD相机测距原理是通过红外发射器向目标发射光脉冲,到达目标物体后发生反射,反射的红外光被相机上的探测器接收,计算发射和接收光信号的相位差来计算相机到目标的距离,从而获取整个场景的深度信息。
2.2三维点云的获取
基于视觉测量系统的相机成像模型基本都是采用针孔成像模型,该模型为一个理想的投影成像模型。如图1所示,[OW-XWYWZW]为世界坐标系,[OC-XCYCZC]为相机坐标系,原点[OC]为相机的镜头中心,[OI-XIYI]为像平面坐标系,[o-uv]为图像像素坐标系,这两个坐标系为二维坐标系,描述成像点坐标即空间点在相机像平面的投影坐标。P为空间中的任意一点,P′为P点在像平面上的成像点,[OCOI]的距离值为焦距[f],[ZC]轴为主光轴的方向,[XC]轴和[YC]轴分别与图像像素坐标系的[u]和[v]平行,并与其他两轴构成右手系。
三维点云是利用PMD相机获取的每个像素点的深度信息转化为目标在相机坐标系中的三维坐标点集,结合公式(1)~(3)即可求出每个点的三维坐标。
2.3位姿测量过程
本文位姿测量过程如图2所示:
1)深度图像获取:利用PMD相机采集场景的幅度图像和深度图像。
2)滤波去噪:幅度图像的每个像素值表示相机传感器接收到反射信号的强度大小,幅度值较低说明该像素点接收回反射信号强度较低,所以该点测量的深度信息不可靠,通过设置幅值门限来滤除不可靠的像素点。PMD相机的分辨率不高,图像中含有噪声,本文采用自适应双边滤波[6]算法,该方法不仅可以有效地滤除噪声,还能较好的保存图像的细节部分。
3)点云预处理:由深度图像转化为三维点云,在点云的边缘处存在跳变点,也称作孤立点,需要去除这些不必要的孤立点,本文采用Knn最邻近结点算法[7]对点云中每个点搜索其K个邻近点,计算该点与这K个邻近点的距离,如果存在某一距离值大于一定的阈值,则去除该点。
4)点云配准:点云配准是通过对两片目标点云进行匹配来确定点云的变换关系,得到两片点云之间的旋转矩阵和平移矩阵。由于本文采用圆锥目标作为测量对象,很难提取到目标表面的特征点,本文采用模型匹配[8]的方法,在第一幅点云中建立点对特征向量,由特征点对构建目标模型,然后根据点对特征向量在另一幅点云中搜索相同特征向量的点对,利用两幅点云中的点对进行配准,完成粗配准,得到两幅点云之间的初始旋转和平移矩阵。
然后采用改进型的ICP算法对其进行精确配准,提高了配准的速度和精度。最后,根据配准得到的旋转和平移矩阵计算出目标的相对位姿。
3实验结果与分析
为验证测量方法的可行性和准确性,自行搭建位姿测量系统,如下图所示,图3为实验所用的PMD相机。图4为测量控制平台,目标模型安装在平台上面,通过软件控制电机使目标进行6个自由度的变换。图5为控制平台的软件控制界面,通过设置参数可以实现目标精确的平移和角度旋转。
首先使目标正对于PMD相机,相对于相机的旋转角度设置为0°,在距离相机0.5米处采集数据,图6(a)为目标深度图像,图6(b)为滤波后的深度图像。然后把目标绕y轴(偏航角)旋转10°采集数据,如图6(c)所示。获取两幅深度图像的三维点云,经过预处理后进行点云配准,图6(e)是两片点云配准的结果,白色点是参考模型点,绿色点是数据模型点。固定距离,旋转不同角度验证算法,测量结果如表1所示,与实际值相比,测量最大误差在1.2°以内,表明了本文算法能够有效的测量非合作目标的位姿,能够满足实际位姿测量需要。
4结论与展望
本文利用PMD相机,采用空间三维点云配准的方法对目标进行相对位姿测量,搭建实验系统验证了该方法的有效性,实验结果表明该方法能够有效的测量目标的位姿,能够满足实际测量的需要。
参考文献:
[1]KhongsabP.SignalprocessingandperformanceevaluationofaPMDcameraforspacedocking[J].Kiruna:Master’sthesis,LuleaUniversityofTechnology,2009.
[2]ShiuYC,AhmadS.3Dlocationofcircularandsphericalfeaturesbymonocularmodel-basedvision[C]//ProceedingsoftheIEEEInternationalConferenceonSystems,ManandCybernetics,Massachusetts,USA,1989:576-581.
[3]INABAN,ODAM,ASANOM.Rescuingastrandedsatelliteinspace-experimentalroboticcaptureofnon2cooperativesatellites[J].TransactionsoftheJapanSocietyforAeronauticalandSpaceSciences,2006,48(162):2132220.
[4]Bergstr?mP,EdlundO.Robustregistrationofpointsetsusingiterativelyreweightedleastsquares[J].ComputationalOptimizationandApplications,2014,58(3):543-561.
[5]AndreasKolb,ErhardtBarth,ReinhardKoch,etal.Time-of-FlightCamerasinComputerGraphics[C].InComputerGraphicsForum,2010,29.
[6]GaoJun,JiaBaoZhu,ZhangXuDong,etal.PMDcameracalibrationbasedonadaptivebilateralfilter[C]//Wuhan,China:2011InternationalSymposiumonPhotonicsandOptoelectronics(SOPO),,2011:1-4.
1云计算概述
云计算诞生于二零零六年,二零零八年云计算得到大面积推广,云计算的诞生立即引起全球信息行业的广泛关注,云计算的出现给IT行业发展带来了新的改革浪潮,云计算的特征是:按需服务、共享资源、按需付费、网络面广。云计算作为二十一世纪新兴的技术,彻底改变了传统软件工程。云计算现如今已经被应用到了各个领域。云计算的核心技术有海量数据存储与计算、虚拟化技术、分布式存储技术、并行编程模式技术。云计算实现了将庞大数据拆分成若干子程序进行分布处理,处理后发送给服务器群计算,最后将分析处理结果统一融合后回传给用户。狭义上来说云计算是通过计算机和各类用户终端实现信息交互和应用。广义上讲云计算是一种强大的网络服务模式。云计算的虚拟化技术将一台计算机虚拟化成多台计算机,使资源利用率提高,从而降低成本。云计算的分布式计算技术,实现了根据使用需求情况分布资源。另外,云计算相比传统硬件平台相比,维护费用低廉,管理方便易操作,无需大量的资金支持。
2物联网概念
物联网是互联网的重要组成部分,物联网是物物相联的互联网,物联网的基础仍然是互联网,物联网是以互联网为基础发展和延伸出来的网络。物联网最早提出于一九九零年。一九九一年麻省理工学院开始对物联网进行研究,一九九九年麻省理工学院对物联网做了实验。物联网底层数据的感知是物联网技术的基础,在物联网感知层中,呈现出的特点是数据量大、种类多。物联网感知采用了信息后,通过传输层实现数据与传递。物联网按照功能分为三层:应用服务层、网络传输层、感知控制层。物联网应用十分广泛,现如今几乎已经渗入到人类生活的各个方面。例如:智能交通、智能家居、资源管理、科研实验、医疗领域、军事领域。物联网的发展和推广受到了国家的重视。但就目前来看,物联网技术不论是技术上,还是理论上仍然处于发展阶段,距离物联网普及和大面积应用仍然有着一定的距离。
3基于云计算的物联网系统架构
从物联网技术的特征来看,未来物联网技术更新和改革离不开对云计算的应用,云计算的优势是物联网技术所需要的,物联网的推广和应用必然不能缺少云计算,物联网数据产生和收集过程具有实时性和不间断性,处理时间的延迟必然会导致数据量的扩大。但由于数据量大、节点有限、存储点等技术限制,必然影响物联网性能。云计算的分布式技术,便可很好的解决这些问题,使物联网实现有效的控制多源、多位置的不同数据处理。云计算和物联网的融合,使物联网获得了强大的计算能力和存储能力,云计算搭建了一个辅助物联网的平台。
基于云计算的物联网系统架构主要包括了三个层次:物联网中间件层、物联网基础设施层、物联网应用层。这三层相互协调融合构成了物联网系统,向人们提供服务。
3.1物联网应用层
物联网应用层是整个物联网系统架构的核心内容,应用层通过应用管理中提供管理工具,其中包括:用户管理、资源管理、安全管理、影像管理。每一个管理工具能够为用户提供不同的服务,用户管理包括:用户账户管理、计费管理等等。安全管理包括:用户身份验证、用户资料保护等等。资源管理包括:资源恢复、故障检测等等。影像管理包括:应用生命周期管理、影像部署等等。
3.2物联网中间件
物联网中间件层是整个物联网的连接媒介,包含着整个物联网的所有中间件产品。所包括的功能有:感应设备管理、智能终端接入等等,除此之外,还具有面向服务的物联网应用的功能。
3.3物联网基础设施层
物联网基础设施是物联网系统实现的基础,离开了物联网基础设备,物联网系统无从谈起。物联网基础设备层包含了:虚拟集群、物理硬件及感应终端。虚拟集群是基于云计算的虚拟化技术的基础上实现的,以虚拟化方式为用户提供服务。物理硬件包括:云计算必要的网络设备、存储设备、服务器设备等等。感应终端包括传感器、控制器等智能终端设备。物联网基础设备由物联网中间件负责管理和协调运作。