MPLS技術(shù)在云計算安全中的應用

云計算是一種將存儲和計算任務(wù)分布在大量計算機構成的資源池上的計算模型，本文先對云計算的三層結構模型及多協(xié)議標簽交換技術(shù)進(jìn)行了介紹，然后提出了一種基于多協(xié)議標簽交換技術(shù)的第四層結構，用于保障云計算中數據傳輸的可靠性，在最后，對該層功能進(jìn)行了描述并給出了相應的流程圖。

　　引言

　　“云”就像一個(gè)龐大的資源池，為客戶(hù)提供許多功能強大、使用方便的服務(wù)。但是在云計算帶來(lái)諸多好處之時(shí)，在云安全方面也面臨許多挑戰。在本文中，提出了一種將MPLS（Multi Protocol LabelSwitching,多協(xié)議標簽交換）技術(shù)應用于云計算中用干提高云安全性能的方法。

　　1 云計算

　　目前對于云計算的定義較多，尚無(wú)統一定論。在本文中采用如下定義：云計算是一種商業(yè)模型，它將計算任務(wù)分布在大量計算機構成的資源池上，使用戶(hù)能夠按需獲取計算能力、存儲空間和信息服務(wù)。

　　云計算通?；谝韵氯龑咏Y構，即SaaS（Software asa Service.軟件服務(wù)）、PaaS（Platform as Service,平臺服務(wù)）、IaaS（Infrastructure asa Service,基礎設施服務(wù)）三層。SaaS提供一種用戶(hù)通過(guò)瀏覽器便可享受的云服務(wù)，用戶(hù)只要按使用量付費即可，不需安裝任何軟、硬件。PaaS為用戶(hù)提供一系列平臺，如SDK（SoftwareDevelopment Kit,軟件開(kāi)發(fā)工具）等，用戶(hù)可以方便的在上面進(jìn)行程序編寫(xiě)和應用部署，并且用戶(hù)無(wú)需為服務(wù)器、存儲及網(wǎng)絡(luò )資源的的運維操心。IaaS為用戶(hù)提供計算或存儲資源，使用戶(hù)借以裝載相關(guān)應用，并且這些資源的管理工作由云供應商負責。

　　2 MPLS技術(shù)

　　MPLS技術(shù)是一種通過(guò)標簽標記實(shí)現數據快速轉發(fā)的技術(shù)。在傳統方法中，路由對數據包頭的lP地址進(jìn)行分析來(lái)決定下一跳并進(jìn)行轉發(fā)。但由于地址較長(cháng)，轉發(fā)速度較慢。在MPLS網(wǎng)中，一旦數據包進(jìn)入LER（Lahel Edge Router,標簽邊緣路由）就會(huì )為數據包標記標簽，之后根據標簽來(lái)確定數據包的下一路徑，這樣只讀取數據包標簽，而不必讀取每個(gè)數據包的IP地址，便大大的提高了數據包的轉發(fā)速度。同時(shí)MPLS網(wǎng)會(huì )將有相同轉發(fā)處理方式的分組歸為一類(lèi)，稱(chēng)為FEC（Forwarding Equivalance Claas,轉發(fā)等價(jià)類(lèi)），同一組FEC在MPLS云中將獲得相同的處理。同時(shí)由幀中繼及ATM（Asynchronous Transfer Mode,異步傳輸模式）交換機提供的QoSI Quality of Service,服務(wù)質(zhì)量）對所轉發(fā)的數據包進(jìn)行分級，進(jìn)一步提升網(wǎng)絡(luò )服務(wù)質(zhì)量和服務(wù)的多樣化。MPLS的另一個(gè)優(yōu)點(diǎn)在于它對數據隱私的保護。在MPLS網(wǎng)絡(luò )中，路由唯一可見(jiàn)的就是數據包上攜帶的標簽，而不會(huì )對數據包的負載內容及相應的IP控制信息進(jìn)行分析，甚至在有必要的情況下，還可以對這些數據進(jìn)行加密。

　　3 基于MPLS技術(shù)的云架構

　　IaaS層的安全機制通過(guò)接口技術(shù)描述了對云端與客戶(hù)端的連接進(jìn)行控制的必要性，但卻沒(méi)有定義一個(gè)子層對云中的兩個(gè)雙向通信的實(shí)體間的連接進(jìn)行控制，這便導致實(shí)體間的通信并不可靠。所以本文通過(guò)在IaaS層中增加一個(gè)子層CaaS（ Communication as a Service,通信服務(wù)）層來(lái)確保兩個(gè)實(shí)體間通信的安全性，這個(gè)子層模型是建立在MPLS技術(shù)基礎上的。通過(guò)將MPLS技術(shù)運用到CaaS層中則可以提高“云”中數據傳輸的安全性及可靠性，并且能夠有效預防DDoS等攻擊。CaaS層嵌入到IaaS層中的結構如圖1所示。

　　圖1 CaaS層嵌入到IaaS層中結構

　　CaaS子層中，主要包含以下功能：

　　初始化：初始化包含兩個(gè)過(guò)程。首先會(huì )將虛擬邏輯分區內的CPU初始化得到一個(gè)32bit的隨機數字，這個(gè)之后會(huì )通過(guò)AES（Advanced Encryption Standard,高級加密標準J形成一個(gè)l28bit的會(huì )話(huà)密鑰。一個(gè)密鑰將只對應一個(gè)邏輯分區。然后，再對網(wǎng)絡(luò )進(jìn)行初始化后開(kāi)始CE（Customer Edge,用戶(hù)邊緣設備）之間的通信。

　　協(xié)議認證：在MPLS網(wǎng)絡(luò )中的路由對相互之間傳送的數據包進(jìn)行校驗。MPLS網(wǎng)絡(luò )中的攻擊一般發(fā)生在對數據包進(jìn)行標簽標記時(shí)，所以只有當數據包經(jīng)過(guò)認證后才能進(jìn)行標記。路由器通過(guò)認證協(xié)議來(lái)識別路由和路徑。這為未知網(wǎng)絡(luò )之間建立了可靠的識別機制，從未知網(wǎng)絡(luò )傳輸過(guò)來(lái)的數據包一旦未通過(guò)驗證就會(huì )被丟棄，這就大大減少了發(fā)生攻擊的危險。

　　密鑰交換：IKE（Internet Key,密鑰交換）為兩個(gè)需要進(jìn)行通信的云用戶(hù)間或云用戶(hù)與云供應商間建立一種關(guān)聯(lián)SA（SecurityAssociation,安全關(guān)聯(lián)），同時(shí)負責密鑰的生成與管理。SA可對兩個(gè)通信主體間的協(xié)議進(jìn)行編碼，以確認它們使用何種算法、密鑰及密鑰的長(cháng)度。IKE建立SA分兩階段來(lái)完成：第一階段先在兩個(gè)通信主體之間建立一個(gè)通信信道并對該信道進(jìn)行認證，第二階段則通過(guò)已建立的通信信道建立SA.SA存在一個(gè)生命周期，當會(huì )話(huà)密鑰超時(shí)，就會(huì )向對方主機發(fā)送一個(gè)第一階段SA刪除命令，然后雙方重新進(jìn)行SA協(xié)商。密鑰的周期性決定了超過(guò)一定時(shí)間限制，一定會(huì )生成新的密鑰，這便大大增強了密鑰的健壯性與可靠性。這也是在云計算中使用密鑰交換的一個(gè)重要原因。

　　建立通信：CE之間的連接通過(guò)標簽邊緣路由進(jìn)行建立。在MPLS網(wǎng)絡(luò )中，LSP（Labelb Switch Path,標簽交換路徑）是由兩個(gè)端點(diǎn)間的標記所決定的，分為動(dòng)態(tài)LSP和靜態(tài)LSP兩類(lèi)。動(dòng)態(tài)LSP是由路由信息生成的，而靜態(tài)LSP是指定的。邏輯分區使用AES算法對數據進(jìn)行加密這種加密是基于ECB（ Electronic Code Book,電子源碼書(shū)）模式的，通過(guò)這種模式，數據流會(huì )快速傳送給云用戶(hù)。加密使用的是一次性密鑰，即使數據包被探測到也很難對其解密，使得數據的安全性得到充分保證。

　　會(huì )話(huà)終止：當云用戶(hù)結束通信時(shí)，會(huì )話(huà)會(huì )自動(dòng)終止，云供應商將根據云用戶(hù)在會(huì )話(huà)期間使用的服務(wù)進(jìn)行收費。同時(shí)，MPLS網(wǎng)絡(luò )中的通信資源及虛擬處理器中的緩存數據將會(huì )釋放。（圖2）

　　4 總結和展望

　　安全性是企業(yè)是否選擇移師云計算所要考慮的首要問(wèn)題。我們通過(guò)在IaaS層中增加CaaS子層來(lái)預防這些潛在的安全隱患，包括對DDoS攻擊的預防。CaaS層也是按服務(wù)使用量來(lái)計費的，它用于保障云計算的服務(wù)質(zhì)量及數據傳輸可靠性。目前，云安全仍處在發(fā)展階段，相信隨著(zhù)云安全體系的不斷發(fā)展及各大安全廠(chǎng)商的技術(shù)創(chuàng )新，云安全會(huì )進(jìn)一步發(fā)展以滿(mǎn)足用戶(hù)的安全需求。