作者/李世杰，福建警察學(xué)院計(jì)算機(jī)系

以密碼技術(shù)為基礎(chǔ)的云計(jì)算虛擬化網(wǎng)絡(luò)安全分析

作者/李世杰，福建警察學(xué)院計(jì)算機(jī)系

現(xiàn)代云計(jì)算技術(shù)技術(shù)應(yīng)用時(shí)，用戶安全十分必要，密碼為用戶資料安全提供重要保障，然而當(dāng)前網(wǎng)絡(luò)安全問(wèn)題仍然是人們亟待解決的問(wèn)題。探究基于密碼技的云計(jì)算虛擬化網(wǎng)絡(luò)安全，同時(shí)提出安全需求，給出了問(wèn)題解決措施，以期指導(dǎo)相關(guān)研究工作的開(kāi)展，促使相關(guān)研究更加完善。

密碼技術(shù)；云計(jì)算；虛擬化網(wǎng)絡(luò)；安全

云計(jì)算技術(shù)是現(xiàn)階段經(jīng)常使用的一種網(wǎng)絡(luò)計(jì)算技術(shù)，讓用戶獲得了更為快捷的網(wǎng)絡(luò)。此外，云計(jì)算技術(shù)的應(yīng)用，讓公共網(wǎng)絡(luò)具備有云，讓個(gè)人及企業(yè)享受到私有云服務(wù)，考慮到不同服務(wù)對(duì)象，使用相應(yīng)技術(shù)，各種技術(shù)備受人們歡迎，這在現(xiàn)代計(jì)算機(jī)發(fā)展中是一項(xiàng)重要技術(shù)[1]。

1.以密碼技術(shù)為基礎(chǔ)的云計(jì)算虛擬化網(wǎng)絡(luò)安全需求

結(jié)合虛擬化終端，現(xiàn)歸納下述云計(jì)算虛擬化網(wǎng)絡(luò)安全的需求：

（1）擬機(jī)間的云計(jì)算虛擬化網(wǎng)絡(luò)安全需求。相比傳統(tǒng)安全防護(hù)，在虛擬機(jī)條件下，同臺(tái)物理服務(wù)器虛被擬呈多臺(tái)虛擬機(jī)（Virtual Machine，VM）虛擬機(jī)間的流量在虛擬交換機(jī)基礎(chǔ)上實(shí)現(xiàn)的交換，管理員無(wú)需看到一些流量，而從實(shí)際情況看，各虛擬機(jī)要被劃分至各安全區(qū)中，目的是為了實(shí)現(xiàn)對(duì)其的隔離，阻止訪問(wèn)控制，為虛擬機(jī)間數(shù)據(jù)交換提供安全保護(hù)機(jī)制，防止出現(xiàn)個(gè)用戶群虛擬機(jī)間的通信數(shù)據(jù)被監(jiān)聽(tīng)的情況[2]。另外，為確保虛擬機(jī)的安全，防止在遷移過(guò)程中出現(xiàn)用戶數(shù)據(jù)泄密的情況，為其數(shù)據(jù)傳輸提供安全保障。

（2）用戶接入的云計(jì)算虛擬化網(wǎng)絡(luò)安全需求。需要開(kāi)啟相應(yīng)的終端虛擬機(jī)系統(tǒng)，確保虛擬化用戶能夠與數(shù)據(jù)中心實(shí)現(xiàn)可信及安全的接入。需要大力認(rèn)證用戶接入數(shù)據(jù)中心，同時(shí)加強(qiáng)對(duì)其的訪問(wèn)控制，給予機(jī)密性保護(hù)支持，如網(wǎng)絡(luò)計(jì)算機(jī)等。

2.以密碼技術(shù)為基礎(chǔ)的云計(jì)算虛擬化網(wǎng)絡(luò)安全的解決措施

■2.1 虛擬U Key安全

U Key的使用，需要用戶計(jì)算機(jī)加載用戶身份證書，該做法的使用，可讓網(wǎng)絡(luò)系統(tǒng)高效識(shí)別用戶身份。首先，計(jì)算機(jī)網(wǎng)絡(luò)被用戶登錄時(shí)，在密碼識(shí)別及保護(hù)上，使用了v Key設(shè)備，還可與這種設(shè)備捆綁在一起，實(shí)施保護(hù)。并且，這種設(shè)備的使用，通過(guò)后端驅(qū)動(dòng)方式，和Hyperviso交換信息，從而和其余網(wǎng)絡(luò)上的用戶端進(jìn)行信息通訊。當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，v Key通過(guò)密碼技術(shù)有關(guān)功能，將命令傳給后端驅(qū)動(dòng)，后端驅(qū)動(dòng)能夠獲得與之對(duì)應(yīng)的的識(shí)別號(hào)，填寫序列，輸入至請(qǐng)求包中，接著發(fā)給管理模塊，用以對(duì)設(shè)備的識(shí)別。其次，改造用戶和虛擬網(wǎng)絡(luò)相連的ICA模塊不再是以往的口令認(rèn)知模式，變成了數(shù)字證書認(rèn)證模式。對(duì)現(xiàn)代技術(shù)網(wǎng)絡(luò)而言，有關(guān)賬號(hào)被用戶申請(qǐng)時(shí)，針對(duì)用戶，服務(wù)器會(huì)專門構(gòu)建相對(duì)獨(dú)立的數(shù)字證書，如此，便能形成彼此間的互相認(rèn)證體系，整體認(rèn)證時(shí)，在識(shí)別并計(jì)算密碼過(guò)程中，需要借助用戶端與虛擬網(wǎng)絡(luò)共同達(dá)到。同時(shí)在這種雙向認(rèn)證體系基礎(chǔ)上，可讓用戶端U Key綁定多個(gè)虛擬賬號(hào)，確保不會(huì)出現(xiàn)安全問(wèn)題。

■2.2 虛擬服務(wù)器端高速密碼模塊

①虛擬機(jī)管理器(開(kāi)放源代碼虛擬機(jī)監(jiān)視器)上管理域的構(gòu)成為vENC后端驅(qū)動(dòng)與ENC物理驅(qū)動(dòng)程序。各虛擬化服務(wù)器系統(tǒng)或用戶虛擬化終端均有vENC前端驅(qū)動(dòng)，該驅(qū)動(dòng)程序和即頁(yè)面瀏覽量（page view，PV）驅(qū)動(dòng)程序一同進(jìn)行工作，將設(shè)備虛擬支持提供給服務(wù)器或多用戶虛擬機(jī)。②逐步使用合理的服務(wù)器輸入/輸出端口（input/output，I/O）虛擬化的單根輸入/輸出端口虛擬化技術(shù)，允許虛擬機(jī)管理器(對(duì)VM上ENC虛擬功能的映射比較簡(jiǎn)單，無(wú)需穿透技術(shù)便可達(dá)到較高性能，繼而確保本機(jī)ENC設(shè)備性能的安全，實(shí)現(xiàn)隔離的目的[3]。③ENC模塊。在密碼管理機(jī)制尚，能夠讓多組用戶實(shí)現(xiàn)并發(fā)使用。設(shè)置并發(fā)的用戶密鑰空間，用以接受各用戶虛擬機(jī)vKey存儲(chǔ)的U–WK工作密鑰。ENC模塊獲得公私鑰對(duì)，私鑰SK–ENC在ENC模塊中中被安全設(shè)置在ENC模塊公鑰加密基礎(chǔ)上，vKey由U–WK獲得U–WK'，同時(shí)將其放置在用戶密鑰空間（屬于ENC模塊的）中，可讓該模塊進(jìn)行多組戶數(shù)據(jù)加密，并可以進(jìn)行并發(fā)。

■2.3 管理相關(guān)密碼密鑰

密碼密鑰管理問(wèn)題是是需要解決的問(wèn)題[6]，這方面需要從以下幾點(diǎn)來(lái)分析：

①密鑰協(xié)商和保護(hù)對(duì)虛擬專用網(wǎng)絡(luò)（VPN）加密的應(yīng)用虛擬機(jī)間構(gòu)建端至端虛擬專用網(wǎng)絡(luò)（VPN）加密通道，在協(xié)商密鑰過(guò)程中，使用交換有關(guān)用戶UKey中的證書，協(xié)商并交換密鑰(N–WK)在交換N–WK過(guò)程中，為實(shí)現(xiàn)對(duì)其的保護(hù)可使用數(shù)字信封方式。

②密鑰管理對(duì)用戶數(shù)據(jù)存儲(chǔ)加密的應(yīng)用。將虛擬加密磁盤創(chuàng)建在用戶終端時(shí)，借助調(diào)vKey的調(diào)用，生成了工作密鑰U–WK，在獨(dú)立成分分析(Independent Component Correlation Algorithm，ICA)等協(xié)議的映射關(guān)系基礎(chǔ)之上，實(shí)際上，密鑰被放置在用戶UKey中。同時(shí)借助vENC模塊接口支持，為U–WK提供ENC模塊下的公鑰保護(hù)，放置在ENC模塊中，用作數(shù)據(jù)儲(chǔ)存及加密用途，使用結(jié)束后，將ENC中的U–WK給清理掉，由自己來(lái)把控用戶數(shù)據(jù)密鑰。

③密鑰管理對(duì)獨(dú)立成分分析（ICA）協(xié)議加密的應(yīng)用。獨(dú)立成分分析（ICA）協(xié)議的加密。客戶端UKey中有數(shù)字證書同時(shí)服務(wù)器的密碼模塊ENC中也有，同時(shí)，UKey和ENC模塊均具有下述密碼服務(wù)功能，如對(duì)稱密碼運(yùn)算及簽名驗(yàn)算等。二者以改造獨(dú)立成分分析（ICA）協(xié)議的形式，讓證書雙向認(rèn)證成為可能，并協(xié)商獨(dú)立成分分析（ICA）協(xié)議數(shù)據(jù)加密密鑰。工作密鑰更換次數(shù)為1次，且在登錄時(shí)進(jìn)行一次加密。

■2.4 模擬高速密碼

對(duì)服務(wù)器高速密碼模塊模的模擬，從根本上看，便是革新密碼模塊資源池化，將眾多高速密碼模塊提供給管理域及用戶端，同時(shí)符合多用戶對(duì)密碼服務(wù)的要求。往往借助多組用戶組的密碼管理機(jī)制，讓多個(gè)用戶獲得了密鑰空間，能夠短時(shí)間處置各用戶組密鑰，以證書管理模塊形式，得到和密鑰相符的設(shè)備證書，短時(shí)間內(nèi)達(dá)到對(duì)其識(shí)別的目的。這種模塊的使用，可識(shí)別并運(yùn)算多用戶管理當(dāng)中，效率較高，為用戶安全創(chuàng)造了條件。

■2.5 本機(jī)存儲(chǔ)加密虛擬機(jī)數(shù)據(jù)

在密碼技術(shù)基礎(chǔ)上，探討云計(jì)算網(wǎng)絡(luò)安全性，通過(guò)虛擬機(jī)自身具有的存儲(chǔ)加密手段，從網(wǎng)絡(luò)環(huán)境當(dāng)中隔離出來(lái)，實(shí)現(xiàn)對(duì)其的保護(hù)，該技術(shù)基于密碼識(shí)別，將本地加密技術(shù)添加其中。然而實(shí)際使用時(shí)，使得整體數(shù)據(jù)速度變慢，卻起到非常好的加密效果，同時(shí)具備較強(qiáng)安全性。在虛擬化數(shù)據(jù)集中使用條件下，虛擬機(jī)間隔離機(jī)制的應(yīng)用，讓用戶獲得了隔離保護(hù)支持，事實(shí)上，從整體情況看，云服務(wù)并不能有效開(kāi)展，是因?yàn)槊鲬B(tài)存在于數(shù)據(jù)中心服務(wù)器端當(dāng)中。使用UKey映射，為對(duì)應(yīng)虛擬化終端的vKey，為實(shí)現(xiàn)本地加密目的，通過(guò)構(gòu)建虛擬加密磁盤等機(jī)制，可加密用戶虛擬機(jī)終端上存儲(chǔ)數(shù)據(jù)，事實(shí)上，由于使用了ICA等協(xié)議映射，使得實(shí)際效率不高，所以，讓vKey結(jié)合服務(wù)器上的高速密碼模塊，在vKey管理、加載用戶密鑰等的協(xié)助下，如此，極大提升了存儲(chǔ)加密效率，以達(dá)到對(duì)用戶虛擬化終端本地?cái)?shù)據(jù)存儲(chǔ)加密的目的[4]。

3.結(jié)束語(yǔ)

在虛擬化網(wǎng)絡(luò)技術(shù)基礎(chǔ)發(fā)展起來(lái)的數(shù)據(jù)中心，契合了數(shù)據(jù)集中安全應(yīng)用所需，該模式具有代表性，適合外來(lái)網(wǎng)絡(luò)化及規(guī)模化的需要[5–6]。在密碼技術(shù)基礎(chǔ)上，最終將虛擬化網(wǎng)絡(luò)安全解決方案框架給提了出來(lái)，在引導(dǎo)安全云計(jì)算基礎(chǔ)設(shè)施的構(gòu)建方面所起作用較大[7–8]。后續(xù)工作應(yīng)該是這種方案和一些網(wǎng)路安全機(jī)器的虛擬技術(shù)的聯(lián)合，使建立其的虛擬化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)具備整體網(wǎng)絡(luò)安全防護(hù)功能。

＊ [1]胡維.基于密碼的云計(jì)算虛擬化網(wǎng)絡(luò)安全研究[J].中國(guó)新通信,2015(14):124-124.

＊ [2]Open vSwitch Project[EB/OL].(2012-04-12)[2012-6-20].http：//www.openvswitch.org/.

＊ [3]李超，董青，戴華東.基于SR-IOV的IO虛擬化技術(shù)[J].電腦與信息技術(shù)，2010，18(5)：33-37.

＊ [4]董貴山,鄧春梅,鄧子健.基于密碼的云計(jì)算虛擬化網(wǎng)絡(luò)安全研究[J].信息安全與通信保密,2012,(11):47-51.

＊ [5]陳東.虛擬化路由交換平臺(tái)中的鏈路虛擬化技術(shù)[J].通信技術(shù)，2011，44(7)：37-38，41.

＊ [6]譚武征；楊茂江.基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系的合規(guī)性分析[J].通信技術(shù)，2010，43(12)：91-93，96.

＊ [7]王會(huì)波.密碼技術(shù)在內(nèi)網(wǎng)安全中的應(yīng)用和趨勢(shì)[J].信息安全與通信保密，2010(1)：18.

＊ [8]郭寶安，王磊，徐樹(shù)民.寬帶無(wú)線移動(dòng)通信中商用密碼技術(shù)研究[J].信息安全與通信保密，2009(6)：108-111.