基于云計(jì)算技術(shù)的通信信道數(shù)據(jù)加密技術(shù)研究

劉 瑜，秦 月，申乃芝，曹曉微，張 玉

（國(guó)網(wǎng)天津市電力公司城東供電分公司，天津 300250）

0 引 言

隨著云計(jì)算的廣泛應(yīng)用，越來(lái)越多的關(guān)鍵數(shù)據(jù)被上傳到云端存儲(chǔ)和處理，這使得云計(jì)算環(huán)境的數(shù)據(jù)安全問(wèn)題日益突出。特別是通信信道中的數(shù)據(jù)安全問(wèn)題更為嚴(yán)峻，因?yàn)檫@些數(shù)據(jù)極易受到中間人攻擊，導(dǎo)致數(shù)據(jù)泄露。為保障云計(jì)算環(huán)境通信數(shù)據(jù)的機(jī)密性和完整性，通信信道數(shù)據(jù)加密技術(shù)的研究顯得尤為重要。文章在分析云計(jì)算技術(shù)和通信信道數(shù)據(jù)加密技術(shù)的基礎(chǔ)上，提出一種基于云計(jì)算環(huán)境的通信信道數(shù)據(jù)加密技術(shù)方案。該方案主要從加密算法選擇、密鑰管理、云環(huán)境安全加固以及加密性能平衡等多個(gè)層面展開(kāi)技術(shù)研究與分析。通過(guò)實(shí)驗(yàn)分析和結(jié)果討論，論證所提出方案的有效性，為云環(huán)境通信信道的數(shù)據(jù)安全保障提供切實(shí)可行的技術(shù)手段。

1 技術(shù)基礎(chǔ)

1.1 云計(jì)算技術(shù)

云計(jì)算技術(shù)的核心構(gòu)筑于先進(jìn)的虛擬化技術(shù)基礎(chǔ)之上，它巧妙地集成了廣泛分布且多樣的計(jì)算資源，實(shí)現(xiàn)了對(duì)這些資源的動(dòng)態(tài)、靈活配置與按需供給。這一理念的關(guān)鍵在于將原本獨(dú)立的計(jì)算能力、存儲(chǔ)容量以及網(wǎng)絡(luò)帶寬這3 個(gè)信息技術(shù)（Information Technology，IT）基礎(chǔ)設(shè)施支柱轉(zhuǎn)化為一種彈性、高可用的服務(wù)模式，使得用戶能夠隨需所取，便捷高效地調(diào)動(dòng)所需資源。云計(jì)算服務(wù)平臺(tái)運(yùn)用精巧的資源調(diào)度算法，在極短的時(shí)間內(nèi)能夠在成千上萬(wàn)臺(tái)物理服務(wù)器集群中管理和遷移數(shù)十萬(wàn)個(gè)虛擬機(jī)實(shí)例，從而確保整體服務(wù)性能表現(xiàn)卓越[1]。不僅如此，平臺(tái)還結(jié)合了智能的負(fù)載預(yù)測(cè)模型，預(yù)先設(shè)計(jì)并優(yōu)化虛擬機(jī)部署方案，能夠針對(duì)業(yè)務(wù)高峰期主動(dòng)出擊，通過(guò)任務(wù)拆分和資源無(wú)縫擴(kuò)展策略來(lái)應(yīng)對(duì)瞬時(shí)增長(zhǎng)的需求，確保服務(wù)連續(xù)穩(wěn)定，不受峰值流量影響。同時(shí)，為了強(qiáng)化系統(tǒng)的堅(jiān)韌性與可靠性，云計(jì)算技術(shù)采用了多重冗余機(jī)制和先進(jìn)的容錯(cuò)技術(shù)。例如，采用的數(shù)據(jù)保護(hù)措施，即使在單個(gè)硬件節(jié)點(diǎn)失效的情況下也能保障數(shù)據(jù)的完整無(wú)損；而虛擬機(jī)快照功能則賦予了系統(tǒng)回滾至特定狀態(tài)的能力，能迅速?gòu)漠惓顩r中恢復(fù)常態(tài)運(yùn)作。綜上所述，云計(jì)算技術(shù)不僅體現(xiàn)在其對(duì)計(jì)算與存儲(chǔ)功能的高度虛擬化，還包括了智能化與自動(dòng)化管理、強(qiáng)大的橫向與縱向擴(kuò)展性，以及卓越的高可靠性設(shè)計(jì)等多個(gè)層面。這些特質(zhì)共同構(gòu)成了一個(gè)堅(jiān)實(shí)的基礎(chǔ)架構(gòu)，有力支撐起諸如通信信道數(shù)據(jù)加密與解密等復(fù)雜運(yùn)算任務(wù)的安全高效執(zhí)行。

1.2 通信信道數(shù)據(jù)加密技術(shù)

通信信道數(shù)據(jù)加密技術(shù)通過(guò)數(shù)學(xué)算法，將明文轉(zhuǎn)換為密文，防止無(wú)授權(quán)的第三方獲得通信數(shù)據(jù)。其中，對(duì)稱加密算法利用單鑰加密和解密，運(yùn)算效率高但密鑰分發(fā)和管理復(fù)雜；公開(kāi)密鑰加密算法使用雙鑰，公鑰用于加密，私鑰用于解密，簡(jiǎn)化密鑰分發(fā)但運(yùn)算復(fù)雜度較高。為平衡效率與安全性，通常將對(duì)稱加密與公開(kāi)密鑰加密相結(jié)合，例如使用高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）對(duì)會(huì)話密鑰加密，再用會(huì)話密鑰加密通信數(shù)據(jù)[2]。除算法外，其他安全機(jī)制也至關(guān)重要，如散列函數(shù)保證數(shù)據(jù)完整性，數(shù)字簽名防止身份偽造。總體而言，通信信道數(shù)據(jù)加密技術(shù)需要考量加密強(qiáng)度、性能開(kāi)銷、可管理性等指標(biāo)，在云計(jì)算環(huán)境中，還需考慮虛擬化層網(wǎng)絡(luò)的安全性、多租戶資源隔離等問(wèn)題。只有正確配置和優(yōu)化這些技術(shù)，才能構(gòu)建高效安全的云上加密通信系統(tǒng)。

2 基于云計(jì)算技術(shù)的通信信道數(shù)據(jù)加密技術(shù)

2.1 加密算法選擇與優(yōu)化

鑒于AES 算法的高安全性與性能，選擇AES 作為通信數(shù)據(jù)對(duì)稱加密算法。但由于云計(jì)算環(huán)境并發(fā)請(qǐng)求量大，AES 直接加密無(wú)法滿足性能需求。此外，采用流加密模式，即密碼反饋模式，其通過(guò)前一個(gè)密文塊反饋來(lái)隱藏當(dāng)前明文模式，即使單塊被破解也難以破譯后續(xù)數(shù)據(jù)。同時(shí)，采納AES-NI 指令集擴(kuò)展來(lái)提高運(yùn)算效率，并通過(guò)AVX2 指令實(shí)現(xiàn)256 位數(shù)據(jù)的并行處理能力。在編譯過(guò)程中，優(yōu)化級(jí)別被設(shè)定為O3（高級(jí)優(yōu)化），以全面激活所有速度優(yōu)化功能，確保加密運(yùn)算的快速執(zhí)行[3]。實(shí)驗(yàn)結(jié)果顯示，優(yōu)化后的AES在2.4 GHz 處理器上可達(dá)到8.5 GB/s 的吞吐率，滿足千兆網(wǎng)卡飽和傳輸?shù)募用苄枨蟆Ｔ摷夹g(shù)還通過(guò)密鑰更新與輪換技術(shù)增強(qiáng)算法抗破解能力，并構(gòu)建基于AES算法的混合加密機(jī)制，即數(shù)據(jù)包頭與重要控制信息采用RSA 算法加密，數(shù)據(jù)體采用AES 算法加密，實(shí)現(xiàn)安全性與效率的最佳平衡。

2.2 密鑰管理與分發(fā)

本研究構(gòu)建了一套面向云環(huán)境的分層密鑰管理體系。在公有云上，架設(shè)可信第三方密鑰管理平臺(tái)，通過(guò)硬件安全模塊存儲(chǔ)根密鑰，并動(dòng)態(tài)生成RSA 公私鑰對(duì)。公鑰下發(fā)至租戶管理平臺(tái)，而私鑰存儲(chǔ)于硬件安全模塊中。租戶管理平臺(tái)根據(jù)訪問(wèn)控制策略，下發(fā)會(huì)話密鑰與用戶。具體而言，采用2 048 位RSA 算法對(duì)128 位會(huì)話密鑰加密，配送至在線用戶，有效期為當(dāng)前會(huì)話。用戶取得會(huì)話密鑰后，通信雙方利用AES 對(duì)話密鑰協(xié)商與更新協(xié)議建立安全通道。此外，本體系引入?yún)^(qū)塊鏈技術(shù)去中心化保存密鑰版本管理與關(guān)鍵操作日志，保證不可篡改。多方計(jì)算技術(shù)用于斷電前密鑰分片摧毀，避免密鑰泄露。整體上看，該分層密鑰體系充分利用云計(jì)算的可擴(kuò)展與分布特性，協(xié)同硬件安全模塊構(gòu)建高強(qiáng)度密鑰保護(hù)網(wǎng)，適應(yīng)云計(jì)算環(huán)境的通信安全與性能需求。

2.3 云計(jì)算環(huán)境的安全性加固

為增強(qiáng)云計(jì)算環(huán)境通信數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性，本研究從云平臺(tái)和虛擬化層兩個(gè)方面進(jìn)行架構(gòu)優(yōu)化與安全加固。在物理服務(wù)器端，采用可信平臺(tái)模塊（Trusted Platform Module，TPM）與基本輸入/輸出系統(tǒng)（Basic Input/Output System，BIOS）級(jí)Root of Trust 技術(shù)，檢測(cè)虛擬機(jī)監(jiān)控程序、虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）與硬件固件的完整性，阻止非授權(quán)修改與運(yùn)行。在虛擬機(jī)內(nèi)部，嵌入高速硬件密碼模塊，為通信應(yīng)用提供硬件輔助的加密與解密、會(huì)話密鑰保護(hù)與用戶身份鑒別功能。同時(shí)，引入ARM Trust Zone 技術(shù)在物理服務(wù)器上構(gòu)建可信執(zhí)行環(huán)境，使云管理組件運(yùn)行其中，增強(qiáng)對(duì)虛擬層活動(dòng)的監(jiān)控與控制能力[4]。此外，本方案設(shè)計(jì)實(shí)時(shí)態(tài)勢(shì)感知模型被動(dòng)監(jiān)測(cè)虛擬機(jī)與物理機(jī)運(yùn)行狀態(tài)，有效檢測(cè)潛在的旁路攻擊，其數(shù)學(xué)表達(dá)為

式中：MencryptedFlow和MdecryptedFlow分別表示入站和出站流量的實(shí)時(shí)監(jiān)控值；MTSSL和MRPMC分別表示密文傳輸鏈路狀態(tài)和敏感資源使用狀況的監(jiān)測(cè)指標(biāo)；α、β、γ和δ表示權(quán)重系數(shù)。該模型全面反映云平臺(tái)運(yùn)行安全狀態(tài)，為保障云上安全通信奠定堅(jiān)實(shí)基礎(chǔ)。

2.4 加密性能與效率的平衡

為實(shí)現(xiàn)云計(jì)算環(huán)境大規(guī)模并發(fā)加密通信所面臨的高性能與高效率雙重需求，本研究著眼于算法優(yōu)化與虛擬化層優(yōu)化2 個(gè)關(guān)鍵方面展開(kāi)技術(shù)攻關(guān)。在算法方面，通過(guò)引入512 位單指令多數(shù)據(jù)（Single Instruction Multiple Data，SIMD）向量處理器與基于ThreeFish 分組密碼結(jié)構(gòu)的優(yōu)化思路，成功將AES-256 位算法的并行解密吞吐率提高至16.2 Gb/s，滿足100 GE 網(wǎng)絡(luò)接口的實(shí)時(shí)編碼需求；同時(shí)，針對(duì)RSA 算法中計(jì)算瓶頸的快速冪取余運(yùn)算，采用隨機(jī)抽樣、預(yù)計(jì)算、存儲(chǔ)中間變量的方式，提高了2 048 位密鑰模指數(shù)運(yùn)算的效率，降低加密解密的響應(yīng)時(shí)延。通過(guò)將零拷貝技術(shù)與會(huì)話邊界硬件虛擬化技術(shù)相結(jié)合，虛擬化環(huán)境中可以避免在虛擬機(jī)與虛擬化層之間進(jìn)行上下文切換的耗時(shí)操作。這種方法直接創(chuàng)建了用戶空間應(yīng)用程序與底層物理網(wǎng)絡(luò)接口卡之間的數(shù)據(jù)通道，從而顯著加快網(wǎng)絡(luò)數(shù)據(jù)包的加解密處理速度，并大幅減少數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧中的往返延遲。此外，這一技術(shù)還能提升云主機(jī)內(nèi)核對(duì)加密任務(wù)的有效調(diào)度與執(zhí)行性能。綜上所述，本研究從算法、網(wǎng)絡(luò)、虛擬化等不同層面采取并行化、流水線、零拷貝等手段，為基于云計(jì)算基礎(chǔ)設(shè)施構(gòu)建高吞吐、低延時(shí)的通信數(shù)據(jù)加密體系奠定基礎(chǔ)，使之能適應(yīng)大規(guī)模商業(yè)部署的需求。本研究所提出的優(yōu)化策略充分兼顧安全性、功能性以及效率性，有效平衡了云端加密處理的性能與開(kāi)銷，為下一步量化仿真實(shí)驗(yàn)驗(yàn)證與優(yōu)化提供堅(jiān)實(shí)的技術(shù)基礎(chǔ)[5]。

3 實(shí)驗(yàn)分析與實(shí)證研究

3.1 實(shí)驗(yàn)設(shè)計(jì)

為評(píng)估所設(shè)計(jì)通信信道數(shù)據(jù)加密方案的有效性，本研究搭建了實(shí)際的測(cè)試平臺(tái)。測(cè)試環(huán)境采用了開(kāi)源的OpenStack 云操作系統(tǒng)作為管理基礎(chǔ)設(shè)施，并參考了可信計(jì)算組的分布式集成可信計(jì)算環(huán)境（Distributed Integrated Computing Environment，DICE）體系結(jié)構(gòu)規(guī)范進(jìn)行加固，從而增強(qiáng)了測(cè)試云平臺(tái)的安全防護(hù)能力。實(shí)驗(yàn)平臺(tái)包含4 臺(tái)物理服務(wù)器節(jié)點(diǎn)，每臺(tái)服務(wù)器運(yùn)行雙路12 核Intel Xeon Gold 6226R 處理器，配置了512 GB內(nèi)存及100 Gb/s 高速網(wǎng)卡，服務(wù)器之間通過(guò)總帶寬達(dá)400 Gb/s 的高端交換機(jī)相連。另外定制了4 核vCPU、16 GB 內(nèi)存、50 Gb/s 網(wǎng)卡帶寬的虛擬機(jī)，以容納測(cè)試程序并生成網(wǎng)絡(luò)通信流量。測(cè)試用例覆蓋小文件傳輸與大文件傳輸場(chǎng)景，文件類型包含結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)，傳輸協(xié)議使用傳輸控制協(xié)議（Transmission Control Protocol，TCP）與用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP）。測(cè)試工具在客戶端虛擬機(jī)內(nèi)部署，以10 s 為一個(gè)周期進(jìn)行數(shù)據(jù)采集，自動(dòng)化框架保證長(zhǎng)期穩(wěn)定性。監(jiān)控指標(biāo)主要包括吞吐量、延遲、中央處理器（Central Processing Unit，CPU）開(kāi)銷、內(nèi)存開(kāi)銷分布情況。為全面驗(yàn)證方案健壯性，測(cè)試腳本將在不同時(shí)間段啟動(dòng)不同數(shù)量的虛擬機(jī)進(jìn)行數(shù)據(jù)傳輸，設(shè)置不同帶寬限制和丟包參數(shù)，對(duì)通信信道的加解密操作產(chǎn)生不同負(fù)載壓力。預(yù)計(jì)測(cè)試周期為1 個(gè)月，最終采用吞吐量提升比、性能開(kāi)銷降低比等指標(biāo)評(píng)估優(yōu)化效果。

3.2 結(jié)果分析與討論

經(jīng)過(guò)為期一個(gè)月的多場(chǎng)景測(cè)試，所設(shè)計(jì)的面向云環(huán)境的通信數(shù)據(jù)加密方案展現(xiàn)了出色的性能和安全保障能力，測(cè)試結(jié)果如表1 所示。在保證高加密強(qiáng)度和數(shù)據(jù)完整性檢驗(yàn)的前提下，該方案實(shí)現(xiàn)的加解密吞吐量相比原始云計(jì)算環(huán)境整體提高了約22.4%。這主要?dú)w因于高效AES 并行算法的引入，以及虛擬化和網(wǎng)絡(luò)層面的優(yōu)化，使得數(shù)據(jù)在云上加密、傳輸、解密等鏈路上的并發(fā)處理能力顯著增強(qiáng)。此外，傳輸時(shí)延降低19.6%的同時(shí)，僅增加4.5%的CPU 資源開(kāi)銷和6.2%的內(nèi)存資源開(kāi)銷，資源消耗極為適度。該成果可以歸因于流水線運(yùn)算與零拷貝傳輸?shù)炔呗缘膬?yōu)化，充分發(fā)揮了云計(jì)算的并行分布特性，高效整合了計(jì)算與網(wǎng)絡(luò)資源。綜上可見(jiàn)，該方案不僅可靠保障了數(shù)據(jù)安全，還大幅提升了云環(huán)境下的加密通信性能，實(shí)現(xiàn)了高標(biāo)準(zhǔn)安全性與高實(shí)用性的最佳平衡，完全滿足了大規(guī)模商業(yè)化部署對(duì)并發(fā)與效率的需求，成果突出。

表1 測(cè)試結(jié)果匯總

4 結(jié) 論

基于云計(jì)算環(huán)境的通信信道數(shù)據(jù)加密面臨效率與安全性的雙重挑戰(zhàn)。為解決這個(gè)問(wèn)題，本研究深入分析了云計(jì)算和加密技術(shù)的發(fā)展現(xiàn)狀，設(shè)計(jì)了一整套通信數(shù)據(jù)的端到端加密方案。該方案從算法優(yōu)化、密鑰管理、云平臺(tái)安全加固等多個(gè)層面入手，采取各種手段減少加密操作的性能開(kāi)銷。通過(guò)搭建測(cè)試環(huán)境并開(kāi)展長(zhǎng)期試驗(yàn)，對(duì)所設(shè)計(jì)方案進(jìn)行全面驗(yàn)證，結(jié)果表明充分證明了該技術(shù)方案能夠滿足大規(guī)模商用環(huán)境下的性能、安全與管理要求，實(shí)現(xiàn)高效率與高安全性的最佳平衡。總體上看，本研究為基于云計(jì)算平臺(tái)構(gòu)建高性能、可管理、安全保障的通信系統(tǒng)奠定了堅(jiān)實(shí)基礎(chǔ)。后續(xù)工作將致力于進(jìn)一步提升加密通信的性能，并加強(qiáng)實(shí)際業(yè)務(wù)中的技術(shù)應(yīng)用。