MPLS技術在云計算安全中的應用

引言

        云計算是一種將存儲和計算任務分布在大量計算機構成的資源池上的計算模型，本文先對云計算的三層結構模型及多協(xié)議標簽交換技術進行了介紹，然后提出了一種基于多協(xié)議標簽交換技術的第四層結構，用于保障云計算中數(shù)據(jù)傳輸?shù)目煽啃?，在最后，對該層功能進行了描述并給出了相應的流程圖。“云”就像一個龐大的資源池，為客戶提供許多功能強大、使用方便的服務。但是在云計算帶來諸多好處之時，在云安全方面也面臨許多挑戰(zhàn)。在本文中，提出了一種將MPLS（Multi Protocol LabelSwitching,多協(xié)議標簽交換）技術應用于云計算中用干提高云安全性能的方法。

1 云計算
        目前對于云計算的定義較多，尚無統(tǒng)一定論。在本文中采用如下定義：云計算是一種商業(yè)模型，它將計算任務分布在大量計算機構成的資源池上，使用戶能夠按需獲取計算能力、存儲空間和信息服務。
        云計算通?；谝韵氯龑咏Y構，即SaaS（Software asa Service.軟件服務）、PaaS（Platform as Service,平臺服務）、IaaS（Infrastructure asa Service,基礎設施服務）三層。SaaS提供一種用戶通過瀏覽器便可享受的云服務，用戶只要按使用量付費即可，不需安裝任何軟、硬件。PaaS為用戶提供一系列平臺，如SDK（SoftwareDevelopment Kit,軟件開發(fā)工具）等，用戶可以方便的在上面進行程序編寫和應用部署，并且用戶無需為服務器、存儲及網(wǎng)絡資源的的運維操心。IaaS為用戶提供計算或存儲資源，使用戶借以裝載相關應用，并且這些資源的管理工作由云供應商負責。
2 MPLS技術
        MPLS技術是一種通過標簽標記實現(xiàn)數(shù)據(jù)快速轉發(fā)的技術。在傳統(tǒng)方法中，路由對數(shù)據(jù)包頭的lP地址進行分析來決定下一跳并進行轉發(fā)。但由于地址較長，轉發(fā)速度較慢。在MPLS網(wǎng)中，一旦數(shù)據(jù)包進入LER（Lahel Edge Router,標簽邊緣路由）就會為數(shù)據(jù)包標記標簽，之后根據(jù)標簽來確定數(shù)據(jù)包的下一路徑，這樣只讀取數(shù)據(jù)包標簽，而不必讀取每個數(shù)據(jù)包的IP地址，便大大的提高了數(shù)據(jù)包的轉發(fā)速度。同時MPLS網(wǎng)會將有相同轉發(fā)處理方式的分組歸為一類，稱為FEC（Forwarding Equivalance Claas,轉發(fā)等價類），同一組FEC在MPLS云中將獲得相同的處理。同時由幀中繼及ATM（Asynchronous Transfer Mode,異步傳輸模式）交換機提供的QoSI Quality of Service,服務質量）對所轉發(fā)的數(shù)據(jù)包進行分級，進一步提升網(wǎng)絡服務質量和服務的多樣化。MPLS的另一個優(yōu)點在于它對數(shù)據(jù)隱私的保護。在MPLS網(wǎng)絡中，路由唯一可見的就是數(shù)據(jù)包上攜帶的標簽，而不會對數(shù)據(jù)包的負載內(nèi)容及相應的IP控制信息進行分析，甚至在有必要的情況下，還可以對這些數(shù)據(jù)進行加密。
3 基于MPLS技術的云架構
        IaaS層的安全機制通過接口技術描述了對云端與客戶端的連接進行控制的必要性，但卻沒有定義一個子層對云中的兩個雙向通信的實體間的連接進行控制，這便導致實體間的通信并不可靠。所以本文通過在IaaS層中增加一個子層CaaS（ Communication as a Service,通信服務）層來確保兩個實體間通信的安全性，這個子層模型是建立在MPLS技術基礎上的。通過將MPLS技術運用到CaaS層中則可以提高“云”中數(shù)據(jù)傳輸?shù)陌踩约翱煽啃?，并且能夠有效預防DDoS等攻擊。CaaS層嵌入到IaaS層中的結構如圖1所示。

圖1 CaaS層嵌入到IaaS層中結構

[DividePage:NextPage]

    CaaS子層中，主要包含以下功能：
        初始化：初始化包含兩個過程。首先會將虛擬邏輯分區(qū)內(nèi)的CPU初始化得到一個32bit的隨機數(shù)字，這個之后會通過AES（Advanced Encryption Standard,高級加密標準J形成一個l28bit的會話密鑰。一個密鑰將只對應一個邏輯分區(qū)。然后，再對網(wǎng)絡進行初始化后開始CE（Customer Edge,用戶邊緣設備）之間的通信。
        協(xié)議認證：在MPLS網(wǎng)絡中的路由對相互之間傳送的數(shù)據(jù)包進行校驗。MPLS網(wǎng)絡中的攻擊一般發(fā)生在對數(shù)據(jù)包進行標簽標記時，所以只有當數(shù)據(jù)包經(jīng)過認證后才能進行標記。路由器通過認證協(xié)議來識別路由和路徑。這為未知網(wǎng)絡之間建立了可靠的識別機制，從未知網(wǎng)絡傳輸過來的數(shù)據(jù)包一旦未通過驗證就會被丟棄，這就大大減少了發(fā)生攻擊的危險。
        密鑰交換：IKE（Internet Key,密鑰交換）為兩個需要進行通信的云用戶間或云用戶與云供應商間建立一種關聯(lián)SA（SecurityAssociation,安全關聯(lián)），同時負責密鑰的生成與管理。SA可對兩個通信主體間的協(xié)議進行編碼，以確認它們使用何種算法、密鑰及密鑰的長度。IKE建立SA分兩階段來完成：第一階段先在兩個通信主體之間建立一個通信信道并對該信道進行認證，第二階段則通過已建立的通信信道建立存在一個生命周期，當會話密鑰超時，就會向對方主機發(fā)送一個第一階段SA刪除命令，然后雙方重新進行SA協(xié)商。密鑰的周期性決定了超過一定時間限制，一定會生成新的密鑰，這便大大增強了密鑰的健壯性與可靠性。這也是在云計算中使用密鑰交換的一個重要原因。
        建立通信：CE之間的連接通過標簽邊緣路由進行建立。在MPLS網(wǎng)絡中，LSP（Labelb Switch Path,標簽交換路徑）是由兩個端點間的標記所決定的，分為動態(tài)LSP和靜態(tài)LSP兩類。動態(tài)LSP是由路由信息生成的，而靜態(tài)LSP是指定的。邏輯分區(qū)使用AES算法對數(shù)據(jù)進行加密這種加密是基于ECB（ Electronic Code Book,電子源碼書）模式的，通過這種模式，數(shù)據(jù)流會快速傳送給云用戶。加密使用的是一次性密鑰，即使數(shù)據(jù)包被探測到也很難對其解密，使得數(shù)據(jù)的安全性得到充分保證。
        會話終止：當云用戶結束通信時，會話會自動終止，云供應商將根據(jù)云用戶在會話期間使用的服務進行收費。同時，MPLS網(wǎng)絡中的通信資源及虛擬處理器中的緩存數(shù)據(jù)將會釋放。（圖2）

4 總結和展望
        安全性是企業(yè)是否選擇移師云計算所要考慮的首要問題。我們通過在IaaS層中增加CaaS子層來預防這些潛在的安全隱患，包括對DDoS攻擊的預防。CaaS層也是按服務使用量來計費的，它用于保障云計算的服務質量及數(shù)據(jù)傳輸可靠性。目前，云安全仍處在發(fā)展階段，相信隨著云安全體系的不斷發(fā)展及各大安全廠商的技術創(chuàng)新，云安全會進一步發(fā)展以滿足用戶的安全需求。

（轉載）