MPLS技術(shù)在云計算安全中的應(yīng)用

云計算是一種將存儲和計算任務(wù)分布在大量計算機(jī)構(gòu)成的資源池上的計算模型，本文先對云計算的三層結(jié)構(gòu)模型及多協(xié)議標(biāo)簽交換技術(shù)進(jìn)行了介紹，然后提出了一種基于多協(xié)議標(biāo)簽交換技術(shù)的第四層結(jié)構(gòu)，用于保障云計算中數(shù)據(jù)傳輸?shù)目煽啃?，在最后，對該層功能進(jìn)行了描述并給出了相應(yīng)的流程圖。

　　引言

　　“云”就像一個龐大的資源池，為客戶提供許多功能強(qiáng)大、使用方便的服務(wù)。但是在云計算帶來諸多好處之時，在云安全方面也面臨許多挑戰(zhàn)。在本文中，提出了一種將MPLS（Multi Protocol LabelSwitching,多協(xié)議標(biāo)簽交換）技術(shù)應(yīng)用于云計算中用干提高云安全性能的方法。

　　1 云計算

　　目前對于云計算的定義較多，尚無統(tǒng)一定論。在本文中采用如下定義：云計算是一種商業(yè)模型，它將計算任務(wù)分布在大量計算機(jī)構(gòu)成的資源池上，使用戶能夠按需獲取計算能力、存儲空間和信息服務(wù)。

　　云計算通常基于以下三層結(jié)構(gòu)，即SaaS（Software asa Service.軟件服務(wù)）、PaaS（Platform as Service,平臺服務(wù)）、IaaS（Infrastructure asa Service,基礎(chǔ)設(shè)施服務(wù)）三層。SaaS提供一種用戶通過瀏覽器便可享受的云服務(wù)，用戶只要按使用量付費(fèi)即可，不需安裝任何軟、硬件。PaaS為用戶提供一系列平臺，如SDK（SoftwareDevelopment Kit,軟件開發(fā)工具）等，用戶可以方便的在上面進(jìn)行程序編寫和應(yīng)用部署，并且用戶無需為服務(wù)器、存儲及網(wǎng)絡(luò)資源的的運(yùn)維操心。IaaS為用戶提供計算或存儲資源，使用戶借以裝載相關(guān)應(yīng)用，并且這些資源的管理工作由云供應(yīng)商負(fù)責(zé)。

　　2 MPLS技術(shù)

　　MPLS技術(shù)是一種通過標(biāo)簽標(biāo)記實現(xiàn)數(shù)據(jù)快速轉(zhuǎn)發(fā)的技術(shù)。在傳統(tǒng)方法中，路由對數(shù)據(jù)包頭的lP地址進(jìn)行分析來決定下一跳并進(jìn)行轉(zhuǎn)發(fā)。但由于地址較長，轉(zhuǎn)發(fā)速度較慢。在MPLS網(wǎng)中，一旦數(shù)據(jù)包進(jìn)入LER（Lahel Edge Router,標(biāo)簽邊緣路由）就會為數(shù)據(jù)包標(biāo)記標(biāo)簽，之后根據(jù)標(biāo)簽來確定數(shù)據(jù)包的下一路徑，這樣只讀取數(shù)據(jù)包標(biāo)簽，而不必讀取每個數(shù)據(jù)包的IP地址，便大大的提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度。同時MPLS網(wǎng)會將有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類，稱為FEC（Forwarding Equivalance Claas,轉(zhuǎn)發(fā)等價類），同一組FEC在MPLS云中將獲得相同的處理。同時由幀中繼及ATM（Asynchronous Transfer Mode,異步傳輸模式）交換機(jī)提供的QoSI Quality of Service,服務(wù)質(zhì)量）對所轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行分級，進(jìn)一步提升網(wǎng)絡(luò)服務(wù)質(zhì)量和服務(wù)的多樣化。MPLS的另一個優(yōu)點(diǎn)在于它對數(shù)據(jù)隱私的保護(hù)。在MPLS網(wǎng)絡(luò)中，路由唯一可見的就是數(shù)據(jù)包上攜帶的標(biāo)簽，而不會對數(shù)據(jù)包的負(fù)載內(nèi)容及相應(yīng)的IP控制信息進(jìn)行分析，甚至在有必要的情況下，還可以對這些數(shù)據(jù)進(jìn)行加密。

　　3 基于MPLS技術(shù)的云架構(gòu)

　　IaaS層的安全機(jī)制通過接口技術(shù)描述了對云端與客戶端的連接進(jìn)行控制的必要性，但卻沒有定義一個子層對云中的兩個雙向通信的實體間的連接進(jìn)行控制，這便導(dǎo)致實體間的通信并不可靠。所以本文通過在IaaS層中增加一個子層CaaS（ Communication as a Service,通信服務(wù)）層來確保兩個實體間通信的安全性，這個子層模型是建立在MPLS技術(shù)基礎(chǔ)上的。通過將MPLS技術(shù)運(yùn)用到CaaS層中則可以提高“云”中數(shù)據(jù)傳輸?shù)陌踩约翱煽啃裕⑶夷軌蛴行ьA(yù)防DDoS等攻擊。CaaS層嵌入到IaaS層中的結(jié)構(gòu)如圖1所示。

　　圖1 CaaS層嵌入到IaaS層中結(jié)構(gòu)

　　CaaS子層中，主要包含以下功能：

　　初始化：初始化包含兩個過程。首先會將虛擬邏輯分區(qū)內(nèi)的CPU初始化得到一個32bit的隨機(jī)數(shù)字，這個之后會通過AES（Advanced Encryption Standard,高級加密標(biāo)準(zhǔn)J形成一個l28bit的會話密鑰。一個密鑰將只對應(yīng)一個邏輯分區(qū)。然后，再對網(wǎng)絡(luò)進(jìn)行初始化后開始CE（Customer Edge,用戶邊緣設(shè)備）之間的通信。

　　協(xié)議認(rèn)證：在MPLS網(wǎng)絡(luò)中的路由對相互之間傳送的數(shù)據(jù)包進(jìn)行校驗。MPLS網(wǎng)絡(luò)中的攻擊一般發(fā)生在對數(shù)據(jù)包進(jìn)行標(biāo)簽標(biāo)記時，所以只有當(dāng)數(shù)據(jù)包經(jīng)過認(rèn)證后才能進(jìn)行標(biāo)記。路由器通過認(rèn)證協(xié)議來識別路由和路徑。這為未知網(wǎng)絡(luò)之間建立了可靠的識別機(jī)制，從未知網(wǎng)絡(luò)傳輸過來的數(shù)據(jù)包一旦未通過驗證就會被丟棄，這就大大減少了發(fā)生攻擊的危險。

　　密鑰交換：IKE（Internet Key,密鑰交換）為兩個需要進(jìn)行通信的云用戶間或云用戶與云供應(yīng)商間建立一種關(guān)聯(lián)SA（SecurityAssociation,安全關(guān)聯(lián)），同時負(fù)責(zé)密鑰的生成與管理。SA可對兩個通信主體間的協(xié)議進(jìn)行編碼，以確認(rèn)它們使用何種算法、密鑰及密鑰的長度。IKE建立SA分兩階段來完成：第一階段先在兩個通信主體之間建立一個通信信道并對該信道進(jìn)行認(rèn)證，第二階段則通過已建立的通信信道建立SA.SA存在一個生命周期，當(dāng)會話密鑰超時，就會向?qū)Ψ街鳈C(jī)發(fā)送一個第一階段SA刪除命令，然后雙方重新進(jìn)行SA協(xié)商。密鑰的周期性決定了超過一定時間限制，一定會生成新的密鑰，這便大大增強(qiáng)了密鑰的健壯性與可靠性。這也是在云計算中使用密鑰交換的一個重要原因。

　　建立通信：CE之間的連接通過標(biāo)簽邊緣路由進(jìn)行建立。在MPLS網(wǎng)絡(luò)中，LSP（Labelb Switch Path,標(biāo)簽交換路徑）是由兩個端點(diǎn)間的標(biāo)記所決定的，分為動態(tài)LSP和靜態(tài)LSP兩類。動態(tài)LSP是由路由信息生成的，而靜態(tài)LSP是指定的。邏輯分區(qū)使用AES算法對數(shù)據(jù)進(jìn)行加密這種加密是基于ECB（ Electronic Code Book,電子源碼書）模式的，通過這種模式，數(shù)據(jù)流會快速傳送給云用戶。加密使用的是一次性密鑰，即使數(shù)據(jù)包被探測到也很難對其解密，使得數(shù)據(jù)的安全性得到充分保證。

　　會話終止：當(dāng)云用戶結(jié)束通信時，會話會自動終止，云供應(yīng)商將根據(jù)云用戶在會話期間使用的服務(wù)進(jìn)行收費(fèi)。同時，MPLS網(wǎng)絡(luò)中的通信資源及虛擬處理器中的緩存數(shù)據(jù)將會釋放。（圖2）

　　4 總結(jié)和展望

　　安全性是企業(yè)是否選擇移師云計算所要考慮的首要問題。我們通過在IaaS層中增加CaaS子層來預(yù)防這些潛在的安全隱患，包括對DDoS攻擊的預(yù)防。CaaS層也是按服務(wù)使用量來計費(fèi)的，它用于保障云計算的服務(wù)質(zhì)量及數(shù)據(jù)傳輸可靠性。目前，云安全仍處在發(fā)展階段，相信隨著云安全體系的不斷發(fā)展及各大安全廠商的技術(shù)創(chuàng)新，云安全會進(jìn)一步發(fā)展以滿足用戶的安全需求。