云计算虚拟池可信系统问题研究

◆周剑涛 杜军龙

（江西省信息中心 江西 330000）

云计算以及虚拟储存技术的发展，帮助企业在发展过程中能够更加顺利使用市场上的数据中心，利用数据中心的有效信息提高企业在市场上的竞争力，所以云计算服务器的安全性是目前存在的重要问题，在江西省电子政务云中，其云储存还存在一定的安全问题，所以必须跟上时代发展的步伐构建出更加科学的云计算虚拟池可信系统，有效将云计算服务器的作用充分发挥出来。云计算数据虚拟池属于对资源进行访问的技术，其通过虚拟存在的物理资源，将其存在的不同逻辑展现出来，能够让不同的用户需求得到满足，成本相对较低，且简单和方便，但是目前云服务器数据中心中还存在一定的问题，比如资源负责不均衡等，应该制定出更加科学的数据中心访问调度的机制，才能解决这些问题，从而提高云服务器数据的使用效率。

1 构建云计算储存模型

在云计算存储中，其主要的构成部分包括访问物理资源以及虚拟资源池等，在这些组成部分当中还包括了效用计算的模型等有用模型，用户通过操作云计算服务器就能计算数据，并得到各种服务。在云计算当中，其结合了目前社会上比较先进的虚拟机技术以及网格计算等，能够为不同的用户提供个性化的需求服务。

云计算存储结构模型如图1所示。

图1 云计算存储结构模型

存储层是云存储体系结构中的最低层，NAS网络附属存储设备以及PC设备等各种设备设施是物理层中使用的设备，但是因为底层设备存在于云计算中的位置以及生产厂家不相同，所以对其进行统一的集中管理需要使用储存虚拟化技术才能完成。

在管理层中主要是对集群系统、分布式文件系统进行管理，并进行网络计算，其主要是利用P2P技术，删除一些重复的数据，并对数据进行加密。

应用接口主要是将访问接口提供给基础的管理层使用，一般使用的应用接口包括APP或者公用的API等，用户可以通过电脑中的该接口与网络相连接，从而拥有权限管理。

在整个云存储体系结构当中，访问层属于上层结构，访问层的主要功能就是为了给使用用户提供空间，并拥有数据备份和维护等功能。

2 设计可信系统

2.1 设计架构

可信系统的架构中应用了比较先进的OpenStack平台，其具有较多优点，其中包括规模大、具有可扩展性等，一共有三层系统架构，用户可以访问控制中心，该类平台是私有云平台，其主要的构成包括TPM芯片和VM虚拟机，拥有比较可靠的云节点，通过第三方实体的ETE能够实现对控制中心的可靠访问控制，其主要的架构如图2所示。

图2 可信系统架构

整个架构包括子模块TN、控制中心CM、第三方实体。其中TN中硬件平台使用的芯片为TPM芯片，内部设置了一个虚拟机对用户数据镜像进行储存，IaaS架构是子模块中重要的架构，组网模式为MAN-AGE，储存模式为弹性的EBS模式在云计算安全平台当中TN是其基础；CM重点是接收用户的云要求的访问，对整个云计算平台进行调度和控制，为用户提供相应的虚拟访问服务，并在子模块中分解用户的任务；第三方实体主要是在用户使用过程中开展访问监控工作，这是因为控制中心与用户之间存在一种非可信的关系，所以用户在使用过程中有一种加密机制，就需要数据认证中心的CD在可信节点TC当中下发用户的签名密钥。

2.2 设计虚拟池

要想提高云计算可信的安全性，在本文中云平台主要应用了OpenStack，并使用了比较科学的软件框架，底层硬件资源、安全访问控制层以及虚拟的APP层等构成了整个安全架构。

使用的虚拟机器软件VirtualBox的功能就是为用户提供各种资源，其中包括虚拟内存或者服务设备等，这些资源之间存在一定的独立性，ACM的作用主要是保证用户在使用过程中能拥有应急访问控制的功能，对VM及安全开展有效的管理工作，能够控制好虚拟机资源域，通过利用云服务器能够让虚拟池技术让许多虚拟的资源映射出可信的访问，设计的虚拟池架构如图3所示。

图3 虚拟池架构

云计算主要是利用消息映射功能，在虚拟池中将一些资源（储存器、CPU等）进行了映射，用户在虚拟池中获取资源就等同于直接在云服务器上获取，用户在使用的过程中不会明显感到云服务器的存在。将虚拟池内的资源进行分配和管理时，管理的方法主要是分级调度，进行一定的初级调度时，能够满足各个用户不同的需求，而对用户则采取分类的作业机制，让其能够通过初级调度就能将用户任务映射到虚拟机中。

虚拟池的安全平台能够把虚拟的内核提供在每个应用当中，将硬件和软件资源进行调度和匹配，如果某个应用模块出现了故障或者受到了攻击，则可以将错误的问题放在一个封闭的虚拟域当中，能让整个系统平台的运行安全得到有效保证，且积极使用安全的构架平台还能让用户体验到更加好的虚拟网络模式以及虚拟域的管理功能等，让云计算能够实现真正安全访问的目标。

3 云计算虚拟池可信系统中的详细功能设计

3.1 虚拟域的具体设计

用户在使用过程中申请访问相关的虚拟空间时，需要在构架的平台与虚拟机之间设计一条信任链，才能保证整个云计算虚拟池可信系统中信任链的完整性，所以应该积极结合完整性的度量，构建出更加完整的度量机制，不断扩展在用户虚拟域当中存在的信任链，扩展虚拟域信任链的方法如图4。

图4 虚拟域具体设计

当程序开始运行，发起了请求虚拟域信任时，就需要判断当前的配置环境是否安全，如果配置环境处于安全领域，并且已经启动了虚拟域，就需要重置动态的PCR，并根据环境要求构建出隔离虚拟资源的运行环境，否则就需要时在虚拟域当中构建出相关实例，让其动态链加载出来，其次要使用VirtuaBoxLoade获取到相应的加载控制，将镜像的文件生成，把虚拟域的管理系统打开，该项软件主要是获取CPU的权限，让其进行加载，由于前端程序的连接情况，所以后端驱动就会发出相应的请求；再者使用虚拟域的管理器可以获取到公钥，如果获取公钥成功，则需要对用户的签名进行认证，否则就需要在虚拟的管理域当中提高申请，在拥有了密钥之后才能运行，并积极利用执行安全引导相应的模块，从而保证运行环境的安全，最后在保证虚拟域的环境安全之后，还需要进行一定的分配工作。这样构建出一个科学和完整的信任系统，使每一个用户都能在使用的过程中保证云平台使用的安全，如果用户在操作时将当前的虚拟域悬挂，则可以通过对状态值的设置进行修改，让其安全性得到保证。

3.2 建立可信的路径

为了让云平台得到一定的安全支持，就需要针对该平台配置相应的系统虚拟平台环境，构建可信系统虚拟环境主要采用了64 bit CentOS5.8与3.06HZ Dul-Cora Intel CPU进行搭建。可信系统的路径主要是当用户在对云平台的硬件资源进行访问时，首先要件使BIOS启动，并创建出相应的引导程序把虚拟机启动，由于用户的需求不同，就需要根据用户的不同需求，分配隔离的虚拟内核，在此过程中应按照相关的多级资源分配制度进行，在虚拟的安全池内隔离用户创建的不同的应用程序，有效减少安全问题，保证用户安全。

4 结束语

本文主要通过对云计算虚拟池可信系统的问题进行了研究。本文搭建了一个云计算的存储模型，并以此为基础设计了可信系统完整的架构，并以目前存在的安全问题为基础，还设计出了一种虚拟域的信任链对其进行保护，且对系统启动后的可信路径进行了分析，保证系统在启动之后能够在剋性能的状态中，对其进行深入的分析和研究可以了解到，当整个系统在启动之后，能够在一定程度上保证系统中存在的硬件资源、软件资源以及虚拟机的内核等各种资源一直处于可信的状态中，让云计算虚拟池可信系统能充分发挥出最大的作用，最终实现了虚拟池可信系统的设计，具有较大的意义。