MPLS技術(shù)在云計(jì)算安全中的應(yīng)用

云計(jì)算是一種將存儲(chǔ)和計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上的計(jì)算模型，本文先對(duì)云計(jì)算的三層結(jié)構(gòu)模型及多協(xié)議標(biāo)簽交換技術(shù)進(jìn)行了介紹，然后提出了一種基于多協(xié)議標(biāo)簽交換技術(shù)的第四層結(jié)構(gòu)，用于保障云計(jì)算中數(shù)據(jù)傳輸?shù)目煽啃?，在最后，?duì)該層功能進(jìn)行了描述并給出了相應(yīng)的流程圖。

　　引言

　　“云”就像一個(gè)龐大的資源池，為客戶(hù)提供許多功能強(qiáng)大、使用方便的服務(wù)。但是在云計(jì)算帶來(lái)諸多好處之時(shí)，在云安全方面也面臨許多挑戰(zhàn)。在本文中，提出了一種將MPLS（Multi Protocol LabelSwitching,多協(xié)議標(biāo)簽交換）技術(shù)應(yīng)用于云計(jì)算中用干提高云安全性能的方法。

　　1 云計(jì)算

　　目前對(duì)于云計(jì)算的定義較多，尚無(wú)統(tǒng)一定論。在本文中采用如下定義：云計(jì)算是一種商業(yè)模型，它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使用戶(hù)能夠按需獲取計(jì)算能力、存儲(chǔ)空間和信息服務(wù)。

　　云計(jì)算通?；谝韵氯龑咏Y(jié)構(gòu)，即SaaS（Software asa Service.軟件服務(wù)）、PaaS（Platform as Service,平臺(tái)服務(wù)）、IaaS（Infrastructure asa Service,基礎(chǔ)設(shè)施服務(wù)）三層。SaaS提供一種用戶(hù)通過(guò)瀏覽器便可享受的云服務(wù)，用戶(hù)只要按使用量付費(fèi)即可，不需安裝任何軟、硬件。PaaS為用戶(hù)提供一系列平臺(tái)，如SDK（SoftwareDevelopment Kit,軟件開(kāi)發(fā)工具）等，用戶(hù)可以方便的在上面進(jìn)行程序編寫(xiě)和應(yīng)用部署，并且用戶(hù)無(wú)需為服務(wù)器、存儲(chǔ)及網(wǎng)絡(luò)資源的的運(yùn)維操心。IaaS為用戶(hù)提供計(jì)算或存儲(chǔ)資源，使用戶(hù)借以裝載相關(guān)應(yīng)用，并且這些資源的管理工作由云供應(yīng)商負(fù)責(zé)。

　　2 MPLS技術(shù)

　　MPLS技術(shù)是一種通過(guò)標(biāo)簽標(biāo)記實(shí)現(xiàn)數(shù)據(jù)快速轉(zhuǎn)發(fā)的技術(shù)。在傳統(tǒng)方法中，路由對(duì)數(shù)據(jù)包頭的lP地址進(jìn)行分析來(lái)決定下一跳并進(jìn)行轉(zhuǎn)發(fā)。但由于地址較長(zhǎng)，轉(zhuǎn)發(fā)速度較慢。在MPLS網(wǎng)中，一旦數(shù)據(jù)包進(jìn)入LER（Lahel Edge Router,標(biāo)簽邊緣路由）就會(huì)為數(shù)據(jù)包標(biāo)記標(biāo)簽，之后根據(jù)標(biāo)簽來(lái)確定數(shù)據(jù)包的下一路徑，這樣只讀取數(shù)據(jù)包標(biāo)簽，而不必讀取每個(gè)數(shù)據(jù)包的IP地址，便大大的提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。同時(shí)MPLS網(wǎng)會(huì)將有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類(lèi)，稱(chēng)為FEC（Forwarding Equivalance Claas,轉(zhuǎn)發(fā)等價(jià)類(lèi)），同一組FEC在MPLS云中將獲得相同的處理。同時(shí)由幀中繼及ATM（Asynchronous Transfer Mode,異步傳輸模式）交換機(jī)提供的QoSI Quality of Service,服務(wù)質(zhì)量）對(duì)所轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行分級(jí)，進(jìn)一步提升網(wǎng)絡(luò)服務(wù)質(zhì)量和服務(wù)的多樣化。MPLS的另一個(gè)優(yōu)點(diǎn)在于它對(duì)數(shù)據(jù)隱私的保護(hù)。在MPLS網(wǎng)絡(luò)中，路由唯一可見(jiàn)的就是數(shù)據(jù)包上攜帶的標(biāo)簽，而不會(huì)對(duì)數(shù)據(jù)包的負(fù)載內(nèi)容及相應(yīng)的IP控制信息進(jìn)行分析，甚至在有必要的情況下，還可以對(duì)這些數(shù)據(jù)進(jìn)行加密。

　　3 基于MPLS技術(shù)的云架構(gòu)

　　IaaS層的安全機(jī)制通過(guò)接口技術(shù)描述了對(duì)云端與客戶(hù)端的連接進(jìn)行控制的必要性，但卻沒(méi)有定義一個(gè)子層對(duì)云中的兩個(gè)雙向通信的實(shí)體間的連接進(jìn)行控制，這便導(dǎo)致實(shí)體間的通信并不可靠。所以本文通過(guò)在IaaS層中增加一個(gè)子層CaaS（ Communication as a Service,通信服務(wù)）層來(lái)確保兩個(gè)實(shí)體間通信的安全性，這個(gè)子層模型是建立在MPLS技術(shù)基礎(chǔ)上的。通過(guò)將MPLS技術(shù)運(yùn)用到CaaS層中則可以提高“云”中數(shù)據(jù)傳輸?shù)陌踩约翱煽啃裕⑶夷軌蛴行ьA(yù)防DDoS等攻擊。CaaS層嵌入到IaaS層中的結(jié)構(gòu)如圖1所示。

　　圖1 CaaS層嵌入到IaaS層中結(jié)構(gòu)

　　CaaS子層中，主要包含以下功能：

　　初始化：初始化包含兩個(gè)過(guò)程。首先會(huì)將虛擬邏輯分區(qū)內(nèi)的CPU初始化得到一個(gè)32bit的隨機(jī)數(shù)字，這個(gè)之后會(huì)通過(guò)AES（Advanced Encryption Standard,高級(jí)加密標(biāo)準(zhǔn)J形成一個(gè)l28bit的會(huì)話密鑰。一個(gè)密鑰將只對(duì)應(yīng)一個(gè)邏輯分區(qū)。然后，再對(duì)網(wǎng)絡(luò)進(jìn)行初始化后開(kāi)始CE（Customer Edge,用戶(hù)邊緣設(shè)備）之間的通信。

　　協(xié)議認(rèn)證：在MPLS網(wǎng)絡(luò)中的路由對(duì)相互之間傳送的數(shù)據(jù)包進(jìn)行校驗(yàn)。MPLS網(wǎng)絡(luò)中的攻擊一般發(fā)生在對(duì)數(shù)據(jù)包進(jìn)行標(biāo)簽標(biāo)記時(shí)，所以只有當(dāng)數(shù)據(jù)包經(jīng)過(guò)認(rèn)證后才能進(jìn)行標(biāo)記。路由器通過(guò)認(rèn)證協(xié)議來(lái)識(shí)別路由和路徑。這為未知網(wǎng)絡(luò)之間建立了可靠的識(shí)別機(jī)制，從未知網(wǎng)絡(luò)傳輸過(guò)來(lái)的數(shù)據(jù)包一旦未通過(guò)驗(yàn)證就會(huì)被丟棄，這就大大減少了發(fā)生攻擊的危險(xiǎn)。

　　密鑰交換：IKE（Internet Key,密鑰交換）為兩個(gè)需要進(jìn)行通信的云用戶(hù)間或云用戶(hù)與云供應(yīng)商間建立一種關(guān)聯(lián)SA（SecurityAssociation,安全關(guān)聯(lián)），同時(shí)負(fù)責(zé)密鑰的生成與管理。SA可對(duì)兩個(gè)通信主體間的協(xié)議進(jìn)行編碼，以確認(rèn)它們使用何種算法、密鑰及密鑰的長(zhǎng)度。IKE建立SA分兩階段來(lái)完成：第一階段先在兩個(gè)通信主體之間建立一個(gè)通信信道并對(duì)該信道進(jìn)行認(rèn)證，第二階段則通過(guò)已建立的通信信道建立SA.SA存在一個(gè)生命周期，當(dāng)會(huì)話密鑰超時(shí)，就會(huì)向?qū)Ψ街鳈C(jī)發(fā)送一個(gè)第一階段SA刪除命令，然后雙方重新進(jìn)行SA協(xié)商。密鑰的周期性決定了超過(guò)一定時(shí)間限制，一定會(huì)生成新的密鑰，這便大大增強(qiáng)了密鑰的健壯性與可靠性。這也是在云計(jì)算中使用密鑰交換的一個(gè)重要原因。

　　建立通信：CE之間的連接通過(guò)標(biāo)簽邊緣路由進(jìn)行建立。在MPLS網(wǎng)絡(luò)中，LSP（Labelb Switch Path,標(biāo)簽交換路徑）是由兩個(gè)端點(diǎn)間的標(biāo)記所決定的，分為動(dòng)態(tài)LSP和靜態(tài)LSP兩類(lèi)。動(dòng)態(tài)LSP是由路由信息生成的，而靜態(tài)LSP是指定的。邏輯分區(qū)使用AES算法對(duì)數(shù)據(jù)進(jìn)行加密這種加密是基于ECB（ Electronic Code Book,電子源碼書(shū)）模式的，通過(guò)這種模式，數(shù)據(jù)流會(huì)快速傳送給云用戶(hù)。加密使用的是一次性密鑰，即使數(shù)據(jù)包被探測(cè)到也很難對(duì)其解密，使得數(shù)據(jù)的安全性得到充分保證。

　　會(huì)話終止：當(dāng)云用戶(hù)結(jié)束通信時(shí)，會(huì)話會(huì)自動(dòng)終止，云供應(yīng)商將根據(jù)云用戶(hù)在會(huì)話期間使用的服務(wù)進(jìn)行收費(fèi)。同時(shí)，MPLS網(wǎng)絡(luò)中的通信資源及虛擬處理器中的緩存數(shù)據(jù)將會(huì)釋放。（圖2）

　　4 總結(jié)和展望

　　安全性是企業(yè)是否選擇移師云計(jì)算所要考慮的首要問(wèn)題。我們通過(guò)在IaaS層中增加CaaS子層來(lái)預(yù)防這些潛在的安全隱患，包括對(duì)DDoS攻擊的預(yù)防。CaaS層也是按服務(wù)使用量來(lái)計(jì)費(fèi)的，它用于保障云計(jì)算的服務(wù)質(zhì)量及數(shù)據(jù)傳輸可靠性。目前，云安全仍處在發(fā)展階段，相信隨著云安全體系的不斷發(fā)展及各大安全廠商的技術(shù)創(chuàng)新，云安全會(huì)進(jìn)一步發(fā)展以滿(mǎn)足用戶(hù)的安全需求。