引言

        云計算是一種將存儲和計算任務(wù)分布在大量計算機構(gòu)成的資源池上的計算模型，本文先對云計算的三層結(jié)構(gòu)模型及多協(xié)議標簽交換技術(shù)進行了介紹伶棒，然后提出了一種基于多協(xié)議標簽交換技術(shù)的第四層結(jié)構(gòu)吊趾，用于保障云計算中數(shù)據(jù)傳輸?shù)目煽啃裕谧詈竽滤椋瑢υ搶庸δ苓M行了描述并給出了相應(yīng)的流程圖牙勘。“云”就像一個龐大的資源池所禀，為客戶提供許多功能強大方面、使用方便的服務(wù)。但是在云計算帶來諸多好處之時色徘，在云安全方面也面臨許多挑戰(zhàn)恭金。在本文中，提出了一種將MPLS（Multi Protocol LabelSwitching,多協(xié)議標簽交換）技術(shù)應(yīng)用于云計算中用干提高云安全性能的方法褂策。

1 云計算
        目前對于云計算的定義較多横腿，尚無統(tǒng)一定論。在本文中采用如下定義：云計算是一種商業(yè)模型般六，它將計算任務(wù)分布在大量計算機構(gòu)成的資源池上灰深，使用戶能夠按需獲取計算能力、存儲空間和信息服務(wù)铲苹。
        云計算通痴梅梗基于以下三層結(jié)構(gòu)，即SaaS（Software asa Service.軟件服務(wù)）镐刽、PaaS（Platform as Service,平臺服務(wù)）肤贮、IaaS（Infrastructure asa Service,基礎(chǔ)設(shè)施服務(wù)）三層。SaaS提供一種用戶通過瀏覽器便可享受的云服務(wù)汪阱，用戶只要按使用量付費即可搭艺，不需安裝任何軟、硬件瘟甩。PaaS為用戶提供一系列平臺啤兆，如SDK（SoftwareDevelopment Kit,軟件開發(fā)工具）等，用戶可以方便的在上面進行程序編寫和應(yīng)用部署嘲谚，并且用戶無需為服務(wù)器狼楔、存儲及網(wǎng)絡(luò)資源的的運維操心钳枕。IaaS為用戶提供計算或存儲資源缴渊，使用戶借以裝載相關(guān)應(yīng)用赏壹，并且這些資源的管理工作由云供應(yīng)商負責。
2 MPLS技術(shù)
        MPLS技術(shù)是一種通過標簽標記實現(xiàn)數(shù)據(jù)快速轉(zhuǎn)發(fā)的技術(shù)衔沼。在傳統(tǒng)方法中蝌借，路由對數(shù)據(jù)包頭的lP地址進行分析來決定下一跳并進行轉(zhuǎn)發(fā)。但由于地址較長指蚁，轉(zhuǎn)發(fā)速度較慢菩佑。在MPLS網(wǎng)中，一旦數(shù)據(jù)包進入LER（Lahel Edge Router,標簽邊緣路由）就會為數(shù)據(jù)包標記標簽凝化，之后根據(jù)標簽來確定數(shù)據(jù)包的下一路徑稍坯，這樣只讀取數(shù)據(jù)包標簽，而不必讀取每個數(shù)據(jù)包的IP地址搓劫，便大大的提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度瞧哟。同時MPLS網(wǎng)會將有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類，稱為FEC（Forwarding Equivalance Claas,轉(zhuǎn)發(fā)等價類）枪向，同一組FEC在MPLS云中將獲得相同的處理勤揩。同時由幀中繼及ATM（Asynchronous Transfer Mode,異步傳輸模式）交換機提供的QoSI Quality of Service,服務(wù)質(zhì)量）對所轉(zhuǎn)發(fā)的數(shù)據(jù)包進行分級，進一步提升網(wǎng)絡(luò)服務(wù)質(zhì)量和服務(wù)的多樣化糠牍。MPLS的另一個優(yōu)點在于它對數(shù)據(jù)隱私的保護产掂。在MPLS網(wǎng)絡(luò)中，路由唯一可見的就是數(shù)據(jù)包上攜帶的標簽卑我，而不會對數(shù)據(jù)包的負載內(nèi)容及相應(yīng)的IP控制信息進行分析辅及，甚至在有必要的情況下，還可以對這些數(shù)據(jù)進行加密柴哈。
3 基于MPLS技術(shù)的云架構(gòu)
        IaaS層的安全機制通過接口技術(shù)描述了對云端與客戶端的連接進行控制的必要性补蛋，但卻沒有定義一個子層對云中的兩個雙向通信的實體間的連接進行控制，這便導(dǎo)致實體間的通信并不可靠冶巴。所以本文通過在IaaS層中增加一個子層CaaS（ Communication as a Service,通信服務(wù)）層來確保兩個實體間通信的安全性为毛，這個子層模型是建立在MPLS技術(shù)基礎(chǔ)上的。通過將MPLS技術(shù)運用到CaaS層中則可以提高“云”中數(shù)據(jù)傳輸?shù)陌踩约翱煽啃运逞欤⑶夷軌蛴行ьA(yù)防DDoS等攻擊芦格。CaaS層嵌入到IaaS層中的結(jié)構(gòu)如圖1所示。

圖1 CaaS層嵌入到IaaS層中結(jié)構(gòu)

[DividePage:NextPage]

    CaaS子層中尊捞，主要包含以下功能：
        初始化：初始化包含兩個過程俄删。首先會將虛擬邏輯分區(qū)內(nèi)的CPU初始化得到一個32bit的隨機數(shù)字，這個之后會通過AES（Advanced Encryption Standard,高級加密標準J形成一個l28bit的會話密鑰奏路。一個密鑰將只對應(yīng)一個邏輯分區(qū)畴椰。然后，再對網(wǎng)絡(luò)進行初始化后開始CE（Customer Edge,用戶邊緣設(shè)備）之間的通信鸽粉。
        協(xié)議認證：在MPLS網(wǎng)絡(luò)中的路由對相互之間傳送的數(shù)據(jù)包進行校驗斜脂。MPLS網(wǎng)絡(luò)中的攻擊一般發(fā)生在對數(shù)據(jù)包進行標簽標記時抓艳，所以只有當數(shù)據(jù)包經(jīng)過認證后才能進行標記。路由器通過認證協(xié)議來識別路由和路徑帚戳。這為未知網(wǎng)絡(luò)之間建立了可靠的識別機制玷或，從未知網(wǎng)絡(luò)傳輸過來的數(shù)據(jù)包一旦未通過驗證就會被丟棄，這就大大減少了發(fā)生攻擊的危險片任。
        密鑰交換：IKE（Internet Key,密鑰交換）為兩個需要進行通信的云用戶間或云用戶與云供應(yīng)商間建立一種關(guān)聯(lián)SA（SecurityAssociation,安全關(guān)聯(lián)）偏友，同時負責密鑰的生成與管理。SA可對兩個通信主體間的協(xié)議進行編碼对供，以確認它們使用何種算法位他、密鑰及密鑰的長度。IKE建立SA分兩階段來完成：第一階段先在兩個通信主體之間建立一個通信信道并對該信道進行認證产场，第二階段則通過已建立的通信信道建立SA.SA存在一個生命周期填篱，當會話密鑰超時，就會向?qū)Ψ街鳈C發(fā)送一個第一階段SA刪除命令恃葫，然后雙方重新進行SA協(xié)商革陋。密鑰的周期性決定了超過一定時間限制，一定會生成新的密鑰悉镜，這便大大增強了密鑰的健壯性與可靠性锦钓。這也是在云計算中使用密鑰交換的一個重要原因。
        建立通信：CE之間的連接通過標簽邊緣路由進行建立后谱。在MPLS網(wǎng)絡(luò)中求驳，LSP（Labelb Switch Path,標簽交換路徑）是由兩個端點間的標記所決定的，分為動態(tài)LSP和靜態(tài)LSP兩類刷桐。動態(tài)LSP是由路由信息生成的粥谐，而靜態(tài)LSP是指定的。邏輯分區(qū)使用AES算法對數(shù)據(jù)進行加密這種加密是基于ECB（ Electronic Code Book,電子源碼書）模式的痛只，通過這種模式漾群，數(shù)據(jù)流會快速傳送給云用戶。加密使用的是一次性密鑰漱竖，即使數(shù)據(jù)包被探測到也很難對其解密禽篱，使得數(shù)據(jù)的安全性得到充分保證。
        會話終止：當云用戶結(jié)束通信時馍惹，會話會自動終止躺率，云供應(yīng)商將根據(jù)云用戶在會話期間使用的服務(wù)進行收費。同時万矾，MPLS網(wǎng)絡(luò)中的通信資源及虛擬處理器中的緩存數(shù)據(jù)將會釋放悼吱。（圖2）

4 總結(jié)和展望
        安全性是企業(yè)是否選擇移師云計算所要考慮的首要問題。我們通過在IaaS層中增加CaaS子層來預(yù)防這些潛在的安全隱患，包括對DDoS攻擊的預(yù)防后添。CaaS層也是按服務(wù)使用量來計費的鲤脏，它用于保障云計算的服務(wù)質(zhì)量及數(shù)據(jù)傳輸可靠性。目前吕朵，云安全仍處在發(fā)展階段，相信隨著云安全體系的不斷發(fā)展及各大安全廠商的技術(shù)創(chuàng)新窥突，云安全會進一步發(fā)展以滿足用戶的安全需求努溃。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享阻问，并不代表本站贊同其觀點和對其真實性負責檩翁，也不構(gòu)成任何其他建議。本站部分作品是由網(wǎng)友自主投稿和發(fā)布族逻、編輯整理上傳景絮，對此類作品本站僅提供交流平臺，不為其版權(quán)負責崎络。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻说悄、圖片、文字如涉及作品版權(quán)問題颗酷，請第一時間告知合圃，我們將根據(jù)您提供的證明材料確認版權(quán)并按國家標準支付稿酬或立即刪除內(nèi)容，以保證您的權(quán)益戏丽！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn砂猿。