PKI技術在虛擬化平臺的應用

吳樹強+陳冠勝

隨著信息技術的飛速發(fā)展，云平臺、大數據和IT架構虛擬化趨勢不斷掀起熱潮，信息安全成為了一個重要的課題。身份認證技術作為保證信息系統(tǒng)的第一道安全屏障起著至關重要的作用，而PKI技術可以為虛擬化身份認證提供安全保障。

【關鍵詞】PKI 虛擬化 信息安全 身份認證

在IT領域，虛擬化（Virtualization）是指計算機元件在虛擬的基礎上而不是真實的基礎上運行。虛擬化是一種資源管理技術，虛擬化技術可以擴大硬件的容量，簡化軟件的重新配置過程，虛擬化技術已經成為當今企業(yè)的熱門技術之一。隨著國內外云計算技術的迅猛發(fā)展，越來越多的企業(yè)開始考慮云+業(yè)務的運營模式，其中云計算的根本就是虛擬化技術。

當前，國內智能電網建設不斷發(fā)展，電力企業(yè)數據中心的虛擬化遷移進程同時開展跟進，虛擬化遷移完成后，電力企業(yè)數據中心的IT成本將會大大降低、計算機能力快速提升、系統(tǒng)運維也會變得更加簡單。虛擬桌面系統(tǒng)構建了一個與硬件無關的用戶桌面計算環(huán)境，通過對虛擬桌面進行集中的運行維護、管理控制，可以實現桌面終端系統(tǒng)的高安全性、高可用性和低管理維護性。

虛擬化技術的引入，使電力企業(yè)的IT環(huán)境發(fā)生巨變，在帶來諸多優(yōu)點的同時也帶來了虛擬環(huán)境下獨有的安全問題，如宿主機安全、安全域混亂、三大風暴、虛擬桌面安全等。因此，在向虛擬化遷移核心數據和系統(tǒng)之前，首先要解決虛擬化環(huán)境中遇到的各種安全問題。

PKI是一種符合數據傳輸和身份認證的信息安全機制，它的安全環(huán)境建立在密碼學之上，并作為一項有效的工具，提供在Intranet、Extranet及Internet網絡環(huán)境間交換數據的信任基礎。因為PKI體系結構在數據傳輸的安全性方面獨具優(yōu)勢，可以應用于數據交換和身份認證之中，在虛擬桌面平臺開發(fā)部署PKI智能卡虛擬化組件實現PKI智能卡登錄，將會大大加強計算機終端和虛擬化桌面的安全。

1 技術基礎與需求分析

1.1 術語定義

1.1.1 PKI/CA

PKI（Public Key Infrastructure），公鑰基礎設施，是采用非對稱密碼算法和技術來實現和提供安全服務，并具有通用性的安全基礎設施，是一種遵循既定標準的安全身份基礎管理平臺； CA （ Certificate Authority ），指的是認證中心。

PKI從技術上解決了網絡通信安全的種種障礙，CA從運營、管理、規(guī)范、法律、人員等多個角度來解決了網絡信任問題，因此被統(tǒng)稱為“ PKI/CA 。

1.1.2 USB-KEY

USB-KEY，是一種通過USB （通用串行總線接口)直接與計算機相連、具有密碼驗證功能、可靠高速的小型存儲設備，需要安裝對應的驅動程序。

1.1.3 CSP

CSP（Cryptographic Service Providers），即加密服務提供者，是實現真正的加密服務的獨立的模塊。

1.1.4 VDI

VDI (Virtual Desktop Infrastructure)，虛擬桌面，是一種基于服務器的計算模型。VDI概念最早由桌面虛擬化廠商VMware提出，目前已經成為標準的技術術語。雖然借用了傳統(tǒng)的瘦客戶端的模型，但是讓管理員與用戶能夠同時獲得兩種方式的優(yōu)點：即是將所有桌面虛擬機在數據中心進行托管并統(tǒng)一管理；同時用戶能夠獲得完整PC的使用體驗。

1.1.5 瘦終端

瘦客戶端（Thin Client），指的是在客戶端-服務器網絡體系中的一個基本無需應用程序的計算機終端。它通過一些協(xié)議和服務器通信，進而接入局域網。瘦客戶端將其鼠標、鍵盤等輸入傳送到服務器處理，服務器再把處理結果回傳至客戶端顯示，終端機即計算機顯示終端，是計算機系統(tǒng)的輸入、輸出設備。

1.1.6 相關協(xié)議

PCOIP協(xié)議：PCoIP由VMware與Teradici共同開發(fā)，通過PCoIP協(xié)議飛躍性地提高了桌面虛擬化的功能及性能。目前已經成為最為流行的桌面虛擬化協(xié)議和標準。PCoIP的最大特點就是，將用戶的會話以圖像的方式進行壓縮傳輸，對于用戶的操作，只傳輸變化部分，保證在低帶寬下也能高效的使用。

DRP協(xié)議：遠程顯示協(xié)議（Remote Display Protocol ）簡稱RDP。該協(xié)議是對國際電信聯(lián)盟發(fā)布的一個國際標準的多通道會議協(xié)議T.120 的一個擴展。

ICA協(xié)議：Citrix Independent Computing Architecture （ ICA ）技術已經被證明，能夠通過整個企業(yè)網絡來提供配置 Windows、UNIX 以及 Java 應用程序訪問的強大的競爭優(yōu)勢，而不需考慮用戶的位置、客戶端硬件設備或者可用帶寬的限制，讓多名用戶得以共享同一臺主機。

1.2 需求分析

隨著互聯(lián)網技術的快速發(fā)展，電力系統(tǒng)的生產運行越來越依賴于信息化手段，但當信息化技術帶來高效和便捷的同時，電力行業(yè)所面臨的網絡與信息安全風險也與日劇增。而PKI數字證書身份認證技術，對于信息系統(tǒng)安全起著至關重要的作用。傳統(tǒng)的Windows操作系統(tǒng)和虛擬化平臺對于用戶的身份認證機制主要是基于用戶名/口令方式的認證，這存在著口令易被猜測、獲取以及冒用身份等一系列安全隱患。若是操作系統(tǒng)在登錄安全上提供了基于第三方USBKEY智能卡的認證方式，這種方式相比較于傳統(tǒng)的用戶名/口令認證方式在安全性上有極大的提高。電力企業(yè)諸多應用，已經和PKI/CA系統(tǒng)進行了安全集成，使用PKI/CA系統(tǒng)頒發(fā)的數字證書主要用于用戶基于USBKEY智能卡在AD域、OA、EIP、VPN等多應用環(huán)境下的強身份認證登陸。隨著虛擬化技術的發(fā)展和虛擬化應用的推廣，電力企業(yè)對于應用系統(tǒng)安全運維的要求越來越高。目前，虛擬桌面的推廣使用存在以下安全管理漏洞：

（1）用戶在終端使用賬號和密碼登陸虛擬桌面時，會存在賬號和密碼被抓包工具截取到用戶信息，導致用戶的賬號密碼被盜取。

（2）用戶密碼長度、密碼必須符合復雜性要求以及密碼使用期限要求導致用戶會出現密碼忘記的情況。

（3）用戶將密碼存儲在計算機會導致密碼被盜取。用戶名+密碼的二元認證方式已被證明存在眾多問題：記憶密碼、輸入密碼、更換密碼都被認為是煩惱的事情，而密碼易于共享的特點則可能使一切安全設置流于形式。

鑒于上述，虛擬化平臺結合PKI技術實現身份認證解決方案很有必要，一方面可以加強虛擬化平臺用戶的身份管理；另一方面也可以避免由于身份問題引發(fā)的安全事件。

2 系統(tǒng)整體方案

2.1 系統(tǒng)架構設計

如圖1所示，PKI虛擬化組件架構包含驅動和管理助手CSP程序，可以同時支持傳統(tǒng)PC終端和瘦終端，操作系統(tǒng)支持Windows XP、Windows 7和Windows Embedded等系統(tǒng)；虛擬化平臺同時支持VMware、Citrix、華為平臺，支持PCOIP、RDP和ICA等遠程連接協(xié)議。

2.2 方案技術特點

PKI虛擬化桌面認證實現原理：在虛擬桌面中安裝PKI虛擬化組件和虛擬化專用USBKEY驅動，當用戶登錄虛擬桌面時，PKI虛擬化組件自動識別到驅動，用戶使用USBKEY進行正常的業(yè)務操作。

如圖2所示，傳統(tǒng)的PC終端認證時會直接到AD域服務器進行安全認證，而在虛擬環(huán)境中，用戶使用專用的USBKEY通過虛擬服務器認證后，會將USBKEY映射到虛擬桌面并與AD服務器共同對用戶的證書進行安全認證，完成登錄驗證過程。

3 成果價值

電力系統(tǒng)是我國重要的能源系統(tǒng)，電力系統(tǒng)的安全問題會直接影響到國計民生，甚至關乎國家安全。電力企業(yè)通過本次項目的建設和應用，可以加強虛擬化平臺的安全技術水平，對信息系統(tǒng)整體安全防護和管理水平的提升提供了有效的手段。

（1）PKI技術能很好解決當前虛擬化技術運行模式上的安全問題，虛擬桌面平臺基于PKI數字證書的應用，安全性高，技術規(guī)范一致性強，操作系統(tǒng)兼容性好，攜帶使用靈活，加強了虛擬終端及虛擬桌面的安全。

（2）從經濟效益方面看，虛擬化桌面使用智能卡實現雙因子強身份認證，能夠有效預防潛在的安全風險，消除使用用戶名/口令方式帶來的安全隱患，降低系統(tǒng)管理的成本。電力企業(yè)通過在虛擬化平臺中應用PKI技術，可以加強虛擬化桌面的安全水平，為企業(yè)信息安全系統(tǒng)整體安全防護和管理水平的提升提供了有效的手段。

（3）PKI虛擬化組件和虛擬化平臺集成以后，可實現電力企業(yè)內部數據的安全共享，提高了PKI/CA系統(tǒng)作為安全基礎設施的利用率，符合企業(yè)對于PKI/CA數字證書的推廣要求，充分體現了信息化建設的優(yōu)勢。

（4）通過實踐，可總結出了一套行之有效的工程建設組織管理辦法，為本行業(yè)的安全體系建設提供現實的參考依據。

4 結束語

PKI數字簽名技術是保證數據交換和身份認證安全的有效解決方案，隨著虛擬化的發(fā)展和應用的推廣，利用PKI技術可以確保身份認證和數據在虛擬環(huán)境傳輸過程中的機密性、完整性、真實性和不可抵賴性，為信息系統(tǒng)提供了有力的安全保障。

通過開發(fā)PKI虛擬化組件，讓其支持Citrix /VMware/華為/微軟等主流虛擬桌面平臺，實現USBKEY智能卡登錄以加強用戶虛擬桌面的安全，是電力企業(yè)信息安全管理要求，同時也具有重大的建設性意義。

參考文獻

[1]姜政偉.云計算安全防護若干理論與關鍵技術研究[D].北京：中國科學院大學,2014:4-10.

[2]吳杰芳.淺談PKI技術及應用[J].信息科技,2009(17).

[3]陳迪鋒.淺談PKI網絡安全技術及應用[J].科技與社會,2008(06).

[4]謝冬青.冷健，PKI原理與技術[D].北京：清華大學出版社,2004.

作者單位

廣東電網有限責任公司肇慶供電局 廣東省肇慶市 526060