一種基于OpenStack的數字校園體系安全架構研究

張媛++黃磊++廉龍穎++馬建樂

摘要：本文通過一種基于OpenStack的數字校園體系安全架構，可以有效地將分布在校園各個角落的服務器有效的整合在一起統一管理，可以根據情況快速部署服務器，有效的管理虛擬服務器建立統一身份認證體系，實現用戶的單點登錄，提高了系統的集成度，降低了運維成本。

關鍵詞：OpenStack；數字校園；體系架構；統一身份認證

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416（2017）03-0084-02

1 前言

目前云計算技術發展勢頭極為迅猛，云計算有公有云、私有云、混合云，高校建立的就是自己的私有云，在眾多的云計算技術中OpenStack可以說是應用范圍最廣，技術支持最為全面的。OpenStack是一種完全開源的云計算項目，完全可以用以建立私有云。對于希望整合自己的資源，同時進行各類實驗的高校來說，開源的云計算產品更為實際。

高校作為一個較為特殊的團體，信息化技術一直處于發展的前端；但是，隨著越來越多的信息管理系統的使用，各類管理系統之間沒有耦合關系成為信息孤島，服務性變差，同時每個管理系統都要重新采購建設基礎設施，基礎設施的利用率低，運維成本高。如何有效的將這些管理系統整合起來就顯得尤為重要，整合這些信息系統的一個必要前提就是建立統一的身份認證中心，將各個信息系統與之相連接，實現信息孤島的聯通。如果單獨的建立這樣一個信息中心勢必又要重新采購硬件設備，造成基礎設施建設的浪費。使用云計算技術整合現有的服務器資源降低成本，同時在建設新的數字化校園時候建立統一的身份認證中心，推動高校數字化校園信息一體化建設，向大數據時代邁進。

2 OpenStack介紹

OpenStack是美國國家航天局（NASA）和RackSpace共同開發的一個開源云計算項目，其目的就是為用戶提供一個方便的部署操作平臺，從2012年項目開始，全球各大IT公司、硬件生產廠商都紛紛加入其中，對其提供各類支持，基于OpenStack的各類云平臺也陸續上市提供服務。OpenStack無疑是現在開源云計算中支持基礎設施即服務（IaaS）占有市場份額最大的。OpenStack包括計算、對象存儲、鏡像服務、身份服務、網絡和地址管理、塊存儲、UI界面、測量、部署、數據庫等各個方面。其中OpenStack最為重要的7個部分：Nova是控制器；Glance是鏡像服務器；Swift是一種分布式、持續虛擬對象存儲；Keystone提供認證和訪問策略服務的；Neutron提供虛擬網絡服務功能；Cinder是塊存儲；Horizon提供給使用者的一個Web控制面板。

3 基于OpenStack的數字校園架構

3.1 OpenStack數字校園硬件設施部署方案

高校的信息管理系統與一般的企業不同，除了整體的教務管理系統、學工系統等信息管理系統外，還存在各個系部自己的信息管理系統，這些系統相互之間在物理上獨立采購建設的，所以分布在校園的各處，日常維護起來運維成本十分高，同時各個系統的使用頻率也完全不同，但在建設過程中每個系統所配置的硬件具有一定的重復性，如圖1所示[1]。

采用OpenStack架構的數字化校園就可以利用其虛擬服務和網絡架構、網絡設備，如圖1所示，將所有的信息系統集中在云上，只需要對云進行基本維護即可，不需要單獨對每個服務器進行維護，如果需要更新某個服務器時，可以實例化一個新的服務器進行更新，更新結束后在替換原來的虛擬服務器即可，不需要將原來的服務器關閉。在進行硬件部署時候完全可以將原來的服務器歸攏在一個機房內進行部署，既方便了部署，同時方便對其進行統一維護，降低了整體的運維成本。而原來的服務器管理員只需要通過基于openstack云的虛擬桌面對服務器進行操作即可，就好像在本機操作一樣。具體硬件設施部署方案如圖2所示。

3.2 統一身份認證設計方案

雖然同云架構有效的將服務器集中起來進行管理，并且通過OpenStack的管理可以有效的進行負載均衡，但用高校存在的多個信息管理系統在訪問過程中需要多次輸入來確認用戶身份，對于日常使用十分不便。根據需求，本文設計了一種基于OpenStack的數字校園體系安全架構。架構分為存儲，應用組件，認證資源，用戶四個層面。上層的用戶根據統一身份認證服務器進行統一身份設定與管理，限制用戶訪問某些資源權力，調節資源的使用和最大限度的減少欺詐行為。認證資源就是高校自己的各類信息管理系統，通過接口SSO API與統一身份認證應用組件相互連接，實現統一身份認證的各項功能。存儲層是數據庫構成的，其包括了認證拓撲結構和數據兩部分。數據庫由授權數據庫和認證存儲數據兩部分構成[2]。

為了驗證方案的可行性與效果，本文將該方案以Python語言結合web API加以實現，并整合到數字校園架構的管理中間件層中，作為資源管理的重要組成部分。

部分關鍵代碼如下：

OIDCClaimPrefix "OIDC-"

OIDCResponseType "id_token"

OIDCScope "openid email profile"

OIDCProviderMetadataURL

OIDCClientID

OIDCClientSecret

OIDCCryptoPassphrase openstack

OIDCRedirectURI http：//localhost：8888 /v3/OS-FEDERATION /identity_providers / /protocols /oidc/auth/redirect

AuthType openid-connect

Require valid-user

LogLevel debug

分析實際運行情況，基于OpenStack的數字校園可以滿足單點登錄，服務器可以合理分配CPU、內存、硬盤，達到基本的負載平衡，實現有效的資源調度。

4 結語

本文研究的一種基于OpenStack的數字校園體系安全架構要建設以目錄服務和認證服務為基礎的統一用戶管理、授權管理和身份認證體系，將組織信息、用戶信息統一存儲，進行分級授權和集中身份認證，規范應用系統的用戶認證方式。提高應用系統的安全性和用戶使用的方便性，實現全部應用的單點登錄。為學校眾多的應用系統提供安全、方便、穩定的統一授權和認證平臺，使學生、老師和學校管理人員只使用一套帳號和密碼就可以登陸所有授權的系統。采用分級授權機制方便學校管理人員對用戶信息及權限信息維護，減輕工作量。新系統不用再開發用戶管理和權限管理功能，節省了后期新信息系統開發費用。為第三方開發單位減輕信息系統開發難度，不用再考慮復雜的權限管理及用戶管理。通過提供統一的認證服務、授權服務、集中管理用戶信息、集中審計，有效地解決了高校數字校園建設中硬件設施重復投資大，各個信息系統容易變成信息孤島，云數據安全等問題。

參考文獻

[1]郭欣，張丹玨.基于OpenStack的數字校園體系架構研究[J].微型電腦應用，2014（10）：49-52.

[2]葛磊，吳建軍.高校云平臺建設的研究與探索[J].軟件工程，2016（1）：50-52.