云計算虛擬池可信系統問題研究

◆周劍濤 杜軍龍

（江西省信息中心 江西 330000）

云計算以及虛擬儲存技術的發展，幫助企業在發展過程中能夠更加順利使用市場上的數據中心，利用數據中心的有效信息提高企業在市場上的競爭力，所以云計算服務器的安全性是目前存在的重要問題，在江西省電子政務云中，其云儲存還存在一定的安全問題，所以必須跟上時代發展的步伐構建出更加科學的云計算虛擬池可信系統，有效將云計算服務器的作用充分發揮出來。云計算數據虛擬池屬于對資源進行訪問的技術，其通過虛擬存在的物理資源，將其存在的不同邏輯展現出來，能夠讓不同的用戶需求得到滿足，成本相對較低，且簡單和方便，但是目前云服務器數據中心中還存在一定的問題，比如資源負責不均衡等，應該制定出更加科學的數據中心訪問調度的機制，才能解決這些問題，從而提高云服務器數據的使用效率。

1 構建云計算儲存模型

在云計算存儲中，其主要的構成部分包括訪問物理資源以及虛擬資源池等，在這些組成部分當中還包括了效用計算的模型等有用模型，用戶通過操作云計算服務器就能計算數據，并得到各種服務。在云計算當中，其結合了目前社會上比較先進的虛擬機技術以及網格計算等，能夠為不同的用戶提供個性化的需求服務。

云計算存儲結構模型如圖1所示。

圖1 云計算存儲結構模型

存儲層是云存儲體系結構中的最低層，NAS網絡附屬存儲設備以及PC設備等各種設備設施是物理層中使用的設備，但是因為底層設備存在于云計算中的位置以及生產廠家不相同，所以對其進行統一的集中管理需要使用儲存虛擬化技術才能完成。

在管理層中主要是對集群系統、分布式文件系統進行管理，并進行網絡計算，其主要是利用P2P技術，刪除一些重復的數據，并對數據進行加密。

應用接口主要是將訪問接口提供給基礎的管理層使用，一般使用的應用接口包括APP或者公用的API等，用戶可以通過電腦中的該接口與網絡相連接，從而擁有權限管理。

在整個云存儲體系結構當中，訪問層屬于上層結構，訪問層的主要功能就是為了給使用用戶提供空間，并擁有數據備份和維護等功能。

2 設計可信系統

2.1 設計架構

可信系統的架構中應用了比較先進的OpenStack平臺，其具有較多優點，其中包括規模大、具有可擴展性等，一共有三層系統架構，用戶可以訪問控制中心，該類平臺是私有云平臺，其主要的構成包括TPM芯片和VM虛擬機，擁有比較可靠的云節點，通過第三方實體的ETE能夠實現對控制中心的可靠訪問控制，其主要的架構如圖2所示。

圖2 可信系統架構

整個架構包括子模塊TN、控制中心CM、第三方實體。其中TN中硬件平臺使用的芯片為TPM芯片，內部設置了一個虛擬機對用戶數據鏡像進行儲存，IaaS架構是子模塊中重要的架構，組網模式為MAN-AGE，儲存模式為彈性的EBS模式在云計算安全平臺當中TN是其基礎；CM重點是接收用戶的云要求的訪問，對整個云計算平臺進行調度和控制，為用戶提供相應的虛擬訪問服務，并在子模塊中分解用戶的任務；第三方實體主要是在用戶使用過程中開展訪問監控工作，這是因為控制中心與用戶之間存在一種非可信的關系，所以用戶在使用過程中有一種加密機制，就需要數據認證中心的CD在可信節點TC當中下發用戶的簽名密鑰。

2.2 設計虛擬池

要想提高云計算可信的安全性，在本文中云平臺主要應用了OpenStack，并使用了比較科學的軟件框架，底層硬件資源、安全訪問控制層以及虛擬的APP層等構成了整個安全架構。

使用的虛擬機器軟件VirtualBox的功能就是為用戶提供各種資源，其中包括虛擬內存或者服務設備等，這些資源之間存在一定的獨立性，ACM的作用主要是保證用戶在使用過程中能擁有應急訪問控制的功能，對VM及安全開展有效的管理工作，能夠控制好虛擬機資源域，通過利用云服務器能夠讓虛擬池技術讓許多虛擬的資源映射出可信的訪問，設計的虛擬池架構如圖3所示。

圖3 虛擬池架構

云計算主要是利用消息映射功能，在虛擬池中將一些資源（儲存器、CPU等）進行了映射，用戶在虛擬池中獲取資源就等同于直接在云服務器上獲取，用戶在使用的過程中不會明顯感到云服務器的存在。將虛擬池內的資源進行分配和管理時，管理的方法主要是分級調度，進行一定的初級調度時，能夠滿足各個用戶不同的需求，而對用戶則采取分類的作業機制，讓其能夠通過初級調度就能將用戶任務映射到虛擬機中。

虛擬池的安全平臺能夠把虛擬的內核提供在每個應用當中，將硬件和軟件資源進行調度和匹配，如果某個應用模塊出現了故障或者受到了攻擊，則可以將錯誤的問題放在一個封閉的虛擬域當中，能讓整個系統平臺的運行安全得到有效保證，且積極使用安全的構架平臺還能讓用戶體驗到更加好的虛擬網絡模式以及虛擬域的管理功能等，讓云計算能夠實現真正安全訪問的目標。

3 云計算虛擬池可信系統中的詳細功能設計

3.1 虛擬域的具體設計

用戶在使用過程中申請訪問相關的虛擬空間時，需要在構架的平臺與虛擬機之間設計一條信任鏈，才能保證整個云計算虛擬池可信系統中信任鏈的完整性，所以應該積極結合完整性的度量，構建出更加完整的度量機制，不斷擴展在用戶虛擬域當中存在的信任鏈，擴展虛擬域信任鏈的方法如圖4。

圖4 虛擬域具體設計

當程序開始運行，發起了請求虛擬域信任時，就需要判斷當前的配置環境是否安全，如果配置環境處于安全領域，并且已經啟動了虛擬域，就需要重置動態的PCR，并根據環境要求構建出隔離虛擬資源的運行環境，否則就需要時在虛擬域當中構建出相關實例，讓其動態鏈加載出來，其次要使用VirtuaBoxLoade獲取到相應的加載控制，將鏡像的文件生成，把虛擬域的管理系統打開，該項軟件主要是獲取CPU的權限，讓其進行加載，由于前端程序的連接情況，所以后端驅動就會發出相應的請求；再者使用虛擬域的管理器可以獲取到公鑰，如果獲取公鑰成功，則需要對用戶的簽名進行認證，否則就需要在虛擬的管理域當中提高申請，在擁有了密鑰之后才能運行，并積極利用執行安全引導相應的模塊，從而保證運行環境的安全，最后在保證虛擬域的環境安全之后，還需要進行一定的分配工作。這樣構建出一個科學和完整的信任系統，使每一個用戶都能在使用的過程中保證云平臺使用的安全，如果用戶在操作時將當前的虛擬域懸掛，則可以通過對狀態值的設置進行修改，讓其安全性得到保證。

3.2 建立可信的路徑

為了讓云平臺得到一定的安全支持，就需要針對該平臺配置相應的系統虛擬平臺環境，構建可信系統虛擬環境主要采用了64 bit CentOS5.8與3.06HZ Dul-Cora Intel CPU進行搭建。可信系統的路徑主要是當用戶在對云平臺的硬件資源進行訪問時，首先要件使BIOS啟動，并創建出相應的引導程序把虛擬機啟動，由于用戶的需求不同，就需要根據用戶的不同需求，分配隔離的虛擬內核，在此過程中應按照相關的多級資源分配制度進行，在虛擬的安全池內隔離用戶創建的不同的應用程序，有效減少安全問題，保證用戶安全。

4 結束語

本文主要通過對云計算虛擬池可信系統的問題進行了研究。本文搭建了一個云計算的存儲模型，并以此為基礎設計了可信系統完整的架構，并以目前存在的安全問題為基礎，還設計出了一種虛擬域的信任鏈對其進行保護，且對系統啟動后的可信路徑進行了分析，保證系統在啟動之后能夠在剋性能的狀態中，對其進行深入的分析和研究可以了解到，當整個系統在啟動之后，能夠在一定程度上保證系統中存在的硬件資源、軟件資源以及虛擬機的內核等各種資源一直處于可信的狀態中，讓云計算虛擬池可信系統能充分發揮出最大的作用，最終實現了虛擬池可信系統的設計，具有較大的意義。