Cambio de etiquetas multiprotocolo para aplicaciones en la nube

Arquitectura de la nube

El mecanismo de seguridad en la capa IaaS describe la necesidad de controlar la conexión entre la nube y el cliente a través de la tecnología de interfaz, pero no define una subcapa para controlar los dos Una conexión para la comunicación bidireccional entre entidades, lo que resulta en una comunicación no confiable entre entidades. Por lo tanto, en este documento, aseguramos la comunicación entre dos entidades agregando una capa de subcapa CaaS (Comunicaciones como servicio) encima de la capa IaaS; este modelo de subcapa se basa en la tecnología MPLS. Este modelo de subcapa se basa en la tecnología MPLS. Al aplicar la tecnología MPLS a la capa CaaS, se puede mejorar la seguridad y confiabilidad de la transmisión de datos en la nube y se pueden prevenir de manera efectiva ataques como DDoS. La estructura de la capa CaaS integrada en la capa IaaS se muestra en la Figura 1.

Figura 1 Capa CaaS integrada en la capa IaaS

Funciones de la subcapa CaaS

Inicialización: la inicialización incluye dos procesos. Primero, la CPU en la partición lógica virtual se inicializa para obtener un número aleatorio de 32 bits, que luego se usa para formar una clave de sesión de 128 bits a través de AES (Estándar de cifrado avanzado). Una clave corresponde a una sola partición lógica. Luego, después de inicializar la red, se inicia la comunicación entre CE (Customer Edges).

Verificación de protocolo: Los routers de una red MPLS verifican los paquetes transmitidos entre sí. Los ataques en redes MPLS generalmente ocurren cuando los paquetes están marcados, por lo que solo se pueden marcar paquetes autenticados. Los enrutadores identifican rutas y caminos a través de protocolos de autenticación. Esto establece un mecanismo de identificación confiable entre redes desconocidas. Los paquetes transmitidos desde redes desconocidas se descartan si no se pueden autenticar, lo que reduce en gran medida el riesgo de ataques.

Intercambio de claves: IKE (Internet Key) establece una asociación SA (Security Association) entre dos usuarios de la nube que necesitan comunicarse o entre un usuario de la nube y un proveedor de la nube, y es responsable de la generación y gestión de llaves. . SA puede codificar el acuerdo entre dos entidades comunicantes para determinar los algoritmos, claves y secretos que utilizan. Qué algoritmo, clave y longitud de clave utilizar. IKE establece SA en dos fases: la primera fase primero establece un canal de comunicación entre dos entidades comunicantes y autentica el canal, y la segunda fase establece SA en el canal de comunicación establecido. SA tiene un ciclo de vida cuando se agota el tiempo de espera de la clave de sesión, el comando de eliminación de SA de la primera etapa se enviará al otro host y luego ambas partes renegociarán la SA. La periodicidad de la clave determina que se generará una nueva clave después de un cierto límite de tiempo, lo que mejora en gran medida la solidez y confiabilidad de la clave. Esta es también una razón importante para utilizar el intercambio de claves en la computación en la nube.

Establecimiento de comunicación: La conexión entre CE se establece a través del enrutamiento del borde de la etiqueta. En las redes MPLS, los LSP (rutas conmutadas por etiquetas) están determinados por las etiquetas entre dos puntos finales y se dividen en dos categorías: LSP dinámicos y LSP estáticos. Los LSP dinámicos se generan en función de la información de enrutamiento, mientras que los LSP estáticos se especifican. Las particiones lógicas cifran los datos utilizando el algoritmo AES, que se basa en el modelo ECB (Libro de códigos electrónicos) a través del cual los datos fluyen rápidamente a los usuarios de la nube. El cifrado utiliza una clave de un solo uso que es difícil de descifrar incluso si se detecta el paquete, por lo que los datos están completamente seguros.

Terminación de la sesión: Cuando el usuario de la nube finaliza la comunicación, la sesión finaliza automáticamente y el proveedor de la nube le cobrará al usuario de la nube en función de los servicios utilizados durante la sesión. Al mismo tiempo, se liberarán los recursos de comunicación en la red MPLS y los datos almacenados en caché en el procesador virtual. (Figura 2)