PKI技術(shù)在虛擬化平臺的應(yīng)用

吳樹強(qiáng)+陳冠勝

隨著信息技術(shù)的飛速發(fā)展，云平臺、大數(shù)據(jù)和IT架構(gòu)虛擬化趨勢不斷掀起熱潮，信息安全成為了一個重要的課題。身份認(rèn)證技術(shù)作為保證信息系統(tǒng)的第一道安全屏障起著至關(guān)重要的作用，而PKI技術(shù)可以為虛擬化身份認(rèn)證提供安全保障。

【關(guān)鍵詞】PKI 虛擬化 信息安全 身份認(rèn)證

在IT領(lǐng)域，虛擬化（Virtualization）是指計算機(jī)元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行。虛擬化是一種資源管理技術(shù)，虛擬化技術(shù)可以擴(kuò)大硬件的容量，簡化軟件的重新配置過程，虛擬化技術(shù)已經(jīng)成為當(dāng)今企業(yè)的熱門技術(shù)之一。隨著國內(nèi)外云計算技術(shù)的迅猛發(fā)展，越來越多的企業(yè)開始考慮云+業(yè)務(wù)的運(yùn)營模式，其中云計算的根本就是虛擬化技術(shù)。

當(dāng)前，國內(nèi)智能電網(wǎng)建設(shè)不斷發(fā)展，電力企業(yè)數(shù)據(jù)中心的虛擬化遷移進(jìn)程同時開展跟進(jìn)，虛擬化遷移完成后，電力企業(yè)數(shù)據(jù)中心的IT成本將會大大降低、計算機(jī)能力快速提升、系統(tǒng)運(yùn)維也會變得更加簡單。虛擬桌面系統(tǒng)構(gòu)建了一個與硬件無關(guān)的用戶桌面計算環(huán)境，通過對虛擬桌面進(jìn)行集中的運(yùn)行維護(hù)、管理控制，可以實(shí)現(xiàn)桌面終端系統(tǒng)的高安全性、高可用性和低管理維護(hù)性。

虛擬化技術(shù)的引入，使電力企業(yè)的IT環(huán)境發(fā)生巨變，在帶來諸多優(yōu)點(diǎn)的同時也帶來了虛擬環(huán)境下獨(dú)有的安全問題，如宿主機(jī)安全、安全域混亂、三大風(fēng)暴、虛擬桌面安全等。因此，在向虛擬化遷移核心數(shù)據(jù)和系統(tǒng)之前，首先要解決虛擬化環(huán)境中遇到的各種安全問題。

PKI是一種符合數(shù)據(jù)傳輸和身份認(rèn)證的信息安全機(jī)制，它的安全環(huán)境建立在密碼學(xué)之上，并作為一項(xiàng)有效的工具，提供在Intranet、Extranet及Internet網(wǎng)絡(luò)環(huán)境間交換數(shù)據(jù)的信任基礎(chǔ)。因?yàn)镻KI體系結(jié)構(gòu)在數(shù)據(jù)傳輸?shù)陌踩苑矫妾?dú)具優(yōu)勢，可以應(yīng)用于數(shù)據(jù)交換和身份認(rèn)證之中，在虛擬桌面平臺開發(fā)部署PKI智能卡虛擬化組件實(shí)現(xiàn)PKI智能卡登錄，將會大大加強(qiáng)計算機(jī)終端和虛擬化桌面的安全。

1 技術(shù)基礎(chǔ)與需求分析

1.1 術(shù)語定義

1.1.1 PKI/CA

PKI（Public Key Infrastructure），公鑰基礎(chǔ)設(shè)施，是采用非對稱密碼算法和技術(shù)來實(shí)現(xiàn)和提供安全服務(wù)，并具有通用性的安全基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的安全身份基礎(chǔ)管理平臺； CA （ Certificate Authority ），指的是認(rèn)證中心。

PKI從技術(shù)上解決了網(wǎng)絡(luò)通信安全的種種障礙，CA從運(yùn)營、管理、規(guī)范、法律、人員等多個角度來解決了網(wǎng)絡(luò)信任問題，因此被統(tǒng)稱為“ PKI/CA 。

1.1.2 USB-KEY

USB-KEY，是一種通過USB （通用串行總線接口)直接與計算機(jī)相連、具有密碼驗(yàn)證功能、可靠高速的小型存儲設(shè)備，需要安裝對應(yīng)的驅(qū)動程序。

1.1.3 CSP

CSP（Cryptographic Service Providers），即加密服務(wù)提供者，是實(shí)現(xiàn)真正的加密服務(wù)的獨(dú)立的模塊。

1.1.4 VDI

VDI (Virtual Desktop Infrastructure)，虛擬桌面，是一種基于服務(wù)器的計算模型。VDI概念最早由桌面虛擬化廠商VMware提出，目前已經(jīng)成為標(biāo)準(zhǔn)的技術(shù)術(shù)語。雖然借用了傳統(tǒng)的瘦客戶端的模型，但是讓管理員與用戶能夠同時獲得兩種方式的優(yōu)點(diǎn)：即是將所有桌面虛擬機(jī)在數(shù)據(jù)中心進(jìn)行托管并統(tǒng)一管理；同時用戶能夠獲得完整PC的使用體驗(yàn)。

1.1.5 瘦終端

瘦客戶端（Thin Client），指的是在客戶端-服務(wù)器網(wǎng)絡(luò)體系中的一個基本無需應(yīng)用程序的計算機(jī)終端。它通過一些協(xié)議和服務(wù)器通信，進(jìn)而接入局域網(wǎng)。瘦客戶端將其鼠標(biāo)、鍵盤等輸入傳送到服務(wù)器處理，服務(wù)器再把處理結(jié)果回傳至客戶端顯示，終端機(jī)即計算機(jī)顯示終端，是計算機(jī)系統(tǒng)的輸入、輸出設(shè)備。

1.1.6 相關(guān)協(xié)議

PCOIP協(xié)議：PCoIP由VMware與Teradici共同開發(fā)，通過PCoIP協(xié)議飛躍性地提高了桌面虛擬化的功能及性能。目前已經(jīng)成為最為流行的桌面虛擬化協(xié)議和標(biāo)準(zhǔn)。PCoIP的最大特點(diǎn)就是，將用戶的會話以圖像的方式進(jìn)行壓縮傳輸，對于用戶的操作，只傳輸變化部分，保證在低帶寬下也能高效的使用。

DRP協(xié)議：遠(yuǎn)程顯示協(xié)議（Remote Display Protocol ）簡稱RDP。該協(xié)議是對國際電信聯(lián)盟發(fā)布的一個國際標(biāo)準(zhǔn)的多通道會議協(xié)議T.120 的一個擴(kuò)展。

ICA協(xié)議：Citrix Independent Computing Architecture （ ICA ）技術(shù)已經(jīng)被證明，能夠通過整個企業(yè)網(wǎng)絡(luò)來提供配置 Windows、UNIX 以及 Java 應(yīng)用程序訪問的強(qiáng)大的競爭優(yōu)勢，而不需考慮用戶的位置、客戶端硬件設(shè)備或者可用帶寬的限制，讓多名用戶得以共享同一臺主機(jī)。

1.2 需求分析

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，電力系統(tǒng)的生產(chǎn)運(yùn)行越來越依賴于信息化手段，但當(dāng)信息化技術(shù)帶來高效和便捷的同時，電力行業(yè)所面臨的網(wǎng)絡(luò)與信息安全風(fēng)險也與日劇增。而PKI數(shù)字證書身份認(rèn)證技術(shù)，對于信息系統(tǒng)安全起著至關(guān)重要的作用。傳統(tǒng)的Windows操作系統(tǒng)和虛擬化平臺對于用戶的身份認(rèn)證機(jī)制主要是基于用戶名/口令方式的認(rèn)證，這存在著口令易被猜測、獲取以及冒用身份等一系列安全隱患。若是操作系統(tǒng)在登錄安全上提供了基于第三方USBKEY智能卡的認(rèn)證方式，這種方式相比較于傳統(tǒng)的用戶名/口令認(rèn)證方式在安全性上有極大的提高。電力企業(yè)諸多應(yīng)用，已經(jīng)和PKI/CA系統(tǒng)進(jìn)行了安全集成，使用PKI/CA系統(tǒng)頒發(fā)的數(shù)字證書主要用于用戶基于USBKEY智能卡在AD域、OA、EIP、VPN等多應(yīng)用環(huán)境下的強(qiáng)身份認(rèn)證登陸。隨著虛擬化技術(shù)的發(fā)展和虛擬化應(yīng)用的推廣，電力企業(yè)對于應(yīng)用系統(tǒng)安全運(yùn)維的要求越來越高。目前，虛擬桌面的推廣使用存在以下安全管理漏洞：

（1）用戶在終端使用賬號和密碼登陸虛擬桌面時，會存在賬號和密碼被抓包工具截取到用戶信息，導(dǎo)致用戶的賬號密碼被盜取。

（2）用戶密碼長度、密碼必須符合復(fù)雜性要求以及密碼使用期限要求導(dǎo)致用戶會出現(xiàn)密碼忘記的情況。

（3）用戶將密碼存儲在計算機(jī)會導(dǎo)致密碼被盜取。用戶名+密碼的二元認(rèn)證方式已被證明存在眾多問題：記憶密碼、輸入密碼、更換密碼都被認(rèn)為是煩惱的事情，而密碼易于共享的特點(diǎn)則可能使一切安全設(shè)置流于形式。

鑒于上述，虛擬化平臺結(jié)合PKI技術(shù)實(shí)現(xiàn)身份認(rèn)證解決方案很有必要，一方面可以加強(qiáng)虛擬化平臺用戶的身份管理；另一方面也可以避免由于身份問題引發(fā)的安全事件。

2 系統(tǒng)整體方案

2.1 系統(tǒng)架構(gòu)設(shè)計

如圖1所示，PKI虛擬化組件架構(gòu)包含驅(qū)動和管理助手CSP程序，可以同時支持傳統(tǒng)PC終端和瘦終端，操作系統(tǒng)支持Windows XP、Windows 7和Windows Embedded等系統(tǒng)；虛擬化平臺同時支持VMware、Citrix、華為平臺，支持PCOIP、RDP和ICA等遠(yuǎn)程連接協(xié)議。

2.2 方案技術(shù)特點(diǎn)

PKI虛擬化桌面認(rèn)證實(shí)現(xiàn)原理：在虛擬桌面中安裝PKI虛擬化組件和虛擬化專用USBKEY驅(qū)動，當(dāng)用戶登錄虛擬桌面時，PKI虛擬化組件自動識別到驅(qū)動，用戶使用USBKEY進(jìn)行正常的業(yè)務(wù)操作。

如圖2所示，傳統(tǒng)的PC終端認(rèn)證時會直接到AD域服務(wù)器進(jìn)行安全認(rèn)證，而在虛擬環(huán)境中，用戶使用專用的USBKEY通過虛擬服務(wù)器認(rèn)證后，會將USBKEY映射到虛擬桌面并與AD服務(wù)器共同對用戶的證書進(jìn)行安全認(rèn)證，完成登錄驗(yàn)證過程。

3 成果價值

電力系統(tǒng)是我國重要的能源系統(tǒng)，電力系統(tǒng)的安全問題會直接影響到國計民生，甚至關(guān)乎國家安全。電力企業(yè)通過本次項(xiàng)目的建設(shè)和應(yīng)用，可以加強(qiáng)虛擬化平臺的安全技術(shù)水平，對信息系統(tǒng)整體安全防護(hù)和管理水平的提升提供了有效的手段。

（1）PKI技術(shù)能很好解決當(dāng)前虛擬化技術(shù)運(yùn)行模式上的安全問題，虛擬桌面平臺基于PKI數(shù)字證書的應(yīng)用，安全性高，技術(shù)規(guī)范一致性強(qiáng)，操作系統(tǒng)兼容性好，攜帶使用靈活，加強(qiáng)了虛擬終端及虛擬桌面的安全。

（2）從經(jīng)濟(jì)效益方面看，虛擬化桌面使用智能卡實(shí)現(xiàn)雙因子強(qiáng)身份認(rèn)證，能夠有效預(yù)防潛在的安全風(fēng)險，消除使用用戶名/口令方式帶來的安全隱患，降低系統(tǒng)管理的成本。電力企業(yè)通過在虛擬化平臺中應(yīng)用PKI技術(shù)，可以加強(qiáng)虛擬化桌面的安全水平，為企業(yè)信息安全系統(tǒng)整體安全防護(hù)和管理水平的提升提供了有效的手段。

（3）PKI虛擬化組件和虛擬化平臺集成以后，可實(shí)現(xiàn)電力企業(yè)內(nèi)部數(shù)據(jù)的安全共享，提高了PKI/CA系統(tǒng)作為安全基礎(chǔ)設(shè)施的利用率，符合企業(yè)對于PKI/CA數(shù)字證書的推廣要求，充分體現(xiàn)了信息化建設(shè)的優(yōu)勢。

（4）通過實(shí)踐，可總結(jié)出了一套行之有效的工程建設(shè)組織管理辦法，為本行業(yè)的安全體系建設(shè)提供現(xiàn)實(shí)的參考依據(jù)。

4 結(jié)束語

PKI數(shù)字簽名技術(shù)是保證數(shù)據(jù)交換和身份認(rèn)證安全的有效解決方案，隨著虛擬化的發(fā)展和應(yīng)用的推廣，利用PKI技術(shù)可以確保身份認(rèn)證和數(shù)據(jù)在虛擬環(huán)境傳輸過程中的機(jī)密性、完整性、真實(shí)性和不可抵賴性，為信息系統(tǒng)提供了有力的安全保障。

通過開發(fā)PKI虛擬化組件，讓其支持Citrix /VMware/華為/微軟等主流虛擬桌面平臺，實(shí)現(xiàn)USBKEY智能卡登錄以加強(qiáng)用戶虛擬桌面的安全，是電力企業(yè)信息安全管理要求，同時也具有重大的建設(shè)性意義。

參考文獻(xiàn)

[1]姜政偉.云計算安全防護(hù)若干理論與關(guān)鍵技術(shù)研究[D].北京：中國科學(xué)院大學(xué),2014:4-10.

[2]吳杰芳.淺談PKI技術(shù)及應(yīng)用[J].信息科技,2009(17).

[3]陳迪鋒.淺談PKI網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[J].科技與社會,2008(06).

[4]謝冬青.冷健，PKI原理與技術(shù)[D].北京：清華大學(xué)出版社,2004.

作者單位

廣東電網(wǎng)有限責(zé)任公司肇慶供電局 廣東省肇慶市 526060