基于密码技术的虚拟化网络安全方案框架

    虚拟化网络安全技术框架包括基于UKey的安全虚拟化终端、服务器端高速密码模块（ENC）虚拟化、虚拟机数据本机存储加密、虚拟机之间虚拟化网络加密（VPN）、相关密码密钥管理等关键安全机制，从源头开始，形成了基于密码技术的网络安全防护技术框架，确保了用户安全地使用云计算数据中心的计算资源。

    网络安全机制设计

    1.服务器端高速密码模块虚拟化

    显然，服务器端的高速密码模块需要实现密码模块的虚拟化——密码模块资源池化，能够为包括管理域OS及用户虚拟化终端提供多个vENC模块，结合vKey实现用户各自的密钥管理，满足对虚拟机系统多租户的密码服务支持。具体机制说明如下：

    1）虚拟机管理器（Xen）之上的管理域包含ENC的物理驱动程序（ENC真实驱动）和vENC后端驱动。每个用户虚拟化终端或虚拟化服务器系统包含vENC前端驱动，这个驱动程序与管理域的ENC驱动程序（称为准虚拟化或PV驱动程序）配合工作，实现ENC模块面向多用户虚拟机或服务器的设备虚拟支持。

    2）进一步可采用一种适合服务器I/O虚拟化的Single-RootI/OVirtualization（SR-IOV）技术，允许虚拟机管理器（hypervisor）简单地将ENC虚拟功能映射到VM上，以实现本机ENC设备性能和隔离安全效果，不需要任何透传技术就能达到很高的性能。

    3）ENC模块本身可以采用对多租户并发使用的密钥管理机制。通过设置可并发支持的用户密钥空间（如32组、64组用户密钥并发支持），接收来自不同用户虚拟机vKey上存放的工作密钥（U-WK）。ENC模块本身也通过证书管理系统获得自身的设备证书及公私钥对（PKENC/SK-ENC，其中私钥SK-ENC安全内置在ENC模块中）。vKey通过将U-WK基于ENC模块的公钥加密得到U-WK’=ECC（PK-ENC，U-WK）（假设采用的是ECC椭圆曲线公钥密码算法），将U-WK’置入ENC模块的用户密钥空间中，使ENC模块能够高效地实现多租户数据加密的并发支持。

    2.虚拟机数据本机存储加密

    虚拟化数据集中应用情况下，用户数据通过虚拟机之间的隔离机制实现了一定程度的隔离保护，但总体而言，明态存在于数据中心服务器端，这对于云服务的推广造成困难。可以采用UKey映射为相应虚拟化终端的vKey后，利用建立虚拟加密磁盘或文件系统加密（类似EFS）等机制，实现用户虚拟机终端上存储数据的本地加密。但由于采用ICA等协议映射及大量网络数据交互的原因，必然导致实际效率降低。为此，可以将vKey与服务器上的高速密码模块（ENC）结合，利用vKey管理和加载用户密钥以及ENC虚拟化后提供给用户虚拟机终端上的vENC设备，实现用户虚拟化终端本地数据存储的加密，这样存储加密效率将大为提高。

    3.虚拟化网络加密VPN

    如前面的需求分析，虚拟化用户终端系统彼此之间以及与虚拟化服务器系统之间的网络数据传输通过虚拟交换机进行，虽然具备和内存带宽相当的高速交换能力，但缺少机密性保护，需要从网络通信的源头——虚拟机系统，实现VPN网络加密机制，保障用户虚拟机端到端的网络通信安全，具体安全机制说明如下：

[page]    1）虚拟机间端到端VPN网络加密。

    可以通过虚拟机管理域的VM管理模块，为虚拟机配置网络安全策略，虚拟机启动运行后通过安全策略执行模块执行这些网络安全策略。网络安全策略可以针对一个用户群组的用户统一制定，也可以针对单个用户虚拟机单独制定。安全策略内容包括虚拟机应该针对哪些网络明通、哪些网络密通、密通时采用隧道还是传输封装模式、网络加密工作密钥的更换周期、哪些情况下阻断网络访问以及缺省情况下网络访问策略等。用户虚拟机上的安全策略执行模块通过在虚拟机网络协议栈上进行过滤的方式进行网络访问策略判别与安全处理（Linux系统采用在NetFilter框架中增加VPN处理模块实现，Windows系统采用加载基于NDIS的VPN处理模块实现）。对于需要加密的数据包，采用vENC提供的加密调用接口进行加密后发出；对于需要接收并解密的数据包，同样调用相应的解密接口脱密后提交给用户虚拟机上层协议栈。安全策略执行模块根据安全策略，通过网络协议层IP数据包过滤并自动触发的方式，对需要执行加密策略而尚无相应工作密钥（N-WK）的数据，由协议过滤模块触发事件，启动安全策略执行模块应用层的密钥协商或密钥交换过程。可在对方交换的证书公钥保护下完成N-WK的交换，并按照安全策略要求定时更换N-WK。

    2）跨数据中心的VPN保护。

    由于跨数据中心的网络安全防护边界比较明确，其网络数据传输密码保护可以采用常规的VPN来解决。

    3）基于VPN通道保护下的虚拟机迁移安全。

    针对跨物理服务器进行虚拟机迁移，主要通过虚拟机管理域之间的通信来实现。不同物理服务器的虚拟机管理域之间可采用类似用户虚拟机之间构建端到端加密VPN通道的方式，构建网络安全传输通道。通过虚拟机管理域之间的VPN通道，使用户虚拟机在实施运行态迁移时，所有需要传递的状态信息、用户数据信息、网络配置信息、安全策略信息等获得加密保护。

    相关密码密钥管理

    上述基于密码技术的虚拟化终端及网络安全机制，都需要解决好密码密钥管理的问题[6]，分别说明如下：

    1）针对ICA协议加密的密钥管理。ICA协议的加密在廋客户机与虚拟机管理域之间进行。客户端UKey中与服务器的密码模块ENC中都存有证书管理系统颁发的数字证书，且UKey与ENC模块都具备对称密码运算、签名验签等密码服务功能。双方通过改造ICA协议，实现基于证书的双向认证，并采用典型的基于证书进行对称密钥交换的协议完成ICA协议数据加密密钥的协商。工作密钥更换可采用一次（登录使用）一密的方式。

    2）针对用户数据存储加密的密钥管理。在用户终端创建虚拟加密磁盘或加载加密文件系统模块时，通过调用vKey产生工作密钥U-WK，基于ICA等协议的映射关系，密钥实际存放在用户UKey中。并且通过vENC模块提供的接口，将U-WK基于ENC模块的公钥保护下，置入ENC模块中供存储数据加密使用，使用完毕后清除ENC中的U-WK，确保用户数据密钥掌握在自己手中。

    3）VPN加密时的密钥协商与保护。虚拟机之间建立端到端VPN加密通道，密钥协商时采用交换各自用户UKey中的证书，并基于非对称密码体制完成网络加密工作密钥（N-WK）的协商或交换，N-WK交换时可采用数字信封的方式保护。

    方案效能与特点分析

    基于密码技术，文中提出了虚拟化网络的安全解决方案。该方案能够为虚拟化网络从源头提供机密性、安全隔离、虚拟机用户可信认证等关键安全保障，解决了限制云计算数据中心服务广泛应用的关键安全风险。其安全特点如下：

    1）为基于虚拟化网络构建的数据中心提供了信息源头的可信与机密性保障。

    2）基于虚拟机技术、用户虚拟终端存储加密、端到端网络加密机制，在数据机制应用模式下，提供了用户终端间计算环境和数据的有效安全隔离，以及安全可控的数据交换。

    3）通过虚拟机管理域之间的网络加密通道，提供了虚拟机迁移的安全保障。

    4）能够与传统网络安全防护手段结合，适应云计算跨多个数据中心的网络安全防护需求。

    结语

    安全问题一直是影响云计算应用发展的关键问题。基于虚拟化网络技术构建数据中心，满足数据集中安全应用需要，是一种典型的适应未来规模化、网络化云应用的模式。文中基于密码技术提出了虚拟化网络安全解决方案框架，对构建安全的云计算基础设施有重要参考价值。下一步应研究该方案与其他网络安全机制（如防火墙、IDS）的虚拟化技术的结合，共同构建具备综合网络安全防护效能的虚拟化网络安全防护系统。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。