云計算客戶虛擬機間的安全機制研究與實現

2017-04-06 03:21:05王飛王國慶陳明武

新校園·上旬刊 2016年9期

王飛+王國慶+陳明武

摘要：云計算彈性服務主要依賴于一些虛擬技術支持，但是虛擬技術存在安全問題，這就會導致云計算安全受到威脅。本文主要分析云計算客戶虛擬機安全管理的模塊設計與云資源控制隔離機制的設計，深入研究系統實現方式，保護客戶虛擬機的安全性。

關鍵詞：云計算；客戶虛擬機；安全機制

云計算作為全新服務模式和計算方式，在社會發展中占據重要地位。云計算容易發生安全事故，導致云計算行業發展受到了影響，而云計算安全風險和自身服務模式、技術特點有著直接關系。云計算同傳統集群應用的模式或者網絡相比，其主要特點就是虛擬技術。因此，為了降低云計算安全事故發生率，需要從虛擬技術著手，解決虛擬環境中的安全問題。

一、安全管理

1.設計安全管理的模塊。首先，對云用戶的標簽進行管理；其次，制訂云平臺的安全管理對策；再次，添加新建虛擬標簽，并進行訪問控制與保護；最后，對虛擬機的運行情況進行維護。在安全管理的模塊設計過程中，資源標簽的添加命令與虛擬機主要置于管理的模塊，這樣可以彌補安全鏈容易斷裂的缺陷，同時能夠對用戶信息與虛擬機的啟動過程進行監視。

2.標簽設計與安全策略。安全機制的工作基礎就是安全策略與用戶標記，安全機制要想正常工作，需要保證用戶標記的安全性，設計人員通過設計安全標記可以滿足中國墻和STE要求。同樣，在進行用戶標簽設計時，需要充分考慮用戶安全要求，可以將二級用戶的標簽當作用戶標志，這樣不僅符合從組織的角度進行云計算隔離的要求，也能夠精確至細粒度訪問控制。采用生成標簽方式，可以直接引用用戶名與組織名，也可以計算出組織名與用戶名的摘要值來作標簽。

二、設計云資源控制隔離機制

在設計隔離機制時，所采用思路主要是通過云計算資源控制方法完成虛擬機隔離，該過程用戶絕對透明。通常情況下，隔離機主要在云控制的節點上工作，通過云計算來實現隔離功能。在隔離機制控制云計算的節點資源時，主要按照用戶安全的要求，隔離不同節點上的虛擬機，防止惡意竊取用戶信息現象的出現。此外，還要建立云資源控制隔離機制，該機制主要包含虛擬機的啟動與隔離控制。其中，一般的虛擬機具體啟動流程為虛擬機的創建請求、虛擬機基本的信息分配、按照資源要求篩選計算機的節點，然后從與要求相符的眾多計算節點之中提取一個節點，并構建虛擬機。隔離控制的流程是從安全節點提取沖突集的信息與虛擬機的標簽，按照安全規則篩選計算節點，回到與安全規則相符合的計算節點表。在虛擬機啟動與隔離控制完成以后，需要下發一個隔離機制建立的命令。

三、系統地實現分析

1.實現安全管理的模塊。要想實現安全管理的模塊，需要提供一個接口響應調用的請求，同時監視云平臺的其他組件連接。把socket的通信當作接口提供方式，完成連接以后，主程序可以對操作進行判斷，如果操作正確，再調用響應函數實施處理。此外，計算節點的通信功能和安全管理的模塊不會對IP地址的信息進行維護，主要是通過OPENSTACK中RESTful的接口提取信息，再下發命令與數據。通過這種方式來傳輸信息，可以有效保障用戶虛擬機的安全，同時避免了不必要的環節，提高了信息提取效率。

2.實現訪問控制機制。關于方位控制的配置模塊實現，其主要是作為守護點常駐在計算節點內存之中，并對云控制的節點發出命令進行響應。通常情況下，安全管理模塊要求云控制的節點具備加載、資源標簽添加與安全策略變更等功能，然后應用socket機制的監聽端口來監視云控制的節點通信，防止不法分子竊取用戶信息，確保用戶信息的安全。

3.實現隔離機制。隔離控制實現主要是依賴OPENSTACK所提供Filters的過濾器完成，在OPENSTACK創建各種虛擬機過程中，其會按照虛擬機資源篩選出與要求相符合的節點，Filters的機制則是應用過濾方式過濾一些不滿足要求的節點。通過Filters的機制可以提供統一框架，能夠修改虛擬機的創建流程。其實現流程為修改OPENSTACK的虛擬機創建流程，對安全管理的模塊進行調用，按照所建目標的虛擬機用戶信息來提取安全的標簽，然后和系統中VM UUID 構成虛擬機的名稱。在一系列操作與配置結束以后，虛擬機創建流程會轉換至scheduler的進程，以便準確篩選計算節點，然后實現隔離控制的流程。

四、結語

綜上所述，在分析了云計算的虛擬技術安全問題后得出，要想徹底解決虛擬機安全問題，需要充分融合云計算的資源開放性與共享特點，通過云計算隔離控制、訪問控制兩種機制來確?？蛻舻奶摂M系統安全性。此外，要分步實施與集中管理云計算的訪問控制系統，同時在云計算的資源隔離機制基礎上，充分實現云計算功能；從安全機制著手，強化云計算虛擬機的安全性，確?？蛻舻男畔踩?，避免被不法分子竊取信息。

參考文獻：

[1]喬然，胡俊，榮星.云計算客戶虛擬機間的安全機制研究與實現[J].計算機工程，2014（12）：26-32.

[2]房晶，吳昊，白松林.云計算的虛擬化安全問題[J].電信科學，2012（4）：135-140.