唐 娟，戚建淮,2，宋 晶,2，劉建輝，鄭偉范,2

0 引 言

隨著應(yīng)用需求的發(fā)展，人們對(duì)信息系統(tǒng)的要求越來(lái)越高。傳統(tǒng)的計(jì)算機(jī)PC終端集成多種接口和獨(dú)立的計(jì)算和存儲(chǔ)資源，導(dǎo)致諸多弊端和不足。例如，難以避免非法入侵，多數(shù)PC終端資源大部分時(shí)間處于閑置狀態(tài)等，不僅耗電，而且沒(méi)有發(fā)揮相應(yīng)的作用。云計(jì)算技術(shù)通過(guò)將計(jì)算資源部署在云服務(wù)端，對(duì)上述現(xiàn)狀進(jìn)行了改進(jìn)。開(kāi)放的網(wǎng)絡(luò)環(huán)境為云計(jì)算用戶提供了強(qiáng)大的計(jì)算和存儲(chǔ)能力，已逐漸得到廣泛應(yīng)用。云計(jì)算技術(shù)的應(yīng)用產(chǎn)品主要包含3個(gè)方面：存儲(chǔ)云、桌面云以及應(yīng)用云[1]。其中，桌面云是將用戶的桌面環(huán)境及應(yīng)用部署到云數(shù)據(jù)中心，用戶端只需要具有輸入和輸出顯示的瘦客戶機(jī)終端，從而使得用戶可以通過(guò)客戶機(jī)終端訪問(wèn)部署在云端的各種應(yīng)用、服務(wù)或數(shù)據(jù)。在典型的桌面云環(huán)境中，用戶體驗(yàn)和電腦使用保持一致。此外，用戶還可以通過(guò)任何設(shè)備，任何地點(diǎn)、任何時(shí)間訪問(wèn)其個(gè)人桌面。桌面云的商業(yè)軟件產(chǎn)品主要有Citrix XenDesktop[2]、VMware ESXi、Microsoft Hyper-V 和Redhat Hypervisor[3]等。

隨著云計(jì)算技術(shù)的飛速發(fā)展，它的安全性問(wèn)題日益凸顯[4-6]。桌面云作為用戶主要的登錄入口和操作終端，其安全問(wèn)題引起了廣泛關(guān)注，陸續(xù)提出了多種安全防護(hù)方案，如端到端的防御框架、用戶名+域密碼認(rèn)證方案、USB Key、指紋認(rèn)證、安全域隔離等[7-8]。這些方法的安全策略和措施分散在不同的設(shè)備或模塊中，如防火墻、認(rèn)證模塊等，系統(tǒng)配置復(fù)雜，網(wǎng)絡(luò)部署需要較多設(shè)備。

本文基于安全管控器，將各種安全網(wǎng)關(guān)、安全認(rèn)證和訪問(wèn)控制等安全功能集成在一個(gè)管控系統(tǒng)中，提出了一種新型的桌面云平臺(tái)。該平臺(tái)實(shí)現(xiàn)了計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源集中共享、云數(shù)據(jù)中心統(tǒng)一調(diào)度管理，提高了桌面云的安全性、可靠性和運(yùn)行效率，可幫助企業(yè)增強(qiáng)信息安全，實(shí)現(xiàn)高效運(yùn)維、靈活辦公，同時(shí)提高業(yè)務(wù)的可靠性。

1 桌面云的設(shè)計(jì)與實(shí)現(xiàn)

1.1 桌面云設(shè)計(jì)需求

安全性需要具有防篡改、防抵賴(lài)、防竊取、防攻擊的要求，具體如表1所示。

表1 桌面云安全性需求表

高可用性。數(shù)據(jù)庫(kù)采用集群方式，部署2臺(tái)web服務(wù)器，由Nginx提供負(fù)載均衡，負(fù)載策略為src ip hash。

可伸縮性。在對(duì)架構(gòu)改動(dòng)最小的前提下，通過(guò)增加硬件的方式，達(dá)到更大的系統(tǒng)吞吐量。

1.2 桌面云邏輯架構(gòu)設(shè)計(jì)

根據(jù)系統(tǒng)資源虛擬化及終端有無(wú)主機(jī)的考慮，桌面云平臺(tái)的邏輯架構(gòu)主要包括終端接入層、服務(wù)器虛擬化層、桌面虛擬化管理層以及物理資源層4個(gè)層面。桌面云總體邏輯架構(gòu)設(shè)計(jì)如圖1所示，其中每個(gè)層面完成的主要功能如下。

圖1 桌面云總體邏輯架構(gòu)設(shè)計(jì)

終端接入層：支持多種接入方式，包括手機(jī)、平板、PC機(jī)和瘦客戶機(jī)等。

虛擬桌面層：按照用戶需求，構(gòu)建桌面資源、桌面資源調(diào)度、分配、接入控制。

虛擬機(jī)計(jì)算存儲(chǔ)資源層：由Open stack負(fù)責(zé)完成資源的統(tǒng)一管理。

物理資源層：利用現(xiàn)有的物理資源，形成云服務(wù)的基礎(chǔ)設(shè)施。

1.3 桌面云物理架構(gòu)設(shè)計(jì)

桌面云的物理架構(gòu)設(shè)計(jì)如圖2所示，主要由桌面管理服務(wù)、安全接入管控器和瘦客戶機(jī)等組成。

桌面管理服務(wù)完成桌面池、元主機(jī)、桌面模版的管理、桌面的分配、桌面連接通道的建立。按照Open stack組件開(kāi)發(fā)標(biāo)準(zhǔn)，實(shí)現(xiàn)桌面的服務(wù)；提供命令行與SDK兩種接口。安全接入管控器通過(guò)桌面管理服務(wù)的API接口，完成對(duì)桌面的獲取。管理節(jié)點(diǎn)與安全接入管控器的邏輯框圖，如圖3所示。

圖2 桌面云物理架構(gòu)設(shè)計(jì)

圖3 管理節(jié)點(diǎn)邏輯

安全接入管控器具有終端的統(tǒng)一認(rèn)證與接入功能，Spice協(xié)議的接入通過(guò)代理完成IP tables上動(dòng)態(tài)DNAT的規(guī)則部署。同時(shí)，安全接入管控器具有桌面的配置管理操作，其邏輯框圖如圖4所示。

圖4 安全接入管控器邏輯

瘦客戶機(jī)完成終端的瘦身處理，可提供定制化個(gè)性服務(wù)，且ARM和x86提供多性價(jià)產(chǎn)品，而CPU、內(nèi)存根據(jù)不同的應(yīng)用場(chǎng)景進(jìn)行定制。具有的主要功能包括：智能的帶寬調(diào)整，滿足用戶流暢的操作體驗(yàn)；支持所有視頻格式/編解碼器；雙向音頻/視頻；原生幀率回播（流式傳輸或本地）；音畫(huà)同步，使音頻和視頻保持同步；動(dòng)態(tài)圖像壓縮等。 具體實(shí)現(xiàn)框架，如圖5所示。

圖5 瘦客戶機(jī)框架

不僅如此，為滿足客戶利舊的需求，安全桌面云具有Desktop客戶端軟件，提供軟件方式接入桌面。需說(shuō)明，它只體現(xiàn)在外觀形態(tài)的差別，功能與瘦客戶機(jī)的功能一致。

2 桌面云的技術(shù)選型

桌面云平臺(tái)實(shí)現(xiàn)的技術(shù)選型如表2所示。

表2 技術(shù)選型

3 桌面云的特點(diǎn)

基于上述設(shè)計(jì)與實(shí)現(xiàn)過(guò)程以及平臺(tái)的技術(shù)選型結(jié)果，以此實(shí)現(xiàn)的桌面云平臺(tái)具有如下特點(diǎn)。

基于Open stack的組件式框架，后端桌面服務(wù)沿用Openstack的組件結(jié)構(gòu)，組件之間采用消息隊(duì)列（rabbit-mq server）進(jìn)行消息交互；后端桌面服務(wù)認(rèn)證授權(quán)控制采用keystone，與Open stack現(xiàn)有認(rèn)證框架保持一致。

Web服務(wù)采用Zope作為web中間件，采用Router接口方式作為配置管理界面與后臺(tái)之間的交互協(xié)議。Router接口比Open stack的接口擴(kuò)展更方便，接口參數(shù)的數(shù)據(jù)格式也更靈活。

4 結(jié) 語(yǔ)

桌面云作為云計(jì)算應(yīng)用的主要方向之一，具有終端資源簡(jiǎn)化、系統(tǒng)配置優(yōu)化、易于運(yùn)維管理等特點(diǎn)，目前得到了廣泛應(yīng)用。隨著桌面云應(yīng)用的不斷擴(kuò)展，它的安全問(wèn)題成為人們關(guān)注的焦點(diǎn)。傳統(tǒng)桌面云安全解決方案將安全策略、功能等分散于不同設(shè)備和模塊，配置和管理復(fù)雜。本文將各種安全網(wǎng)關(guān)、安全認(rèn)證和訪問(wèn)控制等安全功能集成在一個(gè)安全管控器系統(tǒng)中，提出了一種新型的桌面云平臺(tái)。該平臺(tái)實(shí)現(xiàn)了計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源集中共享、云數(shù)據(jù)中心統(tǒng)一調(diào)度管理等，提高了桌面云平臺(tái)的安全性、可靠性和運(yùn)行效率，可以廣泛應(yīng)用于教育、辦公、政務(wù)、管理等系統(tǒng)。

[1] 蔣建軍,丁志峰.基于云技術(shù)的計(jì)算模式及其實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2016,33(06):84-87.JIANG Jian-jun,DING Zhi-feng.Cloud Technology Based Computing Model and Its Implementation[J].Computer Applications and Software,2016,33(06):84-87.

[2] Barham P,Dragovic B,Fraser K,et al.Xen and the Art of Virtualization[C].Proceedings of the 19th ACM Symposium on Operating Systems Principles,2003:164-177.

[3] Kivity A,Kamay Y,Laor D,et al.KVM:the Linux Virtual Machine Monitor[C].Proceedings of the 2007 Ottawa Linux Symposium.Ottawa,2007:225-230.

[4] 張玉清,王曉菲,劉雪峰等.云計(jì)算環(huán)境安全綜述[J].軟件學(xué)報(bào),2016,27(06):1328-1348.ZHANG Yu-qing,WANG Xiao-fei,LIU Xxiao-feng,et al.Survey on Cloud Computing Security[J].Journal of Software,2016,27(06):1328-1348.

[5] Bodkhe A P,Dhote C A.Cloud Computing Security:An Issue of Concern[J].Int’l Journal of Advanced Research in Computer Science and Software Engineering,2015,5(04):1337-1342.

[6] Ali M,Khan S U,Vasilakos A V.Security in Cloud Computing:Opportunities and Challenges[J].Information Sciences,2015(305):357-383.

[7] 王永建,朱紀(jì)周,楊建華等.桌面云安全防護(hù)體系研究[J].信息安全研究,2017,3(05):432-439.WANG Yong-jian,ZHU Ji-zhou,YANG Jianhua,et al.Study of Security Protection System in Desktop Cloud[J].Journal of Information Security Research,2017,3(05):432-439.

[8] 韓同欣,李楠.桌面云技術(shù)在辦公環(huán)境中的應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò),2015,41(24):38-39.HAN Tong-xin,LI Nan.The Application of Desktop Cloud Technology on Office Environment[J].Journal of Computer and Network,2015,41(24):38-39.