桑子華++喻愛惠

摘 要 針對云平臺的運行效率及信息的安全問題，引入思杰XenApp技術(shù)，設(shè)計了以身份認(rèn)證、權(quán)限管理、數(shù)據(jù)保護(hù)、行為監(jiān)控四維一體的安全部署思想，從數(shù)據(jù)傳輸?shù)叫畔踩珵閰^(qū)域云量身打造高效安全的運行環(huán)境，為解決云安全問題提供科學(xué)而有效的方法.

關(guān)鍵詞 區(qū)域性教育資源；云平臺；Xen虛擬化應(yīng)用技術(shù)

中圖分類號 TP39308 文獻(xiàn)標(biāo)識碼 A 文章編號 10002537（2016）01005506

Security Deployment of Regional Education Resources Cloud Platform Based on the XenApp Technology

SANG Zihua， YU Aihui*

（Department of Economic and Trade Management， Changsha Vocationl and Technical College， Changsha 410217， China）

Abstract Aiming at the problem of working efficiency and information safety of the cloud platform， the Citrix XenApp application was introduced. The fourinone dimensional safety thought was designed for identity authentication， rights management， data protection， and behavior monitoring. A safe and efficient operating environment can be created from data transfer to information security for regional cloud platform.

Key words regional education resources； cloud platform； Xen virtualization technology

由優(yōu)質(zhì)的教學(xué)資源整合至教育云平臺構(gòu)建，通過利用最新IT成果服務(wù)模式，云平臺技術(shù)運用與當(dāng)前教育及至教學(xué)各個方面的結(jié)合密切[1]；隨著云計算技術(shù)用于教育界的深入，云平臺服務(wù)逐步發(fā)展成為目前最新模式.它是以云計算技術(shù)為基礎(chǔ)，近幾年發(fā)展成為能整合傳統(tǒng)的電子觸摸板、光影感應(yīng)器以及IPAD、智能手機(jī)等各種泛在的終端設(shè)備，代表未來教育發(fā)展新方向.但是，云平臺自身相對于各類應(yīng)用及信息的多樣性及靈活性等特點，雖然在使用時給用戶帶來極大方便，但在共享狀態(tài)下種類信息的安全隱患也相當(dāng)嚴(yán)重，因此對云平臺構(gòu)建和使用中的信息安全的研究具有重大的實用價值.

1 區(qū)域性教育資源、云平臺及其安全

1.1 區(qū)域性教育資源

區(qū)域性教育資源一般指一定行政區(qū)域內(nèi)各高校、企事業(yè)單位內(nèi)部的各類與教育實踐活動相關(guān)的資源，其中以直接支持學(xué)科教學(xué)的結(jié)構(gòu)性信息化資源為主.將教育資源概括成三大類型：第一類，素材類課程資源主要有：一般素材（文本、圖形圖像視頻與動畫）、習(xí)題答卷問卷等、常用問題解答及資源索引等；第二類，結(jié)構(gòu)類課程資源主要有，那些根據(jù)特定的教學(xué)目標(biāo)及應(yīng)用目的，將各類媒體素材、資源進(jìn)行有效的分類重組成“復(fù)合型”的資源；如網(wǎng)絡(luò)課件，應(yīng)用操作步驟與課堂練習(xí)、微課型世界、學(xué)習(xí)型游戲類、期刊類、教學(xué)仿真模擬類、專題型教育網(wǎng)站等等.第三類，網(wǎng)絡(luò)課程資源，指展現(xiàn)在網(wǎng)頁或網(wǎng)站上的各學(xué)科教學(xué)內(nèi)容及實施的相關(guān)教育、教學(xué)內(nèi)容與活動等資料.

1.2 云平臺

快速發(fā)展的現(xiàn)代信息化教與學(xué)的環(huán)境將越來越多元化、復(fù)雜化，教學(xué)資源也將更加豐富，區(qū)域云平臺技術(shù)將有助于解決局部教育資源共建共享進(jìn)程中前段高原期的困惑，如減少信息資源孤島問題，溝通各類系統(tǒng)，使之能相互關(guān)聯(lián)、從而實現(xiàn)各類資源或應(yīng)用的跨平臺共建、共用、共享等.建立在云計算技術(shù)基礎(chǔ)上的云平臺，不只提供高層次的集成式信息化資源，而且也為教、學(xué)交互形式展現(xiàn)出了更寬、更廣、更深、更方便使用的發(fā)展遠(yuǎn)景[2]， 利用云服務(wù)器的高運算能力及存儲在數(shù)據(jù)服務(wù)器中海量的各類整合后的資源，取代以前工作站上有限的運算能力與稀少的孤立的資源，因此它對客戶終端設(shè)備的功能要求降低了很多.云平臺建設(shè)要求達(dá)到“大家一起建設(shè)、集中統(tǒng)一調(diào)控、用戶按需索求”的原則，使云平臺內(nèi)整合后的資源能按需高效地服務(wù)于群體[3].用戶只需持有能聯(lián)網(wǎng)的終端，可泛在的通過網(wǎng)絡(luò)享受服務(wù)，如師生線上互動交流，可讓教師即時開壇論講，讓學(xué)生可直接通過云平臺服務(wù)，接受到指定教師的定向指導(dǎo)與解答. 如何提高云平臺技術(shù)與教學(xué)實踐活動結(jié)合的水平，不僅是當(dāng)前教育資源共建、共享要面對的重點，而且它還是未來教育技術(shù)內(nèi)在發(fā)展的使命[4].云平臺通過虛擬化技術(shù)將區(qū)域內(nèi)各類軟件及硬件資源聚集重新整合分類，弱化平臺內(nèi)各類服務(wù)器端、客戶終端的設(shè)備、網(wǎng)絡(luò)層及不同存儲介質(zhì)間的物理依賴，實現(xiàn)集約化、統(tǒng)一化，對用戶透明管理方式，從而提高應(yīng)用及相關(guān)信息資源運用上的彈性，利用統(tǒng)一重組與控配，使用區(qū)域內(nèi)所有客戶享有集中全面公平安全的云空間.目前云平臺服務(wù)結(jié)構(gòu)一般由公共云端與用戶端組成.

1.3 云平臺的特點

相對于傳統(tǒng)的云計算平臺的架構(gòu)方法，基于虛擬化技術(shù)搭建的云計算平臺所體現(xiàn)的優(yōu)勢主要表現(xiàn)在以下幾個方面：

（1）可伸縮性.基于虛擬化技術(shù)的云計算平臺，利用有目的地調(diào)整虛擬機(jī)資源進(jìn)而實現(xiàn)系統(tǒng)的可伸縮性.相比傳統(tǒng)的云計算構(gòu)建方法所采用的調(diào)整物理主機(jī)資源的方法，具有快速、靈活的特定，能更易于實現(xiàn)軟件系統(tǒng)的可伸縮性需求.

（2）高可用性，多終端支持下的互動學(xué)習(xí)空間.基于虛擬化技術(shù)的云計算平臺架構(gòu)可以通過虛擬機(jī)配置進(jìn)行高效部署并實現(xiàn)了系統(tǒng)功能的實時遷移，從而很大程度上提高了系統(tǒng)的可用性；互動是課堂教學(xué)的核心[5].基于云平臺的課堂教學(xué)運用 反饋觸摸屏板、終端瀏覽器及相關(guān)軟件，對師生課堂的相互溝通活動的全程錄像實時反饋、從而實現(xiàn)教、學(xué)雙邊活動的多元化、提高雙方交互活動的真實性與有效性.方便重復(fù)與再現(xiàn)教學(xué)活動，突出教學(xué)活動的動態(tài)和重點，保障學(xué)生根據(jù)自己的學(xué)習(xí)情況擇重學(xué)習(xí)與復(fù)習(xí)，提高師生教、學(xué)互動，使得學(xué)生在協(xié)作學(xué)習(xí)過程中也可及時與教師溝通，不再只是被動地看教學(xué)視頻.

（3）負(fù)載均衡，信息資源的高度集中重整，真正做到泛在的提供應(yīng)用服務(wù).采用虛擬化的云計算平臺架構(gòu)，通過將高負(fù)載節(jié)點的虛擬機(jī)動態(tài)實時遷移到低負(fù)載點，從而保障了系統(tǒng)運行的負(fù)載平衡，有效的保護(hù)了節(jié)點上層的應(yīng)用性能，虛擬機(jī)在功能實現(xiàn)上同時包含了節(jié)點上層運行環(huán)境，因此系統(tǒng)的動態(tài)遷移操作，對上層結(jié)構(gòu)并未影響，另外云平臺高度整合了信息資源，集中管理，高效的分類查詢，準(zhǔn)確及時的對各類信息資源優(yōu)化與重組，使得用戶可以方便的在各類交互式終端中同步獲取信息，并可通過云平臺實時與朋友們無障礙分享.

（4）低成本運營，為客戶提供高效教、學(xué)服務(wù).云平臺充分整合現(xiàn)有教學(xué)設(shè)施，并加以優(yōu)化，用戶只需擁有云平臺統(tǒng)一的終端軟件，借用各類觸摸式或語音式交互面板即可滿足網(wǎng)絡(luò)在線的教、學(xué)需求，而軟硬件的只需利用現(xiàn)有的升級部分設(shè)備通過XENAPP技術(shù)統(tǒng)一布置，規(guī)劃可節(jié)約大量資金、另外管理及維護(hù)維修點大量減少，從而進(jìn)一步節(jié)約成本，達(dá)到在一定區(qū)域范圍內(nèi)提供高效率的服務(wù)于教育、教學(xué)的目的.

（5）便于對終端的行為監(jiān)控.充分利用已有的多媒體終端設(shè)備，可新增高智能化各類手持設(shè)備，如IPAD、手機(jī)等多種移動設(shè)備也可以順利接入本區(qū)域內(nèi)的云服務(wù)平臺上，構(gòu)成云平臺服務(wù)系統(tǒng)的必要組件，可利用XENAPP方便的使用終端痕跡跟蹤，從而方便對用戶在終端各種操作進(jìn)行記錄.

2 XenApp 原理及其在云平臺安全上的應(yīng)用

2.1 XenApp 的原理

Citrix（思杰）XenApp（應(yīng)用虛擬化）技術(shù)可將應(yīng)用層與物理層進(jìn)行相互隔離的技術(shù)，其交互過程僅由客戶端傳輸?shù)椒?wù)器，在服務(wù)器端自動生成獨立的會話通道，單獨反饋該用戶的應(yīng)用需求，并將運行結(jié)果以WEB的形式展示到客戶端，在用戶看來就如其在本地運行相關(guān)應(yīng)用程序一樣的現(xiàn)場感受[6].其核心是 ICA協(xié)議，該協(xié)議能夠適用于TCP/IP，IPX/SPX等多種協(xié)議，各類應(yīng)用軟件的安裝和運行全部安排在服務(wù)器端操作，它通過云平臺網(wǎng)絡(luò)系統(tǒng)傳遞各類交互數(shù)據(jù)信息（如單雙擊、鍵盤響應(yīng)、語音指令等）而建立各類獨立虛擬通道，使得服務(wù)器上的應(yīng)用通過虛擬通道與用戶終端在遠(yuǎn)程也能連接，讓用戶得到應(yīng)用好似在終端直接使用的體驗，借此將云平臺上服務(wù)器群內(nèi)的應(yīng)用運行后將結(jié)果傳送到客戶端.并且運用ICA 協(xié)議傳輸方式可以有效阻隔核心數(shù)據(jù)被傳離后臺，幾乎不存在應(yīng)用cookie數(shù)據(jù)保留在客戶終端；客戶訪問指令傳輸?shù)氖且呀?jīng)加密過的刷屏結(jié)果以及響應(yīng)的點擊或鍵盤操作指令等基本數(shù)據(jù)信息，這類數(shù)據(jù)一方面較難被竊獲，即便被竊獲，也會因信息量太少而不會導(dǎo)致安全問題.采用XenApp對應(yīng)用實行優(yōu)化整合并統(tǒng)一重新在云端部署，可以有效地防止重要信息被泄露，對實行云服務(wù)平臺服務(wù)器群內(nèi)資源的統(tǒng)一調(diào)控、集中管理、精準(zhǔn)維護(hù)提供了有效的安全保障.

2.2 XenApp 在云平臺安全運用上的優(yōu)勢

（1）訪問操作簡單、方便流暢.XenApp采用一種“高清使用體驗”技術(shù)，此技術(shù)使得應(yīng)用程序在與用戶交互過程傳輸數(shù)據(jù)最優(yōu)化，占用網(wǎng)絡(luò)帶寬很小，平均每個應(yīng)用自服務(wù)器端至終端傳輸數(shù)據(jù)約20 kbps，可以高效地利用WIFI，GPRS，2G/3G等網(wǎng)絡(luò)也能得到流暢的傳輸使用體驗.此技術(shù)能夠智能感知傳輸網(wǎng)絡(luò)和各類在線設(shè)備的基本傳輸能力，以此為依據(jù)，為不同網(wǎng)絡(luò)環(huán)境的用戶分別針對語音、視頻等各類傳輸信息流的提供最佳分配傳輸方案，隨時調(diào)整或改善虛擬通道內(nèi)應(yīng)用的傳送和存取方式，以確保終端用戶能體驗到如同在本地一樣流暢的使用應(yīng)用程序.

（2）終端設(shè)備支持廣泛.在服務(wù)器端運用XenApp虛擬化技術(shù)，將所有應(yīng)用一次性的部署完成，用戶無論在終端PC，IPAD，智能手機(jī)等各類手持設(shè)備或終端，只要安裝上統(tǒng)一的 ICA 客戶App，就能象使用手機(jī)QQ或其他應(yīng)用程序一樣，啟動程序——登錄——驗證——在授權(quán)范圍內(nèi)自由訪問，全程無須額外的專門技術(shù)支持.而且服務(wù)器操作系統(tǒng)一接管ICA 客戶端上的各類APP，使得網(wǎng)絡(luò)硬件及應(yīng)用程序維護(hù)、維修的工作量很少.ICA 客戶APP可運行在目前絕大多數(shù)的系統(tǒng)平臺及多類智能手機(jī)和其他手持設(shè)備終端，包括目前市場上最新的IPAD或PC機(jī)以及數(shù)千種智能終端設(shè)備[7]，應(yīng)用安裝后就能直接接入使用，不再需二次開發(fā)運用.

（3）服務(wù)上的應(yīng)用穩(wěn)定可靠.即使因不確定因素導(dǎo)致通道中斷，用戶端指令也會被自動保存到后臺，只要網(wǎng)絡(luò)連接恢復(fù)，將直接繼續(xù)中斷前的操作；另外XenApp 服務(wù)器可根據(jù)網(wǎng)絡(luò)傳輸數(shù)據(jù)量，按照既定的管理策略自主分配負(fù)載，提高服務(wù)器群中各個服務(wù)器的使用效率[8]，確保云服務(wù)器群中個別服務(wù)器出現(xiàn)故障時，也不會影響其他云平臺的正常運行.

（4）云平臺建設(shè)投資風(fēng)險低.通過Citrix XenApp 將軟件硬件通過虛擬化技術(shù)，降低了部分軟硬成本，實際建設(shè)過程中，只要在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上，增加幾臺服務(wù)器，構(gòu)成必須的服務(wù)器群，通過虛擬化技術(shù)統(tǒng)一部署，安裝好相關(guān)應(yīng)用，就能構(gòu)建出全新的云服務(wù)平臺，終端用戶的操作習(xí)慣及交互界面將完整保留，從而不必對用戶進(jìn)行新的操作培訓(xùn)，對在用的系統(tǒng)及其基本架構(gòu)不造成任何負(fù)面影響，能在極大地保留原來系統(tǒng)的運作模式及基本架構(gòu)基礎(chǔ)上[9]，盡快地提質(zhì)以滿足了教、學(xué)需求的增長，從而降低了區(qū)域內(nèi)學(xué)院或企業(yè)獨立建設(shè)云平臺的投資及風(fēng)險.

3 區(qū)域性教育資源云安全部署

3.1 基于 XenApp 的云架構(gòu)

以長沙職業(yè)技術(shù)學(xué)院所在的長沙高新區(qū)內(nèi)部分高校、企業(yè)區(qū)域云平臺為例，對實現(xiàn)區(qū)域內(nèi)云平臺的架構(gòu)的運行及安全進(jìn)行探索.該平臺是基于現(xiàn)有的普通網(wǎng)絡(luò)數(shù)字化教育信息服務(wù)共享平臺基礎(chǔ)上進(jìn)行優(yōu)化整合、提質(zhì)改造而成的，旨在利用云計算機(jī)技術(shù)對本區(qū)域性各企事業(yè)單位的教學(xué)資源進(jìn)行優(yōu)化整合，集中于云平臺中真正實現(xiàn)“共建，共享，各取所需”.只要處于本“云平臺”服務(wù)區(qū)內(nèi)，例如教師用戶，他們上課不必再如以前一樣要帶大量的授課講義及其他參考資料，只須在個人手持終端（云終端）上像使用微信或校內(nèi)OA系統(tǒng)一樣，打開瀏覽器——輸入賬號并通過身份驗證，相關(guān)教學(xué)資源內(nèi)容就會自動展現(xiàn)；同時教師自創(chuàng)教學(xué)成果如相關(guān)課程設(shè)計、講義內(nèi)容以及教學(xué)全過程都會被同步傳送并保存于云端的教學(xué)資源空間，區(qū)域內(nèi)其他用戶（如該教師的學(xué)生）可根據(jù)自己的需要，在本平臺服務(wù)區(qū)域任意范圍內(nèi)如自修室、圖書館等公共場所或?qū)嬍?、辦公室等秘密空間登錄查閱.用戶于“云中”翱翔，盡享云服務(wù)新模式下學(xué)習(xí)所帶來的新體驗，但由于云平臺必須要事先在數(shù)據(jù)服務(wù)中心安裝部署相關(guān)的應(yīng)用程序，并為各類終端用戶提供信息資源的訪問例如上傳文檔，下載課件，打印文件等種類操作，這樣就存在多用戶同時要求使用同一設(shè)備或程序，導(dǎo)致錯誤指令或一般性誤操作等動作變換；另外，大量具有不同身份標(biāo)識的用戶在特定時間、空間范圍內(nèi)（如網(wǎng)絡(luò)投票活動，視頻廣播會議等情況下）集中使用云平臺服務(wù)器時[10]，如何快速追蹤和審計分辨這些用戶行為，在響應(yīng)用戶行為之前必須隨時確認(rèn)用戶的合法身份，以防非法用戶進(jìn)行危險操作，是一個迫切解決的課題.本研究所采用的思杰XenApp，能夠幫助學(xué)院及相關(guān)單位在確保安全的基礎(chǔ)上，提供方便快捷地為云平臺終端使用者提供對具體應(yīng)用及桌面的精細(xì)化訪問，即時過濾可疑數(shù)據(jù)，對可訪問資源重新分配集中掌控，從而達(dá)到云平臺高效率功能與安全需求.基于思杰XenApp 的云中心服務(wù)器，負(fù)責(zé)整個平臺的應(yīng)用程序的管理及數(shù)據(jù)庫的后臺支持，并確保新增的 XenApp 組件與平臺的最佳配合，以期達(dá)到對平臺自身安全保護(hù)的目的；客戶終端與虛擬應(yīng)用服務(wù)器之間的傳遞的并非實際的業(yè)務(wù)數(shù)據(jù)，而是虛擬化后的加密數(shù)據(jù)，其傳送帶寬優(yōu)化到只需20 kB左右的流量[11].這樣既保證了OA系統(tǒng)可以在低帶寬網(wǎng)絡(luò)下使用，又減少了大量業(yè)務(wù)數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩[患.終端用戶可用使用IPAD、智能手機(jī)等各類手持終端隨時隨地登錄云平臺獲取所需的教、學(xué)內(nèi)容，也可參與在線學(xué)習(xí)討論或模擬實操訓(xùn)練，具體實現(xiàn)見圖1.

圖1 區(qū)域云安全部署示意圖

Fig.1 Regional cloud security deployments scheme

系統(tǒng)正常運作的基本流程及必要組件如下（見圖2）：

（1）能統(tǒng)一管理和維護(hù)的應(yīng)用虛擬化服務(wù)器群（XenApp Server Farms）.在此云平臺服務(wù)器群中，應(yīng)用程序服務(wù)器、后臺數(shù)據(jù)庫服務(wù)器等服務(wù)器群通過協(xié)作運行來為用戶提供會話訪問，通過XenAppServer專用管理系統(tǒng)，協(xié)調(diào)并控制著各類用戶訪問所需資源，并向目標(biāo)用戶展示其能訪問的信息（實際應(yīng)用、交互指令等信息）.在沒使用云平臺之前需要安裝在每個要求使用的用戶端的軟件，現(xiàn)在利用平臺服務(wù)器群，統(tǒng)一管理只需在任何一個服務(wù)器上安裝一次就可以供所有客戶終端隨時提供運算與服務(wù)，從而真正實現(xiàn)統(tǒng)一的管理和維護(hù).

（2）能使所有客戶在云平臺中得到統(tǒng)一訪問接口服務(wù)（Citrix XML Serveice）.它擔(dān)任各類用戶端和服務(wù)器群之間實現(xiàn)對用戶而言是透明通信節(jié)點，對過此節(jié)點，可以讓終端用戶訪問到任何分布式的各類數(shù)據(jù)，它相當(dāng)于貿(mào)易平臺，無論用戶拿來什么樣的貨物在此都可以兌換成統(tǒng)一使用的貨幣，然后用戶使用貨幣取回貿(mào)易平臺上所有其他的東西，而不必知道這東西從哪來，因此用戶通過此接口從服務(wù)器上檢索到自己所需的數(shù)據(jù)信息并予以返回結(jié)果.

（3）能提供各服務(wù)器群之間的訪問接口（Web Interface）.此統(tǒng)一接口相當(dāng)于多個貿(mào)易平臺間貨幣交易平臺，讓各貿(mào)易平臺的貨幣能相互兌換，從而將各個獨立的貿(mào)易平臺串聯(lián)起來構(gòu)成一個統(tǒng)一接口——服務(wù)器群結(jié)點.由Citrix XML Service檢索得來的信息通過此結(jié)點兌換變?yōu)榻y(tǒng)一的WEB格式的“貨幣”返回到用戶終端.

圖2 基于思杰XenApp 的云平臺運行流程圖

Fig.2 Citrix XenApp running a flowchartbased cloud platform

① 于終端運行 ICA 客戶端，輸入登錄信息（注冊名、密碼/指紋/臉譜等憑據(jù)信息），提交后系統(tǒng)自動發(fā)送此信息當(dāng)作普通的HTTP 請求傳送到 Access Gateway.

② Access Gateway 訪問域控制器，檢索用戶相關(guān)注冊，遍歷AD驗證用戶憑證的信息.

③ 身份確定后，Access Gateway 傳遞給Web Interface服務(wù)請求，服務(wù)請求被其接受后，它即將用戶的合法使用身份傳送給統(tǒng)一訪問接口服務(wù)器，并自動連接代理服務(wù).

④ 通過對用戶合法身份的識別，統(tǒng)一接口服務(wù)器使用代理，代理服務(wù)器便會依據(jù)用戶身份從服務(wù)器群提供的各類應(yīng)用程序中檢索到相應(yīng)可訪問的資源集[12]，此資源集被傳回到Web Interface，通過底部程序解析，按需動態(tài)生成一個包含有相應(yīng)應(yīng)用程序快捷鍵的WEB頁面，用戶只需點擊頁面上的各程序的快捷鍵圖標(biāo)，這個基本的點擊（交互）動作會通過加密反饋到Web Interface，從而使用戶間接地獲取到云平臺內(nèi)相關(guān)應(yīng)用的ICA文件.

⑤ Web Interface 再次連接統(tǒng)一接口服務(wù)器，通過接口服務(wù)器查找到包含用戶所選定的應(yīng)用程序并且相對空閑的服務(wù)器的地址，并將此地址傳回給 Web Interface，由其自動建立一個與相關(guān)地址的ICA 文檔，服務(wù)器根據(jù)ICA文檔建立虛擬通道完成用戶請求.

圖3 基于 Citrix XenApp 的云平臺安全部署

Fig.3 Citrix XenApp platform based on cloud security deployment diagram

3.2 基于XenApp 的區(qū)域云安全部署方案

通過對以上 XenApp云平臺架構(gòu)的基本動作流程及相關(guān)組件的相互配合運行，其架構(gòu)上的3個主要部分各自獨立又相互配合，其各個環(huán)節(jié)上已經(jīng)對云平臺上數(shù)據(jù)安全做出了相應(yīng)貢獻(xiàn)，通過進(jìn)一步強(qiáng)化信息安全，加強(qiáng)保障措施，通過對本區(qū)域的云平臺架構(gòu)安全分析，最終形成如圖3 所示的區(qū)域云安全部署方案.包括區(qū)域內(nèi)的師生、員工及管理員等等.

（1）多層次的用戶身份認(rèn)證.XenApp 通過身份論證，確認(rèn)訪問云平臺信息的用戶是否為注冊（合法用戶），阻止非法用戶的入侵，初步為實現(xiàn)安全的訪問和交付把好關(guān).域控制器中有整個云平臺的管理員、本區(qū)域內(nèi)教育教學(xué)相關(guān)人員以及其他應(yīng)用系統(tǒng)的所有者等已經(jīng)部署的各類用戶憑證，XenApp利用此憑證進(jìn)行身份確認(rèn).在各層次安全檢測（活動目錄論證、遠(yuǎn)程論證及雙因子驗證等）的支持下，通過各類手持終端上的接受插件，采用問與答的方式完成身份核實.此外，可選SingleSigned On（單點登錄）模式進(jìn)一步強(qiáng)化密碼規(guī)則[13].

（2）精細(xì)化的用戶訪問權(quán)限管理.云平臺中Access Gateway組件借助其內(nèi)置的端點掃描及策略控制機(jī)制，僅采用統(tǒng)一的WEB配置的解決方案，依據(jù)用戶的不同身份、終端設(shè)備配備及網(wǎng)絡(luò)IP就可以確定用戶對應(yīng)用和數(shù)據(jù)的訪問權(quán)，為各類用戶提供形式多樣地、穩(wěn)定安全地遠(yuǎn)程接入服務(wù).它除開能實現(xiàn)傳統(tǒng)IPSec VPN提供的接入模式的同時，還并入了SSL技術(shù)，提供更有效的數(shù)據(jù)加密，采用網(wǎng)絡(luò)層加密和應(yīng)用層加密相結(jié)合，使企業(yè)不再需要維護(hù)兩個單獨的VPN基礎(chǔ)架構(gòu)[14]， 且思杰 Access Gateway部署在企業(yè)Intranet的DMZ中，為遠(yuǎn)程客戶創(chuàng)建一條基于SSL的虛擬加密通道，通過簡單訪問安全的WEB地址或直接點擊桌面應(yīng)用程序圖標(biāo)，就可迅速啟動Access Agent，隨后Access Gateway就會利用云平臺中心服務(wù)器來檢驗身份的真實性，一旦通過驗證，Secure Access Agent就會在終端客戶桌面上被激活，并通過與Access Gateway 建立的安全通道來高度安全的訪問平臺內(nèi)部的各類應(yīng)用資源，如包括IP協(xié)議的任何應(yīng)用，甚至是基于IP的語音等即時通訊，當(dāng)然也可在此通道上通過訪問思杰個人服務(wù)器群，在其上發(fā)布用戶自己的各種應(yīng)用程序.由上述分析結(jié)果，思杰 Access Gateway 可確定客戶機(jī)信任及訪問控制的級別，自行確定各類級別的用戶哪些應(yīng)用可使用，擁有相關(guān)應(yīng)用的哪些權(quán)限，而不是簡單的禁止訪問，即形成了對應(yīng)用程序的精細(xì)化訪問策略.

（3）低風(fēng)險的數(shù)據(jù)傳輸.XenApp 技術(shù)保證數(shù)據(jù)傳輸?shù)牡惋L(fēng)險性，其中數(shù)據(jù)安全性通過XenApp Server Farms，F(xiàn)ile Servers以及Data Encryption Protocol等方式，確保用戶在編輯、拷貝或打印輸出操作中的信息安全.利用XenApp Server Farms對應(yīng)用程序的統(tǒng)一調(diào)控，以保證僅有相關(guān)程序的點擊或鍵盤指令數(shù)據(jù)信息傳輸?shù)椒?wù)器，并由服務(wù)器將應(yīng)用請求執(zhí)行結(jié)果動態(tài)地反饋到用戶終端，實體的應(yīng)用自身及相關(guān)數(shù)據(jù)并沒有在網(wǎng)絡(luò)內(nèi)傳輸，仍保留在云服務(wù)器內(nèi)，最大限度地降低了重要數(shù)據(jù)丟失或被盜的風(fēng)險.另外，云平臺中的應(yīng)用服務(wù)器群實現(xiàn)集中管控還有以下優(yōu)勢：首先可以享受在統(tǒng)一整合過程中自動同步，可以使終端、虛擬應(yīng)用等信息得到及時同步更新，利于高效地發(fā)現(xiàn)和及時修補應(yīng)用的安全問題；其次利用云平臺能夠充分保護(hù)所有集中化部署的應(yīng)用或數(shù)據(jù).云平臺中的File Servers負(fù)責(zé)對終端數(shù)據(jù)的存儲以及隔離工作.通過選擇活動目錄文件系統(tǒng)和用戶文件配置機(jī)制[15]，每個用戶可以享有私密的云空間.當(dāng)云平臺為用戶建立合法的任意應(yīng)用的會話通道時， 在XenApp 中Data Encryption Protocol負(fù)責(zé)為全部P2P通信創(chuàng)建臨時虛擬加密通道，掩藏終端實際地址信息，阻止惡意入侵，確保所有應(yīng)用交互通信都是安全的低風(fēng)險的傳輸.

（4）高效的用戶行為監(jiān)控.基于XenApp云安全架構(gòu)使用了 Smart Auditor 即智能審計組件，配合SQL Server database對用戶通過WEB訪問云平臺服務(wù)器的即時屏幕顯示交互活動自動錄像，并詳細(xì)將其他基本信息及屏顯操作信息存入SQL數(shù)據(jù)庫，并將此視頻存放入審計部門獨立的存儲服務(wù)器中， 以防惡意操作，并為管理員及時發(fā)現(xiàn)安全漏洞提供證據(jù)，以便快速修復(fù)，保證業(yè)務(wù)的連續(xù)性. 當(dāng)然為有效用戶保護(hù)隱私，Smart Auditor可以由用戶預(yù)定特征事件制定自己所需的重要的錄像策略，僅在身份認(rèn)證及權(quán)限合法的情況下，云平臺服務(wù)中心的錄像才能被查閱和瀏覽.這一功能在多名平臺管理員共同維護(hù)的情況下，可以快速的觀看相關(guān)管理員的操作記錄，以便迅速的確定平臺故障出現(xiàn)及解決的方法，這些對降低了維護(hù)成本，提高維護(hù)效率具有重大的意義.

4 結(jié)束語

在國家大力推進(jìn)教育云平臺建設(shè)的背景下，作為教育云重要組成部分的區(qū)域性教育資源云平臺正在快速建設(shè)中，隨之而來的云安全問題也應(yīng)該引起相關(guān)部門的高度重視，在國家重視知識產(chǎn)權(quán)的同時，特別是區(qū)域性教育服務(wù)云平臺中的教育資源，構(gòu)建之前的安全性應(yīng)是共建云平臺時要考慮的重要因素，并且對云平臺建立以后能否持續(xù)構(gòu)建和穩(wěn)定運行起至關(guān)重要的作用.將思杰的XenApp技術(shù)實際應(yīng)用到區(qū)域性教育資源共享云平臺，對其架構(gòu)及部署的安全方案做了技術(shù)剖析，提出云安全部署的基本解決方法，在推動區(qū)域性教育資源云平臺共建和共享的同時，使其安全性得到進(jìn)一步完善方面做出積極探索.

參考文獻(xiàn)：

[1] 張進(jìn)寶，黃榮懷，張連剛.智慧教育云服務(wù)：教育信息化服務(wù)新模式[J].開放教育研究， 2012，（3）：2026.

[2] 張國棟. 基于J2EE的基礎(chǔ)教育信息化服務(wù)平臺的研究與實現(xiàn)[D].杭州：杭州師范大學(xué)， 2010.

[3] 陳向東，葉新東，秦嘉悅，等.未來課堂——高互動學(xué)習(xí)空間[J].中國電化教育， 2011，11（1）：613.

[4] 吳吉義，沈千里，章劍林，等.云計算：從云安全到可信云[J].計算機(jī)研究與發(fā)展， 2011，18（17）：229233.

[5] 張利遠(yuǎn).基于 Citrix XenApp 虛擬化技術(shù)的云平臺安全部署研究[J].現(xiàn)代教育技術(shù)， 2013，7（1）：825.

[6] 趙曉聲. 教育信息化服務(wù)的內(nèi)涵、層次與現(xiàn)實發(fā)展——對教育信息化本質(zhì)的新認(rèn)識[J]. 中國電化教育， 2012，8（1）：3337.

[7] 章澤昂，鄔家煒. 基于云計算的教育信息化平臺的研究[J]. 中國遠(yuǎn)程教育， 2010，6（1）：6669.

[8] 王靜一. 基于云計算技術(shù)的數(shù)字圖書館云服務(wù)平臺架構(gòu)研究[D].長春：吉林大學(xué)， 2011.

[9] 張利遠(yuǎn)，王春麗.基于Citrix XenApp虛擬化技術(shù)的云教室安全部署研究[J].現(xiàn)代教育技術(shù)， 2013，7（1）：4057.

[10] 余宗澤.云計算的基本原理及其對教育領(lǐng)域的影響[J].中國教育技術(shù)裝備， 2010，13（1）：9394.

[11] 彭雪莊，彭紅光，程五一.整合社會資源促進(jìn)教育信息化快速發(fā)展的探索[J].中國電化教育， 2010，10（1）：4952.

[12] 李超良.無線傳感器網(wǎng)絡(luò)中面向動態(tài)多跳的非均勻分簇路由[J].中南大學(xué)學(xué)報，2011，42（7）：20482053.

[13] 胡春華.云計算中基于SLA的服務(wù)可信協(xié)商與訪問控制策略[J] 中國科學(xué)：信息科學(xué)，2011，12（3）：314332.

[14] 胡春華.云計算環(huán)境下基于信任推理的服務(wù)評價方法[J].通信學(xué)報， 2012，32（1）：7281.

[15] 李士安.基于虛擬化技術(shù)的云計算平臺架構(gòu)[N].信息與電腦：理論版， 20140315.

（編輯 CXM）