以密码技术为基础的云计算虚拟化网络安全分析

作者/李世杰，福建警察学院计算机系

以密码技术为基础的云计算虚拟化网络安全分析

作者/李世杰，福建警察学院计算机系

现代云计算技术技术应用时，用户安全十分必要，密码为用户资料安全提供重要保障，然而当前网络安全问题仍然是人们亟待解决的问题。探究基于密码技的云计算虚拟化网络安全，同时提出安全需求，给出了问题解决措施，以期指导相关研究工作的开展，促使相关研究更加完善。

密码技术；云计算；虚拟化网络；安全

云计算技术是现阶段经常使用的一种网络计算技术，让用户获得了更为快捷的网络。此外，云计算技术的应用，让公共网络具备有云，让个人及企业享受到私有云服务，考虑到不同服务对象，使用相应技术，各种技术备受人们欢迎，这在现代计算机发展中是一项重要技术[1]。

1.以密码技术为基础的云计算虚拟化网络安全需求

结合虚拟化终端，现归纳下述云计算虚拟化网络安全的需求：

（1）拟机间的云计算虚拟化网络安全需求。相比传统安全防护，在虚拟机条件下，同台物理服务器虚被拟呈多台虚拟机（Virtual Machine，VM）虚拟机间的流量在虚拟交换机基础上实现的交换，管理员无需看到一些流量，而从实际情况看，各虚拟机要被划分至各安全区中，目的是为了实现对其的隔离，阻止访问控制，为虚拟机间数据交换提供安全保护机制，防止出现个用户群虚拟机间的通信数据被监听的情况[2]。另外，为确保虚拟机的安全，防止在迁移过程中出现用户数据泄密的情况，为其数据传输提供安全保障。

（2）用户接入的云计算虚拟化网络安全需求。需要开启相应的终端虚拟机系统，确保虚拟化用户能够与数据中心实现可信及安全的接入。需要大力认证用户接入数据中心，同时加强对其的访问控制，给予机密性保护支持，如网络计算机等。

2.以密码技术为基础的云计算虚拟化网络安全的解决措施

■2.1 虚拟U Key安全

U Key的使用，需要用户计算机加载用户身份证书，该做法的使用，可让网络系统高效识别用户身份。首先，计算机网络被用户登录时，在密码识别及保护上，使用了v Key设备，还可与这种设备捆绑在一起，实施保护。并且，这种设备的使用，通过后端驱动方式，和Hyperviso交换信息，从而和其余网络上的用户端进行信息通讯。当用户访问网络时，v Key通过密码技术有关功能，将命令传给后端驱动，后端驱动能够获得与之对应的的识别号，填写序列，输入至请求包中，接着发给管理模块，用以对设备的识别。其次，改造用户和虚拟网络相连的ICA模块不再是以往的口令认知模式，变成了数字证书认证模式。对现代技术网络而言，有关账号被用户申请时，针对用户，服务器会专门构建相对独立的数字证书，如此，便能形成彼此间的互相认证体系，整体认证时，在识别并计算密码过程中，需要借助用户端与虚拟网络共同达到。同时在这种双向认证体系基础上，可让用户端U Key绑定多个虚拟账号，确保不会出现安全问题。

■2.2 虚拟服务器端高速密码模块

①虚拟机管理器(开放源代码虚拟机监视器)上管理域的构成为vENC后端驱动与ENC物理驱动程序。各虚拟化服务器系统或用户虚拟化终端均有vENC前端驱动，该驱动程序和即页面浏览量（page view，PV）驱动程序一同进行工作，将设备虚拟支持提供给服务器或多用户虚拟机。②逐步使用合理的服务器输入/输出端口（input/output，I/O）虚拟化的单根输入/输出端口虚拟化技术，允许虚拟机管理器(对VM上ENC虚拟功能的映射比较简单，无需穿透技术便可达到较高性能，继而确保本机ENC设备性能的安全，实现隔离的目的[3]。③ENC模块。在密码管理机制尚，能够让多组用户实现并发使用。设置并发的用户密钥空间，用以接受各用户虚拟机vKey存储的U–WK工作密钥。ENC模块获得公私钥对，私钥SK–ENC在ENC模块中中被安全设置在ENC模块公钥加密基础上，vKey由U–WK获得U–WK'，同时将其放置在用户密钥空间（属于ENC模块的）中，可让该模块进行多组户数据加密，并可以进行并发。

■2.3 管理相关密码密钥

密码密钥管理问题是是需要解决的问题[6]，这方面需要从以下几点来分析：

①密钥协商和保护对虚拟专用网络（VPN）加密的应用虚拟机间构建端至端虚拟专用网络（VPN）加密通道，在协商密钥过程中，使用交换有关用户UKey中的证书，协商并交换密钥(N–WK)在交换N–WK过程中，为实现对其的保护可使用数字信封方式。

②密钥管理对用户数据存储加密的应用。将虚拟加密磁盘创建在用户终端时，借助调vKey的调用，生成了工作密钥U–WK，在独立成分分析(Independent Component Correlation Algorithm，ICA)等协议的映射关系基础之上，实际上，密钥被放置在用户UKey中。同时借助vENC模块接口支持，为U–WK提供ENC模块下的公钥保护，放置在ENC模块中，用作数据储存及加密用途，使用结束后，将ENC中的U–WK给清理掉，由自己来把控用户数据密钥。

③密钥管理对独立成分分析（ICA）协议加密的应用。独立成分分析（ICA）协议的加密。客户端UKey中有数字证书同时服务器的密码模块ENC中也有，同时，UKey和ENC模块均具有下述密码服务功能，如对称密码运算及签名验算等。二者以改造独立成分分析（ICA）协议的形式，让证书双向认证成为可能，并协商独立成分分析（ICA）协议数据加密密钥。工作密钥更换次数为1次，且在登录时进行一次加密。

■2.4 模拟高速密码

对服务器高速密码模块模的模拟，从根本上看，便是革新密码模块资源池化，将众多高速密码模块提供给管理域及用户端，同时符合多用户对密码服务的要求。往往借助多组用户组的密码管理机制，让多个用户获得了密钥空间，能够短时间处置各用户组密钥，以证书管理模块形式，得到和密钥相符的设备证书，短时间内达到对其识别的目的。这种模块的使用，可识别并运算多用户管理当中，效率较高，为用户安全创造了条件。

■2.5 本机存储加密虚拟机数据

在密码技术基础上，探讨云计算网络安全性，通过虚拟机自身具有的存储加密手段，从网络环境当中隔离出来，实现对其的保护，该技术基于密码识别，将本地加密技术添加其中。然而实际使用时，使得整体数据速度变慢，却起到非常好的加密效果，同时具备较强安全性。在虚拟化数据集中使用条件下，虚拟机间隔离机制的应用，让用户获得了隔离保护支持，事实上，从整体情况看，云服务并不能有效开展，是因为明态存在于数据中心服务器端当中。使用UKey映射，为对应虚拟化终端的vKey，为实现本地加密目的，通过构建虚拟加密磁盘等机制，可加密用户虚拟机终端上存储数据，事实上，由于使用了ICA等协议映射，使得实际效率不高，所以，让vKey结合服务器上的高速密码模块，在vKey管理、加载用户密钥等的协助下，如此，极大提升了存储加密效率，以达到对用户虚拟化终端本地数据存储加密的目的[4]。

3.结束语

在虚拟化网络技术基础发展起来的数据中心，契合了数据集中安全应用所需，该模式具有代表性，适合外来网络化及规模化的需要[5–6]。在密码技术基础上，最终将虚拟化网络安全解决方案框架给提了出来，在引导安全云计算基础设施的构建方面所起作用较大[7–8]。后续工作应该是这种方案和一些网路安全机器的虚拟技术的联合，使建立其的虚拟化网络安全防护系统具备整体网络安全防护功能。

＊ [1]胡维.基于密码的云计算虚拟化网络安全研究[J].中国新通信,2015(14):124-124.

＊ [2]Open vSwitch Project[EB/OL].(2012-04-12)[2012-6-20].http：//www.openvswitch.org/.

＊ [3]李超，董青，戴华东.基于SR-IOV的IO虚拟化技术[J].电脑与信息技术，2010，18(5)：33-37.

＊ [4]董贵山,邓春梅,邓子健.基于密码的云计算虚拟化网络安全研究[J].信息安全与通信保密,2012,(11):47-51.

＊ [5]陈东.虚拟化路由交换平台中的链路虚拟化技术[J].通信技术，2011，44(7)：37-38，41.

＊ [6]谭武征；杨茂江.基础设施应用技术体系的合规性分析[J].通信技术，2010，43(12)：91-93，96.

＊ [7]王会波.密码技术在内网安全中的应用和趋势[J].信息安全与通信保密，2010(1)：18.

＊ [8]郭宝安，王磊，徐树民.宽带无线移动通信中商用密码技术研究[J].信息安全与通信保密，2009(6)：108-111.