基于密码的云计算虚拟化安全研究

2023-06-23宋松

中国新通信 2023年1期

摘要：虚拟化技术应用于新一代云计算数据中心，能够为云计算发展提供基础设施支撑，通过研究以密码技术为基础的云计算虚拟化安全防护技术，能有效提高云计算技术的安全性、云数据的机密性，保护用户的信息安全，但该项研究难度较高，本文从云计算虚拟化网络典型结构与访问应用模式着手，介绍虚拟化网络环境下用户的安全用网需求，对密码的虚拟化安全解决方案进行探究，旨在日后相关人员对其进行研究时能够提供参考。

关键词：密码安全；云计算技术；虚拟化设计

一、引言

云服务已经成为现代网络用户欢迎的重要服务之一，用户可依托云服务平台随时进行数据的上传、储存、分享和下载，释放大量硬件设备储存空间，而虚拟化技术在其中能够为云服务，提供基础设施支撑。在云计算数据中心服务用户的过程中，如何让云中各类型的用户安全地使用网络无缝连接云计算服务，扩展虚拟化技术构建数据中心的灵活性和扩展性以成为云计算数据中心构建过程中必须要解决的问题，为满足此需要相关人员在进行构架过程中，需要运用主流防火墙虚拟化技术、VLAN安全区化技术等保护云数据中心数据不被窃取或泄露，确保云虚拟机之间的通信保护为用户密码提供安全服务。

二、云计算虚拟化网络典型结构与访问应用模式

云计算的基本结构包括三个方面：服务器、网络和存储，还可将网络进一步划分为跨数据中心网络、数据中心网络和泛在云接入网。其中跨数据中心网络的功能是为数据中心进行数据交换、迁移、备份、中心混合等用途提供服务；数据中心网络则由包含多层服务器的局域网、连接计算主机、边缘虚拟网络等共同构成；泛在云接入网主要功能是连接终端用户和数据中心，使二者能产生交互。

本文的研究重点是利用虚拟网络技术对数据中心进行访问，并保护云计算虚拟数据中心的安全的可行技术措施。由于在虚拟化的基础上，存在着海量的虚拟机存取计算资源的安全性问题。该系统由核心层交换机、接入层交换机、虚拟交换机组成。由于采用了云技术，数据中心的网络必须要处理大量的流量、大量的备份和大量的虚拟机的流量，这就要求核心级的网络必须要有海量的数据和足够的访问容量。访问层交换器需要具有多种可扩展性和新型的以太网络技术，其中包含了非破坏性的以太网络技术。

虚拟交换是指在实体服务器中利用虚拟机管理员（Hypervisor）层虚拟出对应的开关和网络卡的功能，实现与之对应的虚拟主机虚拟网卡（vNIC）之间的互联，并设置VLAN标记的功能，从而实现对不同网络卡的访问。管理程序为每一台虚拟机建立一个或多个 NICs，连接管理器中的虚拟开关，以实现虚拟机之间的通信。管理程序也支持虚拟开关与实体网络之间的通信，并能有效地与外界网络通信，例如开放源码开放 Switch等虚拟开关。以CtrixXen为基础的虚拟技术（与其他VmwareESX、KVM、Hyper-V等都是可参考的），对用户与虚拟用户接口的接口进行了深入的探讨。

首先，远程用户使用诸如ICA之类的远程台式机（Vmware使用PCoIP）访问数据中央主机上的用户虚拟化接口。ICA技术利用Xen的Ctrix虚拟系统的特殊技术，实现屏幕、按键、鼠标操作数据与服务器端的数据进行交互，实现了基于Hypervisor的独立服务防护，实现了与本地电脑客户操作系统相适应的用户使用经验。此外，在管理领域OS中还可以对不同的外设进行真正的控制，使用后端的驱动模组与一组装在一个虚拟机上的前端驱动模组进行通信，以达到对各个使用者的虚拟性装置的驱动。

其次，顾客虚幻化终端机可以通过虚幻网卡、虚幻的资料交换器（包括在实体系统中的分布虚幻化的资料交换器）来实现与虚幻化的最终使用者的高速网络交换，以及在使用各种不同的应用程序的情况下，通过虚化装置实现移动的能力。在这种情况下，分布式的虚拟机可以实现多台实体服务器间的虚拟交换，从而实现多台设备间的虚拟交换机的互联，从而实现多台设备与其他主机的虚拟交换机的互联，从而简化了虚拟机的切换（或其虚拟界面）。

三、虚拟化网络环境下用户的安全用网需求

（一）用户接入的网络安全需求

在应用虚拟网技术时，需要有关部门保证虚拟装置在数据中心能够可靠、可控地、安全地执行相应的虚拟业务。必须在大型的资料中心上强化公司的认证与存取，并强化ICA及台式机的保密保护。

（二）虚拟机交互过程中的安全需求

云计算虚拟机的数据保护方式与普通网络保护方式有很大差别，虚拟化中，一个实体的虚拟主机被虚拟化成多个虚拟机，VM中的数据流会被一个虚拟的交换器传递，而这个过程中，每个VM的数据都是不可控制的，也是看不见的，但是，根据这个需求，每个VM都要被划分到相应的信息保护区域，以便隔离和使用，并且为了确保虚拟机的内部通信数据，为了避免虚拟交换的混合方式或者接口图的设置，来监视具有多个用户群的虚拟机的内部通信信息。此外，為了避免由一个或多个实体或甚至是一个数据中心的移动过程造成的使用者资讯泄露也是必要的。

（三）数据中心之间的网络安全需求

一般情况下，在数据中心的系统需要大量的数据处理，而对于大型的数据处理系统，则需要一个大型的二级数据处理系统（包括一个多个数据处理的数据处理系统）。需要在信息中心的边缘设置防火墙系统、入侵检测等传统的安全性措施，并对各信息站之间的数据进行保密保护。

四、基于密码的虚拟化安全解决方案

（一）方案框架

虚拟化的网络安全性技术架构主要有： UKey的安全性虚拟化终端、服务器端高速密码模组（ENC）虚拟化、虚拟机数据原生存储加密、虚拟机之间虚拟化的虚拟网加密 fVPN）、相关密码密钥管理等核心技术。

（二）设置合理的网络安全机制

1.以UKey为核心的安全虚拟化终端

虚拟机登录方式较多，如应用用户终端、 ICA等的远程桌面登录方式等，选择合适的虚拟机界面。从安全要求的角度出发，要从安全、可信和可控的角度来考虑虚拟终端的安全问题。为了达到这一目的， UKey采用了一个vKey，加载了一个用来加强身份验证的用户标识，并提供对称和非对称密码操作的能力。

①vKey的管理。虚拟机管理区内的vKey管理模块是为了给各个虚拟化的终端配置和管理 vKey，并将 USBKey绑定在一起。vKey管理模块是vKey后台驱动来实现与Hypervisor的交互，然后再与其他的用户进行虚拟的连接。在要求对vKey装置进行存取时，vKey的前端会向vKey后台驱动发出一个口令函数呼叫指令；vKey后台驱动会从该vKey信道编号中查找相应的vKey装置识别码，并将该数据包输入该vKey Package，再将该VKey数据流发送至vKey Management；vKey管理模块按照用户识别的方式向对应的vKey组件（vKeyl-vKeyN）发送指令，并在UKey的实际驱动下，使用USBKey与USBKey之间的命令进行互动。在此过程中，vKey的后台和前端的驱动程序将所得到的结果反馈到虚拟终端。

②认证。在虚拟和虚拟两个方面，对ICA的软件进行了升级，从最初的 UKey认证和认证的方式升级到了在服务器和虚拟服务器上的数字凭证的认证方式。在服务器端 UKey和虚拟化 Server中，每个都拥有认证系统所供应的数字证书，经过了双方的身份认证。而在验证程序的互动中，所有的口令登录都必须在 UKey中进行，也可以在用户端使用口令登录。当执行一个数字凭证的双向认证时，虚拟机和虚拟机的虚拟机终端和信息管理区将会由一个不同的 UKey（vKey）来一一地对应并捆绑各个虚拟机客户端的组态数据信息，由此保证认证的远程用户能够利用符合他们的识别数据的个人化虚拟终端。

③通信加密。像 ICA这样的远程台式机协议，已为诸如 SecureICA之类的可选的机密机制提供了一个保证 ICA用户和服务端协议的数据资料的机密性。在与 Ctrix等厂商进行技术上的配合后，保密的技术将会得到进一步的完善，从而达到保密的目的（例如，将SM1-SM4加密技术替换为商业应用中的SM1-SM4加密算法），然后利用 UKey和服务器极限加密控制器中的特殊加密算法实现对 ICA的加密。

2.服务器端高速密码模块虚拟化

云计算虚拟化服务器具备快速加密能力，可以将加密的函数进行模块化，使VENC可以提供给所有的 VENC，也可以对虚拟化的用户和管理员进行共享，并利用 vKey来完成对多个主机的密钥的控制。以下是详细的工作原理：

①在虚拟机Manager （Xen）上面的管理区包括 ENC （ENC真正的驱动器）和vENC的后台驱动器（vENC）。每一个使用者的虚拟机或虚拟机的服务器都包括一个 vENC的前端驱动器，它与一个被称作「虚拟或 PV」的管理域的 ENC驱动器合作，以执行对多使用者的虚拟机或服务器的虚拟装置的虚拟支援。

②还可以通过sIngle-rOOtI/Ov或irtualization （SR-iov）技术来将 ENC的虚拟化功能简单地映射到服务器上，从而达到 ENC器件的性能和隔离安全性，无需使用任何技术就可以达到很高的性能。

③ ENC模块自身也可以利用多个承租者同时使用的密匙管理方法。ENC组件自己也可以从认证管理体系获取自己的装备凭证和私有密钥对（ENC组件中嵌入私有密钥SK-ENC）。利用 ECC的椭圆形曲线公开密钥对U-WK进行加密，从而获得U-WK= ECC （PK-ENC、U-WK），将U-WK插入到 ENC的使用者密钥中，从而可以有效地对多个租户进行数据的并行处理。

3.虚擬机数据本机存储加密

由于在云应用场景下，虚拟机数据普遍处于几种应用状态，建立合理的隔离机制能有效防止用户窃取虚拟机上的数据，或因用户不当操作造成虚拟机数据的丢失，但数据在数据中心服务器端仍处于明态，该种数据保护方式会在一定程度上阻碍云服务的广泛推广和应用。但可通过UKEY为虚拟机数据本机进行加密，通过对虚拟磁盘或文件系统设置密码，让用户在虚拟机终端上对数据进行再次加密，既能保障虚拟机中数据的安全性，又有利于用户对数据进行私密化储存。但需要注意的是，若使用ICA协议方式对虚拟机中的数据进行映射和交互，必然会导致云空间中的数据利用率降低，可将其和云端中的高速加密服务进行结合，使用vKEY帮助用户获取密钥，提高虚拟化端口中的加密效率。

4.虚拟化网络加密VPN

由于虚拟用户电脑终端操作系统和虚拟化服务器操作系统的Internet传送都是通过虚拟交换机来完成的，它们具有与存储空间的速度相对应的高速交换功能，但是因为缺少保密措施，所以需要从虚拟操作系统这个通信源头上进行 VPN等安全保密管理，从而确保用户在端到端的通信安全。

① VPN在 VPN中的虚拟机之间进行密码。可以根据一个用户群体中的一个特定的用户来制定一个网络安全政策，或者是一个独立的用户。安全策略包括：虚拟计算机应该与哪一网络进行通信、与哪一网络进行通信、如何利用地道或传送封装工作模式、网络加密工作密钥的转换时间、网络访问在什么情况下的中断、网络访问的默认情况下的网络访问策略等。为了实现对Web站点的接入政策和安全的控制，Linux系统是在NetFilter体系结构中增加 VPN处理模块实现的，Windows系统是在 NDIS上增加 VPN处理器来实现的。对于需要口令的消息，可以采用 vENC所建议的口令呼叫端口来实施口令；被请求接收和译码的消息，也会在相应的加密端口下被解除加密，然后被送到它的虚拟的上层网络堆叠中。在此基础上，基于信息安全策略，通过对IP包进行滤波，并在发生安全事件时，通过对 IP包进行自动触发，对需要使用密码的信息进行保护，但是没有相应的N-WK的功能，通过该协议过滤器模块触发事件，并按照该信息安全政策，启动对系统应用层的加密协定和密钥变换过程。N-WK交换可以在另一方所提供的凭证公开密钥的支撑下进行，并且N-WK可以被周期性地升级，这取决于安全性政策的需求。

② VPN在不同的数据中心进行安全防护。由于每个数据交换网络的安全性和防卫边界比较明确，因此它的网络加密问题只有在传统VPN业务的基础上才能得到有效的解决。

③在 VPN信道的基础上实现虚拟化的安全性。在虚拟环境下，通过虚拟网络在网络中的通道来保证虚拟环境中的状态信息、应用数据信息、网络安全设置信息和安全策略信息。

（三）方案效能与特点分析

在基于密码的云计算虚拟化技术基础上，本文给出了一种针对虚拟网的安全性设计方法。本系统提供了從源头上保证虚拟网的机密性、安全隔离和虚拟机用户的信任验证等重要安全措施，从而有效地克服了制约其广泛使用的主要安全隐患。它的安全性有以下几个方面：

①为建立在虚拟网基础上的资料中心，保证资料来源的可靠性和保密。

②采用虚拟机技术、用户虚拟终端存储加密技术、端到端加密技术，实现了用户终端与计算的高效、可靠的信息交互。

③为虚拟机在各领域间进行网络密码信道的管理，为虚拟机的移植提供了安全性保障。

④可将其与常规的网络安全保护方法相融合，以满足多个不同的数据中心对云的保护要求。

五、结束语

总而言之，随着科学技术的快速发展，云计算技术快速走入各个领域中，为人们的生产生活提供更加便利的技术支持，但云计算技术也面临着非常显著的安全问题，为了更好地处理这些问题，相关部门可以利用虚拟技术建立相应的云平台，以密码为基础加强对云计算虚拟化技术的研究，充分保障网络安全。

作者单位：宋松长春市德普信息技术有限公司

参考文献