高秀武，劉文麗，高恒振，劉明達(dá)

(江南計(jì)算技術(shù)研究所，江蘇 無(wú)錫 214083)

0 引 言

大數(shù)據(jù)[1-2]與云計(jì)算[3]技術(shù)的不斷發(fā)展，共同創(chuàng)造了一種數(shù)據(jù)規(guī)模極大、計(jì)算存儲(chǔ)高效、資源共享的大數(shù)據(jù)環(huán)境。大數(shù)據(jù)環(huán)境為大數(shù)據(jù)的挖掘分析提供了高效靈活的存儲(chǔ)計(jì)算分析能力，不斷從海量數(shù)據(jù)集中獲取新的知識(shí)和創(chuàng)造新的價(jià)值。大數(shù)據(jù)環(huán)境不斷創(chuàng)造價(jià)值的同時(shí)也帶來(lái)了許多安全挑戰(zhàn)[4-5]，計(jì)算存儲(chǔ)資源的共享使得傳統(tǒng)的安全邊界變得模糊，數(shù)據(jù)安全難以得到保證。而密碼技術(shù)提供的數(shù)據(jù)加解密、數(shù)據(jù)完整性、認(rèn)證、訪問(wèn)控制等密碼服務(wù)，能夠有效地為傳統(tǒng)應(yīng)用系統(tǒng)提供安全保障。但大數(shù)據(jù)環(huán)境是大數(shù)據(jù)技術(shù)與云計(jì)算技術(shù)融合而成的，一般基于云平臺(tái)搭建，具有數(shù)據(jù)量龐大、數(shù)據(jù)類型多樣化、應(yīng)用系統(tǒng)動(dòng)態(tài)接入與資源按需自動(dòng)化部署、多租戶資源共享等新特征?，F(xiàn)有的密碼服務(wù)系統(tǒng)無(wú)法在大數(shù)據(jù)環(huán)境中高效的服務(wù)能力與資源利用率最大化兩者之間達(dá)到平衡，并提供安全的密碼服務(wù)。

面對(duì)大數(shù)據(jù)環(huán)境新的密碼服務(wù)需求，文獻(xiàn)[6]提出一種通用的高性能密碼服務(wù)系統(tǒng)模型，通過(guò)統(tǒng)一的服務(wù)接口設(shè)計(jì)相應(yīng)的密碼服務(wù)資源調(diào)度算法，實(shí)現(xiàn)不同密碼機(jī)密碼資源的統(tǒng)一管理，解決了密碼資源的動(dòng)態(tài)分配與管理，有效提高了系統(tǒng)的可移植性，滿足互聯(lián)網(wǎng)在線應(yīng)用對(duì)密碼機(jī)的性能需求。文獻(xiàn)[7-8]基于虛擬化技術(shù)構(gòu)建了密碼服務(wù)系統(tǒng)，提高了密碼資源的利用率，解決了虛擬化環(huán)境中的密碼服務(wù)問(wèn)題。文獻(xiàn)[9]針對(duì)云計(jì)算環(huán)境下業(yè)務(wù)應(yīng)用系統(tǒng)大容量、可靠的、云密碼服務(wù)系統(tǒng)的需求，提出密碼資源池對(duì)云中密鑰與密碼設(shè)備實(shí)現(xiàn)統(tǒng)一全生命周期的安全管理，通過(guò)硬件虛擬化技術(shù)為多個(gè)應(yīng)用系統(tǒng)提供高速、可靠、可擴(kuò)展的密碼運(yùn)算服務(wù)。

綜上，目前的密碼服務(wù)研究側(cè)重于解決高效的密碼服務(wù)與密碼資源利用率最大化問(wèn)題，并沒(méi)有對(duì)密碼服務(wù)自身安全進(jìn)行深入研究。文中提出將密碼服務(wù)請(qǐng)求與密碼任務(wù)執(zhí)行相分離機(jī)制，基于VxLAN技術(shù)對(duì)大數(shù)據(jù)環(huán)境中多租戶模式的密碼服務(wù)進(jìn)行網(wǎng)絡(luò)隔離，提高密碼服務(wù)自身的安全性。

1 大數(shù)據(jù)環(huán)境密碼資源池與多租戶網(wǎng)絡(luò)隔離技術(shù)分析

云計(jì)算技術(shù)通過(guò)聚合大量的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)以及軟件等資源，基于虛擬化技術(shù)為租戶提供所需的服務(wù)，把云計(jì)算提供的各類服務(wù)所需要的資源集合看成一個(gè)巨大的“資源池”[10]。云計(jì)算資源池具有高可靠性、通用性、動(dòng)態(tài)彈性、虛擬化以及低成本等優(yōu)點(diǎn)，能夠供租戶在任意位置通過(guò)網(wǎng)絡(luò)訪問(wèn)并按需獲取服務(wù)，提高了資源的利用率。

大數(shù)據(jù)環(huán)境中面臨的高性能、多租戶、動(dòng)態(tài)彈性等密碼服務(wù)新需求，也可以采用“資源池”的模式進(jìn)行解決。大數(shù)據(jù)密碼資源池是指對(duì)大數(shù)據(jù)環(huán)境中密鑰和密碼設(shè)備實(shí)現(xiàn)統(tǒng)一全生命周期的安全管理，通過(guò)虛擬化技術(shù)為多租戶提供高速、可靠、可擴(kuò)展的密碼運(yùn)算服務(wù)，實(shí)現(xiàn)密碼資源的共享，有效提高密碼資源的利用率。

在大數(shù)據(jù)環(huán)境應(yīng)用場(chǎng)景中，密碼資源池根據(jù)租戶密碼服務(wù)需求為其分配密碼資源，并創(chuàng)建租戶虛擬密碼機(jī)供租戶進(jìn)行密碼服務(wù)訪問(wèn)。租戶虛擬密碼機(jī)負(fù)責(zé)密碼服務(wù)請(qǐng)求認(rèn)證與任務(wù)的分配，密碼資源池負(fù)責(zé)維護(hù)租戶虛擬密碼機(jī)與密碼資源之間的映射關(guān)系，從而為租戶提供高性能、多樣化的密碼服務(wù)。

2 多租戶網(wǎng)絡(luò)隔離相關(guān)技術(shù)分析

大數(shù)據(jù)環(huán)境下多租戶共享密碼資源，如何實(shí)現(xiàn)租戶的密碼服務(wù)網(wǎng)絡(luò)隔離，是密碼資源池研究的關(guān)鍵之一。傳統(tǒng)網(wǎng)絡(luò)隔離通過(guò)交換機(jī)劃分VLAN來(lái)實(shí)現(xiàn)，但由于VLAN ID只有12比特，最多只有4 094個(gè)虛擬子網(wǎng)，難以滿足大數(shù)據(jù)環(huán)境中大量的租戶網(wǎng)絡(luò)需求。其次交換機(jī)VLAN劃分配置的不靈活性，很難匹配大數(shù)據(jù)環(huán)境下資源動(dòng)態(tài)按需分配的特征。隨著網(wǎng)絡(luò)虛擬化的不斷發(fā)展，軟件定義網(wǎng)絡(luò)(software defined networking，SDN[11])的出現(xiàn)為新一代網(wǎng)絡(luò)架構(gòu)提供了技術(shù)方向?；赟DN思想的OpenFlow技術(shù)，可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的按需服務(wù)與動(dòng)態(tài)配置。同時(shí)利用VxLAN網(wǎng)絡(luò)隔離技術(shù)，將類似于VLAN ID的隔離標(biāo)識(shí)位擴(kuò)展到24位，可支持高達(dá)16 M的租戶隔離，能夠很好地滿足大數(shù)據(jù)環(huán)境下多租戶的網(wǎng)絡(luò)隔離需求。

2.1 OpenFlow技術(shù)

OpenFlow技術(shù)是SDN網(wǎng)絡(luò)架構(gòu)的一個(gè)具體實(shí)現(xiàn)，其核心思想是將傳統(tǒng)網(wǎng)絡(luò)設(shè)備中控制邏輯與數(shù)據(jù)轉(zhuǎn)發(fā)邏輯相分離，形成兩個(gè)相對(duì)獨(dú)立的模塊。如圖1所示，OpenFlow架構(gòu)主要由OpenFlow控制器、OpenFlow交換機(jī)與OpenFlow協(xié)議組成，控制器與交換機(jī)之間通過(guò)OpenFlow協(xié)議來(lái)實(shí)現(xiàn)安全通信[12-13]。交換機(jī)與控制器進(jìn)行通信之后，控制器擁有了整個(gè)網(wǎng)絡(luò)的交換機(jī)信息，并通過(guò)鏈路發(fā)現(xiàn)協(xié)議(LLDP)獲取網(wǎng)絡(luò)的鏈路信息，從而控制器組成了整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?？刂破鲗⒘鞅戆惭b在交換機(jī)上，交換機(jī)根據(jù)流表規(guī)則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。當(dāng)交換機(jī)收到無(wú)法處理的數(shù)據(jù)包，交換機(jī)通過(guò)packert-in操作反饋給控制器，控制器根據(jù)具體的需求生成流表并下發(fā)到交換機(jī)，對(duì)交換機(jī)的轉(zhuǎn)發(fā)策略進(jìn)行修改，從而對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的管理與控制。

圖1 OpenFlow架構(gòu)

2.2 VxLAN網(wǎng)絡(luò)隔離模型

VxLAN[14-16]是一種將以太網(wǎng)報(bào)文封裝成UDP報(bào)文進(jìn)行隧道傳輸?shù)臄?shù)據(jù)轉(zhuǎn)發(fā)模式，是Overlay網(wǎng)絡(luò)技術(shù)領(lǐng)域提出的一種較為成熟的技術(shù)方案。Overlay網(wǎng)絡(luò)在不改變?cè)芯W(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上疊加虛擬化技術(shù)模式，將原始二層報(bào)文通過(guò)添加新的報(bào)文頭疊加封裝成為新的數(shù)據(jù)包。而這種新的數(shù)據(jù)包仍然是IP數(shù)據(jù)包格式，可以在現(xiàn)有成熟的IP網(wǎng)絡(luò)上進(jìn)行傳輸，不必對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)做出大的改動(dòng)。VxLAN數(shù)據(jù)報(bào)文格式如圖2所示，其中VxLAN頭里包含24比特的標(biāo)識(shí)位VNI，用于區(qū)分不同的VxLAN，只有相同VxLAN的虛擬機(jī)之間才能相互通信。

圖2 VxLAN報(bào)文格式

VxLAN數(shù)據(jù)包的VxLAN號(hào)識(shí)別、VxLAN封裝與解封裝、VxLAN報(bào)文轉(zhuǎn)發(fā)等相關(guān)處理都是在VTEP上進(jìn)行的。VTEP既可以在虛擬機(jī)終端實(shí)現(xiàn)，也可以在虛擬機(jī)連接的交換中實(shí)現(xiàn)，VxLAN網(wǎng)絡(luò)模型如圖3所示。在VxLAN網(wǎng)絡(luò)中虛擬機(jī)發(fā)送報(bào)文，首先由虛擬機(jī)連接的虛擬機(jī)判斷報(bào)文目的虛擬機(jī)是否是在同一服務(wù)器的虛擬機(jī)，若是根據(jù)轉(zhuǎn)發(fā)規(guī)則在服務(wù)器內(nèi)轉(zhuǎn)發(fā)；若報(bào)文目的虛擬機(jī)不是同一個(gè)服務(wù)器的虛擬機(jī)，則將報(bào)文轉(zhuǎn)發(fā)給VTEP，由VTEP進(jìn)行封裝，然后轉(zhuǎn)發(fā)到核心網(wǎng)絡(luò)中，通過(guò)核心網(wǎng)絡(luò)中的VxLAN隧道轉(zhuǎn)發(fā)到對(duì)端VTEP，在對(duì)端VTEP中對(duì)VxLAN報(bào)文解封后發(fā)送到目的虛擬機(jī)。

VxLAN技術(shù)使用成熟的IP網(wǎng)絡(luò)作為傳輸隧道，利用標(biāo)準(zhǔn)的UDP協(xié)議進(jìn)行報(bào)文傳輸，對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)架構(gòu)幾乎不做改動(dòng)，實(shí)現(xiàn)簡(jiǎn)單且成本低。VxLAN提供4K的網(wǎng)絡(luò)隔離標(biāo)識(shí)，能夠很好地滿足大數(shù)據(jù)環(huán)境中大量租戶網(wǎng)絡(luò)隔離的需求。其次，VxLAN技術(shù)在云計(jì)算的多租戶網(wǎng)絡(luò)隔離上取得了很好的實(shí)現(xiàn)，完全滿足當(dāng)前云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)隔離需求，對(duì)大數(shù)據(jù)環(huán)境密碼資源池多租戶網(wǎng)絡(luò)隔離具有很好的借鑒意義。

圖3 VxLAN網(wǎng)絡(luò)模型

3 密碼資源池密碼服務(wù)安全隔離分析

3.1 密碼資源池密碼服務(wù)安全需求分析

大數(shù)據(jù)環(huán)境下密碼資源池對(duì)密碼資源進(jìn)行統(tǒng)一全生命周期的管理，為租戶提供高性能、多樣化的密碼服務(wù)，從而為租戶業(yè)務(wù)環(huán)境提供安全保障。密碼服務(wù)為租戶環(huán)境提供安全保護(hù)，其自身的安全是租戶業(yè)務(wù)環(huán)境安全的根本之源。因此在多租戶模式下密碼資源池需要實(shí)現(xiàn)密碼服務(wù)整個(gè)生命周期的安全隔離，從而確保密碼服務(wù)的自身安全。大數(shù)據(jù)環(huán)境下的密碼資源池將租戶的密碼資源與租戶業(yè)務(wù)環(huán)境構(gòu)建在同一安全域，租戶業(yè)務(wù)環(huán)境應(yīng)用只能訪問(wèn)屬于自己的密碼資源，密碼服務(wù)不能跨安全域進(jìn)行訪問(wèn)，實(shí)現(xiàn)密碼服務(wù)的安全隔離。大數(shù)據(jù)環(huán)境下密碼資源池多租戶密碼安全隔離邏輯視圖如圖4所示。

圖4 密碼資源池多租戶邏輯視圖

大數(shù)據(jù)環(huán)境下密碼資源池根據(jù)租戶密碼服務(wù)需求為其分配密碼資源，然后基于虛擬化技術(shù)為租戶創(chuàng)建一個(gè)高性能的租戶虛擬密碼機(jī)，密碼資源池負(fù)責(zé)維護(hù)租戶虛擬密碼機(jī)與密碼資源之間的映射關(guān)系，租戶只需訪問(wèn)租戶虛擬密碼機(jī)即可獲得密碼服務(wù)。因此，在密碼資源池的工作原理下，密碼服務(wù)整個(gè)生命周期可以分為密碼服務(wù)請(qǐng)求與密碼任務(wù)執(zhí)行兩個(gè)階段。密碼服務(wù)請(qǐng)求階段負(fù)責(zé)密碼服務(wù)請(qǐng)求認(rèn)證與密碼任務(wù)的調(diào)度分配工作，主要在租戶虛擬密碼機(jī)上完成；密碼任務(wù)執(zhí)行階段負(fù)責(zé)密碼任務(wù)具體密碼計(jì)算與計(jì)算結(jié)果反饋，主要在密碼機(jī)上完成。因此，大數(shù)據(jù)環(huán)境下密碼資源池的密碼服務(wù)自身安全可以從這兩階段進(jìn)行分析研究。

3.2 密碼服務(wù)請(qǐng)求階段安全隔離分析

密碼機(jī)在傳統(tǒng)應(yīng)用系統(tǒng)中使用時(shí)，應(yīng)用系統(tǒng)服務(wù)器獨(dú)享密碼設(shè)備，服務(wù)器與密碼機(jī)在同一個(gè)安全域中進(jìn)行網(wǎng)絡(luò)互聯(lián)。所有密碼服務(wù)請(qǐng)求由服務(wù)器發(fā)起，密碼機(jī)進(jìn)行密碼計(jì)算并給服務(wù)器反饋計(jì)算結(jié)果，從而為應(yīng)用系統(tǒng)提供安全保障。密碼機(jī)在應(yīng)用系統(tǒng)的安全域中使用，密碼機(jī)抽象密碼操作細(xì)節(jié)向上提供密碼服務(wù)接口供應(yīng)用系統(tǒng)調(diào)用，密碼服務(wù)整個(gè)生命周期具有很高的安全性。因此，在大數(shù)據(jù)環(huán)境多租戶模式下，密碼資源池通過(guò)虛擬化技術(shù)根據(jù)租戶需求分配一個(gè)高性能的租戶虛擬密碼機(jī)，租戶虛擬密碼機(jī)負(fù)責(zé)密碼服務(wù)請(qǐng)求以及密碼任務(wù)的分配工作，保留了租戶應(yīng)用與租戶虛擬密碼機(jī)在同一個(gè)安全域中的特性，確保租戶密碼服務(wù)請(qǐng)求階段的相互隔離。

3.3 密碼任務(wù)執(zhí)行階段安全隔離分析

大數(shù)據(jù)環(huán)境下密碼資源池密碼任務(wù)執(zhí)行階段的安全隔離主要包括租戶虛擬密碼機(jī)與密碼機(jī)之間數(shù)據(jù)傳輸通道的安全隔離以及密碼機(jī)內(nèi)密碼運(yùn)算環(huán)境的安全隔離。目前大數(shù)據(jù)環(huán)境常用密碼設(shè)備有服務(wù)器密碼機(jī)與云密碼機(jī)，云密碼機(jī)基于虛擬化技術(shù)可以在一臺(tái)實(shí)體密碼機(jī)虛擬出多臺(tái)虛擬密碼機(jī)。服務(wù)器密碼機(jī)通過(guò)提供API對(duì)外服務(wù)，屏蔽密碼運(yùn)算具體細(xì)節(jié)，保證密碼運(yùn)算環(huán)境安全。對(duì)于密碼資源池的服務(wù)器密碼機(jī)的密碼任務(wù)安全隔離，只需確保租戶的整個(gè)生命周期之內(nèi)只對(duì)所屬租戶提供密碼服務(wù)，即不允許多租戶在同一個(gè)時(shí)間段內(nèi)共享密碼機(jī)，從而保證租戶密碼任務(wù)執(zhí)行階段的安全隔離。而對(duì)于云密碼機(jī)，租戶虛擬密碼機(jī)到虛擬密碼機(jī)共享物理傳輸通道，需要構(gòu)建虛擬的安全域邊界，實(shí)現(xiàn)租戶虛擬密碼機(jī)到虛擬密碼機(jī)數(shù)據(jù)傳輸通道的相互隔離；其次多個(gè)虛擬密碼機(jī)共享云密碼機(jī)硬件資源，云密碼機(jī)需確保不同租戶的虛擬密碼機(jī)密碼任務(wù)運(yùn)算環(huán)境的安全隔離，從而確保租戶密碼任務(wù)執(zhí)行階段的安全隔離。

4 基于VxLAN的密碼資源池多租戶安全隔離模型

由上節(jié)密碼資源池密碼服務(wù)安全隔離需求分析可知，大數(shù)據(jù)環(huán)境下的密碼資源服務(wù)應(yīng)能與租戶環(huán)境構(gòu)建在同一虛擬安全域中，通過(guò)虛擬安全域邊界防護(hù)可達(dá)到與物理安全域相同的數(shù)據(jù)保護(hù)和隔離效果，使租戶相信自己申請(qǐng)的密碼資源獨(dú)自占有，其他租戶無(wú)法訪問(wèn)，實(shí)現(xiàn)大數(shù)據(jù)環(huán)境密碼資源池多租戶模式下的密碼服務(wù)安全隔離。文中提出基于VxLAN技術(shù)對(duì)大數(shù)據(jù)環(huán)境密碼資源池多租戶進(jìn)行安全域劃分，其安全隔離模型如圖5所示。

該模型主要包括三個(gè)方面：

(1)密碼資源池密碼服務(wù)機(jī)制。

在大數(shù)據(jù)環(huán)境應(yīng)用場(chǎng)景中，密碼資源池根據(jù)租戶密碼服務(wù)需求為租戶分配密碼資源，創(chuàng)建租戶虛擬密碼機(jī)供租戶密碼服務(wù)訪問(wèn)，密碼資源池負(fù)責(zé)維護(hù)租戶虛擬密碼機(jī)與密碼設(shè)備之間的映射關(guān)系，租戶虛擬密碼機(jī)負(fù)責(zé)租戶密碼服務(wù)請(qǐng)求處理以及密碼任務(wù)的分配。租戶業(yè)務(wù)環(huán)境所有的密碼服務(wù)訪問(wèn)都由租戶虛擬密碼機(jī)處理，將密碼服務(wù)請(qǐng)求與密碼任務(wù)執(zhí)行隔離，租戶不與密碼設(shè)備直接交互，提高了密碼資源的安全性。

(2)基于OpenFlow的VxLAN網(wǎng)絡(luò)實(shí)現(xiàn)。

大數(shù)據(jù)環(huán)境下基于OpenFlow技術(shù)進(jìn)行網(wǎng)絡(luò)控制管理，交換機(jī)根據(jù)OpenFlow控制器下發(fā)的流表進(jìn)行數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。在OpenFlow網(wǎng)絡(luò)中，當(dāng)交換機(jī)接收到一個(gè)新的數(shù)據(jù)包，會(huì)將數(shù)據(jù)包通過(guò)packert-in反饋給OpenFlow控制器，OpenFlow控制器就可以很方便地學(xué)習(xí)全局的MAC地址與VxLAN網(wǎng)絡(luò)的VTEP IP地址?？刂破髦芯S護(hù)著MAC地址表與VTEP IP映射關(guān)系表，MAC地址表記錄OpenFlow控制器管理的vSwitch端口與虛擬機(jī)MAC地址的映射關(guān)系，VTEP IP映射關(guān)系表則記錄VNI號(hào)、MAC地址以及VTEP IP的映射關(guān)系。Open Flow控制器通過(guò)MAC地址表與VTEP IP映射表信息為管理的交換機(jī)下發(fā)相關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)流表，從而實(shí)現(xiàn)對(duì)VxLAN網(wǎng)絡(luò)的控制。VTEP IP映射表是VxLAN網(wǎng)絡(luò)隔離的基礎(chǔ)，其映射關(guān)系如表1所示。由VTEP-IP映射表可以通過(guò)VNI判斷數(shù)據(jù)報(bào)文發(fā)送端與目的端是否屬于同一個(gè)VxLAN，同時(shí)用于封裝VxLAN數(shù)據(jù)報(bào)文時(shí)添加外層IP地址。

在OpenFlow控制器學(xué)習(xí)到MAC地址表與VTEP IP映射關(guān)系表信息后，將相關(guān)轉(zhuǎn)發(fā)流表下發(fā)到控制的交換機(jī)，交換機(jī)便可以根據(jù)流表規(guī)則進(jìn)行數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)。VxLAN網(wǎng)絡(luò)的轉(zhuǎn)發(fā)流程如圖6所示。

圖6 VxLAN網(wǎng)絡(luò)數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)流程

虛擬機(jī)報(bào)文發(fā)送到VTEP交換機(jī)，交換機(jī)判斷報(bào)文的目的虛擬機(jī)是否與源虛擬機(jī)在同一宿主機(jī)，若是則轉(zhuǎn)發(fā)給內(nèi)部虛擬交換機(jī)根據(jù)流表進(jìn)行轉(zhuǎn)發(fā)處理。若不是,則根據(jù)目的地址查詢所屬VNI號(hào)，并判斷源端虛擬機(jī)是否是一個(gè)VxLAN。若不屬于同一個(gè)VxLAN，則丟棄數(shù)據(jù)報(bào)文或轉(zhuǎn)發(fā)到三層網(wǎng)絡(luò)進(jìn)行處理；若屬于同一個(gè)VxLAN，則查詢對(duì)端VTEP IP地址進(jìn)行封裝并轉(zhuǎn)發(fā)進(jìn)入隧道傳輸。因此，可以很好地實(shí)現(xiàn)同一個(gè)VxLAN的設(shè)備進(jìn)行網(wǎng)絡(luò)互通，屬于不同VxLAN的設(shè)備之間進(jìn)行隔離。

(3)基于VxLAN構(gòu)建大數(shù)據(jù)環(huán)境下密碼資源池租戶虛擬安全域環(huán)境。

大數(shù)據(jù)環(huán)境下密碼資源池租戶環(huán)境包括租戶業(yè)務(wù)環(huán)境、租戶虛擬密碼機(jī)以及租戶密碼資源。基于OpenFlow實(shí)現(xiàn)的VxLAN網(wǎng)絡(luò)虛擬化技術(shù)，可以很容易地構(gòu)建大數(shù)據(jù)環(huán)境密碼資源池租戶虛擬安全域環(huán)境。在租戶業(yè)務(wù)環(huán)境、租戶虛擬密碼機(jī)以及云密碼機(jī)的宿主機(jī)上安裝帶有VTEP功能的Open vSwitch(虛擬交換機(jī))，服務(wù)器密碼機(jī)連接到實(shí)現(xiàn)了VTEP功能的實(shí)體交換機(jī),實(shí)現(xiàn)VxLAN數(shù)據(jù)包的封裝、解析以及轉(zhuǎn)發(fā)功能。租戶通過(guò)大數(shù)據(jù)云平臺(tái)網(wǎng)絡(luò)服務(wù)規(guī)劃自己的虛擬網(wǎng)絡(luò)，將租戶業(yè)務(wù)環(huán)境的所有虛擬機(jī)、租戶虛擬密碼機(jī)以及密碼資源連接到同一個(gè)子網(wǎng)中。OpenFlow控制器通過(guò)管理的網(wǎng)絡(luò)設(shè)備能夠及時(shí)獲取用戶虛擬網(wǎng)絡(luò)信息，VxLAN自動(dòng)在物理網(wǎng)絡(luò)上建立VxLAN隧道，為租戶虛擬網(wǎng)絡(luò)設(shè)置網(wǎng)絡(luò)邊界，實(shí)現(xiàn)同一租戶虛擬機(jī)與密碼資源之間的互聯(lián)互通，不同租戶虛擬機(jī)與密碼資源之間的網(wǎng)絡(luò)隔離，為多租戶創(chuàng)建相互隔離的虛擬安全域環(huán)境，從而確保大數(shù)據(jù)環(huán)境下密碼資源池多租戶密碼服務(wù)的安全隔離。

5 結(jié)束語(yǔ)

文中對(duì)大數(shù)據(jù)環(huán)境下密碼資源池多租戶密碼服務(wù)安全隔離需求進(jìn)行分析，研究了OpenFlow軟件定義網(wǎng)絡(luò)技術(shù)以及VxLAN網(wǎng)絡(luò)虛擬化技術(shù)。針對(duì)大數(shù)據(jù)環(huán)境密碼資源池多租戶密碼服務(wù)網(wǎng)絡(luò)隔離問(wèn)題，提出一種將密碼服務(wù)請(qǐng)求與密碼任務(wù)執(zhí)行相分離的服務(wù)機(jī)制，基于VxLAN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隔離的密碼資源池多租戶安全隔離模型，很好地解決了大數(shù)據(jù)環(huán)境下密碼資源池多租戶密碼服務(wù)安全隔離問(wèn)題。