SCI论文(www.lunwensci.com):
摘要:针对云计算环境下虚拟机的网络接入鉴权问题,在分析了传统物理网络中局域网接入鉴权协议(802.1x协议)和云计算环境中基于OpenFlow协议的SDN网络架构和原理的基础上,设计出了一种SDN网络下虚拟机的网络接入鉴权方案,实现对云计算环境中虚拟机的入网认证,解决云计算环境中虚拟机的网络可信接入问题,以及接入策略和访问控制策略的随云迁移问题。
关键词:云计算安全;入网鉴权;SDN
Design of 802.1X Protocol-based Authentication Scheme for Virtual Machine Network Access
JIN Xin,SHANG Xu,WANG Jin,CUI Yang,LI Chunyan
(No.30 Institute of CETC,Chengdu Sichuan 610041)
【Abstract】:To address the network access authentication problem of virtual machines in cloud computing environment,we design a network access authentication scheme for virtual machines in SDN network based on the analysis of traditional physical network LAN access authentication protocol(802.1x protocol)and SDN network architecture and principle based on OpenFlow protocol in cloud computing environment,to realize the network access authentication of virtual machines in cloud computing environment.It solves the problem of trusted access to virtual machines in the cloud computing environment and the problem of access policy migration with the cloud.
【Key words】:cloud computing security;network access authentication;SDN
0引言
近年来,云计算作为一种新的计算模式,已快速发展成为一个新兴研究和应用领域,得到了越来越多的关注和广泛的应用,在数字化转型的浪潮下,各行各业都在“上云”,云已经渗透到我们生活的方方面面。云计算环境中大量使用虚拟化技术,虚拟化技术将原本固定不易伸缩的物理资源利用软件抽象成可配置的虚拟资源,按需分配给云计算用户,用户可以便捷的使用资源,这种模式极大的提高了资源利用率和使用的灵活性,但也正是这种灵活性使得恶意用户获得云平台权限后,可以轻易的通过创建新虚拟机的方式接入租户网络,访问内部业务数据,而目前云计算环境缺乏有效的接入鉴权机制,原有防火墙、主机防火墙等边界防护手段无法有效、准确的阻止来自租户内部的非授权访问[1],无法适应云计算环境中资源的动态扩容和迁移,无法保证用户数据的安全。
1研究背景
在网络安全防护体系里,网络接入鉴权是第一步也是极为重要的一步,是网络安全的“守门员”,在整个网络安全体系中具有非常重要的作用。接入鉴权在身份认证的基础上,通过对网络接入的控制,防止未授权用户对网络的非法访问,同时将合法用户限制在对应的网络区域,从网络层阻断非授权的资源访问,保护网络内数据资产的安全。在云计算环境下,由于开放、资源共享,网络的物理边界被打破,网络的接入鉴权变得更为重要。然而传统的接入鉴权机制都是建立在对传统网络的构建基础之上,大都是基于对物理端口的访问控制,在传统计算环境下,可以使用基于物理交换机端口实现接入鉴权,然而在云计算下,一个虚拟机管理器中可以运行多个虚拟机,网络资源的共享采用了网络虚拟化技术,同一主机多个虚拟机共用一个物理网卡,使用同一个交换机端口接入网络,传统的接入鉴权方案无法实现精细的控制单个虚拟机的接入[2],给虚拟化环境下的网络安全带来很大隐患;同时同一主机内部的虚拟机通讯不通过交换机,导致传统的接入鉴权方案无法凑效,带来安全风险,因此在云计算环境下,我们需要针对云计算网络架构的特点,结合传统的接入认证协议,研究新的接入鉴权方案,解决虚拟机的入网认证和访问控制问题。
2方案设计
经过对目前物理环境接入鉴权方案进行调研,目前市面上主流的接入鉴权设备都基于802.1X协议实现,为了最大程度保持和现行技术体制的一致,兼容现有身份管理、认证鉴权系统,实现接入鉴权方案从物理环境到虚拟化环境的平滑迁移,本方案围绕802.1X协议设计;同时目前主流的云计算环境都采用SDN网络架构,为了使方案更具有普适性,本方案主要解决SDN网络架构下的虚拟机接入鉴权问题。
2.1背景技术介绍
802.1X协议(IEEE 802.1X)是传统网络最应用最广的认证鉴权协议,它是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。基于802.1X的认证鉴权系统为典型的C/S结构,主要包括三个实体:客户端、接入设备和认证服务器。三个实体之间使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现认证信息的交换。在客户端与接入设备之间,EAP协议报文使用EAPoL封装格式,并直接承载于LAN环境中。接入设备与认证服务器之间使用EAPoR(EAP over RADIUS)封装格式承载于RADIUS协议中,发送给RADIUS服务器进行认证[3]。
SDN是针对传统网络的弊端设计时所提出的一个概念,同时也是一种全新的网络架构[4],核心思想是将控制和转发分离,整体架构主要由虚拟交换机和控制器两大组件组成,控制器主要功能是通过南向接口实现对数据平面的资源进行合理的编排,查看和维护网络的拓扑信息等,虚拟交换机负责数据的处理、转发和状态收集,控制器和虚拟交换机之间一般通过Openflow协议进行通讯[5]。
2.2总体方案设计
基于上一章节对802.1X协议工作原理和SDN架构的研究和分析,认证的客户端和认证服务器可以复用物理环境的现有系统,实现基于虚拟端口的接入鉴权的关键是需要解决虚拟化环境下EAP报文的传递问题、非授权状态的端口访问权限限制和隔离问题、虚拟交换机上虚拟端口授权状态的切换问题及授权访问问题、虚拟机迁移带来的策略迁移问题。基于SDN控制和转发分离的思想,并结合802.1X的工作流程,上述问题的解决思路如下:
EAP报文的传递问题:通过对主流开源的Openvs-witch(OVS)虚拟机交换机进行二次开发和改造,增加EAP报文转发模块,在OVS收到EAP报文后,将EAP报文通过EAPoUDP协议,转发给SDN控制器,控制器将EAP报文通过EAPoR协议转发给认证服务器,实现认证过程,认证服务器返回认证结果及端口的权限给SDN控制器;
未授权端口的隔离问题和授权端口的访问权限问题:基于SDN网络架构转发和控制分离的特性,通过对SDN控制器进行二次开发定制,增加端口接入授权控制模块,通过下发不同的流表来实现与物理交换机等价的访问控制功能,进而实现和物理网络等效的网络控制功能。(1)在虚拟机端口初始化时,SDN控制器下发默认控制流表,阻断除了EAPoL报文的其他流量,实现未授权端口网络流量的阻断;(2)认证通过后,根据业务规则将接入业务授权规则转换为流表下发给对应的SDN交换机;(3)注销时,控制器下发流表到虚拟交换机,切断虚拟机端口除EAPoL报文之外的所有流量,阻止虚拟机继续访问网络。
策略迁移问题:针对云计算环境下虚拟机迁移带来的策略迁移问题,通过和SDN架构的深度融合,接入授权模块以插件方式集成在虚拟交换机内,采用无状态和分布式设计,所有的接入策略通过流表控制,流表数据集中存储于SDN控制器;虚拟机迁移后,接入目的端虚拟机交换机时,接入策略和端口基础流表同时下发到虚拟机交换机,实现接入控制策略的随云而动。方案的整体架构如图1所示,系统由认证客户端、虚拟机交换机、SDN控制器、认证服务器四大部分组成。
认证客户端:认证客户端部署于虚拟机内部,负责802.1X认证的发起、注销的发起等,为了保持和物理网络一致,可与物理网络现有的认证客户端保持一致。采用模块化设计,易扩展,可实现与多种认证服务器的对接。
虚拟机交换机:虚拟交换机部署于宿主机,负责根据SDN控制器下发的流表,对虚拟机流量的转发。在本方案中,我们在开源OVS的基础上增加接口授权模块和EAP报文转发模块,实现在认证的初始阶段非认证报文的过滤,EAP报文的转发,授权流表的处理。
SDN控制器:部署于云平台管理平面,与虚拟交换机的管理网络连接,通过OpenFlow协议指导交换机进行转发。在本方案中,我们在通用SDN控制器的基础上增加了认证管理模块(AAM)和流表控制模块,负责将虚拟机交换机转发的认证报文发送给认证服务器进行认证,如果认证成功,根据返回的授权信息转换成OpenFlow流表,下发给虚拟交换机。
认证授权服务器:部署于云管理平面,主要分为认证模块和授权模块2大部分。在方案中,认证模块配合认证客户端实现虚拟机的认证鉴权,授权模块负责维护和管理虚拟机的网络访问权限,并在认证成功后返回SDN控制器。
2.3交互流程设计
基于上一章节的分析,完整接口认证授权的工作流程如图2所示。
(1)虚拟接口初始化:虚拟机启动,OVS交换机向SDN注册端口,SDN控制器下发初始流表策略,禁止除EAPoL协议包之外的数据包通过。
(2)客户端发起认证:虚拟机内部的认证程序通过EAPoL协议发送认证信息到SDN交换机。
(3)EAPoL协议转发:SDN交换机收到报文后,通过EAP协议转发模块将报文转发给SDN控制器的AAM模块。
(4)认证:AAM模块将EAP报文通过EAPoR协议格式封装发送给认证服务器认证,认证通过后发送相关入网信息给SDN控制器AAM模块。
(5)接口授权:AAM模块获得认证结果和入网信息后,将入网信息翻译成Openflow流表,通过流表控制模块下发给虚拟机网卡对应的OVS交换机的接口授权模块,完成对虚拟接口的授权和访问控制策略的配置。
注销流程时认证流程的反向操作,具体流程如下:
(1)客户端发送注销请求:客户端发送EAPOL-Logoff报文给设备端,主动要求下线。
(2)EAPoL协议转发:SDN交换机收到报文后,将注销报文转发给SDN控制器的AAM模块。
(3)注销:AAM将出网信息翻译成Openflow流表,通过流表控制模块下发给虚拟机网卡对应的OVS交换机的接口授权模块发送给OVS交换机的接口授权模块,控制OVS将相应的端口状态从授权状态改变成未授权状态、删除相应的访问控制策略并通知认证客户端。
至此整个认证和注销流程结束,实现了云计算环境下基于SDN和802.1X协议的虚拟机接入认证、授权、注销的完整流程和功能。
2.4效能分析
方案认证协议方面基于标准的802.1X协议设计,协议安全性经过了验证,同时具有较强的普适性,可以沿用物理环境的认证客户端和服务端,不存在适配或转换问题;端口授权方面,基于最流行的OVS虚拟机交换机和OpenFlow协议设计,能够兼容大多数的云计算平台。
本文设计的入网鉴权方案已经集成在某某云解决方案中,用以解决虚拟终端的入网鉴权问题。该解决方案广泛应用于有高信息保护要求的点位,多年来运行稳定。
3结语
本文针对云计算环境下虚拟机的网络接入鉴权问题,在分析了传统物理网络中局域网接入鉴权协议(802.1x协议)和基于OpenFlow协议的SDN网络架构和原理的基础上,设计出了一种SDN网络下虚拟机的接入鉴权方案,实现了云计算环境虚拟机的入网认证鉴权,并实现了鉴权状态随云而动;本方案支持与多种认证授权服务器对接,实现高安全的虚拟机接入认证,同时能够根据认证授权服务器的授权信息,实现虚拟机网络访问的细粒度和灵活控制。后续可以研究与可信计算体系对接,实现虚拟机的网络可信接入,进一步增强网络接入的安全性。
参考文献
[1]尚旭,刘晓毅,冯中华,等.云平台IaaS层内生安全技术研究[J].信息安全与通信保密,2021(7):85-94.
[2]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):89-94.
[3]刘海旺,邱卫东,黄征.基于802.1x的局域网接入认证方案[J].信息安全与通信保密,2009(3):64-65.
[4]陶松.基于SDN的网络虚拟化安全研究[J].电脑知识与技术,2015,11(15):23-25.
[5]张诚.基于SDN的宽带接入网用户认证方式研究[J].通讯世界,2015(23):8-9.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/37060.html
