一种基于安全管控器的桌面云平台

摘要:随着桌面云的广泛应用,它的安全问题成为人们关注的焦点。传统云安全解决方案将安全策略、功能等分散于不同的设备和模块,配置和管理复杂。为了便于云安全策略的统一部署,将各种安全网关、安全认证和访问控制等安全功能集成在一个安全管器控系统中,提出了一种新型的桌面云平台。该平台实现了计算、网络、存储资源集中共享、云数据中心统一调度管理等,提高了桌面云平台的安全性、可靠性和运行效率,适用于办公、管理等多种系统。

正文内容:

0 引 言

随着应用需求的发展,人们对信息系统的要求越来越高。传统的计算机PC终端集成多种接口和独立的计算和存储资源,导致诸多弊端和不足。例如,难以避免非法入侵,多数PC终端资源大部分时间处于闲置状态等,不仅耗电,而且没有发挥相应的作用。云计算技术通过将计算资源部署在云服务端,对上述现状进行了改进。开放的网络环境为云计算用户提供了强大的计算和存储能力,已逐渐得到广泛应用。云计算技术的应用产品主要包含三个方面:存储云、桌面云以及应用云[1]。其中,桌面云是将用户的桌面环境及应用部署到云数据中心,用户端只需要具有输入和输出显示的瘦客户机终端,从而使得用户可以通过客户机终端访问部署在云端的各种应用、服务或数据。在典型的桌面云环境中,用户体验和电脑使用保持一致。此外,用户还可以通过任何设备,任何地点、任何时间访问其个人桌面。桌面云的商业软件产品主要有Citrix XenDesktop[2]、VMware ESXi、Microsoft Hyper-V和Redhat Hypervisor[3]等。

随着云计算技术的飞速发展,它的安全性问题日益凸显[4-6]。桌面云作为用户主要的登录入口和操作终端,其安全问题引起了广泛关注,陆续提出了多种安全防护方案,如端到端的防御框架、用户名+域密码认证方案、USB Key、指纹认证、安全域隔离等[7-8]。这些方法的安全策略和措施分散在不同的设备或模块中,如防火墙、认证模块等,系统配置复杂,网络部署需要较多设备。

本文基于安全管控器,将各种安全网关、安全认证和访问控制等安全功能集成在一个管控系统中,提出了一种新型的桌面云平台。该平台实现了计算、网络、存储资源集中共享、云数据中心统一调度管理,提高了桌面云的安全性、可靠性和运行效率,可帮助企业增强信息安全,实现高效运维、灵活办公,同时提高业务的可靠性。

1 桌面云的设计与实现

1.1 桌面云设计需求

安全性需要具有防篡改、防抵赖、防窃取、防攻击的要求,具体如表1所示。

高可用性。数据库采用集群方式,部署两台web服务器,由Nginx提供负载均衡。负载策略采用src ip hash。

可伸缩性。在对架构改动最小的前提下,通过增加硬件的方式,达到更大的系统吞吐量。

1.2 桌面云逻辑架构设计

根据系统资源虚拟化及终端有无主机的考虑,桌面云平台的逻辑架构主要包括终端接入层、服务器虚拟化层、桌面虚拟化管理层以及物理资源层四个层面。桌面云总体逻辑架构设计如图1所示,其中每个层面完成的主要功能如下。

终端接入层:支持多种接入方式,包括手机、平板、PC机和瘦客户机等。

虚拟桌面层:按照用户需求,构建桌面资源、桌面资源调度、分配、接入控制。

虚拟机计算存储资源层:由Open stack负责完成资源的统一管理。

物理资源层:利用现有的物理资源,形成云服务的基础设施。

1.3 桌面云物理架构设计

桌面云的物理架构设计如图2所示,主要由桌面管理服务、安全接入管控器和瘦客户机等组成。

桌面管理服务完成桌面池、元主机、桌面模版的管理、桌面的分配、桌面连接通道的建立。按照Open stack组件开发标准,实现桌面的服务;提供命令行与SDK两种接口。安全接入管控器通过桌面管理服务的API接口,完成对桌面的获取。管理节点与安全接入管控器的逻辑框图,如图3所示。

安全接入管控器具有终端的统一认证与接入功能,Spice协议的接入通过代理完成IP tables上动态DNAT的规则部署。同时,安全接入管控器具有桌面的配置管理操作,其逻辑框图如图4所示。

瘦客户机完成终端的瘦身处理,可提供定制化个性服务,且ARM和x86提供多性价产品,而CPU、内存根据不同的应用场景进行定制。具有的主要功能包括:智能的带宽调整,满足用户流畅的操作体验;支持所有视频格式/编解码器;双向音频/视频;原生帧率回播(流式传输或本地);音画同步,使音频和视频保持同步;动态图像压缩等。具体实现框架,如图5所示。

不仅如此,为满足客户利旧的需求,安全桌面云具有Desktop客户端软件,提供软件方式接入桌面。需说明,它只体现在外观形态的差别,功能与瘦客户机的功能一致。

2 桌面云的技术选型

桌面云平台实现的技术选型如表2所示。

3 桌面云的特点

基于上述设计与实现过程以及平台的技术选型结果,以此实现的桌面云平台具有如下特点。

基于Open stack的组件式框架,后端桌面服务沿用Openstack的组件结构,组件之间采用消息队列(rabbit-mq server)进行消息交互;后端桌面服务认证授权控制采用keystone,与Open stack现有认证框架保持一致。

Web服务采用Zope作为web中间件,采用Router接口方式作为配置管理界面与后台之间的交互协议。Router接口比Open stack的接口扩展更方便,接口参数的数据格式也更灵活。

4 结 语

桌面云作为云计算应用的主要方向之一,具有终端资源简化、系统配置优化、易于运维管理等特点,目前得到了广泛应用。随着桌面云应用的不断扩展,它的安全问题成为人们关注的焦点。传统桌面云安全解决方案将安全策略、功能等分散于不同设备和模块,配置和管理复杂。本文将各种安全网关、安全认证和访问控制等安全功能集成在一个安全管控器系统中,提出了一种新型的桌面云平台。该平台实现了计算、网络、存储资源集中共享、云数据中心统一调度管理等,提高了桌面云平台的安全性、可靠性和运行效率,可以广泛应用于教育、办公、政务、管理等系统。

参考文献:

[1] 蒋建军,丁志峰.基于云技术的计算模式及其实现[J].计算机应用与软件,2016,33(06):84-87.

[2] Barham P,Dragovic B,Fraser K,et al.Xen and the Art of Virtualization[C].Proceedings of the 19th ACM Symposium on Operating Systems Principles,2003:164-177.

[3] Kivity A,Kamay Y,Laor D,et al.KVM:the Linux Virtual Machine Monitor[C].Proceedings of the 2007 Ottawa Linux Symposium.Ottawa,2007:225-230.

[4] 张玉清,王晓菲,刘雪峰等.云计算环境安全综述[J].软件学报,2016,27(06):1328-1348.

[5] Bodkhe A P,Dhote C A.Cloud Computing Security:An Issue of Concern[J].Int’l Journal of Advanced Research in Computer Science and Software Engineering,2015,5(04):1337-1342.

[6] Ali M,Khan S U,Vasilakos A V.Security in Cloud Computing:Opportunities and Challenges[J].Information Sciences,2015(305):357-383.

[7] 王永建,朱纪周,杨建华等.桌面云安全防护体系研究[J].信息安全研究,2017,3(05):432-439.

[8] 韩同欣,李楠.桌面云技术在办公环境中的应用[J].计算机与网络,2015,41(24):38-39.

作者:唐 娟1,戚建淮1,2,宋 晶1,2,刘建辉1,郑伟范1,2

单位:1.深圳市永达电子信息股份有限公司,广东 深圳 518055;

2.城市轨道交通系统安全保障技术国家工程实验室,广东 深圳 518055

作者简介:唐 娟,女,学士,主要研究方向为网络安全;

戚建淮,男,博士,高级工程师,主要研究方向为网络空间安全;

宋 晶,男,硕士,助理研究员,主要研究方向为网络空间安全;

刘建辉,男,学士,主要研究方向为网络安全;

郑伟范 ,男,博士,助理研究员,主要研究方向为网络空间安全、智能计算。

本文刊登在《通信技术》2018年第2期(转载请注明出处,否则禁止转载)

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180206B0SS3I00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动