基于密碼的云計(jì)算虛擬化網(wǎng)絡(luò)安全研究

引言

    云計(jì)算技術(shù)是IT 產(chǎn)業(yè)界的一場(chǎng)技術(shù)革命，已經(jīng)成為了IT 行業(yè)未來發(fā)展的方向。無論是基于開放網(wǎng)絡(luò)環(huán)境對(duì)公眾開放云服務(wù)的公有云，還是為企業(yè)內(nèi)部用戶提供服務(wù)的私有云，都需要通過構(gòu)建不同規(guī)模的數(shù)據(jù)中心作為提供云服務(wù)的基礎(chǔ)設(shè)施支撐。而虛擬化技術(shù)已經(jīng)成為構(gòu)建云計(jì)算數(shù)據(jù)中心的關(guān)鍵技術(shù)。

    通過不同層次的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)通信資源的虛擬化實(shí)現(xiàn)資源池化，使云計(jì)算能夠在基礎(chǔ)設(shè)施層面實(shí)現(xiàn)平臺(tái)化服務(wù)(IaaS)，如Amazon EC2、IBM Blue Cloud、Cisco UCS 等典型的IaaS 產(chǎn)品。

    使用云計(jì)算數(shù)據(jù)中心服務(wù)的用戶，需要基于瘦客戶端、移動(dòng)云終端等設(shè)備完成接入，訪問其虛擬化計(jì)算資源，并進(jìn)一步使用各種云計(jì)算服務(wù)。

    云計(jì)算數(shù)據(jù)中心可以為不同的用戶群提供不同的服務(wù)，用戶群之間、用戶群內(nèi)用戶彼此之間已經(jīng)沒有了明確的物理邊界，而是基于虛擬化技術(shù)實(shí)現(xiàn)必要的安全隔離，這種隔離是否具備足夠的安全性，用戶數(shù)據(jù)是否具有足夠的隱私保護(hù)和訪問可控性，這些虛擬化安全問題已經(jīng)成為云計(jì)算是否能夠取得廣泛應(yīng)用突破的關(guān)鍵。

    如何讓云中各種類型的用戶盡可能安全地使用網(wǎng)絡(luò)，如何讓用戶無縫地接入和使用云計(jì)算服務(wù)，如何通過虛擬化網(wǎng)絡(luò)技術(shù)提高數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建靈活性、擴(kuò)展性的同時(shí)，解決好網(wǎng)絡(luò)安全問題，已經(jīng)成為采用虛擬化技術(shù)構(gòu)建云計(jì)算數(shù)據(jù)中心所必須要解決的問題。當(dāng)前主流廠商有基于VLAN 安全區(qū)化、防火墻虛擬化等網(wǎng)絡(luò)安全技術(shù)對(duì)云計(jì)算數(shù)據(jù)中心所采用的虛擬化網(wǎng)絡(luò)進(jìn)行保護(hù)，但仍然未能解決好用戶訪問的可信以及數(shù)據(jù)交互的機(jī)密性、可控性等問題。

    文中在研究基于虛擬化網(wǎng)絡(luò)的云計(jì)算數(shù)據(jù)中心典型架構(gòu)與訪問應(yīng)用模式的基礎(chǔ)上，從用戶安全接入、通信隔離與機(jī)密性保護(hù)等方面分析了數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)安全需求，提出了虛擬化網(wǎng)絡(luò)安全技術(shù)框架，重點(diǎn)針對(duì)基于密碼技術(shù)強(qiáng)化虛擬化網(wǎng)絡(luò)安全，保障虛擬機(jī)之間的通信保護(hù)、信息隔離與安全交換等安全機(jī)制進(jìn)行了分析與設(shè)計(jì)，提出了一種可供參考的解決方案。

1 云計(jì)算虛擬化網(wǎng)絡(luò)技術(shù)及安全需求分析

    1.1 云計(jì)算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問應(yīng)用模式

    云計(jì)算的基礎(chǔ)架構(gòu)主要包含計(jì)算( 服務(wù)器)、網(wǎng)絡(luò)和存儲(chǔ)。對(duì)于網(wǎng)絡(luò)，從云計(jì)算整個(gè)生態(tài)環(huán)境上來說，可以分為3 個(gè)層面，數(shù)據(jù)中心網(wǎng)絡(luò)、跨數(shù)據(jù)中心網(wǎng)絡(luò)以及泛在的云接入網(wǎng)絡(luò)，如圖1 所示。

圖1 云計(jì)算的網(wǎng)絡(luò)層次

    其中數(shù)據(jù)中心網(wǎng)絡(luò)包括連接計(jì)算主機(jī)、存儲(chǔ)和4 到7層服務(wù)器( 如防火墻、負(fù)載均衡、應(yīng)用服務(wù)器、IDS/IPS 等)的數(shù)據(jù)中心局域網(wǎng)，以及邊緣虛擬網(wǎng)絡(luò)，即主機(jī)虛擬化之后，虛擬機(jī)之間的多虛擬網(wǎng)絡(luò)交換網(wǎng)絡(luò)，包括分布式虛擬交換機(jī)、虛擬橋接和I/O 虛擬化等；跨數(shù)據(jù)中心網(wǎng)絡(luò)主要解決數(shù)據(jù)中心間的網(wǎng)絡(luò)連接，實(shí)現(xiàn)數(shù)據(jù)中心間的數(shù)據(jù)備份、數(shù)據(jù)遷移、多數(shù)據(jù)中心間的資源優(yōu)化以及多數(shù)據(jù)中心混合業(yè)務(wù)提供等；泛在的云接入網(wǎng)絡(luò)用于數(shù)據(jù)中心與終端用戶互聯(lián)，為公眾用戶或企業(yè)用戶提供云服務(wù)。

    在此，主要探討使用虛擬化網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)架構(gòu)及其訪問應(yīng)用方式。因?yàn)椋瑪?shù)據(jù)中心大量的虛擬機(jī)通過虛擬化網(wǎng)絡(luò)訪問計(jì)算資源的安全可控問題，是解決云計(jì)算虛擬化網(wǎng)絡(luò)安全問題的關(guān)鍵。數(shù)據(jù)中心網(wǎng)絡(luò)包括核心層交換機(jī)、接入層交換機(jī)和虛擬交換機(jī)。在使用云計(jì)算后，數(shù)據(jù)中心的網(wǎng)絡(luò)需要解決數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)同步傳送的大流量、備份大流量、虛擬機(jī)遷移大流量問題，因此要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力以及足夠的萬兆接入能力。接入層交換機(jī)要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù)，包括無損以太網(wǎng)技術(shù)等。

    虛擬交換機(jī)是在物理服務(wù)器內(nèi)部通過虛擬機(jī)管理器(Hypervisor) 層虛擬出相應(yīng)的交換機(jī)和網(wǎng)卡功能并實(shí)施管理，提供了服務(wù)器內(nèi)多個(gè)虛擬主機(jī)虛擬網(wǎng)卡(vNIC) 的互聯(lián)以及為不同的虛擬網(wǎng)卡流量設(shè)定不同的VLAN 標(biāo)簽功能，使得服務(wù)器內(nèi)部如同存在一臺(tái)交換機(jī)，可以方便地將不同的網(wǎng)卡連接到不同的端口。Hypervisor 為每個(gè)VM( 虛擬主機(jī)) 創(chuàng)建一個(gè)或者多個(gè)vNICs，聯(lián)接Hypervisor 中的虛擬交換機(jī)，從而支持VM 間的通信。Hypervisor 還允許虛擬交換機(jī)和物理網(wǎng)絡(luò)接口的通信，以及和外部網(wǎng)絡(luò)的高效通信，典型的虛擬交換機(jī)如開源的Open vSwitch。

    以目前應(yīng)用較成熟的Ctrix 基于Xen 的虛擬化系統(tǒng)為研究對(duì)象( 與其他Vmware ESX、KVM、Hyper-V 等有所不同，可參考思路)，分析用戶聯(lián)接虛擬化用戶終端，并進(jìn)一步訪問數(shù)據(jù)中心計(jì)算資源的典型框架如圖2 所示。

圖2 用戶使用數(shù)據(jù)中心的虛擬化終端的網(wǎng)絡(luò)框架及訪問模式

    如圖2 所示，首先遠(yuǎn)程用戶基于瘦客戶端，基于ICA等遠(yuǎn)程桌面協(xié)議(Vmware 用PCoIP) 訪問數(shù)據(jù)中心服務(wù)器上的用戶虛擬終端。ICA 協(xié)議是基于Xen 的Ctrix 虛擬化系統(tǒng)的專有協(xié)議，將顯示器、鍵盤、鼠標(biāo)操作信息與服務(wù)器端管理域交互，可以在Hypervisor 上創(chuàng)建、中止相應(yīng)的虛擬化終端系統(tǒng)，獲得與本地化計(jì)算機(jī)終端操作相同的使用體驗(yàn)。同時(shí)，管理域OS 上還運(yùn)行了所有外設(shè)的實(shí)際驅(qū)動(dòng)程序，通過后端驅(qū)動(dòng)模塊與系列客戶終端虛擬機(jī)OS 上運(yùn)行的前端驅(qū)動(dòng)模塊進(jìn)行交互，實(shí)現(xiàn)對(duì)各客戶終端虛擬機(jī)設(shè)備驅(qū)動(dòng)的支持。

    其次，用戶虛擬終端機(jī)之間通過虛擬網(wǎng)卡、虛擬化交換機(jī)( 包括跨物理服務(wù)器的分布式虛擬化交換機(jī))，實(shí)現(xiàn)虛擬終端之間以及用戶虛擬終端與虛擬應(yīng)用服務(wù)器之間的高速網(wǎng)絡(luò)數(shù)據(jù)交互，實(shí)現(xiàn)基于虛擬化的數(shù)據(jù)集中應(yīng)用，并訪問各種應(yīng)用服務(wù)器，或進(jìn)行用戶虛擬機(jī)的遷移等。其中分布式虛擬交換機(jī)采用使底層服務(wù)器架構(gòu)更透明的方法，支持不同物理服務(wù)器上虛擬交換機(jī)的跨服務(wù)器橋接，使一個(gè)服務(wù)器中的虛擬交換機(jī)能夠透明地和其他服務(wù)器中的虛擬交換機(jī)連接，使服務(wù)器間( 以及它們的虛擬接口)的VM 遷移更簡(jiǎn)單。

    1.2 虛擬化網(wǎng)絡(luò)安全需求

    虛擬化終端應(yīng)用模式實(shí)現(xiàn)了數(shù)據(jù)集中應(yīng)用，并提供了用戶間的數(shù)據(jù)隔離，同時(shí)又以虛擬交換機(jī)實(shí)現(xiàn)了用戶間的數(shù)據(jù)交互。虛擬交換機(jī)與實(shí)體交換機(jī)一樣，還提供VLan、ACL、虛擬機(jī)端口的流量策略管理、QoS 等機(jī)制。根據(jù)上述云計(jì)算用戶使用數(shù)據(jù)中心的虛擬化終端，并通過虛擬化網(wǎng)絡(luò)進(jìn)行應(yīng)用訪問的典型模式描述，這里對(duì)云計(jì)算虛擬化網(wǎng)絡(luò)安全的需求進(jìn)行了如下分析歸納：

    1) 用戶接入的網(wǎng)絡(luò)安全需求。應(yīng)該保障虛擬化用戶能夠可信、可控、安全地接入數(shù)據(jù)中心啟用其對(duì)應(yīng)的終端虛擬機(jī)系統(tǒng)。應(yīng)該強(qiáng)化用戶接入數(shù)據(jù)中心的認(rèn)證與訪問控制，提供ICA 等遠(yuǎn)程桌面協(xié)議的機(jī)密性保護(hù)。

    2) 虛擬機(jī)之間的網(wǎng)絡(luò)安全需求。與傳統(tǒng)的安全防護(hù)不同，虛擬機(jī)環(huán)境下，同臺(tái)物理服務(wù)器虛擬成多臺(tái)VM 以后，VM 之間的流量交換基于虛擬交換機(jī)進(jìn)行交換，管理員對(duì)于該部分流量既不可控也不可見，但實(shí)際上根據(jù)需要，不同的VM 之間需要?jiǎng)澐值讲煌�的安全域，進(jìn)行隔離和訪問控制，應(yīng)提供保證虛擬機(jī)之間交互數(shù)據(jù)的機(jī)密性保護(hù)機(jī)制，避免通過虛擬交換機(jī)的混雜模式端口映射機(jī)制監(jiān)聽到所有不同用戶群組的虛擬機(jī)之間的通信數(shù)據(jù)。此外，還應(yīng)該為虛擬機(jī)的遷移提供安全的數(shù)據(jù)傳輸通道，避免遷移過程( 往往是跨物理服務(wù)器乃至跨數(shù)據(jù)中心的) 造成用戶數(shù)據(jù)泄露。

    3) 數(shù)據(jù)中心之間的網(wǎng)絡(luò)安全需求。數(shù)據(jù)中心之間會(huì)有計(jì)算或存儲(chǔ)資源的遷移和調(diào)度，對(duì)于大型的集群計(jì)算，一般采用構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)( 包括跨數(shù)據(jù)中心的分布式虛擬交換機(jī))，對(duì)于采用多個(gè)虛擬數(shù)據(jù)中心提供云計(jì)算服務(wù)，可以構(gòu)建路由網(wǎng)絡(luò)( 三層) 連接。需要對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)邊界進(jìn)行防火墻、入侵檢測(cè)等常規(guī)網(wǎng)絡(luò)安全防護(hù)，同時(shí)對(duì)跨數(shù)據(jù)中心交互的數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)。

2 基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案

    2.1 基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全方案框架

    基于前述典型虛擬化網(wǎng)絡(luò)安全架構(gòu)與網(wǎng)絡(luò)安全需求分析，文中提出了如圖3 所示的基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案。

圖3 基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案

    如圖3 所示，虛擬化網(wǎng)絡(luò)安全技術(shù)框架包括基于UKey 的安全虛擬化終端、服務(wù)器端高速密碼模塊(ENC)虛擬化、虛擬機(jī)數(shù)據(jù)本機(jī)存儲(chǔ)加密、虛擬機(jī)之間虛擬化網(wǎng)絡(luò)加密(VPN)、相關(guān)密碼密鑰管理等關(guān)鍵安全機(jī)制，從源頭開始，形成了基于密碼技術(shù)的網(wǎng)絡(luò)安全防護(hù)技術(shù)框架，確保了用戶安全地使用云計(jì)算數(shù)據(jù)中心的計(jì)算資源。

    2.2 網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)

    2.2.1 基于UKey 的安全虛擬化終端

    用戶通過廋客戶機(jī)，基于ICA 等遠(yuǎn)程桌面訪問數(shù)據(jù)中心虛擬機(jī)管理系統(tǒng)，使用相應(yīng)的虛擬化用戶終端。根據(jù)安全需求分析，應(yīng)該解決好用戶使用虛擬化終端的安全、可信、可控問題。為此，在終端使用UKey，裝載用戶身份證書用于強(qiáng)化身份認(rèn)證，并提供對(duì)稱、非對(duì)稱密碼運(yùn)算功能，與虛擬化服務(wù)器端的密碼設(shè)備配合，實(shí)現(xiàn)數(shù)據(jù)密碼保護(hù)。安全機(jī)制設(shè)計(jì)如下：

    1)vKey的管理。虛擬機(jī)管理域運(yùn)行的vKey 管理模塊用于為不同的虛擬化終端分配和管理vKey 設(shè)備，并實(shí)現(xiàn)與廋客戶端映射過來的USBKey 進(jìn)行捆綁。vKey 管理模塊通過vKey 后端驅(qū)動(dòng)與Hypervisor 通信，繼而和不同的用戶虛擬化終端通信。當(dāng)用戶虛擬終端需要訪問vKey 設(shè)備時(shí)，vKey 前端驅(qū)動(dòng)將密碼功能調(diào)用命令通過事件通道發(fā)送給vKey 后端驅(qū)動(dòng)；vKey 后端驅(qū)動(dòng)根據(jù)事件通道號(hào)找到相對(duì)應(yīng)的vKey 設(shè)備標(biāo)識(shí)號(hào)，并填寫入請(qǐng)求包，然后將請(qǐng)求包發(fā)給vKey 管理模塊；vKey 管理模塊根據(jù)設(shè)備標(biāo)識(shí)，將指令傳遞給相應(yīng)的vKey 模塊(vKey1-vKeyN)，進(jìn)一步通過UKey 真實(shí)驅(qū)動(dòng)，基于ICA 等協(xié)議的USBKey 映射實(shí)現(xiàn)與廋客戶機(jī)上的USBKey 進(jìn)行命令交互。處理完成后，vKey 管理模塊進(jìn)一步通過vKey 后端驅(qū)動(dòng)和前端驅(qū)動(dòng)將處理結(jié)果返回給用戶虛擬化終端。

    2) 認(rèn)證。對(duì)廋客戶端與虛擬化服務(wù)器端的ICA 軟件模塊進(jìn)行改造，將原有用戶名口令認(rèn)證方式，升級(jí)為廋客戶端與虛擬化服務(wù)器端基于UKey 內(nèi)用戶數(shù)字證書的認(rèn)證方式。客戶端UKey 中與虛擬化服務(wù)器端都存有證書管理系統(tǒng)頒發(fā)的數(shù)字證書，實(shí)現(xiàn)雙向?qū)嶓w認(rèn)證。認(rèn)證交互過程的密碼運(yùn)算分別由客戶端的UKey 以及服務(wù)器內(nèi)置的密碼模塊實(shí)現(xiàn)。完成基于數(shù)字證書的雙向認(rèn)證后，虛擬化服務(wù)器上的虛擬終端管理域必須完成多個(gè)用戶UKey( 對(duì)應(yīng)到管理域的vKey) 與多個(gè)虛擬化客戶端配置信息的一一對(duì)應(yīng)捆綁，保障通過認(rèn)證的遠(yuǎn)程用戶能夠使用與其身份信息對(duì)應(yīng)的個(gè)性化虛擬終端。

    3) 通信加密。ICA 等遠(yuǎn)程桌面協(xié)議提供了可配置的加密機(jī)制，如SecureICA，用于在ICA 客戶端和服務(wù)器端協(xié)議數(shù)據(jù)的加密。如果與Ctrix 等廠商深入合作，可以進(jìn)一步升級(jí)完善加密機(jī)制，使密碼算法符合相關(guān)應(yīng)用領(lǐng)域的密碼要求( 如替換為商用領(lǐng)域的標(biāo)準(zhǔn)SM1-SM4 密碼算法)，從而由UKey 和服務(wù)器端密碼模塊內(nèi)置的特定密碼算法，實(shí)現(xiàn)ICA 協(xié)議數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)。

    2.2.2 服務(wù)器端高速密碼模塊虛擬化

    顯然，服務(wù)器端的高速密碼模塊需要實(shí)現(xiàn)密碼模塊的虛擬化——密碼模塊資源池化，能夠?yàn)榘�括管理域OS及用戶虛擬化終端提供多個(gè)vENC 模塊，結(jié)合vKey 實(shí)現(xiàn)用戶各自的密鑰管理，滿足對(duì)虛擬機(jī)系統(tǒng)多租戶的密碼服務(wù)支持。具體機(jī)制說明如下：

    1) 虛擬機(jī)管理器(Xen) 之上的管理域包含ENC 的物理驅(qū)動(dòng)程序(ENC 真實(shí)驅(qū)動(dòng)) 和vENC 后端驅(qū)動(dòng)。每個(gè)用戶虛擬化終端或虛擬化服務(wù)器系統(tǒng)包含vENC 前端驅(qū)動(dòng)，這個(gè)驅(qū)動(dòng)程序與管理域的ENC 驅(qū)動(dòng)程序( 稱為準(zhǔn)虛擬化或PV 驅(qū)動(dòng)程序) 配合工作，實(shí)現(xiàn)ENC 模塊面向多用戶虛擬機(jī)或服務(wù)器的設(shè)備虛擬支持。

    2) 進(jìn)一步可采用一種適合服務(wù)器I/O 虛擬化的Single-Root I/O Virtualization(SR-IOV) 技術(shù)，允許虛擬機(jī)管理器(hypervisor) 簡(jiǎn)單地將ENC 虛擬功能映射到VM上，以實(shí)現(xiàn)本機(jī)ENC 設(shè)備性能和隔離安全效果，不需要任何透?jìng)骷夹g(shù)就能達(dá)到很高的性能。

    3) ENC 模塊本身可以采用對(duì)多租戶并發(fā)使用的密鑰管理機(jī)制。通過設(shè)置可并發(fā)支持的用戶密鑰空間( 如32組、64 組用戶密鑰并發(fā)支持)，接收來自不同用戶虛擬機(jī)vKey 上存放的工作密鑰(U-WK)。ENC 模塊本身也通過證書管理系統(tǒng)獲得自身的設(shè)備證書及公私鑰對(duì)(PKENC/SK-ENC，其中私鑰SK-ENC 安全內(nèi)置在ENC 模塊中)。vKey 通過將U-WK 基于ENC 模塊的公鑰加密得到U-WK'=ECC(PK-ENC，U-WK)( 假設(shè)采用的是ECC 橢圓曲線公鑰密碼算法)，將U-WK' 置入ENC 模塊的用戶密鑰空間中，使ENC 模塊能夠高效地實(shí)現(xiàn)多租戶數(shù)據(jù)加密的并發(fā)支持。

    2.2.3 虛擬機(jī)數(shù)據(jù)本機(jī)存儲(chǔ)加密

    虛擬化數(shù)據(jù)集中應(yīng)用情況下，用戶數(shù)據(jù)通過虛擬機(jī)之間的隔離機(jī)制實(shí)現(xiàn)了一定程度的隔離保護(hù)，但總體而言，明態(tài)存在于數(shù)據(jù)中心服務(wù)器端，這對(duì)于云服務(wù)的推廣造成困難。可以采用UKey 映射為相應(yīng)虛擬化終端的vKey 后，利用建立虛擬加密磁盤或文件系統(tǒng)加密( 類似EFS) 等機(jī)制，實(shí)現(xiàn)用戶虛擬機(jī)終端上存儲(chǔ)數(shù)據(jù)的本地加密。但由于采用ICA 等協(xié)議映射及大量網(wǎng)絡(luò)數(shù)據(jù)交互的原因，必然導(dǎo)致實(shí)際效率降低。為此，可以將vKey 與服務(wù)器上的高速密碼模塊(ENC) 結(jié)合，利用vKey 管理和加載用戶密鑰以及ENC 虛擬化后提供給用戶虛擬機(jī)終端上的vENC 設(shè)備，實(shí)現(xiàn)用戶虛擬化終端本地?cái)?shù)據(jù)存儲(chǔ)的加密，這樣存儲(chǔ)加密效率將大為提高。

    2.2.4 虛擬化網(wǎng)絡(luò)加密VPN

    如前面的需求分析，虛擬化用戶終端系統(tǒng)彼此之間以及與虛擬化服務(wù)器系統(tǒng)之間的網(wǎng)絡(luò)數(shù)據(jù)傳輸通過虛擬交換機(jī)進(jìn)行，雖然具備和內(nèi)存帶寬相當(dāng)?shù)母咚俳粨Q能力，但缺少機(jī)密性保護(hù)，需要從網(wǎng)絡(luò)通信的源頭——虛擬機(jī)系統(tǒng)，實(shí)現(xiàn)VPN 網(wǎng)絡(luò)加密機(jī)制，保障用戶虛擬機(jī)端到端的網(wǎng)絡(luò)通信安全，具體安全機(jī)制說明如下：

    1) 虛擬機(jī)間端到端VPN 網(wǎng)絡(luò)加密。可以通過虛擬機(jī)管理域的VM 管理模塊，為虛擬機(jī)配置網(wǎng)絡(luò)安全策略，虛擬機(jī)啟動(dòng)運(yùn)行后通過安全策略執(zhí)行模塊執(zhí)行這些網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略可以針對(duì)一個(gè)用戶群組的用戶統(tǒng)一制定，也可以針對(duì)單個(gè)用戶虛擬機(jī)單獨(dú)制定。安全策略內(nèi)容包括虛擬機(jī)應(yīng)該針對(duì)哪些網(wǎng)絡(luò)明通、哪些網(wǎng)絡(luò)密通、密通時(shí)采用隧道還是傳輸封裝模式、網(wǎng)絡(luò)加密工作密鑰的更換周期、哪些情況下阻斷網(wǎng)絡(luò)訪問以及缺省情況下網(wǎng)絡(luò)訪問策略等。用戶虛擬機(jī)上的安全策略執(zhí)行模塊通過在虛擬機(jī)網(wǎng)絡(luò)協(xié)議棧上進(jìn)行過濾的方式進(jìn)行網(wǎng)絡(luò)訪問策略判別與安全處理(Linux 系統(tǒng)采用在NetFilter框架中增加VPN 處理模塊實(shí)現(xiàn)，Windows 系統(tǒng)采用加載基于NDIS 的VPN 處理模塊實(shí)現(xiàn))。對(duì)于需要加密的數(shù)據(jù)包，采用vENC 提供的加密調(diào)用接口進(jìn)行加密后發(fā)出；對(duì)于需要接收并解密的數(shù)據(jù)包，同樣調(diào)用相應(yīng)的解密接口脫密后提交給用戶虛擬機(jī)上層協(xié)議棧。安全策略執(zhí)行模塊根據(jù)安全策略，通過網(wǎng)絡(luò)協(xié)議層IP 數(shù)據(jù)包過濾并自動(dòng)觸發(fā)的方式，對(duì)需要執(zhí)行加密策略而尚無相應(yīng)工作密鑰(N-WK) 的數(shù)據(jù)，由協(xié)議過濾模塊觸發(fā)事件，啟動(dòng)安全策略執(zhí)行模塊應(yīng)用層的密鑰協(xié)商或密鑰交換過程。可在對(duì)方交換的證書公鑰保護(hù)下完成N-WK 的交換，并按照安全策略要求定時(shí)更換N-WK。

    2) 跨數(shù)據(jù)中心的VPN 保護(hù)。由于跨數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)邊界比較明確，其網(wǎng)絡(luò)數(shù)據(jù)傳輸密碼保護(hù)可以采用常規(guī)的VPN 來解決。

    3) 基于VPN 通道保護(hù)下的虛擬機(jī)遷移安全。針對(duì)跨物理服務(wù)器進(jìn)行虛擬機(jī)遷移，主要通過虛擬機(jī)管理域之間的通信來實(shí)現(xiàn)。不同物理服務(wù)器的虛擬機(jī)管理域之間可采用類似用戶虛擬機(jī)之間構(gòu)建端到端加密VPN 通道的方式，構(gòu)建網(wǎng)絡(luò)安全傳輸通道。通過虛擬機(jī)管理域之間的VPN 通道，使用戶虛擬機(jī)在實(shí)施運(yùn)行態(tài)遷移時(shí)，所有需要傳遞的狀態(tài)信息、用戶數(shù)據(jù)信息、網(wǎng)絡(luò)配置信息、安全策略信息等獲得加密保護(hù)。

    2.3 相關(guān)密碼密鑰管理

    上述基于密碼技術(shù)的虛擬化終端及網(wǎng)絡(luò)安全機(jī)制，都需要解決好密碼密鑰管理的問題[6]，分別說明如下：

    1) 針對(duì)ICA 協(xié)議加密的密鑰管理。ICA 協(xié)議的加密在廋客戶機(jī)與虛擬機(jī)管理域之間進(jìn)行。客戶端UKey 中與服務(wù)器的密碼模塊ENC 中都存有證書管理系統(tǒng)頒發(fā)的數(shù)字證書，且UKey 與ENC 模塊都具備對(duì)稱密碼運(yùn)算、簽名驗(yàn)簽等密碼服務(wù)功能。雙方通過改造ICA 協(xié)議，實(shí)現(xiàn)基于證書的雙向認(rèn)證，并采用典型的基于證書進(jìn)行對(duì)稱密鑰交換的協(xié)議完成ICA 協(xié)議數(shù)據(jù)加密密鑰的協(xié)商。工作密鑰更換可采用一次( 登錄使用) 一密的方式。

    2) 針對(duì)用戶數(shù)據(jù)存儲(chǔ)加密的密鑰管理。在用戶終端創(chuàng)建虛擬加密磁盤或加載加密文件系統(tǒng)模塊時(shí)，通過調(diào)用vKey 產(chǎn)生工作密鑰U-WK，基于ICA 等協(xié)議的映射關(guān)系，密鑰實(shí)際存放在用戶UKey 中。并且通過vENC模塊提供的接口，將U-WK 基于ENC 模塊的公鑰保護(hù)下，置入ENC 模塊中供存儲(chǔ)數(shù)據(jù)加密使用，使用完畢后清除ENC 中的U-WK，確保用戶數(shù)據(jù)密鑰掌握在自己手中。

    3) VPN 加密時(shí)的密鑰協(xié)商與保護(hù)。虛擬機(jī)之間建立端到端VPN 加密通道，密鑰協(xié)商時(shí)采用交換各自用戶UKey 中的證書，并基于非對(duì)稱密碼體制完成網(wǎng)絡(luò)加密工作密鑰(N-WK) 的協(xié)商或交換，N-WK 交換時(shí)可采用數(shù)字信封的方式保護(hù)。

3 方案效能與特點(diǎn)分析

    基于密碼技術(shù)，文中提出了虛擬化網(wǎng)絡(luò)的安全解決方案。該方案能夠?yàn)樘摂M化網(wǎng)絡(luò)從源頭提供機(jī)密性、安全隔離、虛擬機(jī)用戶可信認(rèn)證等關(guān)鍵安全保障，解決了限制云計(jì)算數(shù)據(jù)中心服務(wù)廣泛應(yīng)用的關(guān)鍵安全風(fēng)險(xiǎn)。其安全特點(diǎn)如下：

    1) 為基于虛擬化網(wǎng)絡(luò)構(gòu)建的數(shù)據(jù)中心提供了信息源頭的可信與機(jī)密性保障。

    2) 基于虛擬機(jī)技術(shù)、用戶虛擬終端存儲(chǔ)加密、端到端網(wǎng)絡(luò)加密機(jī)制，在數(shù)據(jù)機(jī)制應(yīng)用模式下，提供了用戶終端間計(jì)算環(huán)境和數(shù)據(jù)的有效安全隔離，以及安全可控的數(shù)據(jù)交換。

    3) 通過虛擬機(jī)管理域之間的網(wǎng)絡(luò)加密通道，提供了虛擬機(jī)遷移的安全保障。

    4) 能夠與傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段結(jié)合，適應(yīng)云計(jì)算跨多個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)需求。

4 結(jié)語

    安全問題一直是影響云計(jì)算應(yīng)用發(fā)展的關(guān)鍵問題。基于虛擬化網(wǎng)絡(luò)技術(shù)構(gòu)建數(shù)據(jù)中心，滿足數(shù)據(jù)集中安全應(yīng)用需要，是一種典型的適應(yīng)未來規(guī)模化、網(wǎng)絡(luò)化云應(yīng)用的模式。文中基于密碼技術(shù)提出了虛擬化網(wǎng)絡(luò)安全解決方案框架，對(duì)構(gòu)建安全的云計(jì)算基礎(chǔ)設(shè)施(IAAS) 有重要參考價(jià)值。下一步應(yīng)研究該方案與其他網(wǎng)絡(luò)安全機(jī)制( 如防火墻、IDS) 的虛擬化( 資源池化) 技術(shù)的結(jié)合，共同構(gòu)建具備綜合網(wǎng)絡(luò)安全防護(hù)效能的虛擬化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：基于密碼的云計(jì)算虛擬化網(wǎng)絡(luò)安全研究

本文網(wǎng)址：http://m.hanmeixuan.com/html/support/1112188134.html