基于密碼的云計(jì)算虛擬化安全研究

摘要：虛擬化技術(shù)應(yīng)用于新一代云計(jì)算數(shù)據(jù)中心，能夠?yàn)樵朴?jì)算發(fā)展提供基礎(chǔ)設(shè)施支撐，通過研究以密碼技術(shù)為基礎(chǔ)的云計(jì)算虛擬化安全防護(hù)技術(shù)，能有效提高云計(jì)算技術(shù)的安全性、云數(shù)據(jù)的機(jī)密性，保護(hù)用戶的信息安全，但該項(xiàng)研究難度較高，本文從云計(jì)算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問應(yīng)用模式著手，介紹虛擬化網(wǎng)絡(luò)環(huán)境下用戶的安全用網(wǎng)需求，對密碼的虛擬化安全解決方案進(jìn)行探究，旨在日后相關(guān)人員對其進(jìn)行研究時(shí)能夠提供參考。

關(guān)鍵詞：密碼安全；云計(jì)算技術(shù)；虛擬化設(shè)計(jì)

一、引言

云服務(wù)已經(jīng)成為現(xiàn)代網(wǎng)絡(luò)用戶歡迎的重要服務(wù)之一，用戶可依托云服務(wù)平臺(tái)隨時(shí)進(jìn)行數(shù)據(jù)的上傳、儲(chǔ)存、分享和下載，釋放大量硬件設(shè)備儲(chǔ)存空間，而虛擬化技術(shù)在其中能夠?yàn)樵品?wù)，提供基礎(chǔ)設(shè)施支撐。在云計(jì)算數(shù)據(jù)中心服務(wù)用戶的過程中，如何讓云中各類型的用戶安全地使用網(wǎng)絡(luò)無縫連接云計(jì)算服務(wù)，擴(kuò)展虛擬化技術(shù)構(gòu)建數(shù)據(jù)中心的靈活性和擴(kuò)展性以成為云計(jì)算數(shù)據(jù)中心構(gòu)建過程中必須要解決的問題，為滿足此需要相關(guān)人員在進(jìn)行構(gòu)架過程中，需要運(yùn)用主流防火墻虛擬化技術(shù)、VLAN安全區(qū)化技術(shù)等保護(hù)云數(shù)據(jù)中心數(shù)據(jù)不被竊取或泄露，確保云虛擬機(jī)之間的通信保護(hù)為用戶密碼提供安全服務(wù)。

二、云計(jì)算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問應(yīng)用模式

云計(jì)算的基本結(jié)構(gòu)包括三個(gè)方面：服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)，還可將網(wǎng)絡(luò)進(jìn)一步劃分為跨數(shù)據(jù)中心網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)和泛在云接入網(wǎng)。其中跨數(shù)據(jù)中心網(wǎng)絡(luò)的功能是為數(shù)據(jù)中心進(jìn)行數(shù)據(jù)交換、遷移、備份、中心混合等用途提供服務(wù)；數(shù)據(jù)中心網(wǎng)絡(luò)則由包含多層服務(wù)器的局域網(wǎng)、連接計(jì)算主機(jī)、邊緣虛擬網(wǎng)絡(luò)等共同構(gòu)成；泛在云接入網(wǎng)主要功能是連接終端用戶和數(shù)據(jù)中心，使二者能產(chǎn)生交互。

本文的研究重點(diǎn)是利用虛擬網(wǎng)絡(luò)技術(shù)對數(shù)據(jù)中心進(jìn)行訪問，并保護(hù)云計(jì)算虛擬數(shù)據(jù)中心的安全的可行技術(shù)措施。由于在虛擬化的基礎(chǔ)上，存在著海量的虛擬機(jī)存取計(jì)算資源的安全性問題。該系統(tǒng)由核心層交換機(jī)、接入層交換機(jī)、虛擬交換機(jī)組成。由于采用了云技術(shù)，數(shù)據(jù)中心的網(wǎng)絡(luò)必須要處理大量的流量、大量的備份和大量的虛擬機(jī)的流量，這就要求核心級的網(wǎng)絡(luò)必須要有海量的數(shù)據(jù)和足夠的訪問容量。訪問層交換器需要具有多種可擴(kuò)展性和新型的以太網(wǎng)絡(luò)技術(shù)，其中包含了非破壞性的以太網(wǎng)絡(luò)技術(shù)。

虛擬交換是指在實(shí)體服務(wù)器中利用虛擬機(jī)管理員（Hypervisor）層虛擬出對應(yīng)的開關(guān)和網(wǎng)絡(luò)卡的功能，實(shí)現(xiàn)與之對應(yīng)的虛擬主機(jī)虛擬網(wǎng)卡（vNIC）之間的互聯(lián)，并設(shè)置VLAN標(biāo)記的功能，從而實(shí)現(xiàn)對不同網(wǎng)絡(luò)卡的訪問。管理程序?yàn)槊恳慌_(tái)虛擬機(jī)建立一個(gè)或多個(gè) NICs，連接管理器中的虛擬開關(guān)，以實(shí)現(xiàn)虛擬機(jī)之間的通信。管理程序也支持虛擬開關(guān)與實(shí)體網(wǎng)絡(luò)之間的通信，并能有效地與外界網(wǎng)絡(luò)通信，例如開放源碼開放 Switch等虛擬開關(guān)。以CtrixXen為基礎(chǔ)的虛擬技術(shù)（與其他VmwareESX、KVM、Hyper-V等都是可參考的），對用戶與虛擬用戶接口的接口進(jìn)行了深入的探討。

首先，遠(yuǎn)程用戶使用諸如ICA之類的遠(yuǎn)程臺(tái)式機(jī)（Vmware使用PCoIP）訪問數(shù)據(jù)中央主機(jī)上的用戶虛擬化接口。ICA技術(shù)利用Xen的Ctrix虛擬系統(tǒng)的特殊技術(shù)，實(shí)現(xiàn)屏幕、按鍵、鼠標(biāo)操作數(shù)據(jù)與服務(wù)器端的數(shù)據(jù)進(jìn)行交互，實(shí)現(xiàn)了基于Hypervisor的獨(dú)立服務(wù)防護(hù)，實(shí)現(xiàn)了與本地電腦客戶操作系統(tǒng)相適應(yīng)的用戶使用經(jīng)驗(yàn)。此外，在管理領(lǐng)域OS中還可以對不同的外設(shè)進(jìn)行真正的控制，使用后端的驅(qū)動(dòng)模組與一組裝在一個(gè)虛擬機(jī)上的前端驅(qū)動(dòng)模組進(jìn)行通信，以達(dá)到對各個(gè)使用者的虛擬性裝置的驅(qū)動(dòng)。

其次，顧客虛幻化終端機(jī)可以通過虛幻網(wǎng)卡、虛幻的資料交換器（包括在實(shí)體系統(tǒng)中的分布虛幻化的資料交換器）來實(shí)現(xiàn)與虛幻化的最終使用者的高速網(wǎng)絡(luò)交換，以及在使用各種不同的應(yīng)用程序的情況下，通過虛化裝置實(shí)現(xiàn)移動(dòng)的能力。在這種情況下，分布式的虛擬機(jī)可以實(shí)現(xiàn)多臺(tái)實(shí)體服務(wù)器間的虛擬交換，從而實(shí)現(xiàn)多臺(tái)設(shè)備間的虛擬交換機(jī)的互聯(lián)，從而實(shí)現(xiàn)多臺(tái)設(shè)備與其他主機(jī)的虛擬交換機(jī)的互聯(lián)，從而簡化了虛擬機(jī)的切換（或其虛擬界面）。

三、虛擬化網(wǎng)絡(luò)環(huán)境下用戶的安全用網(wǎng)需求

（一）用戶接入的網(wǎng)絡(luò)安全需求

在應(yīng)用虛擬網(wǎng)技術(shù)時(shí)，需要有關(guān)部門保證虛擬裝置在數(shù)據(jù)中心能夠可靠、可控地、安全地執(zhí)行相應(yīng)的虛擬業(yè)務(wù)。必須在大型的資料中心上強(qiáng)化公司的認(rèn)證與存取，并強(qiáng)化ICA及臺(tái)式機(jī)的保密保護(hù)。

（二）虛擬機(jī)交互過程中的安全需求

云計(jì)算虛擬機(jī)的數(shù)據(jù)保護(hù)方式與普通網(wǎng)絡(luò)保護(hù)方式有很大差別，虛擬化中，一個(gè)實(shí)體的虛擬主機(jī)被虛擬化成多個(gè)虛擬機(jī)，VM中的數(shù)據(jù)流會(huì)被一個(gè)虛擬的交換器傳遞，而這個(gè)過程中，每個(gè)VM的數(shù)據(jù)都是不可控制的，也是看不見的，但是，根據(jù)這個(gè)需求，每個(gè)VM都要被劃分到相應(yīng)的信息保護(hù)區(qū)域，以便隔離和使用，并且為了確保虛擬機(jī)的內(nèi)部通信數(shù)據(jù)，為了避免虛擬交換的混合方式或者接口圖的設(shè)置，來監(jiān)視具有多個(gè)用戶群的虛擬機(jī)的內(nèi)部通信信息。此外，為了避免由一個(gè)或多個(gè)實(shí)體或甚至是一個(gè)數(shù)據(jù)中心的移動(dòng)過程造成的使用者資訊泄露也是必要的。

（三）數(shù)據(jù)中心之間的網(wǎng)絡(luò)安全需求

一般情況下，在數(shù)據(jù)中心的系統(tǒng)需要大量的數(shù)據(jù)處理，而對于大型的數(shù)據(jù)處理系統(tǒng)，則需要一個(gè)大型的二級數(shù)據(jù)處理系統(tǒng)（包括一個(gè)多個(gè)數(shù)據(jù)處理的數(shù)據(jù)處理系統(tǒng)）。需要在信息中心的邊緣設(shè)置防火墻系統(tǒng)、入侵檢測等傳統(tǒng)的安全性措施，并對各信息站之間的數(shù)據(jù)進(jìn)行保密保護(hù)。

四、基于密碼的虛擬化安全解決方案

（一）方案框架

虛擬化的網(wǎng)絡(luò)安全性技術(shù)架構(gòu)主要有： UKey的安全性虛擬化終端、服務(wù)器端高速密碼模組（ENC）虛擬化、虛擬機(jī)數(shù)據(jù)原生存儲(chǔ)加密、虛擬機(jī)之間虛擬化的虛擬網(wǎng)加密 fVPN）、相關(guān)密碼密鑰管理等核心技術(shù)。

（二）設(shè)置合理的網(wǎng)絡(luò)安全機(jī)制

1.以UKey為核心的安全虛擬化終端

虛擬機(jī)登錄方式較多，如應(yīng)用用戶終端、 ICA等的遠(yuǎn)程桌面登錄方式等，選擇合適的虛擬機(jī)界面。從安全要求的角度出發(fā)，要從安全、可信和可控的角度來考慮虛擬終端的安全問題。為了達(dá)到這一目的， UKey采用了一個(gè)vKey，加載了一個(gè)用來加強(qiáng)身份驗(yàn)證的用戶標(biāo)識，并提供對稱和非對稱密碼操作的能力。

①vKey的管理。虛擬機(jī)管理區(qū)內(nèi)的vKey管理模塊是為了給各個(gè)虛擬化的終端配置和管理 vKey，并將 USBKey綁定在一起。vKey管理模塊是vKey后臺(tái)驅(qū)動(dòng)來實(shí)現(xiàn)與Hypervisor的交互，然后再與其他的用戶進(jìn)行虛擬的連接。在要求對vKey裝置進(jìn)行存取時(shí)，vKey的前端會(huì)向vKey后臺(tái)驅(qū)動(dòng)發(fā)出一個(gè)口令函數(shù)呼叫指令；vKey后臺(tái)驅(qū)動(dòng)會(huì)從該vKey信道編號中查找相應(yīng)的vKey裝置識別碼，并將該數(shù)據(jù)包輸入該vKey Package，再將該VKey數(shù)據(jù)流發(fā)送至vKey Management；vKey管理模塊按照用戶識別的方式向?qū)?yīng)的vKey組件（vKeyl-vKeyN）發(fā)送指令，并在UKey的實(shí)際驅(qū)動(dòng)下，使用USBKey與USBKey之間的命令進(jìn)行互動(dòng)。在此過程中，vKey的后臺(tái)和前端的驅(qū)動(dòng)程序?qū)⑺玫降慕Y(jié)果反饋到虛擬終端。

②認(rèn)證。在虛擬和虛擬兩個(gè)方面，對ICA的軟件進(jìn)行了升級，從最初的 UKey認(rèn)證和認(rèn)證的方式升級到了在服務(wù)器和虛擬服務(wù)器上的數(shù)字憑證的認(rèn)證方式。在服務(wù)器端 UKey和虛擬化 Server中，每個(gè)都擁有認(rèn)證系統(tǒng)所供應(yīng)的數(shù)字證書，經(jīng)過了雙方的身份認(rèn)證。而在驗(yàn)證程序的互動(dòng)中，所有的口令登錄都必須在 UKey中進(jìn)行，也可以在用戶端使用口令登錄。當(dāng)執(zhí)行一個(gè)數(shù)字憑證的雙向認(rèn)證時(shí)，虛擬機(jī)和虛擬機(jī)的虛擬機(jī)終端和信息管理區(qū)將會(huì)由一個(gè)不同的 UKey（vKey）來一一地對應(yīng)并捆綁各個(gè)虛擬機(jī)客戶端的組態(tài)數(shù)據(jù)信息，由此保證認(rèn)證的遠(yuǎn)程用戶能夠利用符合他們的識別數(shù)據(jù)的個(gè)人化虛擬終端。

③通信加密。像 ICA這樣的遠(yuǎn)程臺(tái)式機(jī)協(xié)議，已為諸如 SecureICA之類的可選的機(jī)密機(jī)制提供了一個(gè)保證 ICA用戶和服務(wù)端協(xié)議的數(shù)據(jù)資料的機(jī)密性。在與 Ctrix等廠商進(jìn)行技術(shù)上的配合后，保密的技術(shù)將會(huì)得到進(jìn)一步的完善，從而達(dá)到保密的目的（例如，將SM1-SM4加密技術(shù)替換為商業(yè)應(yīng)用中的SM1-SM4加密算法），然后利用 UKey和服務(wù)器極限加密控制器中的特殊加密算法實(shí)現(xiàn)對 ICA的加密。

2.服務(wù)器端高速密碼模塊虛擬化

云計(jì)算虛擬化服務(wù)器具備快速加密能力，可以將加密的函數(shù)進(jìn)行模塊化，使VENC可以提供給所有的 VENC，也可以對虛擬化的用戶和管理員進(jìn)行共享，并利用 vKey來完成對多個(gè)主機(jī)的密鑰的控制。以下是詳細(xì)的工作原理：

①在虛擬機(jī)Manager （Xen）上面的管理區(qū)包括 ENC （ENC真正的驅(qū)動(dòng)器）和vENC的后臺(tái)驅(qū)動(dòng)器（vENC）。每一個(gè)使用者的虛擬機(jī)或虛擬機(jī)的服務(wù)器都包括一個(gè) vENC的前端驅(qū)動(dòng)器，它與一個(gè)被稱作「虛擬或 PV」的管理域的 ENC驅(qū)動(dòng)器合作，以執(zhí)行對多使用者的虛擬機(jī)或服務(wù)器的虛擬裝置的虛擬支援。

②還可以通過sIngle-rOOtI/Ov或irtualization （SR-iov）技術(shù)來將 ENC的虛擬化功能簡單地映射到服務(wù)器上，從而達(dá)到 ENC器件的性能和隔離安全性，無需使用任何技術(shù)就可以達(dá)到很高的性能。

③ ENC模塊自身也可以利用多個(gè)承租者同時(shí)使用的密匙管理方法。ENC組件自己也可以從認(rèn)證管理體系獲取自己的裝備憑證和私有密鑰對（ENC組件中嵌入私有密鑰SK-ENC）。利用 ECC的橢圓形曲線公開密鑰對U-WK進(jìn)行加密，從而獲得U-WK’= ECC （PK-ENC、U-WK），將U-WK’插入到 ENC的使用者密鑰中，從而可以有效地對多個(gè)租戶進(jìn)行數(shù)據(jù)的并行處理。

3.虛擬機(jī)數(shù)據(jù)本機(jī)存儲(chǔ)加密

由于在云應(yīng)用場景下，虛擬機(jī)數(shù)據(jù)普遍處于幾種應(yīng)用狀態(tài)，建立合理的隔離機(jī)制能有效防止用戶竊取虛擬機(jī)上的數(shù)據(jù)，或因用戶不當(dāng)操作造成虛擬機(jī)數(shù)據(jù)的丟失，但數(shù)據(jù)在數(shù)據(jù)中心服務(wù)器端仍處于明態(tài)，該種數(shù)據(jù)保護(hù)方式會(huì)在一定程度上阻礙云服務(wù)的廣泛推廣和應(yīng)用。但可通過UKEY為虛擬機(jī)數(shù)據(jù)本機(jī)進(jìn)行加密，通過對虛擬磁盤或文件系統(tǒng)設(shè)置密碼，讓用戶在虛擬機(jī)終端上對數(shù)據(jù)進(jìn)行再次加密，既能保障虛擬機(jī)中數(shù)據(jù)的安全性，又有利于用戶對數(shù)據(jù)進(jìn)行私密化儲(chǔ)存。但需要注意的是，若使用ICA協(xié)議方式對虛擬機(jī)中的數(shù)據(jù)進(jìn)行映射和交互，必然會(huì)導(dǎo)致云空間中的數(shù)據(jù)利用率降低，可將其和云端中的高速加密服務(wù)進(jìn)行結(jié)合，使用vKEY幫助用戶獲取密鑰，提高虛擬化端口中的加密效率。

4.虛擬化網(wǎng)絡(luò)加密VPN

由于虛擬用戶電腦終端操作系統(tǒng)和虛擬化服務(wù)器操作系統(tǒng)的Internet傳送都是通過虛擬交換機(jī)來完成的，它們具有與存儲(chǔ)空間的速度相對應(yīng)的高速交換功能，但是因?yàn)槿鄙俦Ｃ艽胧?，所以需要從虛擬操作系統(tǒng)這個(gè)通信源頭上進(jìn)行 VPN等安全保密管理，從而確保用戶在端到端的通信安全。

① VPN在 VPN中的虛擬機(jī)之間進(jìn)行密碼。可以根據(jù)一個(gè)用戶群體中的一個(gè)特定的用戶來制定一個(gè)網(wǎng)絡(luò)安全政策，或者是一個(gè)獨(dú)立的用戶。安全策略包括：虛擬計(jì)算機(jī)應(yīng)該與哪一網(wǎng)絡(luò)進(jìn)行通信、與哪一網(wǎng)絡(luò)進(jìn)行通信、如何利用地道或傳送封裝工作模式、網(wǎng)絡(luò)加密工作密鑰的轉(zhuǎn)換時(shí)間、網(wǎng)絡(luò)訪問在什么情況下的中斷、網(wǎng)絡(luò)訪問的默認(rèn)情況下的網(wǎng)絡(luò)訪問策略等。為了實(shí)現(xiàn)對Web站點(diǎn)的接入政策和安全的控制，Linux系統(tǒng)是在NetFilter體系結(jié)構(gòu)中增加 VPN處理模塊實(shí)現(xiàn)的，Windows系統(tǒng)是在 NDIS上增加 VPN處理器來實(shí)現(xiàn)的。對于需要口令的消息，可以采用 vENC所建議的口令呼叫端口來實(shí)施口令；被請求接收和譯碼的消息，也會(huì)在相應(yīng)的加密端口下被解除加密，然后被送到它的虛擬的上層網(wǎng)絡(luò)堆疊中。在此基礎(chǔ)上，基于信息安全策略，通過對IP包進(jìn)行濾波，并在發(fā)生安全事件時(shí)，通過對 IP包進(jìn)行自動(dòng)觸發(fā)，對需要使用密碼的信息進(jìn)行保護(hù)，但是沒有相應(yīng)的N-WK的功能，通過該協(xié)議過濾器模塊觸發(fā)事件，并按照該信息安全政策，啟動(dòng)對系統(tǒng)應(yīng)用層的加密協(xié)定和密鑰變換過程。N-WK交換可以在另一方所提供的憑證公開密鑰的支撐下進(jìn)行，并且N-WK可以被周期性地升級，這取決于安全性政策的需求。

② VPN在不同的數(shù)據(jù)中心進(jìn)行安全防護(hù)。由于每個(gè)數(shù)據(jù)交換網(wǎng)絡(luò)的安全性和防衛(wèi)邊界比較明確，因此它的網(wǎng)絡(luò)加密問題只有在傳統(tǒng)VPN業(yè)務(wù)的基礎(chǔ)上才能得到有效的解決。

③在 VPN信道的基礎(chǔ)上實(shí)現(xiàn)虛擬化的安全性。在虛擬環(huán)境下，通過虛擬網(wǎng)絡(luò)在網(wǎng)絡(luò)中的通道來保證虛擬環(huán)境中的狀態(tài)信息、應(yīng)用數(shù)據(jù)信息、網(wǎng)絡(luò)安全設(shè)置信息和安全策略信息。

（三）方案效能與特點(diǎn)分析

在基于密碼的云計(jì)算虛擬化技術(shù)基礎(chǔ)上，本文給出了一種針對虛擬網(wǎng)的安全性設(shè)計(jì)方法。本系統(tǒng)提供了從源頭上保證虛擬網(wǎng)的機(jī)密性、安全隔離和虛擬機(jī)用戶的信任驗(yàn)證等重要安全措施，從而有效地克服了制約其廣泛使用的主要安全隱患。它的安全性有以下幾個(gè)方面：

①為建立在虛擬網(wǎng)基礎(chǔ)上的資料中心，保證資料來源的可靠性和保密。

②采用虛擬機(jī)技術(shù)、用戶虛擬終端存儲(chǔ)加密技術(shù)、端到端加密技術(shù)，實(shí)現(xiàn)了用戶終端與計(jì)算的高效、可靠的信息交互。

③為虛擬機(jī)在各領(lǐng)域間進(jìn)行網(wǎng)絡(luò)密碼信道的管理，為虛擬機(jī)的移植提供了安全性保障。

④可將其與常規(guī)的網(wǎng)絡(luò)安全保護(hù)方法相融合，以滿足多個(gè)不同的數(shù)據(jù)中心對云的保護(hù)要求。

五、結(jié)束語

總而言之，隨著科學(xué)技術(shù)的快速發(fā)展，云計(jì)算技術(shù)快速走入各個(gè)領(lǐng)域中，為人們的生產(chǎn)生活提供更加便利的技術(shù)支持，但云計(jì)算技術(shù)也面臨著非常顯著的安全問題，為了更好地處理這些問題，相關(guān)部門可以利用虛擬技術(shù)建立相應(yīng)的云平臺(tái)，以密碼為基礎(chǔ)加強(qiáng)對云計(jì)算虛擬化技術(shù)的研究，充分保障網(wǎng)絡(luò)安全。

作者單位：宋松 長春市德普信息技術(shù)有限公司

參" 考" 文" 獻(xiàn)

[1]黃昌熙，鄭志永，孫雪冬，等.云環(huán)境下基于國密算法的密碼服務(wù)平臺(tái)建設(shè)思路探討[J].中國新通信，2022，24（08）：110-112.

[2]鄧一星，蔡沂，王文翰.云計(jì)算技術(shù)下大規(guī)模用戶密碼安全認(rèn)證算法[J].計(jì)算機(jī)仿真，2022，39（02）：141-144.

[3]任曉莉，楊建衛(wèi)，李乃乾.云計(jì)算中基于動(dòng)態(tài)虛擬化電子流密碼的安全存儲(chǔ)[J].計(jì)算機(jī)科學(xué)與探索，2019，13（08）：1331-1340.

宋松（1988.06-），男，漢族，吉林長春，?？疲芯糠较颍壕W(wǎng)絡(luò)安全，信息安全，網(wǎng)絡(luò)安全法相關(guān)，國家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)。