陈皓圭

摘要：为了解决硬件资源的利用资源成本浪费问题，提出了虚拟云桌面的应用技术研究，以虚拟云桌面技术理论为基础，对虚拟云桌面认证的云目标，以及安全认证进行了实验认证与测试，结果表明，该虚拟云桌面安全认证系统进行有效的认证，对加入域内的客户端、用户和应用服务器进行策略管理，从而达到访问控制的目的。

关键词：云桌面；认证；系统；云计算

1概述

在信息技术高速发展的今天，尤其是网络技术以及硬件能力的提升，计算机已经入人们的生活不可分离，人类社会从来没有像今天这样快速发展，各领域的变化速度惊人。也因为这些技术以及硬件的发展，人们对速度和性能以及功用的追求越来越高，但这些硬件和信息资源的分布、使用、管理等造成了这些资源的浪费，还没有让它们发挥更大的功用。这些问题促使人们对这些问题进行系列的研究，从而对传统的计算模式进行改变，使得适用人们的需求。云计算就此应运而生。云计算的出现改变了原有信息资源的构建方式，将原有的IT架构变成了企业或政府的私有云，也将用户的计算机终端变成了云桌面。而终端用户的操作系统也在云的控制之内，由云计算服务器提供，这样就实现了软件和硬件的集成，达到了资源的高效利用，减少了社会资源的浪费。终端用户使用一定的精简软件，通过网络链接到云中心，形成了自己的云桌面，这种方式与传统方式在操作体验上没有任何区别，但这个方式节省了许多硬件的投入。此外，云的架构便于把分散的终端集中起来管理，有利于管理上的便捷和低成本，在安全方面，也提高了整个系统的鲁棒性。可见，云计算及基于云的虚拟云桌面技术在现实中的运用是非常广泛和普遍的。

私有云技术的快速发展和普遍运用使得虚拟云桌面成为当前信息化建设的热点问题。在云理论和云产品方面，目前都有很多新的发展，这些都是建立在虚拟云桌面的运用上的。目前市场上的虚拟云产品基本上都是建立在理论和实践都发展得比较成熟的云计算平台上的，这些应用大多是在开发便捷的管理，在如何集中上想办法。在如何提高虚拟云的安全性方面发力不多，尤其在防范病毒上还不够全面，如木马病毒，数据安全等方面无法防范恶意的攻击，通常会有一些不经授权的连接，这样就无法保证用户的安全，无法保证传输数据的安全有效和完整。就给云应用带来隐患，对云桌面的推广产生担忧而无法进一步发展。

虚拟云桌面技术在安全方面具有独特的优势，因此在云安全方面独秀一枝，私有云的安全也主要是体现在虚拟云方面，它综合和云安全的各方面的特定和优势。在这方面的研究相比研制出新的产品更具有现实的意义。本文的研究也主要是在虚拟云桌面的认证以及数据传输的安全方面展开研究，通过模型构建，实现一个供云应用的安全的认证与数据安全传输的平台。

2虚拟云桌面技术

云计算已然成为信息科学行业最热的概念之一，自从云计算出现伊始。短短几年之内，其从最初的信息化概念到成型的信息产品以及之后的广泛运用，不知不觉已经参与到人们的生活之中了，且呈现越来越广的趋势。云计算开源的解决方案，最初是从Open Stack开始的，并且在云计算领域占有着非常重要的分量。Open Stack的形式和作用就是虚拟云桌面，因为其独特的功能，当前已经是我过云计算方面最主要的产品，也是该行业主要的品牌，深得人心。

但是Open Stack并不是什么软件，它实际上是一个云计算的项目平台，它既是Open Stack公司的产品也是美国航天局支持研发的平台，它的初始目的是为了建设一个对所有人开源的平台，并为公众提供开源的基础。Open Stack是一个提供基础设施作为服务的云计算开源解决方案，为接人云平台的广大用户提供虚拟云桌面的服务，因为其便利联合优异的特性，从产生开始就受到广大研究者的研究及关注，也被广大用户所追捧。

3虚拟云桌面安全认证设计目标

用户在获得云桌面服务之前必须通过云计算平台的安全认证。在当前的云平台模式下，任何用户都可以通过网络后的认证而连人云计算中心，获得云计算即云桌面的支持和服务，一般都是通过用户名及密码认证后，由云计算中心统一进行管理，也只有通过了认证的用户才能连人云计算中心，才能获得支持和服务，拥有自己的虚拟云桌面。而沒有获得认证的用户，则被系统拒绝在外，并生成记录，做出相应的安全响应。

云计算系统中对于虚拟云桌面的安全认证通常包含对终端的认证，也包含对用户名的认证，对终端的认证方式一般采用客户端证书的方式，对用户名的认证一般采用Kerberos的认证方式。一般来说，通常是用户通过注册系统用户后，获得授权票据，然后凭授权票据验证用户身份的真实性。一个合理的安全认证设计目标达到提供用户终端的真实性验证；通常包括提供用户身份的真实性验证；或者包括提供单点登录服务。

4虚拟云桌面安全认证的设计

4.1云平台构建模块

云计算除了特定的商用解决方案外，也有开源的方案，就像Liux和Andorid一样，对世界开源。但是对于一些特定的行业，如军事、银行、航空等对安全有特别要求的行业及单位，基于Open Stack的云平台比较适合需求。在本研究中，就是运用此平台技术来搭建用户私有云，以Open Stack为基础的虚拟云桌面。

私有云的构建有赖网络的构建方式，具体情况需要具体分析。通常的做饭是组建两个网络，一个对网络进行管理，一个对数据进行管理，即管理网络和数据网络。但是，在特殊的情况下可以组建4个网络，增加数据存储和公网网络构建。公网网络就是对网络IP进行管理，具体环境配置可如下图1所示：

在云计算环境标准配置方案图1中，网卡和存储节点的连接关系为：计算节点增加新的网卡与存储节点相连接；网络节点网卡和路由器以及外界网络的连接关系为：网络节点新增加的网卡通过公网路由器与外界互联网相连接；其中，控制节点对整个系统中的网络节点、计算节点和存储节点进行统一资源管理。

4.2瘦客户端认证模块

该系统的安全认证采用开源的Free IPA来实现，这一认证方式是当前采用比较成熟而广泛的方式。Free IPA是一款集成的安全信息管理解决方案，其包含Fedora操作系统、LDAP目录服务器、Kerberos、DNS、Dogtag等身份、认证和策略功能，对加入域内的客户端、用户和应用服务器进行策略管理，从而达到访问控制的目的。虚拟云桌面安全认证系统部署图如图2所示。

在Linux和Unix中，对于安全认证的方式非常复杂，在这两种操作系统中，不同的安全认证协议是可以兼容的，尽管非常复杂，但是是可以运行的。但是，这些因素导致管理的复杂性，集中的难度很大。Free IPA的功能就比较合理且简单，能够将各种服务进行集中统一的管理，使得各种管理任务简单化，如对用户的管理、系统的管理、安全的管理等方面都非常便捷。同样，采用这一方案，在身份认证中心，对于不同的操作系统来的用户进行授权也简单灵活。

4.3用户身份注册与认证模块

瘦客户端认证完成以后，还需要对用户的身份进行认证。对用户的身份认证采用Kerberos协议进行认证，用户不能自己注册用户名和密码，用户首先以电子邮件等方式向服务器端申请用户名和密码，由管理员为其分发用户名和密码。用户在认证通过的瘦客户端上首次登陆时，认证中心会强制要求用户进行密码修改，用户身份认证流程如下图3所示。

如图所示的用户认证流程，用户可以获得许可的你虚拟云桌面，对于用户来说就是自己的主机一样的体验。在这一环境下，用户可以对网络及资源进行自如的操作。

5结束语

本文的虚拟云桌面构建方案是以安全认证为基础，在安全认证的前提下来构建云桌面平台，来实现各类用户的安全认证。这一研究实现了双向的认证，即虚拟云桌面认证、云应用服务器之间的双向认证。而这一认证模式是构建在网络基础上的，通过网络的安全传输，对传输数据进行抓包识别，在传输中对数据进行加密，保证整个系统的安全性。这种模式，将对今后云平台的建设提供借鉴，具有一定的现实意义。