一種基于安全管控器的桌面云平臺*

唐 娟，戚建淮,2，宋 晶,2，劉建輝，鄭偉范,2

0 引 言

隨著應用需求的發展，人們對信息系統的要求越來越高。傳統的計算機PC終端集成多種接口和獨立的計算和存儲資源，導致諸多弊端和不足。例如，難以避免非法入侵，多數PC終端資源大部分時間處于閑置狀態等，不僅耗電，而且沒有發揮相應的作用。云計算技術通過將計算資源部署在云服務端，對上述現狀進行了改進。開放的網絡環境為云計算用戶提供了強大的計算和存儲能力，已逐漸得到廣泛應用。云計算技術的應用產品主要包含3個方面：存儲云、桌面云以及應用云[1]。其中，桌面云是將用戶的桌面環境及應用部署到云數據中心，用戶端只需要具有輸入和輸出顯示的瘦客戶機終端，從而使得用戶可以通過客戶機終端訪問部署在云端的各種應用、服務或數據。在典型的桌面云環境中，用戶體驗和電腦使用保持一致。此外，用戶還可以通過任何設備，任何地點、任何時間訪問其個人桌面。桌面云的商業軟件產品主要有Citrix XenDesktop[2]、VMware ESXi、Microsoft Hyper-V 和Redhat Hypervisor[3]等。

隨著云計算技術的飛速發展，它的安全性問題日益凸顯[4-6]。桌面云作為用戶主要的登錄入口和操作終端，其安全問題引起了廣泛關注，陸續提出了多種安全防護方案，如端到端的防御框架、用戶名+域密碼認證方案、USB Key、指紋認證、安全域隔離等[7-8]。這些方法的安全策略和措施分散在不同的設備或模塊中，如防火墻、認證模塊等，系統配置復雜，網絡部署需要較多設備。

本文基于安全管控器，將各種安全網關、安全認證和訪問控制等安全功能集成在一個管控系統中，提出了一種新型的桌面云平臺。該平臺實現了計算、網絡、存儲資源集中共享、云數據中心統一調度管理，提高了桌面云的安全性、可靠性和運行效率，可幫助企業增強信息安全，實現高效運維、靈活辦公，同時提高業務的可靠性。

1 桌面云的設計與實現

1.1 桌面云設計需求

安全性需要具有防篡改、防抵賴、防竊取、防攻擊的要求，具體如表1所示。

表1 桌面云安全性需求表

高可用性。數據庫采用集群方式，部署2臺web服務器，由Nginx提供負載均衡，負載策略為src ip hash。

可伸縮性。在對架構改動最小的前提下，通過增加硬件的方式，達到更大的系統吞吐量。

1.2 桌面云邏輯架構設計

根據系統資源虛擬化及終端有無主機的考慮，桌面云平臺的邏輯架構主要包括終端接入層、服務器虛擬化層、桌面虛擬化管理層以及物理資源層4個層面。桌面云總體邏輯架構設計如圖1所示，其中每個層面完成的主要功能如下。

圖1 桌面云總體邏輯架構設計

終端接入層：支持多種接入方式，包括手機、平板、PC機和瘦客戶機等。

虛擬桌面層：按照用戶需求，構建桌面資源、桌面資源調度、分配、接入控制。

虛擬機計算存儲資源層：由Open stack負責完成資源的統一管理。

物理資源層：利用現有的物理資源，形成云服務的基礎設施。

1.3 桌面云物理架構設計

桌面云的物理架構設計如圖2所示，主要由桌面管理服務、安全接入管控器和瘦客戶機等組成。

桌面管理服務完成桌面池、元主機、桌面模版的管理、桌面的分配、桌面連接通道的建立。按照Open stack組件開發標準，實現桌面的服務；提供命令行與SDK兩種接口。安全接入管控器通過桌面管理服務的API接口，完成對桌面的獲取。管理節點與安全接入管控器的邏輯框圖，如圖3所示。

圖2 桌面云物理架構設計

圖3 管理節點邏輯

安全接入管控器具有終端的統一認證與接入功能，Spice協議的接入通過代理完成IP tables上動態DNAT的規則部署。同時，安全接入管控器具有桌面的配置管理操作，其邏輯框圖如圖4所示。

圖4 安全接入管控器邏輯

瘦客戶機完成終端的瘦身處理，可提供定制化個性服務，且ARM和x86提供多性價產品，而CPU、內存根據不同的應用場景進行定制。具有的主要功能包括：智能的帶寬調整，滿足用戶流暢的操作體驗；支持所有視頻格式/編解碼器；雙向音頻/視頻；原生幀率回播（流式傳輸或本地）；音畫同步，使音頻和視頻保持同步；動態圖像壓縮等。 具體實現框架，如圖5所示。

圖5 瘦客戶機框架

不僅如此，為滿足客戶利舊的需求，安全桌面云具有Desktop客戶端軟件，提供軟件方式接入桌面。需說明，它只體現在外觀形態的差別，功能與瘦客戶機的功能一致。

2 桌面云的技術選型

桌面云平臺實現的技術選型如表2所示。

表2 技術選型

3 桌面云的特點

基于上述設計與實現過程以及平臺的技術選型結果，以此實現的桌面云平臺具有如下特點。

基于Open stack的組件式框架，后端桌面服務沿用Openstack的組件結構，組件之間采用消息隊列（rabbit-mq server）進行消息交互；后端桌面服務認證授權控制采用keystone，與Open stack現有認證框架保持一致。

Web服務采用Zope作為web中間件，采用Router接口方式作為配置管理界面與后臺之間的交互協議。Router接口比Open stack的接口擴展更方便，接口參數的數據格式也更靈活。

4 結 語

桌面云作為云計算應用的主要方向之一，具有終端資源簡化、系統配置優化、易于運維管理等特點，目前得到了廣泛應用。隨著桌面云應用的不斷擴展，它的安全問題成為人們關注的焦點。傳統桌面云安全解決方案將安全策略、功能等分散于不同設備和模塊，配置和管理復雜。本文將各種安全網關、安全認證和訪問控制等安全功能集成在一個安全管控器系統中，提出了一種新型的桌面云平臺。該平臺實現了計算、網絡、存儲資源集中共享、云數據中心統一調度管理等，提高了桌面云平臺的安全性、可靠性和運行效率，可以廣泛應用于教育、辦公、政務、管理等系統。

[1] 蔣建軍,丁志峰.基于云技術的計算模式及其實現[J].計算機應用與軟件,2016,33(06):84-87.JIANG Jian-jun,DING Zhi-feng.Cloud Technology Based Computing Model and Its Implementation[J].Computer Applications and Software,2016,33(06):84-87.

[2] Barham P,Dragovic B,Fraser K,et al.Xen and the Art of Virtualization[C].Proceedings of the 19th ACM Symposium on Operating Systems Principles,2003:164-177.

[3] Kivity A,Kamay Y,Laor D,et al.KVM:the Linux Virtual Machine Monitor[C].Proceedings of the 2007 Ottawa Linux Symposium.Ottawa,2007:225-230.

[4] 張玉清,王曉菲,劉雪峰等.云計算環境安全綜述[J].軟件學報,2016,27(06):1328-1348.ZHANG Yu-qing,WANG Xiao-fei,LIU Xxiao-feng,et al.Survey on Cloud Computing Security[J].Journal of Software,2016,27(06):1328-1348.

[5] Bodkhe A P,Dhote C A.Cloud Computing Security:An Issue of Concern[J].Int’l Journal of Advanced Research in Computer Science and Software Engineering,2015,5(04):1337-1342.

[6] Ali M,Khan S U,Vasilakos A V.Security in Cloud Computing:Opportunities and Challenges[J].Information Sciences,2015(305):357-383.

[7] 王永建,朱紀周,楊建華等.桌面云安全防護體系研究[J].信息安全研究,2017,3(05):432-439.WANG Yong-jian,ZHU Ji-zhou,YANG Jianhua,et al.Study of Security Protection System in Desktop Cloud[J].Journal of Information Security Research,2017,3(05):432-439.

[8] 韓同欣,李楠.桌面云技術在辦公環境中的應用[J].計算機與網絡,2015,41(24):38-39.HAN Tong-xin,LI Nan.The Application of Desktop Cloud Technology on Office Environment[J].Journal of Computer and Network,2015,41(24):38-39.