引言

    “云”就像一個(gè)龐大的資源池，為客戶提供許多功能強(qiáng)大、使用方便的服務(wù)。但是在云計(jì)算帶來(lái)諸多好處之時(shí)，在云安全方面也面臨許多挑戰(zhàn)。在本文中，提出了一種將MPLS（Multi Protocol LabelSwitching，多協(xié)議標(biāo)簽交換）技術(shù)應(yīng)用于云計(jì)算中用干提高云安全性能的方法。

1 云計(jì)算

    目前對(duì)于云計(jì)算的定義較多，尚無(wú)統(tǒng)一定論。在本文中采用如下定義：云計(jì)算是一種商業(yè)模型，它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使用戶能夠按需獲取計(jì)算能力、存儲(chǔ)空間和信息服務(wù)。

    云計(jì)算通常基于以下三層結(jié)構(gòu)，即SaaS（Software asa Service．軟件服務(wù)）、PaaS（Platform as Service，平臺(tái)服務(wù)）、IaaS（Infrastructure asa Service，基礎(chǔ)設(shè)施服務(wù)）三層。SaaS提供一種用戶通過(guò)瀏覽器便可享受的云服務(wù)，用戶只要按使用量付費(fèi)即可，不需安裝任何軟、硬件。PaaS為用戶提供一系列平臺(tái)，如SDK（SoftwareDevelopment Kit，軟件開發(fā)工具）等，用戶可以方便的在上面進(jìn)行程序編寫和應(yīng)用部署，并且用戶無(wú)需為服務(wù)器、存儲(chǔ)及網(wǎng)絡(luò)資源的的運(yùn)維操心。IaaS為用戶提供計(jì)算或存儲(chǔ)資源，使用戶借以裝載相關(guān)應(yīng)用，并且這些資源的管理工作由云供應(yīng)商負(fù)責(zé)。

2 MPLS技術(shù)

    MPLS技術(shù)是一種通過(guò)標(biāo)簽標(biāo)記實(shí)現(xiàn)數(shù)據(jù)快速轉(zhuǎn)發(fā)的技術(shù)。在傳統(tǒng)方法中，路由對(duì)數(shù)據(jù)包頭的lP地址進(jìn)行分析來(lái)決定下一跳并進(jìn)行轉(zhuǎn)發(fā)。但由于地址較長(zhǎng)，轉(zhuǎn)發(fā)速度較慢。在MPLS網(wǎng)中，一旦數(shù)據(jù)包進(jìn)入LER(Lahel Edge Router，標(biāo)簽邊緣路由）就會(huì)為數(shù)據(jù)包標(biāo)記標(biāo)簽，之后根據(jù)標(biāo)簽來(lái)確定數(shù)據(jù)包的下一路徑，這樣只讀取數(shù)據(jù)包標(biāo)簽，而不必讀取每個(gè)數(shù)據(jù)包的IP地址，便大大的提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。同時(shí)MPLS網(wǎng)會(huì)將有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類，稱為FEC（Forwarding Equivalance Claas，轉(zhuǎn)發(fā)等價(jià)類），同一組FEC在MPLS云中將獲得相同的處理。同時(shí)由幀中繼及ATM（Asynchronous Transfer Mode，異步傳輸模式）交換機(jī)提供的QoSI Quality of Service，服務(wù)質(zhì)量）對(duì)所轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行分級(jí)，進(jìn)一步提升網(wǎng)絡(luò)服務(wù)質(zhì)量和服務(wù)的多樣化。MPLS的另一個(gè)優(yōu)點(diǎn)在于它對(duì)數(shù)據(jù)隱私的保護(hù)。在MPLS網(wǎng)絡(luò)中，路由唯一可見的就是數(shù)據(jù)包上攜帶的標(biāo)簽，而不會(huì)對(duì)數(shù)據(jù)包的負(fù)載內(nèi)容及相應(yīng)的IP控制信息進(jìn)行分析，甚至在有必要的情況下，還可以對(duì)這些數(shù)據(jù)進(jìn)行加密。

3 基于MPLS技術(shù)的云架構(gòu)

    IaaS層的安全機(jī)制通過(guò)接口技術(shù)描述了對(duì)云端與客戶端的連接進(jìn)行控制的必要性，但卻沒(méi)有定義一個(gè)子層對(duì)云中的兩個(gè)雙向通信的實(shí)體間的連接進(jìn)行控制，這便導(dǎo)致實(shí)體間的通信并不可靠。所以本文通過(guò)在IaaS層中增加一個(gè)子層CaaS( Communication as a Service，通信服務(wù))層來(lái)確保兩個(gè)實(shí)體間通信的安全性，這個(gè)子層模型是建立在MPLS技術(shù)基礎(chǔ)上的。通過(guò)將MPLS技術(shù)運(yùn)用到CaaS層中則可以提高“云”中數(shù)據(jù)傳輸?shù)陌踩�性及可靠性，并且能夠有效預(yù)防DDoS等攻擊。CaaS層嵌入到IaaS層中的結(jié)構(gòu)如圖1所示。

圖1 CaaS層嵌入到IaaS層中結(jié)構(gòu)

    CaaS子層中，主要包含以下功能：

    初始化：初始化包含兩個(gè)過(guò)程。首先會(huì)將虛擬邏輯分區(qū)內(nèi)的CPU初始化得到一個(gè)32bit的隨機(jī)數(shù)字，這個(gè)之后會(huì)通過(guò)AES（Advanced Encryption Standard，高級(jí)加密標(biāo)準(zhǔn)J形成一個(gè)l28bit的會(huì)話密鑰。一個(gè)密鑰將只對(duì)應(yīng)一個(gè)邏輯分區(qū)。然后，再對(duì)網(wǎng)絡(luò)進(jìn)行初始化后開始CE（Customer Edge，用戶邊緣設(shè)備）之間的通信。

    協(xié)議認(rèn)證：在MPLS網(wǎng)絡(luò)中的路由對(duì)相互之間傳送的數(shù)據(jù)包進(jìn)行校驗(yàn)。MPLS網(wǎng)絡(luò)中的攻擊一般發(fā)生在對(duì)數(shù)據(jù)包進(jìn)行標(biāo)簽標(biāo)記時(shí)，所以只有當(dāng)數(shù)據(jù)包經(jīng)過(guò)認(rèn)證后才能進(jìn)行標(biāo)記。路由器通過(guò)認(rèn)證協(xié)議來(lái)識(shí)別路由和路徑。這為未知網(wǎng)絡(luò)之間建立了可靠的識(shí)別機(jī)制，從未知網(wǎng)絡(luò)傳輸過(guò)來(lái)的數(shù)據(jù)包一旦未通過(guò)驗(yàn)證就會(huì)被丟棄，這就大大減少了發(fā)生攻擊的危險(xiǎn)。

    密鑰交換：IKE（Internet Key，密鑰交換）為兩個(gè)需要進(jìn)行通信的云用戶間或云用戶與云供應(yīng)商間建立一種關(guān)聯(lián)SA（SecurityAssociation，安全關(guān)聯(lián)），同時(shí)負(fù)責(zé)密鑰的生成與管理。SA可對(duì)兩個(gè)通信主體間的協(xié)議進(jìn)行編碼，以確認(rèn)它們使用何種算法、密鑰及密鑰的長(zhǎng)度。IKE建立SA分兩階段來(lái)完成：第一階段先在兩個(gè)通信主體之間建立一個(gè)通信信道并對(duì)該信道進(jìn)行認(rèn)證，第二階段則通過(guò)已建立的通信信道建立SA。SA存在一個(gè)生命周期，當(dāng)會(huì)話密鑰超時(shí)，就會(huì)向?qū)Ψ街鳈C(jī)發(fā)送一個(gè)第一階段SA刪除命令，然后雙方重新進(jìn)行SA協(xié)商。密鑰的周期性決定了超過(guò)一定時(shí)間限制，一定會(huì)生成新的密鑰，這便大大增強(qiáng)了密鑰的健壯性與可靠性。這也是在云計(jì)算中使用密鑰交換的一個(gè)重要原因。

    建立通信：CE之間的連接通過(guò)標(biāo)簽邊緣路由進(jìn)行建立。在MPLS網(wǎng)絡(luò)中，LSP（Labelb Switch Path，標(biāo)簽交換路徑）是由兩個(gè)端點(diǎn)間的標(biāo)記所決定的，分為動(dòng)態(tài)LSP和靜態(tài)LSP兩類。動(dòng)態(tài)LSP是由路由信息生成的，而靜態(tài)LSP是指定的。邏輯分區(qū)使用AES算法對(duì)數(shù)據(jù)進(jìn)行加密這種加密是基于ECB( Electronic Code Book，電子源碼書)模式的，通過(guò)這種模式，數(shù)據(jù)流會(huì)快速傳送給云用戶。加密使用的是一次性密鑰，即使數(shù)據(jù)包被探測(cè)到也很難對(duì)其解密，使得數(shù)據(jù)的安全性得到充分保證。

    會(huì)話終止：當(dāng)云用戶結(jié)束通信時(shí)，會(huì)話會(huì)自動(dòng)終止，云供應(yīng)商將根據(jù)云用戶在會(huì)話期間使用的服務(wù)進(jìn)行收費(fèi)。同時(shí)，MPLS網(wǎng)絡(luò)中的通信資源及虛擬處理器中的緩存數(shù)據(jù)將會(huì)釋放。（圖2）

4 總結(jié)和展望

    安全性是企業(yè)是否選擇移師云計(jì)算所要考慮的首要問(wèn)題。我們通過(guò)在IaaS層中增加CaaS子層來(lái)預(yù)防這些潛在的安全隱患，包括對(duì)DDoS攻擊的預(yù)防。CaaS層也是按服務(wù)使用量來(lái)計(jì)費(fèi)的，它用于保障云計(jì)算的服務(wù)質(zhì)量及數(shù)據(jù)傳輸可靠性。目前，云安全仍處在發(fā)展階段，相信隨著云安全體系的不斷發(fā)展及各大安全廠商的技術(shù)創(chuàng)新，云安全會(huì)進(jìn)一步發(fā)展以滿足用戶的安全需求。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：多協(xié)議標(biāo)簽交換技術(shù)在云安全中的應(yīng)用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112156160.html