高秀武，刘文丽，高恒振，刘明达

(江南计算技术研究所，江苏 无锡 214083)

0 引 言

大数据[1-2]与云计算[3]技术的不断发展，共同创造了一种数据规模极大、计算存储高效、资源共享的大数据环境。大数据环境为大数据的挖掘分析提供了高效灵活的存储计算分析能力，不断从海量数据集中获取新的知识和创造新的价值。大数据环境不断创造价值的同时也带来了许多安全挑战[4-5]，计算存储资源的共享使得传统的安全边界变得模糊，数据安全难以得到保证。而密码技术提供的数据加解密、数据完整性、认证、访问控制等密码服务，能够有效地为传统应用系统提供安全保障。但大数据环境是大数据技术与云计算技术融合而成的，一般基于云平台搭建，具有数据量庞大、数据类型多样化、应用系统动态接入与资源按需自动化部署、多租户资源共享等新特征。现有的密码服务系统无法在大数据环境中高效的服务能力与资源利用率最大化两者之间达到平衡，并提供安全的密码服务。

面对大数据环境新的密码服务需求，文献[6]提出一种通用的高性能密码服务系统模型，通过统一的服务接口设计相应的密码服务资源调度算法，实现不同密码机密码资源的统一管理，解决了密码资源的动态分配与管理，有效提高了系统的可移植性，满足互联网在线应用对密码机的性能需求。文献[7-8]基于虚拟化技术构建了密码服务系统，提高了密码资源的利用率，解决了虚拟化环境中的密码服务问题。文献[9]针对云计算环境下业务应用系统大容量、可靠的、云密码服务系统的需求，提出密码资源池对云中密钥与密码设备实现统一全生命周期的安全管理，通过硬件虚拟化技术为多个应用系统提供高速、可靠、可扩展的密码运算服务。

综上，目前的密码服务研究侧重于解决高效的密码服务与密码资源利用率最大化问题，并没有对密码服务自身安全进行深入研究。文中提出将密码服务请求与密码任务执行相分离机制，基于VxLAN技术对大数据环境中多租户模式的密码服务进行网络隔离，提高密码服务自身的安全性。

1 大数据环境密码资源池与多租户网络隔离技术分析

云计算技术通过聚合大量的计算、存储、网络以及软件等资源，基于虚拟化技术为租户提供所需的服务，把云计算提供的各类服务所需要的资源集合看成一个巨大的“资源池”[10]。云计算资源池具有高可靠性、通用性、动态弹性、虚拟化以及低成本等优点，能够供租户在任意位置通过网络访问并按需获取服务，提高了资源的利用率。

大数据环境中面临的高性能、多租户、动态弹性等密码服务新需求，也可以采用“资源池”的模式进行解决。大数据密码资源池是指对大数据环境中密钥和密码设备实现统一全生命周期的安全管理，通过虚拟化技术为多租户提供高速、可靠、可扩展的密码运算服务，实现密码资源的共享，有效提高密码资源的利用率。

在大数据环境应用场景中，密码资源池根据租户密码服务需求为其分配密码资源，并创建租户虚拟密码机供租户进行密码服务访问。租户虚拟密码机负责密码服务请求认证与任务的分配，密码资源池负责维护租户虚拟密码机与密码资源之间的映射关系，从而为租户提供高性能、多样化的密码服务。

2 多租户网络隔离相关技术分析

大数据环境下多租户共享密码资源，如何实现租户的密码服务网络隔离，是密码资源池研究的关键之一。传统网络隔离通过交换机划分VLAN来实现，但由于VLAN ID只有12比特，最多只有4 094个虚拟子网，难以满足大数据环境中大量的租户网络需求。其次交换机VLAN划分配置的不灵活性，很难匹配大数据环境下资源动态按需分配的特征。随着网络虚拟化的不断发展，软件定义网络(software defined networking，SDN[11])的出现为新一代网络架构提供了技术方向。基于SDN思想的OpenFlow技术，可以实现网络资源的按需服务与动态配置。同时利用VxLAN网络隔离技术，将类似于VLAN ID的隔离标识位扩展到24位，可支持高达16 M的租户隔离，能够很好地满足大数据环境下多租户的网络隔离需求。

2.1 OpenFlow技术

OpenFlow技术是SDN网络架构的一个具体实现，其核心思想是将传统网络设备中控制逻辑与数据转发逻辑相分离，形成两个相对独立的模块。如图1所示，OpenFlow架构主要由OpenFlow控制器、OpenFlow交换机与OpenFlow协议组成，控制器与交换机之间通过OpenFlow协议来实现安全通信[12-13]。交换机与控制器进行通信之后，控制器拥有了整个网络的交换机信息，并通过链路发现协议(LLDP)获取网络的链路信息，从而控制器组成了整个网络拓扑结构。控制器将流表安装在交换机上，交换机根据流表规则对数据包进行转发。当交换机收到无法处理的数据包，交换机通过packert-in操作反馈给控制器，控制器根据具体的需求生成流表并下发到交换机，对交换机的转发策略进行修改，从而对网络进行相应的管理与控制。

图1 OpenFlow架构

2.2 VxLAN网络隔离模型

VxLAN[14-16]是一种将以太网报文封装成UDP报文进行隧道传输的数据转发模式，是Overlay网络技术领域提出的一种较为成熟的技术方案。Overlay网络在不改变原有网络架构的基础上叠加虚拟化技术模式，将原始二层报文通过添加新的报文头叠加封装成为新的数据包。而这种新的数据包仍然是IP数据包格式，可以在现有成熟的IP网络上进行传输，不必对现有网络架构做出大的改动。VxLAN数据报文格式如图2所示，其中VxLAN头里包含24比特的标识位VNI，用于区分不同的VxLAN，只有相同VxLAN的虚拟机之间才能相互通信。

图2 VxLAN报文格式

VxLAN数据包的VxLAN号识别、VxLAN封装与解封装、VxLAN报文转发等相关处理都是在VTEP上进行的。VTEP既可以在虚拟机终端实现，也可以在虚拟机连接的交换中实现，VxLAN网络模型如图3所示。在VxLAN网络中虚拟机发送报文，首先由虚拟机连接的虚拟机判断报文目的虚拟机是否是在同一服务器的虚拟机，若是根据转发规则在服务器内转发；若报文目的虚拟机不是同一个服务器的虚拟机，则将报文转发给VTEP，由VTEP进行封装，然后转发到核心网络中，通过核心网络中的VxLAN隧道转发到对端VTEP，在对端VTEP中对VxLAN报文解封后发送到目的虚拟机。

VxLAN技术使用成熟的IP网络作为传输隧道，利用标准的UDP协议进行报文传输，对现有的网络设备与网络架构几乎不做改动，实现简单且成本低。VxLAN提供4K的网络隔离标识，能够很好地满足大数据环境中大量租户网络隔离的需求。其次，VxLAN技术在云计算的多租户网络隔离上取得了很好的实现，完全满足当前云计算数据中心的网络隔离需求，对大数据环境密码资源池多租户网络隔离具有很好的借鉴意义。

图3 VxLAN网络模型

3 密码资源池密码服务安全隔离分析

3.1 密码资源池密码服务安全需求分析

大数据环境下密码资源池对密码资源进行统一全生命周期的管理，为租户提供高性能、多样化的密码服务，从而为租户业务环境提供安全保障。密码服务为租户环境提供安全保护，其自身的安全是租户业务环境安全的根本之源。因此在多租户模式下密码资源池需要实现密码服务整个生命周期的安全隔离，从而确保密码服务的自身安全。大数据环境下的密码资源池将租户的密码资源与租户业务环境构建在同一安全域，租户业务环境应用只能访问属于自己的密码资源，密码服务不能跨安全域进行访问，实现密码服务的安全隔离。大数据环境下密码资源池多租户密码安全隔离逻辑视图如图4所示。

图4 密码资源池多租户逻辑视图

大数据环境下密码资源池根据租户密码服务需求为其分配密码资源，然后基于虚拟化技术为租户创建一个高性能的租户虚拟密码机，密码资源池负责维护租户虚拟密码机与密码资源之间的映射关系，租户只需访问租户虚拟密码机即可获得密码服务。因此，在密码资源池的工作原理下，密码服务整个生命周期可以分为密码服务请求与密码任务执行两个阶段。密码服务请求阶段负责密码服务请求认证与密码任务的调度分配工作，主要在租户虚拟密码机上完成；密码任务执行阶段负责密码任务具体密码计算与计算结果反馈，主要在密码机上完成。因此，大数据环境下密码资源池的密码服务自身安全可以从这两阶段进行分析研究。

3.2 密码服务请求阶段安全隔离分析

密码机在传统应用系统中使用时，应用系统服务器独享密码设备，服务器与密码机在同一个安全域中进行网络互联。所有密码服务请求由服务器发起，密码机进行密码计算并给服务器反馈计算结果，从而为应用系统提供安全保障。密码机在应用系统的安全域中使用，密码机抽象密码操作细节向上提供密码服务接口供应用系统调用，密码服务整个生命周期具有很高的安全性。因此，在大数据环境多租户模式下，密码资源池通过虚拟化技术根据租户需求分配一个高性能的租户虚拟密码机，租户虚拟密码机负责密码服务请求以及密码任务的分配工作，保留了租户应用与租户虚拟密码机在同一个安全域中的特性，确保租户密码服务请求阶段的相互隔离。

3.3 密码任务执行阶段安全隔离分析

大数据环境下密码资源池密码任务执行阶段的安全隔离主要包括租户虚拟密码机与密码机之间数据传输通道的安全隔离以及密码机内密码运算环境的安全隔离。目前大数据环境常用密码设备有服务器密码机与云密码机，云密码机基于虚拟化技术可以在一台实体密码机虚拟出多台虚拟密码机。服务器密码机通过提供API对外服务，屏蔽密码运算具体细节，保证密码运算环境安全。对于密码资源池的服务器密码机的密码任务安全隔离，只需确保租户的整个生命周期之内只对所属租户提供密码服务，即不允许多租户在同一个时间段内共享密码机，从而保证租户密码任务执行阶段的安全隔离。而对于云密码机，租户虚拟密码机到虚拟密码机共享物理传输通道，需要构建虚拟的安全域边界，实现租户虚拟密码机到虚拟密码机数据传输通道的相互隔离；其次多个虚拟密码机共享云密码机硬件资源，云密码机需确保不同租户的虚拟密码机密码任务运算环境的安全隔离，从而确保租户密码任务执行阶段的安全隔离。

4 基于VxLAN的密码资源池多租户安全隔离模型

由上节密码资源池密码服务安全隔离需求分析可知，大数据环境下的密码资源服务应能与租户环境构建在同一虚拟安全域中，通过虚拟安全域边界防护可达到与物理安全域相同的数据保护和隔离效果，使租户相信自己申请的密码资源独自占有，其他租户无法访问，实现大数据环境密码资源池多租户模式下的密码服务安全隔离。文中提出基于VxLAN技术对大数据环境密码资源池多租户进行安全域划分，其安全隔离模型如图5所示。

该模型主要包括三个方面：

(1)密码资源池密码服务机制。

在大数据环境应用场景中，密码资源池根据租户密码服务需求为租户分配密码资源，创建租户虚拟密码机供租户密码服务访问，密码资源池负责维护租户虚拟密码机与密码设备之间的映射关系，租户虚拟密码机负责租户密码服务请求处理以及密码任务的分配。租户业务环境所有的密码服务访问都由租户虚拟密码机处理，将密码服务请求与密码任务执行隔离，租户不与密码设备直接交互，提高了密码资源的安全性。

(2)基于OpenFlow的VxLAN网络实现。

大数据环境下基于OpenFlow技术进行网络控制管理，交换机根据OpenFlow控制器下发的流表进行数据报文转发。在OpenFlow网络中，当交换机接收到一个新的数据包，会将数据包通过packert-in反馈给OpenFlow控制器，OpenFlow控制器就可以很方便地学习全局的MAC地址与VxLAN网络的VTEP IP地址。控制器中维护着MAC地址表与VTEP IP映射关系表，MAC地址表记录OpenFlow控制器管理的vSwitch端口与虚拟机MAC地址的映射关系，VTEP IP映射关系表则记录VNI号、MAC地址以及VTEP IP的映射关系。Open Flow控制器通过MAC地址表与VTEP IP映射表信息为管理的交换机下发相关数据转发流表，从而实现对VxLAN网络的控制。VTEP IP映射表是VxLAN网络隔离的基础，其映射关系如表1所示。由VTEP-IP映射表可以通过VNI判断数据报文发送端与目的端是否属于同一个VxLAN，同时用于封装VxLAN数据报文时添加外层IP地址。

在OpenFlow控制器学习到MAC地址表与VTEP IP映射关系表信息后，将相关转发流表下发到控制的交换机，交换机便可以根据流表规则进行数据报文的转发。VxLAN网络的转发流程如图6所示。

图6 VxLAN网络数据报文转发流程

虚拟机报文发送到VTEP交换机，交换机判断报文的目的虚拟机是否与源虚拟机在同一宿主机，若是则转发给内部虚拟交换机根据流表进行转发处理。若不是,则根据目的地址查询所属VNI号，并判断源端虚拟机是否是一个VxLAN。若不属于同一个VxLAN，则丢弃数据报文或转发到三层网络进行处理；若属于同一个VxLAN，则查询对端VTEP IP地址进行封装并转发进入隧道传输。因此，可以很好地实现同一个VxLAN的设备进行网络互通，属于不同VxLAN的设备之间进行隔离。

(3)基于VxLAN构建大数据环境下密码资源池租户虚拟安全域环境。

大数据环境下密码资源池租户环境包括租户业务环境、租户虚拟密码机以及租户密码资源。基于OpenFlow实现的VxLAN网络虚拟化技术，可以很容易地构建大数据环境密码资源池租户虚拟安全域环境。在租户业务环境、租户虚拟密码机以及云密码机的宿主机上安装带有VTEP功能的Open vSwitch(虚拟交换机)，服务器密码机连接到实现了VTEP功能的实体交换机,实现VxLAN数据包的封装、解析以及转发功能。租户通过大数据云平台网络服务规划自己的虚拟网络，将租户业务环境的所有虚拟机、租户虚拟密码机以及密码资源连接到同一个子网中。OpenFlow控制器通过管理的网络设备能够及时获取用户虚拟网络信息，VxLAN自动在物理网络上建立VxLAN隧道，为租户虚拟网络设置网络边界，实现同一租户虚拟机与密码资源之间的互联互通，不同租户虚拟机与密码资源之间的网络隔离，为多租户创建相互隔离的虚拟安全域环境，从而确保大数据环境下密码资源池多租户密码服务的安全隔离。

5 结束语

文中对大数据环境下密码资源池多租户密码服务安全隔离需求进行分析，研究了OpenFlow软件定义网络技术以及VxLAN网络虚拟化技术。针对大数据环境密码资源池多租户密码服务网络隔离问题，提出一种将密码服务请求与密码任务执行相分离的服务机制，基于VxLAN技术实现网络隔离的密码资源池多租户安全隔离模型，很好地解决了大数据环境下密码资源池多租户密码服务安全隔离问题。