云計算客戶虛擬機間的安全機制研究與實現(xiàn)

王飛+王國慶+陳明武

摘 要：云計算彈性服務(wù)主要依賴于一些虛擬技術(shù)支持，但是虛擬技術(shù)存在安全問題，這就會導致云計算安全受到威脅。本文主要分析云計算客戶虛擬機安全管理的模塊設(shè)計與云資源控制隔離機制的設(shè)計，深入研究系統(tǒng)實現(xiàn)方式，保護客戶虛擬機的安全性。

關(guān)鍵詞：云計算；客戶虛擬機；安全機制

云計算作為全新服務(wù)模式和計算方式，在社會發(fā)展中占據(jù)重要地位。云計算容易發(fā)生安全事故，導致云計算行業(yè)發(fā)展受到了影響，而云計算安全風險和自身服務(wù)模式、技術(shù)特點有著直接關(guān)系。云計算同傳統(tǒng)集群應(yīng)用的模式或者網(wǎng)絡(luò)相比，其主要特點就是虛擬技術(shù)。因此，為了降低云計算安全事故發(fā)生率，需要從虛擬技術(shù)著手，解決虛擬環(huán)境中的安全問題。

一、安全管理

1.設(shè)計安全管理的模塊。首先，對云用戶的標簽進行管理；其次，制訂云平臺的安全管理對策；再次，添加新建虛擬標簽，并進行訪問控制與保護；最后，對虛擬機的運行情況進行維護。在安全管理的模塊設(shè)計過程中，資源標簽的添加命令與虛擬機主要置于管理的模塊，這樣可以彌補安全鏈容易斷裂的缺陷，同時能夠?qū)τ脩粜畔⑴c虛擬機的啟動過程進行監(jiān)視。

2.標簽設(shè)計與安全策略。安全機制的工作基礎(chǔ)就是安全策略與用戶標記，安全機制要想正常工作，需要保證用戶標記的安全性，設(shè)計人員通過設(shè)計安全標記可以滿足中國墻和STE要求。同樣，在進行用戶標簽設(shè)計時，需要充分考慮用戶安全要求，可以將二級用戶的標簽當作用戶標志，這樣不僅符合從組織的角度進行云計算隔離的要求，也能夠精確至細粒度訪問控制。采用生成標簽方式，可以直接引用用戶名與組織名，也可以計算出組織名與用戶名的摘要值來作標簽。

二、設(shè)計云資源控制隔離機制

在設(shè)計隔離機制時，所采用思路主要是通過云計算資源控制方法完成虛擬機隔離，該過程用戶絕對透明。通常情況下，隔離機主要在云控制的節(jié)點上工作，通過云計算來實現(xiàn)隔離功能。在隔離機制控制云計算的節(jié)點資源時，主要按照用戶安全的要求，隔離不同節(jié)點上的虛擬機，防止惡意竊取用戶信息現(xiàn)象的出現(xiàn)。此外，還要建立云資源控制隔離機制，該機制主要包含虛擬機的啟動與隔離控制。其中，一般的虛擬機具體啟動流程為虛擬機的創(chuàng)建請求、虛擬機基本的信息分配、按照資源要求篩選計算機的節(jié)點，然后從與要求相符的眾多計算節(jié)點之中提取一個節(jié)點，并構(gòu)建虛擬機。隔離控制的流程是從安全節(jié)點提取沖突集的信息與虛擬機的標簽，按照安全規(guī)則篩選計算節(jié)點，回到與安全規(guī)則相符合的計算節(jié)點表。在虛擬機啟動與隔離控制完成以后，需要下發(fā)一個隔離機制建立的命令。

三、系統(tǒng)地實現(xiàn)分析

1.實現(xiàn)安全管理的模塊。要想實現(xiàn)安全管理的模塊，需要提供一個接口響應(yīng)調(diào)用的請求，同時監(jiān)視云平臺的其他組件連接。把socket的通信當作接口提供方式，完成連接以后，主程序可以對操作進行判斷，如果操作正確，再調(diào)用響應(yīng)函數(shù)實施處理。此外，計算節(jié)點的通信功能和安全管理的模塊不會對IP地址的信息進行維護，主要是通過OPENSTACK中RESTful的接口提取信息，再下發(fā)命令與數(shù)據(jù)。通過這種方式來傳輸信息，可以有效保障用戶虛擬機的安全，同時避免了不必要的環(huán)節(jié)，提高了信息提取效率。

2.實現(xiàn)訪問控制機制。關(guān)于方位控制的配置模塊實現(xiàn)，其主要是作為守護點常駐在計算節(jié)點內(nèi)存之中，并對云控制的節(jié)點發(fā)出命令進行響應(yīng)。通常情況下，安全管理模塊要求云控制的節(jié)點具備加載、資源標簽添加與安全策略變更等功能，然后應(yīng)用socket機制的監(jiān)聽端口來監(jiān)視云控制的節(jié)點通信，防止不法分子竊取用戶信息，確保用戶信息的安全。

3.實現(xiàn)隔離機制。隔離控制實現(xiàn)主要是依賴OPENSTACK所提供Filters的過濾器完成，在OPENSTACK創(chuàng)建各種虛擬機過程中，其會按照虛擬機資源篩選出與要求相符合的節(jié)點，F(xiàn)ilters的機制則是應(yīng)用過濾方式過濾一些不滿足要求的節(jié)點。通過Filters的機制可以提供統(tǒng)一框架，能夠修改虛擬機的創(chuàng)建流程。其實現(xiàn)流程為修改OPENSTACK的虛擬機創(chuàng)建流程，對安全管理的模塊進行調(diào)用，按照所建目標的虛擬機用戶信息來提取安全的標簽，然后和系統(tǒng)中VM UUID 構(gòu)成虛擬機的名稱。在一系列操作與配置結(jié)束以后，虛擬機創(chuàng)建流程會轉(zhuǎn)換至scheduler的進程，以便準確篩選計算節(jié)點，然后實現(xiàn)隔離控制的流程。

四、結(jié)語

綜上所述，在分析了云計算的虛擬技術(shù)安全問題后得出，要想徹底解決虛擬機安全問題，需要充分融合云計算的資源開放性與共享特點，通過云計算隔離控制、訪問控制兩種機制來確保客戶的虛擬系統(tǒng)安全性。此外，要分步實施與集中管理云計算的訪問控制系統(tǒng)，同時在云計算的資源隔離機制基礎(chǔ)上，充分實現(xiàn)云計算功能；從安全機制著手，強化云計算虛擬機的安全性，確保客戶的信息安全，避免被不法分子竊取信息。

參考文獻：

[1]喬然，胡俊，榮星.云計算客戶虛擬機間的安全機制研究與實現(xiàn)[J].計算機工程，2014（12）：26-32.

[2]房晶，吳昊，白松林.云計算的虛擬化安全問題[J].電信科學，2012（4）：135-140.