校园数据中心建设中的密码应用技术
2020-10-14宋燕红杜立平
◆宋燕红 杜立平
校园数据中心建设中的密码应用技术
◆宋燕红 杜立平
(北京电子科技学院 北京 100070)
本文提出了一种适用于新一代校园数据中心的密码设备部署方案。利用虚拟化技术将密码机虚拟化,为系统中虚拟终端、虚拟服务器、虚拟网络和虚拟存储等提供多层次、全方位的密码服务,可为校园数据中心高效、可靠和安全运行提供有效支撑。
校园;数据中心;密码技术
数据中心是学校教学及行政管理等各项业务的运行环境,处于核心的地位,承载和处理学校的海量信息,也存在着大量敏感、隐私数据,所以学校必须建立有效的安全防护体系,这样才能够保证数据的安全保密。
1 数据中心架构
新一代数据中心是基于云平台构建的,将虚拟化技术运用到数据中心设计中,形成了新一代云数据中心的设计方案。
校园云数据中心建设的总体架构自底向上为云机房基础设施层、云计算基础架构层(基础资源层和灾备层)、业务应用层、服务对象层,以及数据中心的安全保障和数据中心统一管理。
云机房基础设施层,是基于业务需求的模块化数据中心的设计与实现;云计算基础架构层,主要涉及基础资源层与容灾备份层。其中的基础资源层,包括服务器设备、存储设备、网络设备、安全设备、虚拟化软件,以及通过虚拟化平台构建的虚拟化资源池,还有物理资源池,可以通过智能资源调度与管理平台对虚拟资源池与物理资源池统一管理,并对上层应用系统提供IT服务,该层是校园信息化的基础架构,其中密码设备可为各类信息提供密码服务。业务应用层整合高校的各类业务,为服务对象层按需提供服务。
2 密码技术应用
密码是可证明安全的网络与信息安全核心技术手段,通过加密、身份识别、数字签名等机制构成数据安全、事务安全的基本工具集,简单有效地实现对客体保护、主体管控,是一种安全托底的技术手段,也是信息系统的最后一道防线。本文重点就云计算基础架构层的密码防护提出一种技术思路。
2.1 技术体系结构
校园数据中心云平台把学校所有信息组成一个可分配和回收的计算资源池,动态地将虚拟化资源提供给师生。因此,可以利用云计算技术和理念,整合密码机,从而形成密码服务资源池,动态地为需要密码服务的用户提供按需服务。
在云计算基础架构层,采用网络、计算环境、应用服务、数据信息等多重多层次密码保护机制,为校园数据中心提供密码服务。虚拟化资源除虚拟计算资源外,还包括虚拟交换机、虚拟存储等,均使用虚拟密码机提供的密码服务。
用户终端机之间可以通过虚拟交换机,实现终端之间及用户终端与虚拟应用服务器之间数据交互,实现基于虚拟化的数据集中应用,并访问各种应用服务器。服务器端的密码机需要实现密码机的虚拟化,即密码设备资源池化,满足对虚拟机系统多租户的密码服务支持。
2.2 数据中心密码机部署应用
本文以一个中小规模校园数据中心建设方案为例,说明基于密码的防护技术应用。首先根据高校数据中心网络构成特点、业务逻辑、安全防护需求,我们可以将数据中心划分为不同的安全域。
为了满足数据中心的可视化统一管控以及与配套系统,如本文讨论的密码系统的紧密耦合需求,高校数据中心建设需使用国产的、标准的硬件、软件产品设计,如国产Linux操作系统,国产高性能服务器,如华为刀片服务器等,提供简单可靠、易于部署和管理、便于扩展和升级的信息技术基础架构,为学校节省投资并且加快建设周期。
校园数据中心需根据实际的网络体系结构,部署各类密码机来提供按需密码服务,主要有(1)终端密码机,安装于用户终端,为师生访问校园数据中心提供身份认证等密码服务,有USB或PCI-E两种接口形态;(2)服务器密码机,为各类虚拟应用服务器提供虚拟密码服务,为PCI-E接口形态;(3)网络存储密码机,提供磁盘阵列数据的网络存储加密功能,为网络接口形态;(4)网络密码机,为网络数据传输提供高速密码服务,确保数据传输全程保密。
基于合理部署各类密码机,可以从终端、服务器、通信网络、数据安全、业务应用安全等方面,较为系统地解决校园数据中心的密码防护需求,为提供有效可靠的信息和网络密码防护功能、防止信息被非法访问和窃取、阻止对信息系统及传输网络的恶意攻击和破坏、实现网络、终端、服务器、系统、数据库和重要信息的密码防护、确保各应用系统安全、稳定、可靠、高效的运转提供了支撑。
2.3 实现机制设计
(1)存储加密机制
在应用服务器与磁盘阵列之间通过网络接口连接存储密码机,对存储元数据实施保护,如图1所示。
图1 数据存储加密机制
当应用服务器向网络存储设备写入数据时进行加密操作,从网络存储设备读取数据时进行解密操作。应用服务器将SCSI命令、状态和数据封装为iSCSI/FC报文,其中命令描述块(CDB)完成在磁盘上读写数据块的实际操作。iSCSI/FC报文通过TCP/IP或者光纤通道网络发向网络存储设备。当数据输入操作分组经过存储加密设备时,对分组的CDB数据净核进行加密,并以密文数据形式存储在网络存储设备上。
(2)服务器加密机制
数据中心的计算功能由各类应用服务器承担,其被虚拟化后,用户通过虚拟机之间的隔离机制实现了一定程度的隔离保护,但数据中心服务器仍存有明文信息。为此,将PCI-E接口的服务器密码机虚拟化,如图2所示,利用密码管理服务器加载密钥,在虚拟机部署和配置加密客户端,使得应用可以调用虚拟密码机提供的密码服务API,实现用户终端本地数据的存储加密以及应用服务器之间的数据传输加密。
图2 虚拟机密码保护机制
3 结束语
密码作为信息系统安全的核心技术,是校园数据中心发展的保障支撑和必要助力。云环境下的数据安全问题,很多时候都可以归结为“如何在不可信的空间安全存取敏感数据”的问题。伴随着国际网络安全形势日益紧张,密码技术的重要性也日渐凸显,针对校园数据中心各种新兴业务安全及密码防护工作时不我待。
[1]任斌.“智慧校园”数据中心的建设[J].办公自动化,2015(9).
[2]华为技术有限公司网站,XXXX大学云数据中心建设方案,2015.11.
[3]田景成.云计算与密码技术[J].信息安全与通信保密,2012(11).
