基于密码的云计算虚拟化网络安全研究

实现了用户间的数据交互。虚拟交换机与实体交换机一样，还提供VLan、ACL、虚拟机端口的流量策略管理、QoS等机制。根据上述云计算用户使用数据中心的虚拟化终端，并通过虚拟化网络进行应用访问的典型模式描述，这里对云计算虚拟化网络安全的需求进行了如下分析归纳：

　　1）用户接入的网络安全需求。应该保障虚拟化用户能够可信、可控、安全地接入数据中心启用其对应的终端虚拟机系统。应该强化用户接入数据中心的认证与访问控制，提供ICA等远程桌面协议的机密性保护。

　　2）虚拟机之间的网络安全需求。与传统的安全防护不同，虚拟机环境下，同台物理服务器虚拟成多台VM以后，VM之间的流量交换基于虚拟交换机进行交换，管理员对于该部分流量既不可控也不可见，但实际上根据需要，不同的VM之间需要划分到不同的安全域，进行隔离和访问控制，应提供保证虚拟机之间交互数据的机密性保护机制，避免通过虚拟交换机的混杂模式端口映射机制监听到所有不同用户群组的虚拟机之间的通信数据。

　　此外，还应该为虚拟机的迁移提供安全的数据传输通道，避免迁移过程（往往是跨物理服务器乃至跨数据中心的）造成用户数据泄露。

　　3）数据中心之间的网络安全需求。数据中心之间会有计算或存储资源的迁移和调度，对于大型的集群计算，一般采用构建大范围的二层互联网络（包括跨数据中心的分布式虚拟交换机），对于采用多个虚拟数据中心提供云计算服务，可以构建路由网络（三层）连接。需要对数据中心网络边界进行防火墙、入侵检测等常规网络安全防护，同时对跨数据中心交互的数据进行机密性保护。