◆宋燕紅 杜立平

校園數(shù)據(jù)中心建設(shè)中的密碼應(yīng)用技術(shù)

◆宋燕紅 杜立平

（北京電子科技學(xué)院 北京 100070）

本文提出了一種適用于新一代校園數(shù)據(jù)中心的密碼設(shè)備部署方案。利用虛擬化技術(shù)將密碼機(jī)虛擬化，為系統(tǒng)中虛擬終端、虛擬服務(wù)器、虛擬網(wǎng)絡(luò)和虛擬存儲(chǔ)等提供多層次、全方位的密碼服務(wù)，可為校園數(shù)據(jù)中心高效、可靠和安全運(yùn)行提供有效支撐。

校園；數(shù)據(jù)中心；密碼技術(shù)

數(shù)據(jù)中心是學(xué)校教學(xué)及行政管理等各項(xiàng)業(yè)務(wù)的運(yùn)行環(huán)境，處于核心的地位,承載和處理學(xué)校的海量信息，也存在著大量敏感、隱私數(shù)據(jù)，所以學(xué)校必須建立有效的安全防護(hù)體系,這樣才能夠保證數(shù)據(jù)的安全保密。

1 數(shù)據(jù)中心架構(gòu)

新一代數(shù)據(jù)中心是基于云平臺(tái)構(gòu)建的，將虛擬化技術(shù)運(yùn)用到數(shù)據(jù)中心設(shè)計(jì)中，形成了新一代云數(shù)據(jù)中心的設(shè)計(jì)方案。

校園云數(shù)據(jù)中心建設(shè)的總體架構(gòu)自底向上為云機(jī)房基礎(chǔ)設(shè)施層、云計(jì)算基礎(chǔ)架構(gòu)層（基礎(chǔ)資源層和災(zāi)備層）、業(yè)務(wù)應(yīng)用層、服務(wù)對(duì)象層，以及數(shù)據(jù)中心的安全保障和數(shù)據(jù)中心統(tǒng)一管理。

云機(jī)房基礎(chǔ)設(shè)施層，是基于業(yè)務(wù)需求的模塊化數(shù)據(jù)中心的設(shè)計(jì)與實(shí)現(xiàn)；云計(jì)算基礎(chǔ)架構(gòu)層，主要涉及基礎(chǔ)資源層與容災(zāi)備份層。其中的基礎(chǔ)資源層，包括服務(wù)器設(shè)備、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化軟件，以及通過(guò)虛擬化平臺(tái)構(gòu)建的虛擬化資源池，還有物理資源池，可以通過(guò)智能資源調(diào)度與管理平臺(tái)對(duì)虛擬資源池與物理資源池統(tǒng)一管理，并對(duì)上層應(yīng)用系統(tǒng)提供IT服務(wù)，該層是校園信息化的基礎(chǔ)架構(gòu)，其中密碼設(shè)備可為各類信息提供密碼服務(wù)。業(yè)務(wù)應(yīng)用層整合高校的各類業(yè)務(wù)，為服務(wù)對(duì)象層按需提供服務(wù)。

2 密碼技術(shù)應(yīng)用

密碼是可證明安全的網(wǎng)絡(luò)與信息安全核心技術(shù)手段，通過(guò)加密、身份識(shí)別、數(shù)字簽名等機(jī)制構(gòu)成數(shù)據(jù)安全、事務(wù)安全的基本工具集，簡(jiǎn)單有效地實(shí)現(xiàn)對(duì)客體保護(hù)、主體管控，是一種安全托底的技術(shù)手段，也是信息系統(tǒng)的最后一道防線。本文重點(diǎn)就云計(jì)算基礎(chǔ)架構(gòu)層的密碼防護(hù)提出一種技術(shù)思路。

2.1 技術(shù)體系結(jié)構(gòu)

校園數(shù)據(jù)中心云平臺(tái)把學(xué)校所有信息組成一個(gè)可分配和回收的計(jì)算資源池，動(dòng)態(tài)地將虛擬化資源提供給師生。因此，可以利用云計(jì)算技術(shù)和理念，整合密碼機(jī)，從而形成密碼服務(wù)資源池，動(dòng)態(tài)地為需要密碼服務(wù)的用戶提供按需服務(wù)。

在云計(jì)算基礎(chǔ)架構(gòu)層，采用網(wǎng)絡(luò)、計(jì)算環(huán)境、應(yīng)用服務(wù)、數(shù)據(jù)信息等多重多層次密碼保護(hù)機(jī)制，為校園數(shù)據(jù)中心提供密碼服務(wù)。虛擬化資源除虛擬計(jì)算資源外，還包括虛擬交換機(jī)、虛擬存儲(chǔ)等，均使用虛擬密碼機(jī)提供的密碼服務(wù)。

用戶終端機(jī)之間可以通過(guò)虛擬交換機(jī)，實(shí)現(xiàn)終端之間及用戶終端與虛擬應(yīng)用服務(wù)器之間數(shù)據(jù)交互，實(shí)現(xiàn)基于虛擬化的數(shù)據(jù)集中應(yīng)用，并訪問(wèn)各種應(yīng)用服務(wù)器。服務(wù)器端的密碼機(jī)需要實(shí)現(xiàn)密碼機(jī)的虛擬化，即密碼設(shè)備資源池化，滿足對(duì)虛擬機(jī)系統(tǒng)多租戶的密碼服務(wù)支持。

2.2 數(shù)據(jù)中心密碼機(jī)部署應(yīng)用

本文以一個(gè)中小規(guī)模校園數(shù)據(jù)中心建設(shè)方案為例，說(shuō)明基于密碼的防護(hù)技術(shù)應(yīng)用。首先根據(jù)高校數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)成特點(diǎn)、業(yè)務(wù)邏輯、安全防護(hù)需求，我們可以將數(shù)據(jù)中心劃分為不同的安全域。

為了滿足數(shù)據(jù)中心的可視化統(tǒng)一管控以及與配套系統(tǒng)，如本文討論的密碼系統(tǒng)的緊密耦合需求，高校數(shù)據(jù)中心建設(shè)需使用國(guó)產(chǎn)的、標(biāo)準(zhǔn)的硬件、軟件產(chǎn)品設(shè)計(jì)，如國(guó)產(chǎn)Linux操作系統(tǒng)，國(guó)產(chǎn)高性能服務(wù)器，如華為刀片服務(wù)器等，提供簡(jiǎn)單可靠、易于部署和管理、便于擴(kuò)展和升級(jí)的信息技術(shù)基礎(chǔ)架構(gòu)，為學(xué)校節(jié)省投資并且加快建設(shè)周期。

校園數(shù)據(jù)中心需根據(jù)實(shí)際的網(wǎng)絡(luò)體系結(jié)構(gòu)，部署各類密碼機(jī)來(lái)提供按需密碼服務(wù)，主要有（1）終端密碼機(jī)，安裝于用戶終端，為師生訪問(wèn)校園數(shù)據(jù)中心提供身份認(rèn)證等密碼服務(wù)，有USB或PCI-E兩種接口形態(tài)；（2）服務(wù)器密碼機(jī)，為各類虛擬應(yīng)用服務(wù)器提供虛擬密碼服務(wù)，為PCI-E接口形態(tài)；（3）網(wǎng)絡(luò)存儲(chǔ)密碼機(jī)，提供磁盤陣列數(shù)據(jù)的網(wǎng)絡(luò)存儲(chǔ)加密功能，為網(wǎng)絡(luò)接口形態(tài)；（4）網(wǎng)絡(luò)密碼機(jī)，為網(wǎng)絡(luò)數(shù)據(jù)傳輸提供高速密碼服務(wù)，確保數(shù)據(jù)傳輸全程保密。

基于合理部署各類密碼機(jī)，可以從終端、服務(wù)器、通信網(wǎng)絡(luò)、數(shù)據(jù)安全、業(yè)務(wù)應(yīng)用安全等方面，較為系統(tǒng)地解決校園數(shù)據(jù)中心的密碼防護(hù)需求，為提供有效可靠的信息和網(wǎng)絡(luò)密碼防護(hù)功能、防止信息被非法訪問(wèn)和竊取、阻止對(duì)信息系統(tǒng)及傳輸網(wǎng)絡(luò)的惡意攻擊和破壞、實(shí)現(xiàn)網(wǎng)絡(luò)、終端、服務(wù)器、系統(tǒng)、數(shù)據(jù)庫(kù)和重要信息的密碼防護(hù)、確保各應(yīng)用系統(tǒng)安全、穩(wěn)定、可靠、高效的運(yùn)轉(zhuǎn)提供了支撐。

2.3 實(shí)現(xiàn)機(jī)制設(shè)計(jì)

（1）存儲(chǔ)加密機(jī)制

在應(yīng)用服務(wù)器與磁盤陣列之間通過(guò)網(wǎng)絡(luò)接口連接存儲(chǔ)密碼機(jī)，對(duì)存儲(chǔ)元數(shù)據(jù)實(shí)施保護(hù)，如圖1所示。

圖1 數(shù)據(jù)存儲(chǔ)加密機(jī)制

當(dāng)應(yīng)用服務(wù)器向網(wǎng)絡(luò)存儲(chǔ)設(shè)備寫入數(shù)據(jù)時(shí)進(jìn)行加密操作，從網(wǎng)絡(luò)存儲(chǔ)設(shè)備讀取數(shù)據(jù)時(shí)進(jìn)行解密操作。應(yīng)用服務(wù)器將SCSI命令、狀態(tài)和數(shù)據(jù)封裝為iSCSI/FC報(bào)文，其中命令描述塊（CDB）完成在磁盤上讀寫數(shù)據(jù)塊的實(shí)際操作。iSCSI/FC報(bào)文通過(guò)TCP/IP或者光纖通道網(wǎng)絡(luò)發(fā)向網(wǎng)絡(luò)存儲(chǔ)設(shè)備。當(dāng)數(shù)據(jù)輸入操作分組經(jīng)過(guò)存儲(chǔ)加密設(shè)備時(shí)，對(duì)分組的CDB數(shù)據(jù)凈核進(jìn)行加密，并以密文數(shù)據(jù)形式存儲(chǔ)在網(wǎng)絡(luò)存儲(chǔ)設(shè)備上。

（2）服務(wù)器加密機(jī)制

數(shù)據(jù)中心的計(jì)算功能由各類應(yīng)用服務(wù)器承擔(dān)，其被虛擬化后，用戶通過(guò)虛擬機(jī)之間的隔離機(jī)制實(shí)現(xiàn)了一定程度的隔離保護(hù)，但數(shù)據(jù)中心服務(wù)器仍存有明文信息。為此，將PCI-E接口的服務(wù)器密碼機(jī)虛擬化，如圖2所示，利用密碼管理服務(wù)器加載密鑰，在虛擬機(jī)部署和配置加密客戶端，使得應(yīng)用可以調(diào)用虛擬密碼機(jī)提供的密碼服務(wù)API，實(shí)現(xiàn)用戶終端本地?cái)?shù)據(jù)的存儲(chǔ)加密以及應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸加密。

圖2 虛擬機(jī)密碼保護(hù)機(jī)制

3 結(jié)束語(yǔ)

密碼作為信息系統(tǒng)安全的核心技術(shù)，是校園數(shù)據(jù)中心發(fā)展的保障支撐和必要助力。云環(huán)境下的數(shù)據(jù)安全問(wèn)題，很多時(shí)候都可以歸結(jié)為“如何在不可信的空間安全存取敏感數(shù)據(jù)”的問(wèn)題。伴隨著國(guó)際網(wǎng)絡(luò)安全形勢(shì)日益緊張，密碼技術(shù)的重要性也日漸凸顯，針對(duì)校園數(shù)據(jù)中心各種新興業(yè)務(wù)安全及密碼防護(hù)工作時(shí)不我待。

[1]任斌.“智慧校園”數(shù)據(jù)中心的建設(shè)[J].辦公自動(dòng)化，2015（9）.

[2]華為技術(shù)有限公司網(wǎng)站，XXXX大學(xué)云數(shù)據(jù)中心建設(shè)方案，2015.11.

[3]田景成.云計(jì)算與密碼技術(shù)[J].信息安全與通信保密，2012（11）.