作者/李世杰，福建警察學(xué)院計算機(jī)系

以密碼技術(shù)為基礎(chǔ)的云計算虛擬化網(wǎng)絡(luò)安全分析

作者/李世杰，福建警察學(xué)院計算機(jī)系

現(xiàn)代云計算技術(shù)技術(shù)應(yīng)用時，用戶安全十分必要，密碼為用戶資料安全提供重要保障，然而當(dāng)前網(wǎng)絡(luò)安全問題仍然是人們亟待解決的問題。探究基于密碼技的云計算虛擬化網(wǎng)絡(luò)安全，同時提出安全需求，給出了問題解決措施，以期指導(dǎo)相關(guān)研究工作的開展，促使相關(guān)研究更加完善。

密碼技術(shù)；云計算；虛擬化網(wǎng)絡(luò)；安全

云計算技術(shù)是現(xiàn)階段經(jīng)常使用的一種網(wǎng)絡(luò)計算技術(shù)，讓用戶獲得了更為快捷的網(wǎng)絡(luò)。此外，云計算技術(shù)的應(yīng)用，讓公共網(wǎng)絡(luò)具備有云，讓個人及企業(yè)享受到私有云服務(wù)，考慮到不同服務(wù)對象，使用相應(yīng)技術(shù)，各種技術(shù)備受人們歡迎，這在現(xiàn)代計算機(jī)發(fā)展中是一項重要技術(shù)[1]。

1.以密碼技術(shù)為基礎(chǔ)的云計算虛擬化網(wǎng)絡(luò)安全需求

結(jié)合虛擬化終端，現(xiàn)歸納下述云計算虛擬化網(wǎng)絡(luò)安全的需求：

（1）擬機(jī)間的云計算虛擬化網(wǎng)絡(luò)安全需求。相比傳統(tǒng)安全防護(hù)，在虛擬機(jī)條件下，同臺物理服務(wù)器虛被擬呈多臺虛擬機(jī)（Virtual Machine，VM）虛擬機(jī)間的流量在虛擬交換機(jī)基礎(chǔ)上實現(xiàn)的交換，管理員無需看到一些流量，而從實際情況看，各虛擬機(jī)要被劃分至各安全區(qū)中，目的是為了實現(xiàn)對其的隔離，阻止訪問控制，為虛擬機(jī)間數(shù)據(jù)交換提供安全保護(hù)機(jī)制，防止出現(xiàn)個用戶群虛擬機(jī)間的通信數(shù)據(jù)被監(jiān)聽的情況[2]。另外，為確保虛擬機(jī)的安全，防止在遷移過程中出現(xiàn)用戶數(shù)據(jù)泄密的情況，為其數(shù)據(jù)傳輸提供安全保障。

（2）用戶接入的云計算虛擬化網(wǎng)絡(luò)安全需求。需要開啟相應(yīng)的終端虛擬機(jī)系統(tǒng)，確保虛擬化用戶能夠與數(shù)據(jù)中心實現(xiàn)可信及安全的接入。需要大力認(rèn)證用戶接入數(shù)據(jù)中心，同時加強(qiáng)對其的訪問控制，給予機(jī)密性保護(hù)支持，如網(wǎng)絡(luò)計算機(jī)等。

2.以密碼技術(shù)為基礎(chǔ)的云計算虛擬化網(wǎng)絡(luò)安全的解決措施

■2.1 虛擬U Key安全

U Key的使用，需要用戶計算機(jī)加載用戶身份證書，該做法的使用，可讓網(wǎng)絡(luò)系統(tǒng)高效識別用戶身份。首先，計算機(jī)網(wǎng)絡(luò)被用戶登錄時，在密碼識別及保護(hù)上，使用了v Key設(shè)備，還可與這種設(shè)備捆綁在一起，實施保護(hù)。并且，這種設(shè)備的使用，通過后端驅(qū)動方式，和Hyperviso交換信息，從而和其余網(wǎng)絡(luò)上的用戶端進(jìn)行信息通訊。當(dāng)用戶訪問網(wǎng)絡(luò)時，v Key通過密碼技術(shù)有關(guān)功能，將命令傳給后端驅(qū)動，后端驅(qū)動能夠獲得與之對應(yīng)的的識別號，填寫序列，輸入至請求包中，接著發(fā)給管理模塊，用以對設(shè)備的識別。其次，改造用戶和虛擬網(wǎng)絡(luò)相連的ICA模塊不再是以往的口令認(rèn)知模式，變成了數(shù)字證書認(rèn)證模式。對現(xiàn)代技術(shù)網(wǎng)絡(luò)而言，有關(guān)賬號被用戶申請時，針對用戶，服務(wù)器會專門構(gòu)建相對獨(dú)立的數(shù)字證書，如此，便能形成彼此間的互相認(rèn)證體系，整體認(rèn)證時，在識別并計算密碼過程中，需要借助用戶端與虛擬網(wǎng)絡(luò)共同達(dá)到。同時在這種雙向認(rèn)證體系基礎(chǔ)上，可讓用戶端U Key綁定多個虛擬賬號，確保不會出現(xiàn)安全問題。

■2.2 虛擬服務(wù)器端高速密碼模塊

①虛擬機(jī)管理器(開放源代碼虛擬機(jī)監(jiān)視器)上管理域的構(gòu)成為vENC后端驅(qū)動與ENC物理驅(qū)動程序。各虛擬化服務(wù)器系統(tǒng)或用戶虛擬化終端均有vENC前端驅(qū)動，該驅(qū)動程序和即頁面瀏覽量（page view，PV）驅(qū)動程序一同進(jìn)行工作，將設(shè)備虛擬支持提供給服務(wù)器或多用戶虛擬機(jī)。②逐步使用合理的服務(wù)器輸入/輸出端口（input/output，I/O）虛擬化的單根輸入/輸出端口虛擬化技術(shù)，允許虛擬機(jī)管理器(對VM上ENC虛擬功能的映射比較簡單，無需穿透技術(shù)便可達(dá)到較高性能，繼而確保本機(jī)ENC設(shè)備性能的安全，實現(xiàn)隔離的目的[3]。③ENC模塊。在密碼管理機(jī)制尚，能夠讓多組用戶實現(xiàn)并發(fā)使用。設(shè)置并發(fā)的用戶密鑰空間，用以接受各用戶虛擬機(jī)vKey存儲的U–WK工作密鑰。ENC模塊獲得公私鑰對，私鑰SK–ENC在ENC模塊中中被安全設(shè)置在ENC模塊公鑰加密基礎(chǔ)上，vKey由U–WK獲得U–WK'，同時將其放置在用戶密鑰空間（屬于ENC模塊的）中，可讓該模塊進(jìn)行多組戶數(shù)據(jù)加密，并可以進(jìn)行并發(fā)。

■2.3 管理相關(guān)密碼密鑰

密碼密鑰管理問題是是需要解決的問題[6]，這方面需要從以下幾點來分析：

①密鑰協(xié)商和保護(hù)對虛擬專用網(wǎng)絡(luò)（VPN）加密的應(yīng)用虛擬機(jī)間構(gòu)建端至端虛擬專用網(wǎng)絡(luò)（VPN）加密通道，在協(xié)商密鑰過程中，使用交換有關(guān)用戶UKey中的證書，協(xié)商并交換密鑰(N–WK)在交換N–WK過程中，為實現(xiàn)對其的保護(hù)可使用數(shù)字信封方式。

②密鑰管理對用戶數(shù)據(jù)存儲加密的應(yīng)用。將虛擬加密磁盤創(chuàng)建在用戶終端時，借助調(diào)vKey的調(diào)用，生成了工作密鑰U–WK，在獨(dú)立成分分析(Independent Component Correlation Algorithm，ICA)等協(xié)議的映射關(guān)系基礎(chǔ)之上，實際上，密鑰被放置在用戶UKey中。同時借助vENC模塊接口支持，為U–WK提供ENC模塊下的公鑰保護(hù)，放置在ENC模塊中，用作數(shù)據(jù)儲存及加密用途，使用結(jié)束后，將ENC中的U–WK給清理掉，由自己來把控用戶數(shù)據(jù)密鑰。

③密鑰管理對獨(dú)立成分分析（ICA）協(xié)議加密的應(yīng)用。獨(dú)立成分分析（ICA）協(xié)議的加密?？蛻舳薝Key中有數(shù)字證書同時服務(wù)器的密碼模塊ENC中也有，同時，UKey和ENC模塊均具有下述密碼服務(wù)功能，如對稱密碼運(yùn)算及簽名驗算等。二者以改造獨(dú)立成分分析（ICA）協(xié)議的形式，讓證書雙向認(rèn)證成為可能，并協(xié)商獨(dú)立成分分析（ICA）協(xié)議數(shù)據(jù)加密密鑰。工作密鑰更換次數(shù)為1次，且在登錄時進(jìn)行一次加密。

■2.4 模擬高速密碼

對服務(wù)器高速密碼模塊模的模擬，從根本上看，便是革新密碼模塊資源池化，將眾多高速密碼模塊提供給管理域及用戶端，同時符合多用戶對密碼服務(wù)的要求。往往借助多組用戶組的密碼管理機(jī)制，讓多個用戶獲得了密鑰空間，能夠短時間處置各用戶組密鑰，以證書管理模塊形式，得到和密鑰相符的設(shè)備證書，短時間內(nèi)達(dá)到對其識別的目的。這種模塊的使用，可識別并運(yùn)算多用戶管理當(dāng)中，效率較高，為用戶安全創(chuàng)造了條件。

■2.5 本機(jī)存儲加密虛擬機(jī)數(shù)據(jù)

在密碼技術(shù)基礎(chǔ)上，探討云計算網(wǎng)絡(luò)安全性，通過虛擬機(jī)自身具有的存儲加密手段，從網(wǎng)絡(luò)環(huán)境當(dāng)中隔離出來，實現(xiàn)對其的保護(hù)，該技術(shù)基于密碼識別，將本地加密技術(shù)添加其中。然而實際使用時，使得整體數(shù)據(jù)速度變慢，卻起到非常好的加密效果，同時具備較強(qiáng)安全性。在虛擬化數(shù)據(jù)集中使用條件下，虛擬機(jī)間隔離機(jī)制的應(yīng)用，讓用戶獲得了隔離保護(hù)支持，事實上，從整體情況看，云服務(wù)并不能有效開展，是因為明態(tài)存在于數(shù)據(jù)中心服務(wù)器端當(dāng)中。使用UKey映射，為對應(yīng)虛擬化終端的vKey，為實現(xiàn)本地加密目的，通過構(gòu)建虛擬加密磁盤等機(jī)制，可加密用戶虛擬機(jī)終端上存儲數(shù)據(jù)，事實上，由于使用了ICA等協(xié)議映射，使得實際效率不高，所以，讓vKey結(jié)合服務(wù)器上的高速密碼模塊，在vKey管理、加載用戶密鑰等的協(xié)助下，如此，極大提升了存儲加密效率，以達(dá)到對用戶虛擬化終端本地數(shù)據(jù)存儲加密的目的[4]。

3.結(jié)束語

在虛擬化網(wǎng)絡(luò)技術(shù)基礎(chǔ)發(fā)展起來的數(shù)據(jù)中心，契合了數(shù)據(jù)集中安全應(yīng)用所需，該模式具有代表性，適合外來網(wǎng)絡(luò)化及規(guī)?；男枰猍5–6]。在密碼技術(shù)基礎(chǔ)上，最終將虛擬化網(wǎng)絡(luò)安全解決方案框架給提了出來，在引導(dǎo)安全云計算基礎(chǔ)設(shè)施的構(gòu)建方面所起作用較大[7–8]。后續(xù)工作應(yīng)該是這種方案和一些網(wǎng)路安全機(jī)器的虛擬技術(shù)的聯(lián)合，使建立其的虛擬化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)具備整體網(wǎng)絡(luò)安全防護(hù)功能。

＊ [1]胡維.基于密碼的云計算虛擬化網(wǎng)絡(luò)安全研究[J].中國新通信,2015(14):124-124.

＊ [2]Open vSwitch Project[EB/OL].(2012-04-12)[2012-6-20].http：//www.openvswitch.org/.

＊ [3]李超，董青，戴華東.基于SR-IOV的IO虛擬化技術(shù)[J].電腦與信息技術(shù)，2010，18(5)：33-37.

＊ [4]董貴山,鄧春梅,鄧子健.基于密碼的云計算虛擬化網(wǎng)絡(luò)安全研究[J].信息安全與通信保密,2012,(11):47-51.

＊ [5]陳東.虛擬化路由交換平臺中的鏈路虛擬化技術(shù)[J].通信技術(shù)，2011，44(7)：37-38，41.

＊ [6]譚武征；楊茂江.基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系的合規(guī)性分析[J].通信技術(shù)，2010，43(12)：91-93，96.

＊ [7]王會波.密碼技術(shù)在內(nèi)網(wǎng)安全中的應(yīng)用和趨勢[J].信息安全與通信保密，2010(1)：18.

＊ [8]郭寶安，王磊，徐樹民.寬帶無線移動通信中商用密碼技術(shù)研究[J].信息安全與通信保密，2009(6)：108-111.