数据中心虚拟化环境的安全挑战

云计算给网络安全带来新的挑战,网络安全策略要跟随虚拟机的迁移而迁移,部署云计算环境下的网络安全需要引入新思路和新技术,如基于VXLAN的VLAN扩展、云防火墙等. 虚拟化提升安全复杂度 网络安全是数据中心建设的重要组成部分,是数据中心内部业务健壮运行的基础保障.虚拟化使得数据中心内IT架构复杂性明显提高,业务部署由传统的物理机、单服务器单应用、静态模式在向服务器虚拟化、单服务器多应用、动态模式演进.网络也深入到了服务器虚拟化层,为了保持虚拟化环境与物理机环境具有相同的网络功能、策略、安全,这也就增加了网络部署与管理的复杂度.     

新形势下的安全虚拟化方案

在云计算数据中心的建设过程中,单个租户的业务需求会不断的变化,其对于存储、计算、网络等资源的占用可能需要进行实时的调整,以提升基础设施的利用效率。同时,随着租户规模的增加,多租户在最大化共享云计算基础资源的时候,如何保证多租户之间数据的安全隔离,成为了云计算用户关注的焦点。正是在这种环境下,虚拟化技术应运而生。在存储、计算、网络虚拟化逐步规模应用的阶段,安全产品作为网络侧的不可或缺的业务,能否匹配数据中心虚拟化技术要求,满足安全资源按需部署、快速交付、综合防护的关键需求,其虚拟化架构至关重要。     

基于密码的云计算虚拟化安全研究

虚拟化技术应用于新一代云计算数据中心,能够为云计算发展提供基础设施支撑,通过研究以密码技术为基础的云计算虚拟化安全防护技术,能有效提高云计算技术的安全性、云数据的机密性,保护用户的信息安全,但该项研究难度较高,本文从云计算虚拟化网络典型结构与访问应用模式着手,介绍虚拟化网络环境下用户的安全用网需求,对密码的虚拟化安全解决方案进行探究,旨在日后相关人员对其进行研究时能够提供参考。     

云计算时代的数据中心建设与发展

数据中心是云计算的实现平台,本文首先介绍了数据中心基本情况,结合云计算时代对数据中心建设的需求,对网络架构设计、虚拟化技术、网络融合技术、安全技术及绿色节能技术等关键技术进行了分析和展望,并对当前业界的发展状况进行了总结,有助于未来充分发挥数据中心在云计算时代的重要作用.     

云计算数据中心网络研究综述

云计算的兴起给数据中心网络提出了新的需求。针对数据中心网络在规模持续增长的情况下,面临租户隔离和服务保证等挑战这一问题,从物理网络、网络虚拟化和性能保证等方面介绍了当前数据中心网络的研究热点。     

基于云计算的虚拟化数据中心(上)

阐述了云计算如何实现资源虚拟化、如何管理虚拟资源和如何使用云计算平台部署虚拟化数据中心等VDC建设中的关键问题,针对VDC的数据安全、网络安全、虚拟机安全等方面提出了部署建议,提出了云计算的接口标准、设备标准和安全管理规范的内容,并给出了应用被攻击后的响应策略.     

云计算数据中心网络虚拟化技术

云计算带来的超大规模数据中心建设,对数据中心网络提出了新的需求。网络虚拟化技术是解决这些新需求的有效手段,通过系统论述数据中心网络虚拟化技术中涉及的控制平面虚拟化技术和数据平面虚拟化技术。分析了业界主要厂商的技术实现和新的虚拟化标准协议的技术原理,为数据中心网络虚拟化技术的发展提出了一个较为清晰的演进路径。     

企业信息网络安全体系的设计与实现

本文通过优化明确网络功能区域和隔离划分互联网应用区域等技术,重新设计了企业网络安全体系。提出了物理、逻辑双隔离的总体技术路线,构建以等级保护为依据的数据中心隔离方案;同时,提出准入系统、防病毒系统、桌面安全系统等安全防护系统的统一部署设计方案。     

网络虚拟化技术在云计算数据中心的应用

云计算带来的超大规模数据中心建设,对数据中心网络提出了新的需求,网络虚拟化技术是解决这些新需求的有效手段,本文通过系统论述数据中心网络虚拟化技术中涉及的控制平面虚拟化技术和数据平面虚拟化技术,分析了业界主要厂商的技术实现和新的虚拟化标准协议的技术原理,为数据中心网络虚拟化技术的发展提出了一个较为清晰的演进路径。     

2015年信息通信网络技术展望

根据新型数据中心和云计算技术的发展趋势,提出未来网络的三大需求为最高的网络性能、最低的每比特传送成本和最个性化的网络,并以此为参照,给出2015年信息通信网络技术的重要发展方向,如超宽带接入、LTE混合组网、4.5G通信技术、动态可编程、新型IP网络、SDN架构改造、网络功能虚拟化、安全防御等,并从网络技术到用户体验层面,进行全面的分析与展望.     

Multi-tenant virtual domain isolation construction method based on L-DHT

Aiming at the problem of security isolation of multi-tenant data in cloud environment,a tenant virtual domain isolation construction method based on L-DHT was proposed.Firstly,through the design of multi-tenant isolation mapping algorithm based on label-hash mapping,the balanced mapping mechanism of tenant resources was constructed to realize the distributed management of tenant resources.Secondly,for the security isolation and access between tenant data mapped to the same storage node,based on the predicate encryption mechanism,through the effective binding of security labels and tenant data,a tenant data isolation storage algorithm based on label predicate encryption was designed.Finally,by the design of multi-dimensional tenant data isolation control rules and using the analysis and authentication of security labels,independent,logical and secure virtual domains between tenants were built hierarchically.The security analysis shows that the method constructs tenant virtual domains which are secure and non-interference with each other.The simulation results show that the mapping algorithm can achieve a better dynamic load balance.The efficiency and security of data access are verified by the comparative analysis of tenant data retrieval efficiency and authentication access security.     

基于VPE的可信虚拟域构建机制

针对现有可信虚拟域构建方式无法满足云计算灵活配置等特性的问题,结合云计算企业内部敏感数据的防泄漏需求,提出了基于VPE的可信虚拟域构建方法TVD-VPE。TVD-VPE利用分离式设备驱动模型构建虚拟以太网VPE,通过后端驱动截获数据分组,并进行边界安全策略检查,最后对满足策略的数据帧进行加密。同时,还设计了可信虚拟域加入/退出协议确保用户虚拟机安全加入/退出,为边界安全策略的部署设计了面向可信虚拟域的管理协议,同时为高特权用户的跨域访问设计了跨域访问协议。最后,实现了原型系统并进行了功能测试及性能测试,测试结果证明本系统可以有效地防止非法访问,同时系统对Xen的网络性能的影响几乎可以忽略。     

一种可信网络模型的构建方法

当前孤立、单一和附加的网络安全系统已经不能满足客观需求。在分析已有研究的基础上,提出了通过一种基于集成可信身份识别和访问管理方法的安全可信网络框架。该框架提供了一种灵活建模和描述数字用户身份的机制,支持基于事务的隐私保护和个人数据获取,以及灵活的第三方问责机制与端到端的安全交流,并搭建了基于异构无线网络环境的移动数据服务网络平台,进行效果验证分析,实验结果证明了算法的有效性。     

私有云数据中心网络及安全设计

云数据中心的建设,使得网络通信的重心从园区网转移到数据中心.文中分析了云数据中心需采用新的网络架构——弹性架构,以及云数据中心网络的几个关键技术：扁平化、大二层网络,以及虚拟交换网络.同时,对云数据中心的安全进行了初步分析和设计.     

面向移动云计算的多要素代理重加密方案

云与移动计算的融合使用户能够更方便快捷地获取数据和服务,但是由于云平台和移动通信网络的开放性,如何在移动云计算环境下实现数据安全的访问和使用成为了亟待解决的问题。设计了一种基于多要素访问控制条件的代理重加密方案,包含系统模型、重加密算法及重加密密钥描述方法。基于该方案,云计算数据中心通过移动用户的访问请求,获取用户的客观访问控制条件,为用户生成相应的重加密密文,用户使用自身私钥即可对授权数据解密。在不增加用户密钥管理量的前提下,实现了移动云计算的多要素代理重加密。     

云计算环境下的网络技术研究

提出了以数据中心为核心的云计算网络技术体系框架,通过对云计算环境下的网络新需求分析,对虚拟机本地互访网络、数据中心二层互访网络、跨数据中心二层互访网络、用户接入网络以及SDN (software defined network)等新技术进行了详细探讨,并提出了云计算网络发展建议,使其为未来云计算网络技术落地做好准备。     

基于国产密码算法的数控网络的认证与验证模型研究及安全评估

该文针对工业控制系统安全,提出面向数控系统(NCS)网络安全保护技术框架,选用国产密码系列算法中的SM2, SM3, SM4算法,设计并建立了数控网络(CNC)认证与验证模型(AUTH-VRF),分内外两层为数控网络提供安全防护。外层为数控网络设备间通信与传输进行安全认证实现网段隔离,内层验证通信协议完整性以确保现场设备接收运行程序的正确性与有效性;通过基于SM2, SM3, SM4算法设计和部署的外层防护装置,为分布式数控(DNC)设备与数控系统之间的通信提供身份认证与文件加密传输;同时针对工业控制网络的S7Comm工业通信协议数据,通过SM3算法验证专有工业协议数据完整性。通过网络攻击实验证明,AUTH-VRF模型可以为数控网络中工业生产数据提供有效的安全认证和资源完整性保护,为满足我国关键基础设施“国内、国外工业控制系统产品共同安全可控”和“安全技术深入工业控制系统各个层级”的需求提供了实际可行的技术参考方案。     

云数据安全研究进展

云数据安全问题是制约云计算发展的重要因素之一.该文综述了云数据安全方面的研究进展,将云数据安全所涉及的云身份认证、云访问控制、云数据安全计算、虚拟化安全技术、云数据存储安全、云数据安全删除、云信息流控制、云数据安全审计、云数据隐私保护及云业务可持续性保障10方面相关研究工作纳入到物理资源层、虚拟组件层及云服务层所构成的云架构中进行总结和分析;并给出了相关技术的未来发展趋势.     

云数据安全研究进展

云数据安全问题是制约云计算发展的重要因素之一。该文综述了云数据安全方面的研究进展,将云数据安全所涉及的云身份认证、云访问控制、云数据安全计算、虚拟化安全技术、云数据存储安全、云数据安全删除、云信息流控制、云数据安全审计、云数据隐私保护及云业务可持续性保障10方面相关研究工作纳入到物理资源层、虚拟组件层及云服务层所构成的云架构中进行总结和分析;并给出了相关技术的未来发展趋势。     

一种基于虚拟机的安全隔离与交换系统

文中分析了隔离网闸的原理以及应用中的问题,为实现更高效的安全隔离与数据交换系统,提出了基于一种基于虚拟机监控器体系结构的安全隔离与信息交互系统模型。并基于Xen虚拟机监控器系统,讨论了该模型的实现方式,利用Xen虚拟机体系结构实现不同客户域OS的安全隔离,采用Xen体系的超级调用、异步事件和域间内存共享访问机制,基于虚拟机管理器内部实现的访问控制模块（ACM）执行不同安全域信息受控交换策略,实现了不同客户域OS之间的受控数据交换。分析认为,该系统模型具有足够的安全隔离特性以及零内存拷贝的高效数据交换特性,具有重要的应用参考价值。