基于密码技术的虚拟化网络安全方案框架
虚拟化网络安全技术框架包括基于UKey的安全虚拟化终端、服务器端高速密码模块(ENC)虚拟化、虚拟机数据本机存储加密、虚拟机之间虚拟化网络加密(VPN)、相关密码密钥管理等关键安全机制,从源头开始,形成了基于密码技术的网络安全防护技术框架,确保了用户安全地使用云计算数据中心的计算资源。
网络安全机制设计
1.服务器端高速密码模块虚拟化
显然,服务器端的高速密码模块需要实现密码模块的虚拟化——密码模块资源池化,能够为包括管理域OS及用户虚拟化终端提供多个vENC模块,结合vKey实现用户各自的密钥管理,满足对虚拟机系统多租户的密码服务支持。具体机制说明如下:
1)虚拟机管理器(Xen)之上的管理域包含ENC的物理驱动程序(ENC真实驱动)和vENC后端驱动。每个用户虚拟化终端或虚拟化服务器系统包含vENC前端驱动,这个驱动程序与管理域的ENC驱动程序(称为准虚拟化或PV驱动程序)配合工作,实现ENC模块面向多用户虚拟机或服务器的设备虚拟支持。
2)进一步可采用一种适合服务器I/O虚拟化的Single-RootI/OVirtualization(SR-IOV)技术,允许虚拟机管理器(hypervisor)简单地将ENC虚拟功能映射到VM上,以实现本机ENC设备性能和隔离安全效果,不需要任何透传技术就能达到很高的性能。
3)ENC模块本身可以采用对多租户并发使用的密钥管理机制。通过设置可并发支持的用户密钥空间(如32组、64组用户密钥并发支持),接收来自不同用户虚拟机vKey上存放的工作密钥(U-WK)。ENC模块本身也通过证书管理系统获得自身的设备证书及公私钥对(PKENC/SK-ENC,其中私钥SK-ENC安全内置在ENC模块中)。vKey通过将U-WK基于ENC模块的公钥加密得到U-WK’=ECC(PK-ENC,U-WK)(假设采用的是ECC椭圆曲线公钥密码算法),将U-WK’置入ENC模块的用户密钥空间中,使ENC模块能够高效地实现多租户数据加密的并发支持。
2.虚拟机数据本机存储加密
虚拟化数据集中应用情况下,用户数据通过虚拟机之间的隔离机制实现了一定程度的隔离保护,但总体而言,明态存在于数据中心服务器端,这对于云服务的推广造成困难。可以采用UKey映射为相应虚拟化终端的vKey后,利用建立虚拟加密磁盘或文件系统加密(类似EFS)等机制,实现用户虚拟机终端上存储数据的本地加密。但由于采用ICA等协议映射及大量网络数据交互的原因,必然导致实际效率降低。为此,可以将vKey与服务器上的高速密码模块(ENC)结合,利用vKey管理和加载用户密钥以及ENC虚拟化后提供给用户虚拟机终端上的vENC设备,实现用户虚拟化终端本地数据存储的加密,这样存储加密效率将大为提高。
3.虚拟化网络加密VPN
如前面的需求分析,虚拟化用户终端系统彼此之间以及与虚拟化服务器系统之间的网络数据传输通过虚拟交换机进行,虽然具备和内存带宽相当的高速交换能力,但缺少机密性保护,需要从网络通信的源头——虚拟机系统,实现VPN网络加密机制,保障用户虚拟机端到端的网络通信安全,具体安全机制说明如
来源:畅享网