.云計(jì)算技術(shù)是IT產(chǎn)業(yè)界的一場(chǎng)技術(shù)革命，已經(jīng)成為了IT行業(yè)未來(lái)發(fā)展的方向。無(wú)論是基于開(kāi)放網(wǎng)絡(luò)環(huán)境對(duì)公眾開(kāi)放云服務(wù)的公有云，還是為企業(yè)內(nèi)部用戶提供服務(wù)的私有云，都需要通過(guò)構(gòu)建不同規(guī)模的數(shù)據(jù)中心作為提供云服務(wù)的基礎(chǔ)設(shè)施支撐。而虛擬化技術(shù)已經(jīng)成為構(gòu)建云計(jì)算數(shù)據(jù)中心的關(guān)鍵技術(shù)。

　　通過(guò)不同層次的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)通信資源的虛擬化實(shí)現(xiàn)資源池化，使云計(jì)算能夠在基礎(chǔ)設(shè)施層面實(shí)現(xiàn)平臺(tái)化服務(wù)(IaaS)，如AmazonEC2、IBMBlueCloud、CiscoUCS等典型的IaaS產(chǎn)品。

　　使用云計(jì)算數(shù)據(jù)中心服務(wù)的用戶，需要基于瘦客戶端、移動(dòng)云終端等設(shè)備完成接入，訪問(wèn)其虛擬化計(jì)算資源，并進(jìn)一步使用各種云計(jì)算服務(wù)。

　　云計(jì)算數(shù)據(jù)中心可以為不同的用戶群提供不同的服務(wù)，用戶群之間、用戶群內(nèi)用戶彼此之間已經(jīng)沒(méi)有了明確的物理邊界，而是基于虛擬化技術(shù)實(shí)現(xiàn)必要的安全隔離，這種隔離是否具備足夠的安全性，用戶數(shù)據(jù)是否具有足夠的隱私保護(hù)和訪問(wèn)可控性，這些虛擬化安全問(wèn)題已經(jīng)成為云計(jì)算是否能夠取得廣泛應(yīng)用突破的關(guān)鍵。

　　如何讓云中各種類型的用戶盡可能安全地使用網(wǎng)絡(luò)，如何讓用戶無(wú)縫地接入和使用云計(jì)算服務(wù)，如何通過(guò)虛擬化網(wǎng)絡(luò)技術(shù)提高數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建靈活性、擴(kuò)展性的同時(shí)，解決好網(wǎng)絡(luò)安全問(wèn)題，已經(jīng)成為采用虛擬化技術(shù)構(gòu)建云計(jì)算數(shù)據(jù)中心所必須要解決的問(wèn)題。當(dāng)前主流廠商有基于VLAN安全區(qū)化、防火墻虛擬化等網(wǎng)絡(luò)安全技術(shù)對(duì)云計(jì)算數(shù)據(jù)中心所采用的虛擬化網(wǎng)絡(luò)進(jìn)行保護(hù)，但仍然未能解決好用戶訪問(wèn)的可信以及數(shù)據(jù)交互的機(jī)密性、可控性等問(wèn)題。

　　文中在研究基于虛擬化網(wǎng)絡(luò)的云計(jì)算數(shù)據(jù)中心典型架構(gòu)與訪問(wèn)應(yīng)用模式的基礎(chǔ)上，從用戶安全接入、通信隔離與機(jī)密性保護(hù)等方面分析了數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)安全需求，提出了虛擬化網(wǎng)絡(luò)安全技術(shù)框架，重點(diǎn)針對(duì)基于密碼技術(shù)強(qiáng)化虛擬化網(wǎng)絡(luò)安全，保障虛擬機(jī)之間的通信保護(hù)、信息隔離與安全交換等安全機(jī)制進(jìn)行了分析與設(shè)計(jì)，提出了一種可供參考的解決方案。

　　1云計(jì)算虛擬化網(wǎng)絡(luò)技術(shù)及安全需求分析

　　1.1云計(jì)算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問(wèn)應(yīng)用模式

　　云計(jì)算的基礎(chǔ)架構(gòu)主要包含計(jì)算(服務(wù)器)、網(wǎng)絡(luò)和存儲(chǔ)。對(duì)于網(wǎng)絡(luò)，從云計(jì)算整個(gè)生態(tài)環(huán)境上來(lái)說(shuō)，可以分為3個(gè)層面，數(shù)據(jù)中心網(wǎng)絡(luò)、跨數(shù)據(jù)中心網(wǎng)絡(luò)以及泛在的云接入網(wǎng)絡(luò)。

　　其中數(shù)據(jù)中心網(wǎng)絡(luò)包括連接計(jì)算主機(jī)、存儲(chǔ)和4到7層服務(wù)器(如防火墻、負(fù)載均衡、應(yīng)用服務(wù)器、IDS/IPS等)的數(shù)據(jù)中心局域網(wǎng)，以及邊緣虛擬網(wǎng)絡(luò)，即主機(jī)虛擬化之后，虛擬機(jī)之間的多虛擬網(wǎng)絡(luò)交換網(wǎng)絡(luò)，包括分布式虛擬交換機(jī)、虛擬橋接和I/O虛擬化等;跨數(shù)據(jù)中心網(wǎng)絡(luò)主要解決數(shù)據(jù)中心間的網(wǎng)絡(luò)連接，實(shí)現(xiàn)數(shù)據(jù)中心間的數(shù)據(jù)備份、數(shù)據(jù)遷移、多數(shù)據(jù)中心間的資源優(yōu)化以及多數(shù)據(jù)中心混合業(yè)務(wù)提供等;泛在的云接入網(wǎng)絡(luò)用于數(shù)據(jù)中心與終端用戶互聯(lián)，為公眾用戶或企業(yè)用戶提供云服務(wù)。

　　在此，主要探討使用虛擬化網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)架構(gòu)及其訪問(wèn)應(yīng)用方式。因?yàn)椋瑪?shù)據(jù)中心大量的虛擬機(jī)通過(guò)虛擬化網(wǎng)絡(luò)訪問(wèn)計(jì)算資源的安全可控問(wèn)題，是解決云計(jì)算虛擬化網(wǎng)絡(luò)安全問(wèn)題的關(guān)鍵。數(shù)據(jù)中心網(wǎng)絡(luò)包括核心層交換機(jī)、接入層交換機(jī)和虛擬交換機(jī)。在使用云計(jì)算后，數(shù)據(jù)中心的網(wǎng)絡(luò)需要解決數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)同步傳送的大流量、備份大流量、虛擬機(jī)遷移大流量問(wèn)題，因此要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力以及足夠的萬(wàn)兆接入能力。接入層交換機(jī)要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù)，包括無(wú)損以太網(wǎng)技術(shù)等。

　　虛擬交換機(jī)是在物理服務(wù)器內(nèi)部通過(guò)虛擬機(jī)管理器(Hypervisor)層虛擬出相應(yīng)的交換機(jī)和網(wǎng)卡功能并實(shí)施管理，提供了服務(wù)器內(nèi)多個(gè)虛擬主機(jī)虛擬網(wǎng)卡(vNIC)的互聯(lián)以及為不同的虛擬網(wǎng)卡流量設(shè)定不同的VLAN標(biāo)簽功能，使得服務(wù)器內(nèi)部如同存在一臺(tái)交換機(jī)，可以方便地將不同的網(wǎng)卡連接到不同的端口。Hypervisor為每個(gè)VM(虛擬主機(jī))創(chuàng)建一個(gè)或者多個(gè)vNICs，聯(lián)接Hypervisor中的虛擬交換機(jī)，從而支持VM間的通信。Hypervisor還允許虛擬交換機(jī)和物理網(wǎng)絡(luò)接口的通信，以及和外部網(wǎng)絡(luò)的高效通信，典型的虛擬交換機(jī)如開(kāi)源的OpenvSwitch。

　　以目前應(yīng)用較成熟的Ctrix基于Xen的虛擬化系統(tǒng)為研究對(duì)象(與其他VmwareESX、KVM、Hyper-V等有所不同，可參考思路)，分析用戶聯(lián)接虛擬化用戶終端，并進(jìn)一步訪問(wèn)數(shù)據(jù)中心計(jì)算資源的典型框架如圖2所示。

　　首先遠(yuǎn)程用戶基于瘦客戶端，基于ICA等遠(yuǎn)程桌面協(xié)議(Vmware用PCoIP)訪問(wèn)數(shù)據(jù)中心服務(wù)器上的用戶虛擬終端。ICA協(xié)議是基于Xen的Ctrix虛擬化系統(tǒng)的專有協(xié)議，將顯示器、鍵盤(pán)、鼠標(biāo)操作信息與服務(wù)器端管理域交互，可以在Hypervisor上創(chuàng)建、中止相應(yīng)的虛擬化終端系統(tǒng)，獲得與本地化計(jì)算機(jī)終端操作相同的使用體驗(yàn)。同時(shí)，管理域OS上還運(yùn)行了所有外設(shè)的實(shí)際驅(qū)動(dòng)程序，通過(guò)后端驅(qū)動(dòng)模塊與系列客戶終端虛擬機(jī)OS上運(yùn)行的前端驅(qū)動(dòng)模塊進(jìn)行交互，實(shí)現(xiàn)對(duì)各客戶終端虛擬機(jī)設(shè)備驅(qū)動(dòng)的支持。

　　其次，用戶虛擬終端機(jī)之間通過(guò)虛擬網(wǎng)卡、虛擬化交換機(jī)(包括跨物理服務(wù)器的分布式虛擬化交換機(jī))，實(shí)現(xiàn)虛擬終端之間以及用戶虛擬終端與虛擬應(yīng)用服務(wù)器之間的高速網(wǎng)絡(luò)數(shù)據(jù)交互，實(shí)現(xiàn)基于虛擬化的數(shù)據(jù)集中應(yīng)用，并訪問(wèn)各種應(yīng)用服務(wù)器，或進(jìn)行用戶虛擬機(jī)的遷移等。其中分布式虛擬交換機(jī)采用使底層服務(wù)器架構(gòu)更透明的方法，支持不同物理服務(wù)器上虛擬交換機(jī)的跨服務(wù)器橋接，使一個(gè)服務(wù)器中的虛擬交換機(jī)能夠透明地和其他服務(wù)器中的虛擬交換機(jī)連接，使服務(wù)器間(以及它們的虛擬接口)的VM遷移更簡(jiǎn)單。

　　1.2虛擬化網(wǎng)絡(luò)安全需求

　　虛擬化終端應(yīng)用模式實(shí)現(xiàn)了數(shù)據(jù)集中應(yīng)用，并提供了用戶間的數(shù)據(jù)隔離，同時(shí)又以虛擬交換機(jī)實(shí)現(xiàn)了用戶間的數(shù)據(jù)交互。虛擬交換機(jī)與實(shí)體交換機(jī)一樣，還提供VLan、ACL、虛擬機(jī)端口的流量策略管理、QoS等機(jī)制。根據(jù)上述云計(jì)算用戶使用數(shù)據(jù)中心的虛擬化終端，并通過(guò)虛擬化網(wǎng)絡(luò)進(jìn)行應(yīng)用訪問(wèn)的典型模式描述，這里對(duì)云計(jì)算虛擬化網(wǎng)絡(luò)安全的需求進(jìn)行了如下分析歸納：

　　1)用戶接入的網(wǎng)絡(luò)安全需求。應(yīng)該保障虛擬化用戶能夠可信、可控、安全地接入數(shù)據(jù)中心啟用其對(duì)應(yīng)的終端虛擬機(jī)系統(tǒng)。應(yīng)該強(qiáng)化用戶接入數(shù)據(jù)中心的認(rèn)證與訪問(wèn)控制，提供ICA等遠(yuǎn)程桌面協(xié)議的機(jī)密性保護(hù)。

　　2)虛擬機(jī)之間的網(wǎng)絡(luò)安全需求。與傳統(tǒng)的安全防護(hù)不同，虛擬機(jī)環(huán)境下，同臺(tái)物理服務(wù)器虛擬成多臺(tái)VM以后，VM之間的流量交換基于虛擬交換機(jī)進(jìn)行交換，管理員對(duì)于該部分流量既不可控也不可見(jiàn)，但實(shí)際上根據(jù)需要，不同的VM之間需要?jiǎng)澐值讲煌陌踩颍M(jìn)行隔離和訪問(wèn)控制，應(yīng)提供保證虛擬機(jī)之間交互數(shù)據(jù)的機(jī)密性保護(hù)機(jī)制，避免通過(guò)虛擬交換機(jī)的混雜模式端口映射機(jī)制監(jiān)聽(tīng)到所有不同用戶群組的虛擬機(jī)之間的通信數(shù)據(jù)。

　　此外，還應(yīng)該為虛擬機(jī)的遷移提供安全的數(shù)據(jù)傳輸通道，避免遷移過(guò)程(往往是跨物理服務(wù)器乃至跨數(shù)據(jù)中心的)造成用戶數(shù)據(jù)泄露。

　　3)數(shù)據(jù)中心之間的網(wǎng)絡(luò)安全需求。數(shù)據(jù)中心之間會(huì)有計(jì)算或存儲(chǔ)資源的遷移和調(diào)度，對(duì)于大型的集群計(jì)算，一般采用構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)(包括跨數(shù)據(jù)中心的分布式虛擬交換機(jī))，對(duì)于采用多個(gè)虛擬數(shù)據(jù)中心提供云計(jì)算服務(wù)，可以構(gòu)建路由網(wǎng)絡(luò)(三層)連接。需要對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)邊界進(jìn)行防火墻、入侵檢測(cè)等常規(guī)網(wǎng)絡(luò)安全防護(hù)，同時(shí)對(duì)跨數(shù)據(jù)中心交互的數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)。

　　2基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案

　　2.1基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全方案框架

　　基于前述典型虛擬化網(wǎng)絡(luò)安全架構(gòu)與網(wǎng)絡(luò)安全需求分析，文中提出了如圖3所示的基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案。

　　虛擬化網(wǎng)絡(luò)安全技術(shù)框架包括基于UKey的安全虛擬化終端、服務(wù)器端高速密碼模塊(ENC)虛擬化、虛擬機(jī)數(shù)據(jù)本機(jī)存儲(chǔ)加密、虛擬機(jī)之間虛擬化網(wǎng)絡(luò)加密(VPN)、相關(guān)密碼密鑰管理等關(guān)鍵安全機(jī)制，從源頭開(kāi)始，形成了基于密碼技術(shù)的網(wǎng)絡(luò)安全防護(hù)技術(shù)框架，確保了用戶安全地使用云計(jì)算數(shù)據(jù)中心的計(jì)算資源。

　　2.2網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)

　　2.2.1基于UKey的安全虛擬化終端

　　用戶通過(guò)廋客戶機(jī)，基于ICA等遠(yuǎn)程桌面訪問(wèn)數(shù)據(jù)中心虛擬機(jī)管理系統(tǒng)，使用相應(yīng)的虛擬化用戶終端。根據(jù)安全需求分析，應(yīng)該解決好用戶使用虛擬化終端的安全、可信、可控問(wèn)題。為此，在終端使用UKey，裝載用戶身份證書(shū)用于強(qiáng)化身份認(rèn)證，并提供對(duì)稱、非對(duì)稱密碼運(yùn)算功能，與虛擬化服務(wù)器端的密碼設(shè)備配合，實(shí)現(xiàn)數(shù)據(jù)密碼保護(hù)。安全機(jī)制設(shè)計(jì)如下：

　　1)vKey的管理。虛擬機(jī)管理域運(yùn)行的vKey管理模塊用于為不同的虛擬化終端分配和管理vKey設(shè)備，并實(shí)現(xiàn)與廋客戶端映射過(guò)來(lái)的USBKey進(jìn)行捆綁。vKey管理模塊通過(guò)vKey后端驅(qū)動(dòng)與Hypervisor通信，繼而和不同的用戶虛擬化終端通信。當(dāng)用戶虛擬終端需要訪問(wèn)vKey設(shè)備時(shí)，vKey前端驅(qū)動(dòng)將密碼功能調(diào)用命令通過(guò)事件通道發(fā)送給vKey后端驅(qū)動(dòng);vKey后端驅(qū)動(dòng)根據(jù)事件通道號(hào)找到相對(duì)應(yīng)的vKey設(shè)備標(biāo)識(shí)號(hào)，并填寫(xiě)入請(qǐng)求包，然后將請(qǐng)求包發(fā)給vKey管理模塊;vKey管理模塊根據(jù)設(shè)備標(biāo)識(shí)，將指令傳遞給相應(yīng)的vKey模塊(vKey1-vKeyN)，進(jìn)一步通過(guò)UKey真實(shí)驅(qū)動(dòng)，基于ICA等協(xié)議的USBKey映射實(shí)現(xiàn)與廋客戶機(jī)上的USBKey進(jìn)行命令交互。處理完成后，vKey管理模塊進(jìn)一步通過(guò)vKey后端驅(qū)動(dòng)和前端驅(qū)動(dòng)將處理結(jié)果返回給用戶虛擬化終端。

　　2)認(rèn)證。對(duì)廋客戶端與虛擬化服務(wù)器端的ICA軟件模塊進(jìn)行改造，將原有用戶名口令認(rèn)證方式，升級(jí)為廋客戶端與虛擬化服務(wù)器端基于UKey內(nèi)用戶數(shù)字證書(shū)的認(rèn)證方式。客戶端UKey中與虛擬化服務(wù)器端都存有證書(shū)管理系統(tǒng)頒發(fā)的數(shù)字證書(shū)，實(shí)現(xiàn)雙向?qū)嶓w認(rèn)證。認(rèn)證交互過(guò)程的密碼運(yùn)算分別由客戶端的UKey以及服務(wù)器內(nèi)置的密碼模塊實(shí)現(xiàn)。完成基于數(shù)字證書(shū)的雙向認(rèn)證后，虛擬化服務(wù)器上的虛擬終端管理域必須完成多個(gè)用戶UKey(對(duì)應(yīng)到管理域的vKey)與多個(gè)虛擬化客戶端配置信息的一一對(duì)應(yīng)捆綁，保障通過(guò)認(rèn)證的遠(yuǎn)程用戶能夠使用與其身份信息對(duì)應(yīng)的個(gè)性化虛擬終端。

　　3)通信加密。ICA等遠(yuǎn)程桌面協(xié)議提供了可配置的加密機(jī)制，如SecureICA，用于在ICA客戶端和服務(wù)器端協(xié)議數(shù)據(jù)的加密。如果與Ctrix等廠商深入合作，可以進(jìn)一步升級(jí)完善加密機(jī)制，使密碼算法符合相關(guān)應(yīng)用領(lǐng)域的密碼要求(如替換為商用領(lǐng)域的標(biāo)準(zhǔn)SM1-SM4密碼算法)，從而由UKey和服務(wù)器端密碼模塊內(nèi)置的特定密碼算法，實(shí)現(xiàn)ICA協(xié)議數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)。

　　2.2.2服務(wù)器端高速密碼模塊虛擬化

　　顯然，服務(wù)器端的高速密碼模塊需要實(shí)現(xiàn)密碼模塊的虛擬化——密碼模塊資源池化，能夠?yàn)榘ü芾碛騉S及用戶虛擬化終端提供多個(gè)vENC模塊，結(jié)合vKey實(shí)現(xiàn)用戶各自的密鑰管理，滿足對(duì)虛擬機(jī)系統(tǒng)多租戶的密碼服務(wù)支持。具體機(jī)制說(shuō)明如下：

　　1)虛擬機(jī)管理器(Xen)之上的管理域包含ENC的物理驅(qū)動(dòng)程序(ENC真實(shí)驅(qū)動(dòng))和vENC后端驅(qū)動(dòng)。每個(gè)用戶虛擬化終端或虛擬化服務(wù)器系統(tǒng)包含vENC前端驅(qū)動(dòng)，這個(gè)驅(qū)動(dòng)程序與管理域的ENC驅(qū)動(dòng)程序(稱為準(zhǔn)虛擬化或PV驅(qū)動(dòng)程序)配合工作，實(shí)現(xiàn)ENC模塊面向多用戶虛擬機(jī)或服務(wù)器的設(shè)備虛擬支持。

　　2)進(jìn)一步可采用一種適合服務(wù)器I/O虛擬化的Single-RootI/OVirtualization(SR-IOV)技術(shù)，允許虛擬機(jī)管理器(hypervisor)簡(jiǎn)單地將ENC虛擬功能映射到VM上，以實(shí)現(xiàn)本機(jī)ENC設(shè)備性能和隔離安全效果，不需要任何透?jìng)骷夹g(shù)就能達(dá)到很高的性能。

　　3)ENC模塊本身可以采用對(duì)多租戶并發(fā)使用的密鑰管理機(jī)制。通過(guò)設(shè)置可并發(fā)支持的用戶密鑰空間(如32組、64組用戶密鑰并發(fā)支持)，接收來(lái)自不同用戶虛擬機(jī)vKey上存放的工作密鑰(U-WK)。ENC模塊本身也通過(guò)證書(shū)管理系統(tǒng)獲得自身的設(shè)備證書(shū)及公私鑰對(duì)(PKENC/SK-ENC，其中私鑰SK-ENC安全內(nèi)置在ENC模塊中)。vKey通過(guò)將U-WK基于ENC模塊的公鑰加密得到U-WK’=ECC(PK-ENC，U-WK)(假設(shè)采用的是ECC橢圓曲線公鑰密碼算法)，將U-WK’置入ENC模塊的用戶密鑰空間中，使ENC模塊能夠高效地實(shí)現(xiàn)多租戶數(shù)據(jù)加密的并發(fā)支持。

　　2.2.3虛擬機(jī)數(shù)據(jù)本機(jī)存儲(chǔ)加密

　　虛擬化數(shù)據(jù)集中應(yīng)用情況下，用戶數(shù)據(jù)通過(guò)虛擬機(jī)之間的隔離機(jī)制實(shí)現(xiàn)了一定程度的隔離保護(hù)，但總體而言，明態(tài)存在于數(shù)據(jù)中心服務(wù)器端，這對(duì)于云服務(wù)的推廣造成困難。可以采用UKey映射為相應(yīng)虛擬化終端的vKey后，利用建立虛擬加密磁盤(pán)或文件系統(tǒng)加密(類似EFS)等機(jī)制，實(shí)現(xiàn)用戶虛擬機(jī)終端上存儲(chǔ)數(shù)據(jù)的本地加密。但由于采用ICA等協(xié)議映射及大量網(wǎng)絡(luò)數(shù)據(jù)交互的原因，必然導(dǎo)致實(shí)際效率降低。為此，可以將vKey與服務(wù)器上的高速密碼模塊(ENC)結(jié)合，利用vKey管理和加載用戶密鑰以及ENC虛擬化后提供給用戶虛擬機(jī)終端上的vENC設(shè)備，實(shí)現(xiàn)用戶虛擬化終端本地?cái)?shù)據(jù)存儲(chǔ)的加密，這樣存儲(chǔ)加密效率將大為提高。

　　2.2.4虛擬化網(wǎng)絡(luò)加密VPN

　　如前面的需求分析，虛擬化用戶終端系統(tǒng)彼此之間以及與虛擬化服務(wù)器系統(tǒng)之間的網(wǎng)絡(luò)數(shù)據(jù)傳輸通過(guò)虛擬交換機(jī)進(jìn)行，雖然具備和內(nèi)存帶寬相當(dāng)?shù)母咚俳粨Q能力，但缺少機(jī)密性保護(hù)，需要從網(wǎng)絡(luò)通信的源頭——虛擬機(jī)系統(tǒng)，實(shí)現(xiàn)VPN網(wǎng)絡(luò)加密機(jī)制，保障用戶虛擬機(jī)端到端的網(wǎng)絡(luò)通信安全，具體安全機(jī)制說(shuō)明如下：

　　1)虛擬機(jī)間端到端VPN網(wǎng)絡(luò)加密。

　　可以通過(guò)虛擬機(jī)管理域的VM管理模塊，為虛擬機(jī)配置網(wǎng)絡(luò)安全策略，虛擬機(jī)啟動(dòng)運(yùn)行后通過(guò)安全策略執(zhí)行模塊執(zhí)行這些網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略可以針對(duì)一個(gè)用戶群組的用戶統(tǒng)一制定，也可以針對(duì)單個(gè)用戶虛擬機(jī)單獨(dú)制定。安全策略內(nèi)容包括虛擬機(jī)應(yīng)該針對(duì)哪些網(wǎng)絡(luò)明通、哪些網(wǎng)絡(luò)密通、密通時(shí)采用隧道還是傳輸封裝模式、網(wǎng)絡(luò)加密工作密鑰的更換周期、哪些情況下阻斷網(wǎng)絡(luò)訪問(wèn)以及缺省情況下網(wǎng)絡(luò)訪問(wèn)策略等。用戶虛擬機(jī)上的安全策略執(zhí)行模塊通過(guò)在虛擬機(jī)網(wǎng)絡(luò)協(xié)議棧上進(jìn)行過(guò)濾的方式進(jìn)行網(wǎng)絡(luò)訪問(wèn)策略判別與安全處理(Linux系統(tǒng)采用在NetFilter框架中增加VPN處理模塊實(shí)現(xiàn)，Windows系統(tǒng)采用加載基于NDIS的VPN處理模塊實(shí)現(xiàn))。對(duì)于需要加密的數(shù)據(jù)包，采用vENC提供的加密調(diào)用接口進(jìn)行加密后發(fā)出;對(duì)于需要接收并解密的數(shù)據(jù)包，同樣調(diào)用相應(yīng)的解密接口脫密后提交給用戶虛擬機(jī)上層協(xié)議棧。安全策略執(zhí)行模塊根據(jù)安全策略，通過(guò)網(wǎng)絡(luò)協(xié)議層IP數(shù)據(jù)包過(guò)濾并自動(dòng)觸發(fā)的方式，對(duì)需要執(zhí)行加密策略而尚無(wú)相應(yīng)工作密鑰(N-WK)的數(shù)據(jù)，由協(xié)議過(guò)濾模塊觸發(fā)事件，啟動(dòng)安全策略執(zhí)行模塊應(yīng)用層的密鑰協(xié)商或密鑰交換過(guò)程。可在對(duì)方交換的證書(shū)公鑰保護(hù)下完成N-WK的交換，并按照安全策略要求定時(shí)更換N-WK。

　　2)跨數(shù)據(jù)中心的VPN保護(hù)。由于跨數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)邊界比較明確，其網(wǎng)絡(luò)數(shù)據(jù)傳輸密碼保護(hù)可以采用常規(guī)的VPN來(lái)解決。

　　3)基于VPN通道保護(hù)下的虛擬機(jī)遷移安全。針對(duì)跨物理服務(wù)器進(jìn)行虛擬機(jī)遷移，主要通過(guò)虛擬機(jī)管理域之間的通信來(lái)實(shí)現(xiàn)。不同物理服務(wù)器的虛擬機(jī)管理域之間可采用類似用戶虛擬機(jī)之間構(gòu)建端到端加密VPN通道的方式，構(gòu)建網(wǎng)絡(luò)安全傳輸通道。通過(guò)虛擬機(jī)管理域之間的VPN通道，使用戶虛擬機(jī)在實(shí)施運(yùn)行態(tài)遷移時(shí)，所有需要傳遞的狀態(tài)信息、用戶數(shù)據(jù)信息、網(wǎng)絡(luò)配置信息、安全策略信息等獲得加密保護(hù)。

　　2.3相關(guān)密碼密鑰管理

　　上述基于密碼技術(shù)的虛擬化終端及網(wǎng)絡(luò)安全機(jī)制，都需要解決好密碼密鑰管理的問(wèn)題[6]，分別說(shuō)明如下：

　　1)針對(duì)ICA協(xié)議加密的密鑰管理。ICA協(xié)議的加密在廋客戶機(jī)與虛擬機(jī)管理域之間進(jìn)行。客戶端UKey中與服務(wù)器的密碼模塊ENC中都存有證書(shū)管理系統(tǒng)頒發(fā)的數(shù)字證書(shū)，且UKey與ENC模塊都具備對(duì)稱密碼運(yùn)算、簽名驗(yàn)簽等密碼服務(wù)功能。雙方通過(guò)改造ICA協(xié)議，實(shí)現(xiàn)基于證書(shū)的雙向認(rèn)證，并采用典型的基于證書(shū)進(jìn)行對(duì)稱密鑰交換的協(xié)議完成ICA協(xié)議數(shù)據(jù)加密密鑰的協(xié)商。工作密鑰更換可采用一次(登錄使用)一密的方式。

　　2)針對(duì)用戶數(shù)據(jù)存儲(chǔ)加密的密鑰管理。在用戶終端創(chuàng)建虛擬加密磁盤(pán)或加載加密文件系統(tǒng)模塊時(shí)，通過(guò)調(diào)用vKey產(chǎn)生工作密鑰U-WK，基于ICA等協(xié)議的映射關(guān)系，密鑰實(shí)際存放在用戶UKey中。并且通過(guò)vENC模塊提供的接口，將U-WK基于ENC模塊的公鑰保護(hù)下，置入ENC模塊中供存儲(chǔ)數(shù)據(jù)加密使用，使用完畢后清除ENC中的U-WK，確保用戶數(shù)據(jù)密鑰掌握在自己手中。

　　3)VPN加密時(shí)的密鑰協(xié)商與保護(hù)。虛擬機(jī)之間建立端到端VPN加密通道，密鑰協(xié)商時(shí)采用交換各自用戶UKey中的證書(shū)，并基于非對(duì)稱密碼體制完成網(wǎng)絡(luò)加密工作密鑰(N-WK)的協(xié)商或交換，N-WK交換時(shí)可采用數(shù)字信封的方式保護(hù)。

　　3方案效能與特點(diǎn)分析

　　基于密碼技術(shù)，文中提出了虛擬化網(wǎng)絡(luò)的安全解決方案。該方案能夠?yàn)樘摂M化網(wǎng)絡(luò)從源頭提供機(jī)密性、安全隔離、虛擬機(jī)用戶可信認(rèn)證等關(guān)鍵安全保障，解決了限制云計(jì)算數(shù)據(jù)中心服務(wù)廣泛應(yīng)用的關(guān)鍵安全風(fēng)險(xiǎn)。其安全特點(diǎn)如下：

　　1)為基于虛擬化網(wǎng)絡(luò)構(gòu)建的數(shù)據(jù)中心提供了信息源頭的可信與機(jī)密性保障。

　　2)基于虛擬機(jī)技術(shù)、用戶虛擬終端存儲(chǔ)加密、端到端網(wǎng)絡(luò)加密機(jī)制，在數(shù)據(jù)機(jī)制應(yīng)用模式下，提供了用戶終端間計(jì)算環(huán)境和數(shù)據(jù)的有效安全隔離，以及安全可控的數(shù)據(jù)交換。

　　3)通過(guò)虛擬機(jī)管理域之間的網(wǎng)絡(luò)加密通道，提供了虛擬機(jī)遷移的安全保障。

　　4)能夠與傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段結(jié)合，適應(yīng)云計(jì)算跨多個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)需求。

　　4結(jié)語(yǔ)

　　安全問(wèn)題一直是影響云計(jì)算應(yīng)用發(fā)展的關(guān)鍵問(wèn)題。基于虛擬化網(wǎng)絡(luò)技術(shù)構(gòu)建數(shù)據(jù)中心，滿足數(shù)據(jù)集中安全應(yīng)用需要，是一種典型的適應(yīng)未來(lái)規(guī)模化、網(wǎng)絡(luò)化云應(yīng)用的模式。文中基于密碼技術(shù)提出了虛擬化網(wǎng)絡(luò)安全解決方案框架，對(duì)構(gòu)建安全的云計(jì)算基礎(chǔ)設(shè)施(IAAS)有重要參考價(jià)值。下一步應(yīng)研究該方案與其他網(wǎng)絡(luò)安全機(jī)制(如防火墻、IDS)的虛擬化(資源池化)技術(shù)的結(jié)合，共同構(gòu)建具備綜合網(wǎng)絡(luò)安全防護(hù)效能的虛擬化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

　　核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。