CN106209821A - 基于可信云计算的信息安全大数据管理系统 - Google Patents

Abstract

本发明基于可信云计算的信息安全大数据管理系统，该系统架构是在具有保护性功能、认证和完整性度量等特征基础上构建一种可信度评估机制和可信关系传递机制，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层、平台管理层和平台部署层，信息安全服务平台包括数据安全处理层和数据服务层，其中，平台管理层用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块、服务分类管理模块和服务查询检索模块。本发明有效解决了集中式服务管理造成的压力集中、大量服务难以管理等问题，且提高了信息安全度和系统安全性，另外采用云存储系统进行加密后数据的存储，节约了时间成本和存储成本；通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题，并设置服务查询检索模块，提高了检索精确度。

Description

基于可信云计算的信息安全大数据管理系统

技术领域

本发明涉及云计算技术领域，具体涉及基于可信云计算的信息安全大数据管理系统。

背景技术

随着信息技术的发展以及互联网的普及，数据呈爆炸式增长，尤其是近年来社交网络的快速发展使得数据急剧增长。云计算技术的提出与发展为信息安全大数据的处理开辟了新的路径。云计算平台能够向用户提供强大的计算服务，用户仅通过Web浏览器便可进行计算服务申请，然后上传数据，最终由平台反馈数据处理结果。目前较少有专门为信息安全大数据提供计算服务的云平台，无法满足信息安全大数据的管理需求。

可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。信息安全具有四个侧面:设备安全、数据安全、内容安全与行为安全。行为安全包括：行为的机密性、行为的完整性、行为的真实性等特征。可信计算为行为安全而生。

发明内容

针对上述问题，本发明提供基于可信云计算的信息安全大数据管理系统。

本发明的目的采用以下技术方案来实现：

基于可信云计算的信息安全大数据管理系统，其包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层、平台管理层和平台部署层，所述信息安全服务平台包括数据安全处理层和数据服务层；

所述平台接口层通过对外提供统一的接口，实现用户进行数据的发布、查询和获取；

所述平台管理层用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块、服务分类管理模块和服务查询检索模块：

(1)信息存储模块，其采用云存储系统进行加密后数据的存储，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块，用于对具有相似特征的服务进行分类并形成服务目录，采用的算法为：

设有服务集F＝{f₁，…，f_n}，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1，…，f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4,8]，i＝1,…,n；

step1确定聚类个数k，随机选择k个对象{t₁,…,t_k}作为聚类中心，则有t_j＝(t_j1,…,t_jm)，t_j∈R^m，其中，j＝1,…,k；

step2对于每个服务f_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，c_i表示服务f_i与k个类中距离最近的类，当满足条件的c_i不止一个，则服务f_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，{c_i＝j}表示对应于聚类j的服务，{c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁,…,C_q，确定相应特征词权值δ₁,…,δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁,…，C_s，并确定相应特征词权值σ₁，…，σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

进一步地，所述平台部署层包括访问安全控制模块，所述访问安全控制模块包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

其中，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

其中，所述云信息包括数据集名字、数据集大小和数据集关键词。

其中，所述数据安全处理层包括可信评估模块，所述可信评估模块包含以下步骤：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。

本发明的有益效果为：

1、设置基于云计算的信息共享服务平台，有效解决了集中式服务管理造成的压力集中，大量服务难以管理等问题；

2、设置信息存储模块，其采用云存储系统进行加密后数据的存储，不需要了解具体的存储设备信息，不需要考虑数据备份和冗余等问题，节约了时间成本和存储成本；

3、设置服务分类管理模块，通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题；

4、设置服务查询检索模块，采用向量检索算法，提高了检索精确度，实现了服务名称和服务功能相匹配的检索；

5、设置信息安全服务平台，通过数据安全处理层和数据服务层对数据进行加密处理，提高了信息安全度；

6、在平台部署层中设置访问安全控制模块，大大提高了信息安全大数据管理系统的安全性；

7、保护了指定的数据存储区，防止敌手实施特定类型的物理访问；赋予了所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力，从广义的角度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明的结构连接示意图。

附图标记：平台接口层-10；平台管理层20；平台部署层30；数据安全处理层40；数据服务层50；信息存储模块21；服务分类模块22；服务查询检索模块23；访问安全控制模块31；可信评估模块41。

具体实施方式

结合以下实施例对本发明作进一步描述。

实施例1

参见图1，本实施例的基于可信云计算的信息安全大数据管理系统，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层10、平台管理层20和平台部署层30，所述信息安全服务平台包括数据安全处理层40和数据服务层50；

所述平台接口层10通过对外提供统一的接口，实现用户进行数据的发布、查询和获取；

所述平台管理层20用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块21、服务分类管理模块22和服务查询检索模块23：

(1)信息存储模块21，其采用云存储系统进行加密后数据的存储，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块22，用于对具有相似特征的服务进行分类并形成服务目录，采用的算法为：

设有服务集F＝{f₁，…，f_n}，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1，…，f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4,8]，i＝1，…,n；

step1确定聚类个数k，随机选择k个对象{t₁，…,t_k}作为聚类中心，则有t_j＝(t_j1,…，t_jm)，t_j∈R^m，其中，j＝1，…,k；

step2对于每个服务f_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，c_i表示服务f_i与k个类中距离最近的类，当满足条件的c_i不止一个，则服务f_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，{c_i＝j}表示对应于聚类j的服务，{c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块23，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁,…,C_q，确定相应特征词权值δ₁，…，δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁，…，C_s，并确定相应特征词权值σ₁，…,σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层30用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层40，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层50，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

进一步地，所述平台部署层30包括访问安全控制模块31，所述访问安全控制模块31包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

其中，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

其中，所述云信息包括数据集名字、数据集大小和数据集关键词。

其中，所述数据安全处理层40包括可信评估模块41，所述可信评估模块41包含以下步骤：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。

本实施例设置基于云计算的信息共享服务平台，有效解决了集中式服务管理造成的压力集中，大量服务难以管理等问题；设置信息存储模块，其采用云存储系统进行加密后数据的存储，不需要了解具体的存储设备信息，不需要考虑数据备份和冗余等问题，节约了时间成本和存储成本；设置信息安全服务平台，通过数据安全处理层和数据服务层对数据进行加密处理，提高了信息安全度；在平台部署层中设置访问安全控制模块，大大提高了信息安全大数据管理系统的安全性；设置服务分类管理模块，通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题，并设置服务查询检索模块，采用向量检索算法，提高了检索精确度，实现了服务名称和服务功能相匹配的检索，其中服务集中的描述每个服务的属性数目m取值为4，检索准确率相对提高了0.4％，效率相对提高了0.5％；保护了指定的数据存储区，防止敌手实施特定类型的物理访问；赋予了所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力，从广义的角度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。

实施例2

参见图1，本实施例的基于可信云计算的信息安全大数据管理系统，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层10、平台管理层20和平台部署层30，所述信息安全服务平台包括数据安全处理层40和数据服务层50；

所述平台接口层10通过对外提供统一的接口，实现用户进行数据的发布、查询和获取；

所述平台管理层20用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块21、服务分类管理模块22和服务查询检索模块23：

(1)信息存储模块21，其采用云存储系统进行加密后数据的存储，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块22，用于对具有相似特征的服务进行分类并形成服务目录，采用的算法为：

设有服务集F＝{f₁,…,f_n}，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1，…，f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4，8]，i＝1，…，n；

step1确定聚类个数k，随机选择k个对象{t₁，…，t_k}作为聚类中心，则有t_j＝(t_j1,…,t_jm)，t_j∈R^m，其中，j＝1,…,k；

step2对于每个服务f_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，c_i表示服务f_i与k个类中距离最近的类，当满足条件的c_i不止一个，则服务f_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，{c_i＝j}表示对应于聚类j的服务，{c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块23，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁，…，C_q，确定相应特征词权值δ₁，…，δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁,…,C_s，并确定相应特征词权值σ₁,…,σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层30用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层40，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层50，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

进一步地，所述平台部署层30包括访问安全控制模块31，所述访问安全控制模块31包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

其中，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

其中，所述云信息包括数据集名字、数据集大小和数据集关键词。

其中，所述数据安全处理层40包括可信评估模块41，所述可信评估模块41包含以下步骤：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。

本实施例设置基于云计算的信息共享服务平台，有效解决了集中式服务管理造成的压力集中，大量服务难以管理等问题；设置信息存储模块，其采用云存储系统进行加密后数据的存储，不需要了解具体的存储设备信息，不需要考虑数据备份和冗余等问题，节约了时间成本和存储成本；设置信息安全服务平台，通过数据安全处理层和数据服务层对数据进行加密处理，提高了信息安全度；在平台部署层中设置访问安全控制模块，大大提高了信息安全大数据管理系统的安全性；设置服务分类管理模块，通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题，并设置服务查询检索模块，采用向量检索算法，提高了检索精确度，实现了服务名称和服务功能相匹配的检索，其中服务集中的描述每个服务的属性数目m取值为5，检索准确率相对提高了0.45％，效率相对提高了0.4％；保护了指定的数据存储区，防止敌手实施特定类型的物理访问；赋予了所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力，从广义的角度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。

实施例3

参见图1，本实施例的基于可信云计算的信息安全大数据管理系统，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层10、平台管理层20和平台部署层30，所述信息安全服务平台包括数据安全处理层40和数据服务层50；

所述平台接口层10通过对外提供统一的接口，实现用户进行数据的发布、查询和获取；

所述平台管理层20用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块21、服务分类管理模块22和服务查询检索模块23：

(1)信息存储模块21，其采用云存储系统进行加密后数据的存储，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块22，用于对具有相似特征的服务进行分类并形成服务目录，采用的算法为：

设有服务集F＝{f₁,…,f_n}，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1，…,f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4,8]，i＝1,…,n；

step1确定聚类个数k，随机选择k个对象{t₁,…,t_k}作为聚类中心，则有t_j＝(t_j1,…,t_jm)，t_j∈R^m，其中，j＝1，…，k；

step2对于每个服务f_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，c_i表示服务f_i与k个类中距离最近的类，当满足条件的c_i不止一个，则服务f_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，{c_i＝j}表示对应于聚类j的服务，{c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块23，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁，…，C_q，确定相应特征词权值δ₁，…，δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁，…，C_s，并确定相应特征词权值σ₁，…，σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层30用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层40，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层50，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

进一步地，所述平台部署层30包括访问安全控制模块31，所述访问安全控制模块31包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

其中，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

其中，所述云信息包括数据集名字、数据集大小和数据集关键词。

其中，所述数据安全处理层40包括可信评估模块41，所述可信评估模块41包含以下步骤：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。

本实施例设置基于云计算的信息共享服务平台，有效解决了集中式服务管理造成的压力集中，大量服务难以管理等问题；设置信息存储模块，其采用云存储系统进行加密后数据的存储，不需要了解具体的存储设备信息，不需要考虑数据备份和冗余等问题，节约了时间成本和存储成本；设置信息安全服务平台，通过数据安全处理层和数据服务层对数据进行加密处理，提高了信息安全度；在平台部署层中设置访问安全控制模块，大大提高了信息安全大数据管理系统的安全性；设置服务分类管理模块，通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题，并设置服务查询检索模块，采用向量检索算法，提高了检索精确度，实现了服务名称和服务功能相匹配的检索，其中服务集中的描述每个服务的属性数目m取值为6，检索准确率相对提高了0.6％，效率相对提高了0.35％；保护了指定的数据存储区，防止敌手实施特定类型的物理访问；赋予了所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力，从广义的角度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。

实施例4

参见图1，本实施例的基于可信云计算的信息安全大数据管理系统，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层10、平台管理层20和平台部署层30，所述信息安全服务平台包括数据安全处理层40和数据服务层50；

所述平台接口层10通过对外提供统一的接口，实现用户进行数据的发布、查询和获取；

所述平台管理层20用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块21、服务分类管理模块22和服务查询检索模块23：

(1)信息存储模块21，其采用云存储系统进行加密后数据的存储，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块22，用于对具有相似特征的服务进行分类并形成服务目录，采用的算法为：

设有服务集F＝{f₁，…，f_n}，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1，…，f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4，8]，i＝1,…,n；

step1确定聚类个数k，随机选择k个对象{t₁,…,t_k}作为聚类中心，则有t_j＝(t_j1,…,t_jm)，t_j∈R^m，其中，j＝1,…,k；

step2对于每个服务f_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，c_i表示服务f_i与k个类中距离最近的类，当满足条件的c_i不止一个，则服务f_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，｛c_i＝j}表示对应于聚类j的服务，｛c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块23，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁,…，C_q，确定相应特征词权值δ₁,…,δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁,…,C_s，并确定相应特征词权值σ₁，…，σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层30用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层40，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层50，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

进一步地，所述平台部署层30包括访问安全控制模块31，所述访问安全控制模块31包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

其中，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

其中，所述云信息包括数据集名字、数据集大小和数据集关键词。

其中，所述数据安全处理层40包括可信评估模块41，所述可信评估模块41包含以下步骤：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。

本实施例设置基于云计算的信息共享服务平台，有效解决了集中式服务管理造成的压力集中，大量服务难以管理等问题；设置信息存储模块，其采用云存储系统进行加密后数据的存储，不需要了解具体的存储设备信息，不需要考虑数据备份和冗余等问题，节约了时间成本和存储成本；设置信息安全服务平台，通过数据安全处理层和数据服务层对数据进行加密处理，提高了信息安全度；在平台部署层中设置访问安全控制模块，大大提高了信息安全大数据管理系统的安全性；设置服务分类管理模块，通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题，并设置服务查询检索模块，采用向量检索算法，提高了检索精确度，实现了服务名称和服务功能相匹配的检索，其中服务集中的描述每个服务的属性数目m取值为7，检索准确率相对提高了0.7％，效率相对提高了0.32％；保护了指定的数据存储区，防止敌手实施特定类型的物理访问；赋予了所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力，从广义的角度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。

实施例5

参见图1，本实施例的基于可信云计算的信息安全大数据管理系统，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层10、平台管理层20和平台部署层30，所述信息安全服务平台包括数据安全处理层40和数据服务层50；

所述平台接口层10通过对外提供统一的接口，实现用户进行数据的发布、查询和获取；

所述平台管理层20用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块21、服务分类管理模块22和服务查询检索模块23：

(1)信息存储模块21，其采用云存储系统进行加密后数据的存储，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块22，用于对具有相似特征的服务进行分类并形成服务目录，采用的算法为：

设有服务集F＝｛f₁，…，f_n｝，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1,…,f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4,8]，i＝1,…，n；

step1确定聚类个数k，随机选择k个对象{t₁，…,t_k}作为聚类中心，则有t_j＝(t_j1,…,t_jｍ），ｔ_j∈R^ｍ，其中，j＝1,…，k；

step2对于每个服务ｆ_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，ｃ_i表示服务ｆ_i与k个类中距离最近的类，当满足条件的ｃ_i不止一个，则服务ｆ_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，{c_i＝j}表示对应于聚类j的服务，{c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块23，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁,…,C_q，确定相应特征词权值δ₁,…，δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁,…,C_s，并确定相应特征词权值σ₁,…，σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层30用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层40，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层50，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

进一步地，所述平台部署层30包括访问安全控制模块31，所述访问安全控制模块31包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

其中，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

其中，所述云信息包括数据集名字、数据集大小和数据集关键词。

其中，所述数据安全处理层40包括可信评估模块41，所述可信评估模块41包含以下步骤：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。

本实施例设置基于云计算的信息共享服务平台，有效解决了集中式服务管理造成的压力集中，大量服务难以管理等问题；设置信息存储模块，其采用云存储系统进行加密后数据的存储，不需要了解具体的存储设备信息，不需要考虑数据备份和冗余等问题，节约了时间成本和存储成本；设置信息安全服务平台，通过数据安全处理层和数据服务层对数据进行加密处理，提高了信息安全度；在平台部署层中设置访问安全控制模块，大大提高了信息安全大数据管理系统的安全性；设置服务分类管理模块，通过创建服务目录，解决了以往检索准确率低和耗费时间长的问题，并设置服务查询检索模块，采用向量检索算法，提高了检索精确度，实现了服务名称和服务功能相匹配的检索，其中服务集中的描述每个服务的属性数目m取值为8，检索准确率相对提高了0.9％，效率相对提高了0.3％；保护了指定的数据存储区，防止敌手实施特定类型的物理访问；赋予了所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力，从广义的角度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims (5)

1.基于可信云计算的信息安全大数据管理系统，其特征是，包括信息共享服务平台和信息安全服务平台，所述信息共享服务平台包括平台接口层、平台管理层和平台部署层，所述信息安全服务平台包括数据安全处理层和数据服务层；

所述平台接口层通过对外提供统一的接口，实现用户进行可信数据的发布、查询和获取；

所述平台管理层用于管理由数据安全处理模块处理后的数据，包括依次连接的信息存储模块、服务分类管理模块和服务查询检索模块：

(1)信息存储模块，其采用云存储系统进行加密后数据的存储，确保量化数据不能被随意获取，形成虚拟的存储资源池并协调配置存储资源；

(2)服务分类管理模块，用于对具有相似特征的服务进行分类并形成可信服务目录，采用的算法为：

设有服务集F＝{f₁，…，f_n}，服务集中的每个服务用m个属性来描述，则有f_i＝(f_i1，…，f_im)，f_i∈R^m，其中，R表示实数，m的取值范围为[4，8]，i＝1，…，n；

step1确定聚类个数k，随机选择k个对象{t₁，…，t_k}作为聚类中心，则有t_j＝(t_j1，…，t_jm)，t_j∈R^m，其中，j＝1，…，k；

step2对于每个服务f_i，计算其相对应分类：

$c_i=\arg \underset{j}{max}\frac{{\mathrm{\Σ}}_{l=1}^m(f_{il}\×t_{jl})}{\sqrt{{\mathrm{\Σ}}_{l=1}^m{f}_{il}^2}\×\sqrt{{\mathrm{\Σ}}_{l=1}^m{t}_{il}^2}}$

式中，c_i表示服务f_i与k个类中距离最近的类，当满足条件的c_i不止一个，则服务f_i同时对应多个分类；

step3对于每个聚类j，重新计算该类的聚类中心：

当聚类j中含有的服务均只属于一类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\left\{c_i=j\right\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\left\{c_i=j\right\}}$

当聚类j中有服务同时属于w个分类，则有：

$t_j:=\frac{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}{f}_i-{\mathrm{\Σ}}_{i=1}^n\frac{w-1}{w}\{c_i=j_w\}{f}_i}{{\mathrm{\Σ}}_{i=1}^{n}1\{c_i=j\}}$

式中，{c_i＝j}表示对应于聚类j的服务，{c_i＝j_w}表示服务同时对应于w个聚类，其中2≤w≤k；

step4重复step2和step3，前后两次聚类中心的距离d＝||t_j后-t_j前||，t_j后为后一次聚类中心，t_j前为前一次聚类中心，根据实际应用设定阈值T，当满足d＜T时，停止聚类；

利用上述算法，在服务类内继续聚类可以细化服务分类，在一级目录的基础上形成多级目录；

(3)服务查询检索模块，用于在海量信息中精确找到需要的信息，从而完成信息检索，采用的算法为：

step1对于服务集中的服务f_i，若包含特征词C₁，…，C_q，确定相应特征词权值δ₁，…，δ_q，tC_q表示特征词C_q在服务f_i中出现的次数，n为服务集中包含的服务总数，n_q表示服务集中包含特征词C_q的服务数，则服务用向量可表示为：

$\stackrel{\→}{f_i}=({\mathrm{\δ}}_1,...,{\mathrm{\δ}}_q)$

step2对于检索请求A_i中包含表示服务的特征词C₁，…，C_s，并确定相应特征词权值σ₁，…，σ_s，tC_s表示特征词C_s在服务f_i中出现的次数，maxtC_s表示特征词C_s在所有服务中出现的次数的最大值，n为服务集中包含的服务总数，n_s表示服务集中包含特征词C_s的服务数，则检索请求用向量可表示为：

$\stackrel{\→}{A_i}=({\mathrm{\σ}}_1,...,{\mathrm{\σ}}_s)$

step3确定特征词空间特征词个数d，将服务和检索请求向量标准化，对服务和检索请求中没有的特征词，其相应的权值为0，此时有求和欧式距离，按照从小到大的顺序将服务提供给用户；

所述平台部署层用于建立服务管理中心，部署网络服务器，采用网络服务器对服务信息进行保存，并提供客户使用；

所述数据安全处理层，连接平台接口层和平台管理层，用于将平台接口层中用户发布的数据利用自生成的数据集密钥加密后进行备份并上传给所述平台管理层，同时提取、上传数据的元信息，并利用自生成的元信息密钥对提取的元信息加密后发送给所述数据服务层、利用主密钥加密所述数据集密钥和所述元信息密钥后发送给所述数据服务层；

所述数据服务层，连接数据安全处理层和平台部署层，用于存储所述数据安全处理层加密上传的元信息和密钥信息，并通过平台部署层提供数据集访问支持，以及密文检索和数据验证服务支持。

2.根据权利要求1所述的基于可信云计算的信息安全大数据管理系统，其特征是，所述平台部署层包括访问安全控制模块，所述访问安全控制模块包括访问权限控制单元、数据访问流量控制单元、数据访问传输控制单元和敏感信息访问控制单元；所述数据访问权限控制单元用于控制用户的访问权限，所述数据访问流量控制单元用于控制用户访问数据的流量，所述数据访问传输控制单元用于对数据传输进行加密和安全认证控制，所述敏感信息访问控制单元用于对访问敏感信息的行为进行监控并予以告警，以及针对异常访问的操作进行限制。

3.根据权利要求2所述的基于可信云计算的信息安全大数据管理系统，其特征是，所述数据访问传输控制单元中，对于安全认证控制，包括基于虹膜识别加口令的安全认证和基于指纹识别加密钥的安全认证。

4.根据权利要求3所述的基于可信云计算的信息安全大数据管理系统，其特征是，所述云信息包括数据集名字、数据集大小和数据集关键词。

5.根据权利要求4所述的基于可信云计算的信息安全大数据管理系统，其特征是，所述数据安全处理层包括可信评估模块，所述可信评估模块包含以下子模块：

子模块1：定义用于评估模块的各项可信属性，可信属性是分类的，可信属性可以向下分解为子属性；

子模块2：对于每项可信属性或子属性，提炼出对它的评价指标，可以用这些评价指标从不同的侧面对可信属性或子属性进行评价；

子模块3：对于每项可信属性或子属性，定义出对它的评价标准，评价标准分为四级：优、良、中、差，评价标准是基于评价指标的，即根据每个评价指标的取值组合来决定可信属性或子属性达到了哪一级评价标准；

子模块4：确定模块可信分级的标准，可信分级标准分为五级，是根据每项可信属性的评价结论而得出的；

子模块5：在开展可信评估活动之前，根据评估重点的不同，形成不同可信评估模板，并基于此模板开展可信评估活动，从而使得可信评估更有针对性，评估的结果更精确。