以密碼技術為基礎的云計算虛擬化網絡安全分析

作者/李世杰，福建警察學院計算機系

以密碼技術為基礎的云計算虛擬化網絡安全分析

作者/李世杰，福建警察學院計算機系

現代云計算技術技術應用時，用戶安全十分必要，密碼為用戶資料安全提供重要保障，然而當前網絡安全問題仍然是人們亟待解決的問題。探究基于密碼技的云計算虛擬化網絡安全，同時提出安全需求，給出了問題解決措施，以期指導相關研究工作的開展，促使相關研究更加完善。

密碼技術；云計算；虛擬化網絡；安全

云計算技術是現階段經常使用的一種網絡計算技術，讓用戶獲得了更為快捷的網絡。此外，云計算技術的應用，讓公共網絡具備有云，讓個人及企業享受到私有云服務，考慮到不同服務對象，使用相應技術，各種技術備受人們歡迎，這在現代計算機發展中是一項重要技術[1]。

1.以密碼技術為基礎的云計算虛擬化網絡安全需求

結合虛擬化終端，現歸納下述云計算虛擬化網絡安全的需求：

（1）擬機間的云計算虛擬化網絡安全需求。相比傳統安全防護，在虛擬機條件下，同臺物理服務器虛被擬呈多臺虛擬機（Virtual Machine，VM）虛擬機間的流量在虛擬交換機基礎上實現的交換，管理員無需看到一些流量，而從實際情況看，各虛擬機要被劃分至各安全區中，目的是為了實現對其的隔離，阻止訪問控制，為虛擬機間數據交換提供安全保護機制，防止出現個用戶群虛擬機間的通信數據被監聽的情況[2]。另外，為確保虛擬機的安全，防止在遷移過程中出現用戶數據泄密的情況，為其數據傳輸提供安全保障。

（2）用戶接入的云計算虛擬化網絡安全需求。需要開啟相應的終端虛擬機系統，確保虛擬化用戶能夠與數據中心實現可信及安全的接入。需要大力認證用戶接入數據中心，同時加強對其的訪問控制，給予機密性保護支持，如網絡計算機等。

2.以密碼技術為基礎的云計算虛擬化網絡安全的解決措施

■2.1 虛擬U Key安全

U Key的使用，需要用戶計算機加載用戶身份證書，該做法的使用，可讓網絡系統高效識別用戶身份。首先，計算機網絡被用戶登錄時，在密碼識別及保護上，使用了v Key設備，還可與這種設備捆綁在一起，實施保護。并且，這種設備的使用，通過后端驅動方式，和Hyperviso交換信息，從而和其余網絡上的用戶端進行信息通訊。當用戶訪問網絡時，v Key通過密碼技術有關功能，將命令傳給后端驅動，后端驅動能夠獲得與之對應的的識別號，填寫序列，輸入至請求包中，接著發給管理模塊，用以對設備的識別。其次，改造用戶和虛擬網絡相連的ICA模塊不再是以往的口令認知模式，變成了數字證書認證模式。對現代技術網絡而言，有關賬號被用戶申請時，針對用戶，服務器會專門構建相對獨立的數字證書，如此，便能形成彼此間的互相認證體系，整體認證時，在識別并計算密碼過程中，需要借助用戶端與虛擬網絡共同達到。同時在這種雙向認證體系基礎上，可讓用戶端U Key綁定多個虛擬賬號，確保不會出現安全問題。

■2.2 虛擬服務器端高速密碼模塊

①虛擬機管理器(開放源代碼虛擬機監視器)上管理域的構成為vENC后端驅動與ENC物理驅動程序。各虛擬化服務器系統或用戶虛擬化終端均有vENC前端驅動，該驅動程序和即頁面瀏覽量（page view，PV）驅動程序一同進行工作，將設備虛擬支持提供給服務器或多用戶虛擬機。②逐步使用合理的服務器輸入/輸出端口（input/output，I/O）虛擬化的單根輸入/輸出端口虛擬化技術，允許虛擬機管理器(對VM上ENC虛擬功能的映射比較簡單，無需穿透技術便可達到較高性能，繼而確保本機ENC設備性能的安全，實現隔離的目的[3]。③ENC模塊。在密碼管理機制尚，能夠讓多組用戶實現并發使用。設置并發的用戶密鑰空間，用以接受各用戶虛擬機vKey存儲的U–WK工作密鑰。ENC模塊獲得公私鑰對，私鑰SK–ENC在ENC模塊中中被安全設置在ENC模塊公鑰加密基礎上，vKey由U–WK獲得U–WK'，同時將其放置在用戶密鑰空間（屬于ENC模塊的）中，可讓該模塊進行多組戶數據加密，并可以進行并發。

■2.3 管理相關密碼密鑰

密碼密鑰管理問題是是需要解決的問題[6]，這方面需要從以下幾點來分析：

①密鑰協商和保護對虛擬專用網絡（VPN）加密的應用虛擬機間構建端至端虛擬專用網絡（VPN）加密通道，在協商密鑰過程中，使用交換有關用戶UKey中的證書，協商并交換密鑰(N–WK)在交換N–WK過程中，為實現對其的保護可使用數字信封方式。

②密鑰管理對用戶數據存儲加密的應用。將虛擬加密磁盤創建在用戶終端時，借助調vKey的調用，生成了工作密鑰U–WK，在獨立成分分析(Independent Component Correlation Algorithm，ICA)等協議的映射關系基礎之上，實際上，密鑰被放置在用戶UKey中。同時借助vENC模塊接口支持，為U–WK提供ENC模塊下的公鑰保護，放置在ENC模塊中，用作數據儲存及加密用途，使用結束后，將ENC中的U–WK給清理掉，由自己來把控用戶數據密鑰。

③密鑰管理對獨立成分分析（ICA）協議加密的應用。獨立成分分析（ICA）協議的加密。客戶端UKey中有數字證書同時服務器的密碼模塊ENC中也有，同時，UKey和ENC模塊均具有下述密碼服務功能，如對稱密碼運算及簽名驗算等。二者以改造獨立成分分析（ICA）協議的形式，讓證書雙向認證成為可能，并協商獨立成分分析（ICA）協議數據加密密鑰。工作密鑰更換次數為1次，且在登錄時進行一次加密。

■2.4 模擬高速密碼

對服務器高速密碼模塊模的模擬，從根本上看，便是革新密碼模塊資源池化，將眾多高速密碼模塊提供給管理域及用戶端，同時符合多用戶對密碼服務的要求。往往借助多組用戶組的密碼管理機制，讓多個用戶獲得了密鑰空間，能夠短時間處置各用戶組密鑰，以證書管理模塊形式，得到和密鑰相符的設備證書，短時間內達到對其識別的目的。這種模塊的使用，可識別并運算多用戶管理當中，效率較高，為用戶安全創造了條件。

■2.5 本機存儲加密虛擬機數據

在密碼技術基礎上，探討云計算網絡安全性，通過虛擬機自身具有的存儲加密手段，從網絡環境當中隔離出來，實現對其的保護，該技術基于密碼識別，將本地加密技術添加其中。然而實際使用時，使得整體數據速度變慢，卻起到非常好的加密效果，同時具備較強安全性。在虛擬化數據集中使用條件下，虛擬機間隔離機制的應用，讓用戶獲得了隔離保護支持，事實上，從整體情況看，云服務并不能有效開展，是因為明態存在于數據中心服務器端當中。使用UKey映射，為對應虛擬化終端的vKey，為實現本地加密目的，通過構建虛擬加密磁盤等機制，可加密用戶虛擬機終端上存儲數據，事實上，由于使用了ICA等協議映射，使得實際效率不高，所以，讓vKey結合服務器上的高速密碼模塊，在vKey管理、加載用戶密鑰等的協助下，如此，極大提升了存儲加密效率，以達到對用戶虛擬化終端本地數據存儲加密的目的[4]。

3.結束語

在虛擬化網絡技術基礎發展起來的數據中心，契合了數據集中安全應用所需，該模式具有代表性，適合外來網絡化及規模化的需要[5–6]。在密碼技術基礎上，最終將虛擬化網絡安全解決方案框架給提了出來，在引導安全云計算基礎設施的構建方面所起作用較大[7–8]。后續工作應該是這種方案和一些網路安全機器的虛擬技術的聯合，使建立其的虛擬化網絡安全防護系統具備整體網絡安全防護功能。

＊ [1]胡維.基于密碼的云計算虛擬化網絡安全研究[J].中國新通信,2015(14):124-124.

＊ [2]Open vSwitch Project[EB/OL].(2012-04-12)[2012-6-20].http：//www.openvswitch.org/.

＊ [3]李超，董青，戴華東.基于SR-IOV的IO虛擬化技術[J].電腦與信息技術，2010，18(5)：33-37.

＊ [4]董貴山,鄧春梅,鄧子健.基于密碼的云計算虛擬化網絡安全研究[J].信息安全與通信保密,2012,(11):47-51.

＊ [5]陳東.虛擬化路由交換平臺中的鏈路虛擬化技術[J].通信技術，2011，44(7)：37-38，41.

＊ [6]譚武征；楊茂江.基礎設施應用技術體系的合規性分析[J].通信技術，2010，43(12)：91-93，96.

＊ [7]王會波.密碼技術在內網安全中的應用和趨勢[J].信息安全與通信保密，2010(1)：18.

＊ [8]郭寶安，王磊，徐樹民.寬帶無線移動通信中商用密碼技術研究[J].信息安全與通信保密，2009(6)：108-111.