虛擬云桌面應(yīng)用技術(shù)研究

陳皓圭

摘要：為了解決硬件資源的利用資源成本浪費問題，提出了虛擬云桌面的應(yīng)用技術(shù)研究，以虛擬云桌面技術(shù)理論為基礎(chǔ)，對虛擬云桌面認(rèn)證的云目標(biāo)，以及安全認(rèn)證進(jìn)行了實驗認(rèn)證與測試，結(jié)果表明，該虛擬云桌面安全認(rèn)證系統(tǒng)進(jìn)行有效的認(rèn)證，對加入域內(nèi)的客戶端、用戶和應(yīng)用服務(wù)器進(jìn)行策略管理，從而達(dá)到訪問控制的目的。

關(guān)鍵詞：云桌面；認(rèn)證；系統(tǒng)；云計算

1概述

在信息技術(shù)高速發(fā)展的今天，尤其是網(wǎng)絡(luò)技術(shù)以及硬件能力的提升，計算機(jī)已經(jīng)入人們的生活不可分離，人類社會從來沒有像今天這樣快速發(fā)展，各領(lǐng)域的變化速度驚人。也因為這些技術(shù)以及硬件的發(fā)展，人們對速度和性能以及功用的追求越來越高，但這些硬件和信息資源的分布、使用、管理等造成了這些資源的浪費，還沒有讓它們發(fā)揮更大的功用。這些問題促使人們對這些問題進(jìn)行系列的研究，從而對傳統(tǒng)的計算模式進(jìn)行改變，使得適用人們的需求。云計算就此應(yīng)運而生。云計算的出現(xiàn)改變了原有信息資源的構(gòu)建方式，將原有的IT架構(gòu)變成了企業(yè)或政府的私有云，也將用戶的計算機(jī)終端變成了云桌面。而終端用戶的操作系統(tǒng)也在云的控制之內(nèi)，由云計算服務(wù)器提供，這樣就實現(xiàn)了軟件和硬件的集成，達(dá)到了資源的高效利用，減少了社會資源的浪費。終端用戶使用一定的精簡軟件，通過網(wǎng)絡(luò)鏈接到云中心，形成了自己的云桌面，這種方式與傳統(tǒng)方式在操作體驗上沒有任何區(qū)別，但這個方式節(jié)省了許多硬件的投入。此外，云的架構(gòu)便于把分散的終端集中起來管理，有利于管理上的便捷和低成本，在安全方面，也提高了整個系統(tǒng)的魯棒性。可見，云計算及基于云的虛擬云桌面技術(shù)在現(xiàn)實中的運用是非常廣泛和普遍的。

私有云技術(shù)的快速發(fā)展和普遍運用使得虛擬云桌面成為當(dāng)前信息化建設(shè)的熱點問題。在云理論和云產(chǎn)品方面，目前都有很多新的發(fā)展，這些都是建立在虛擬云桌面的運用上的。目前市場上的虛擬云產(chǎn)品基本上都是建立在理論和實踐都發(fā)展得比較成熟的云計算平臺上的，這些應(yīng)用大多是在開發(fā)便捷的管理，在如何集中上想辦法。在如何提高虛擬云的安全性方面發(fā)力不多，尤其在防范病毒上還不夠全面，如木馬病毒，數(shù)據(jù)安全等方面無法防范惡意的攻擊，通常會有一些不經(jīng)授權(quán)的連接，這樣就無法保證用戶的安全，無法保證傳輸數(shù)據(jù)的安全有效和完整。就給云應(yīng)用帶來隱患，對云桌面的推廣產(chǎn)生擔(dān)憂而無法進(jìn)一步發(fā)展。

虛擬云桌面技術(shù)在安全方面具有獨特的優(yōu)勢，因此在云安全方面獨秀一枝，私有云的安全也主要是體現(xiàn)在虛擬云方面，它綜合和云安全的各方面的特定和優(yōu)勢。在這方面的研究相比研制出新的產(chǎn)品更具有現(xiàn)實的意義。本文的研究也主要是在虛擬云桌面的認(rèn)證以及數(shù)據(jù)傳輸?shù)陌踩矫嬲归_研究，通過模型構(gòu)建，實現(xiàn)一個供云應(yīng)用的安全的認(rèn)證與數(shù)據(jù)安全傳輸?shù)钠脚_。

2虛擬云桌面技術(shù)

云計算已然成為信息科學(xué)行業(yè)最熱的概念之一，自從云計算出現(xiàn)伊始。短短幾年之內(nèi)，其從最初的信息化概念到成型的信息產(chǎn)品以及之后的廣泛運用，不知不覺已經(jīng)參與到人們的生活之中了，且呈現(xiàn)越來越廣的趨勢。云計算開源的解決方案，最初是從Open Stack開始的，并且在云計算領(lǐng)域占有著非常重要的分量。Open Stack的形式和作用就是虛擬云桌面，因為其獨特的功能，當(dāng)前已經(jīng)是我過云計算方面最主要的產(chǎn)品，也是該行業(yè)主要的品牌，深得人心。

但是Open Stack并不是什么軟件，它實際上是一個云計算的項目平臺，它既是Open Stack公司的產(chǎn)品也是美國航天局支持研發(fā)的平臺，它的初始目的是為了建設(shè)一個對所有人開源的平臺，并為公眾提供開源的基礎(chǔ)。Open Stack是一個提供基礎(chǔ)設(shè)施作為服務(wù)的云計算開源解決方案，為接人云平臺的廣大用戶提供虛擬云桌面的服務(wù)，因為其便利聯(lián)合優(yōu)異的特性，從產(chǎn)生開始就受到廣大研究者的研究及關(guān)注，也被廣大用戶所追捧。

3虛擬云桌面安全認(rèn)證設(shè)計目標(biāo)

用戶在獲得云桌面服務(wù)之前必須通過云計算平臺的安全認(rèn)證。在當(dāng)前的云平臺模式下，任何用戶都可以通過網(wǎng)絡(luò)后的認(rèn)證而連人云計算中心，獲得云計算即云桌面的支持和服務(wù)，一般都是通過用戶名及密碼認(rèn)證后，由云計算中心統(tǒng)一進(jìn)行管理，也只有通過了認(rèn)證的用戶才能連人云計算中心，才能獲得支持和服務(wù)，擁有自己的虛擬云桌面。而沒有獲得認(rèn)證的用戶，則被系統(tǒng)拒絕在外，并生成記錄，做出相應(yīng)的安全響應(yīng)。

云計算系統(tǒng)中對于虛擬云桌面的安全認(rèn)證通常包含對終端的認(rèn)證，也包含對用戶名的認(rèn)證，對終端的認(rèn)證方式一般采用客戶端證書的方式，對用戶名的認(rèn)證一般采用Kerberos的認(rèn)證方式。一般來說，通常是用戶通過注冊系統(tǒng)用戶后，獲得授權(quán)票據(jù)，然后憑授權(quán)票據(jù)驗證用戶身份的真實性。一個合理的安全認(rèn)證設(shè)計目標(biāo)達(dá)到提供用戶終端的真實性驗證；通常包括提供用戶身份的真實性驗證；或者包括提供單點登錄服務(wù)。

4虛擬云桌面安全認(rèn)證的設(shè)計

4.1云平臺構(gòu)建模塊

云計算除了特定的商用解決方案外，也有開源的方案，就像Liux和Andorid一樣，對世界開源。但是對于一些特定的行業(yè)，如軍事、銀行、航空等對安全有特別要求的行業(yè)及單位，基于Open Stack的云平臺比較適合需求。在本研究中，就是運用此平臺技術(shù)來搭建用戶私有云，以O(shè)pen Stack為基礎(chǔ)的虛擬云桌面。

私有云的構(gòu)建有賴網(wǎng)絡(luò)的構(gòu)建方式，具體情況需要具體分析。通常的做飯是組建兩個網(wǎng)絡(luò)，一個對網(wǎng)絡(luò)進(jìn)行管理，一個對數(shù)據(jù)進(jìn)行管理，即管理網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)。但是，在特殊的情況下可以組建4個網(wǎng)絡(luò)，增加數(shù)據(jù)存儲和公網(wǎng)網(wǎng)絡(luò)構(gòu)建。公網(wǎng)網(wǎng)絡(luò)就是對網(wǎng)絡(luò)IP進(jìn)行管理，具體環(huán)境配置可如下圖1所示：

在云計算環(huán)境標(biāo)準(zhǔn)配置方案圖1中，網(wǎng)卡和存儲節(jié)點的連接關(guān)系為：計算節(jié)點增加新的網(wǎng)卡與存儲節(jié)點相連接；網(wǎng)絡(luò)節(jié)點網(wǎng)卡和路由器以及外界網(wǎng)絡(luò)的連接關(guān)系為：網(wǎng)絡(luò)節(jié)點新增加的網(wǎng)卡通過公網(wǎng)路由器與外界互聯(lián)網(wǎng)相連接；其中，控制節(jié)點對整個系統(tǒng)中的網(wǎng)絡(luò)節(jié)點、計算節(jié)點和存儲節(jié)點進(jìn)行統(tǒng)一資源管理。

4.2瘦客戶端認(rèn)證模塊

該系統(tǒng)的安全認(rèn)證采用開源的Free IPA來實現(xiàn)，這一認(rèn)證方式是當(dāng)前采用比較成熟而廣泛的方式。Free IPA是一款集成的安全信息管理解決方案，其包含F(xiàn)edora操作系統(tǒng)、LDAP目錄服務(wù)器、Kerberos、DNS、Dogtag等身份、認(rèn)證和策略功能，對加入域內(nèi)的客戶端、用戶和應(yīng)用服務(wù)器進(jìn)行策略管理，從而達(dá)到訪問控制的目的。虛擬云桌面安全認(rèn)證系統(tǒng)部署圖如圖2所示。

在Linux和Unix中，對于安全認(rèn)證的方式非常復(fù)雜，在這兩種操作系統(tǒng)中，不同的安全認(rèn)證協(xié)議是可以兼容的，盡管非常復(fù)雜，但是是可以運行的。但是，這些因素導(dǎo)致管理的復(fù)雜性，集中的難度很大。Free IPA的功能就比較合理且簡單，能夠?qū)⒏鞣N服務(wù)進(jìn)行集中統(tǒng)一的管理，使得各種管理任務(wù)簡單化，如對用戶的管理、系統(tǒng)的管理、安全的管理等方面都非常便捷。同樣，采用這一方案，在身份認(rèn)證中心，對于不同的操作系統(tǒng)來的用戶進(jìn)行授權(quán)也簡單靈活。

4.3用戶身份注冊與認(rèn)證模塊

瘦客戶端認(rèn)證完成以后，還需要對用戶的身份進(jìn)行認(rèn)證。對用戶的身份認(rèn)證采用Kerberos協(xié)議進(jìn)行認(rèn)證，用戶不能自己注冊用戶名和密碼，用戶首先以電子郵件等方式向服務(wù)器端申請用戶名和密碼，由管理員為其分發(fā)用戶名和密碼。用戶在認(rèn)證通過的瘦客戶端上首次登陸時，認(rèn)證中心會強(qiáng)制要求用戶進(jìn)行密碼修改，用戶身份認(rèn)證流程如下圖3所示。

如圖所示的用戶認(rèn)證流程，用戶可以獲得許可的你虛擬云桌面，對于用戶來說就是自己的主機(jī)一樣的體驗。在這一環(huán)境下，用戶可以對網(wǎng)絡(luò)及資源進(jìn)行自如的操作。

5結(jié)束語

本文的虛擬云桌面構(gòu)建方案是以安全認(rèn)證為基礎(chǔ)，在安全認(rèn)證的前提下來構(gòu)建云桌面平臺，來實現(xiàn)各類用戶的安全認(rèn)證。這一研究實現(xiàn)了雙向的認(rèn)證，即虛擬云桌面認(rèn)證、云應(yīng)用服務(wù)器之間的雙向認(rèn)證。而這一認(rèn)證模式是構(gòu)建在網(wǎng)絡(luò)基礎(chǔ)上的，通過網(wǎng)絡(luò)的安全傳輸，對傳輸數(shù)據(jù)進(jìn)行抓包識別，在傳輸中對數(shù)據(jù)進(jìn)行加密，保證整個系統(tǒng)的安全性。這種模式，將對今后云平臺的建設(shè)提供借鑒，具有一定的現(xiàn)實意義。