終端安全接入數(shù)據(jù)中心方法研究

◆許光濘 崔 雋 何錫點 徐鑫朋 袁 銘

終端安全接入數(shù)據(jù)中心方法研究

◆許光濘1崔 雋2何錫點2徐鑫朋1袁 銘1

(1.中國電子科技集團(tuán)公司第三十二研究所 上海 201808； 2.中國電子科技集團(tuán)公司第二十八研究所 江蘇 210007)

數(shù)據(jù)中心是一個大規(guī)模、開放式的網(wǎng)絡(luò)系統(tǒng)，應(yīng)用環(huán)境也比較復(fù)雜。本文針對終端接入數(shù)據(jù)中心的安全問題，根據(jù)不同的終端類型，從傳輸通道安全、接入終端自身安全、用戶認(rèn)證三方面分析了安全解決方案和實現(xiàn)途徑。最后，提出了終端安全接入數(shù)據(jù)中心的實現(xiàn)框架，覆蓋終端安全接入數(shù)據(jù)中心的全過程。

數(shù)據(jù)中心；安全接入；終端；認(rèn)證服務(wù)；訪問控制

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的進(jìn)一步發(fā)展，信息化技術(shù)越來越普及，企業(yè)建立的信息系統(tǒng)越來越多。數(shù)據(jù)中心作為信息系統(tǒng)的中心，則為信息系統(tǒng)提供了穩(wěn)定、可靠的基礎(chǔ)設(shè)施和運(yùn)行環(huán)境，并保證可以方便地維護(hù)和管理信息系統(tǒng)。數(shù)據(jù)中心經(jīng)過近二十年時間的建設(shè)與發(fā)展，目前已經(jīng)深入到各個大中型企業(yè)的內(nèi)部，基本上每個大中型企業(yè)都已經(jīng)建立了自己的數(shù)據(jù)中心，企業(yè)的所有信息系統(tǒng)基本上都在數(shù)據(jù)中心運(yùn)行。數(shù)據(jù)中心技術(shù)的發(fā)展在方便使用信息系統(tǒng)的同時，也帶來了各種各樣的安全隱患[1]。企業(yè)對信息系統(tǒng)的依賴性越大，意味著這些安全問題的風(fēng)險也越大。數(shù)據(jù)中心的安全接入和訪問作為保障數(shù)據(jù)中心安全[2-4]的一部分，得到越來越多的企業(yè)重視，國內(nèi)外對數(shù)據(jù)中心的安全接入和訪問方法的研究較多[5-7]。

本文的主要研究內(nèi)容為：在數(shù)據(jù)中心云計算環(huán)境下，構(gòu)建用戶接入訪問云數(shù)據(jù)中心的安全解決方案。用戶安全接入訪問云數(shù)據(jù)中心的方案主要分為傳輸通道安全、接入終端安全和用戶安全認(rèn)證三個部分。

1 傳輸通道安全

傳輸通道的安全，一般是通過虛擬專用網(wǎng)（VPN）來實現(xiàn)的。VPN有很多種，每種都能滿足不同的特定需求。目前使用最廣泛的最流行的兩種VPN方式為IPsec VPN和SSL VPN。IPSec VPN作為點對點連接方案，可以提供網(wǎng)與網(wǎng)之間的連接，是提供站點到站點連接的首要工具。IPSec VPN工作在第三層，一般部署在網(wǎng)絡(luò)網(wǎng)關(guān)處，幾乎可以為所有的應(yīng)用提供服務(wù)，包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用及網(wǎng)絡(luò)共享等。SSL VPN內(nèi)嵌在瀏覽器中，具有免客戶端、免安裝、免維護(hù)、跨平臺等特性，被越來越多的用戶所使用。SSL VPN工作在網(wǎng)絡(luò)層和應(yīng)用層之間，它一般部署在內(nèi)網(wǎng)中任一節(jié)點處即可，提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性，可以隨時根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。

與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點在于保護(hù)具體的敏感數(shù)據(jù)，可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。而且在結(jié)合身份認(rèn)證的基礎(chǔ)上，還可以對訪問人員的每個訪問、每個操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。SSL VPN在訪問控制方面比IPSec VPN具有更細(xì)粒度，可以對接入客戶進(jìn)行各種限制，如可以訪問的地址、端口、URL等。

2 接入終端安全

終端接入數(shù)據(jù)中心訪問信息時，其自身的安全也非常重要。一個自身帶有木馬病毒、網(wǎng)絡(luò)訪問攻擊的終端，對數(shù)據(jù)中心的安全威脅巨大，甚至?xí)箶?shù)據(jù)中心癱瘓。接入終端安全管理的目的是盡可能地選用相應(yīng)的技術(shù)和產(chǎn)品，以組合的方式，保證接入終端是安全可信的終端。目前國內(nèi)外的一些網(wǎng)絡(luò)安全公司，例如Symantec、衛(wèi)士通、北信源等都有一套相對比較完善的解決方案或產(chǎn)品。

接入云數(shù)據(jù)中心的終端安全主要考慮終端安全綜合防護(hù)管理、終端準(zhǔn)入控制、終端行為控制、終端的存儲與外設(shè)管理等幾個方面的安全。

2.1 終端安全綜合防護(hù)管理

隨著信息化網(wǎng)絡(luò)的發(fā)展，移動辦公越來越流行，接入云數(shù)據(jù)中心的終端既有內(nèi)網(wǎng)的終端，也有外網(wǎng)的各類便攜筆記本和智能終端。實現(xiàn)“零病毒”、“零威脅”是內(nèi)網(wǎng)終端信息安全防護(hù)的最終目標(biāo)，確保內(nèi)網(wǎng)終端始終處于安全的信息工作環(huán)境。而對于可以在外部網(wǎng)絡(luò)中可使用的移動終端，在安全防護(hù)和使用的便捷需求上和內(nèi)網(wǎng)終端是不一樣的，因此在防護(hù)等級上要做到安全防護(hù)和使用便利性的平衡，同時由于外網(wǎng)終端可以連接互聯(lián)網(wǎng)，因此對網(wǎng)絡(luò)攻擊的防護(hù)是外網(wǎng)終端防護(hù)的必要要求。

對于接入云數(shù)據(jù)中心的終端需要部署最新的殺毒軟件，主動防御新的惡意軟件和木馬病毒。不定期地對接入終端進(jìn)行安全加固和漏洞掃描，包括補(bǔ)丁安裝、口令強(qiáng)度等，通過漏洞阻截技術(shù)阻斷未知惡意行為程序的運(yùn)行，增強(qiáng)接入終端自身的安全性。通過確保每個終端設(shè)備都符合企業(yè)安全策略(例如運(yùn)行最相關(guān)的、最先進(jìn)的安全保護(hù)措施)，企業(yè)可大幅度減少甚至是消除作為常見感染源或危害網(wǎng)絡(luò)的終端設(shè)備的數(shù)量。

2.2 終端準(zhǔn)入控制

終端準(zhǔn)入控制的核心思想在于屏蔽一切不安全的設(shè)備和人員接入網(wǎng)絡(luò)，或者規(guī)范用戶接入網(wǎng)絡(luò)的行為，從而鏟除網(wǎng)絡(luò)威脅的源頭，避免事后處理的高額成本。一般是利用網(wǎng)絡(luò)訪問準(zhǔn)入控制（NAC）解決方案實現(xiàn)對終端的全面主機(jī)完整性的檢測，所有網(wǎng)絡(luò)終端在接入數(shù)據(jù)中心的時候都要判斷其終端是否完全滿足數(shù)據(jù)中心制定的終端安全策略，如果終端上有任何的安全上的不滿足，比如防病毒軟件未安裝、防病毒庫沒有更新、防火墻沒有開、系統(tǒng)保護(hù)應(yīng)用沒有啟用等都將阻止這類終端進(jìn)入數(shù)據(jù)中心網(wǎng)絡(luò)，保證了數(shù)據(jù)中心的安全建設(shè)效果，加強(qiáng)了數(shù)據(jù)中心的防護(hù)能力。

NAC主要包括以下功能：

（1）在線主機(jī)監(jiān)測：系統(tǒng)可以通過監(jiān)聽和主動探測等方式檢測網(wǎng)絡(luò)中所有在線的主機(jī)，并判別在線主機(jī)是否為經(jīng)過系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。

（2）主機(jī)授權(quán)認(rèn)證：系統(tǒng)可以通過在線主機(jī)是否安裝客戶端程序，并結(jié)合客戶端報告的主機(jī)補(bǔ)丁安裝情況，防病毒軟件安裝和運(yùn)行情況等信息，進(jìn)行網(wǎng)絡(luò)授權(quán)認(rèn)證，只允許通過授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。

（3）非法主機(jī)網(wǎng)絡(luò)阻斷：對于探測到的非法主機(jī)，系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡(luò)資源，從而保證非法主機(jī)不對網(wǎng)絡(luò)產(chǎn)生影響，無法對網(wǎng)絡(luò)進(jìn)行攻擊或試圖竊密。

（4）IP和MAC綁定管理：系統(tǒng)可以將終端計算機(jī)的IP地址和MAC地址進(jìn)行綁定，禁止用戶修改自身的IP地址，并在用戶試圖更改IP地址時，產(chǎn)生相應(yīng)的報警信息。

（5）網(wǎng)關(guān)設(shè)備聯(lián)動：遵循CSC關(guān)聯(lián)安全標(biāo)準(zhǔn)，可以同防火墻/網(wǎng)閘/UTM等網(wǎng)關(guān)設(shè)備聯(lián)動，共同防止非法計算機(jī)接入到內(nèi)部網(wǎng)絡(luò)中。對于非法接入的計算機(jī)，系統(tǒng)可以通知防火墻/網(wǎng)閘/UTM等阻斷其網(wǎng)絡(luò)訪問行為。

通過運(yùn)行NAC，只要終端設(shè)備試圖連接網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問設(shè)備(LAN、WAN、無線或遠(yuǎn)程訪問設(shè)備)都將自動申請已安裝的客戶端或評估工具提供終端設(shè)備的安全資料。隨后將這些資料信息與網(wǎng)絡(luò)安全策略進(jìn)行比較，并根據(jù)設(shè)備對這個策略的符合水平來決定如何處理網(wǎng)絡(luò)訪問請求。網(wǎng)絡(luò)可以簡單地準(zhǔn)許或拒絕訪問，也可通過將設(shè)備重新定向到某個網(wǎng)段來限制網(wǎng)絡(luò)訪問。

2.3 終端行為控制

在進(jìn)行數(shù)據(jù)中心網(wǎng)絡(luò)安全體系建設(shè)時，除了要考慮防火墻、殺病毒、入侵檢測，甚至身份認(rèn)證等系統(tǒng)來解決有關(guān)外部黑客入侵、病毒困擾時，也要同時考慮來自內(nèi)部網(wǎng)絡(luò)的可信環(huán)境下的非授權(quán)網(wǎng)絡(luò)行為和授權(quán)濫用行為。

終端行為控制可以監(jiān)控終端計算機(jī)網(wǎng)絡(luò)接口的連接狀態(tài)和終端計算機(jī)的網(wǎng)絡(luò)流量情況，對于在單位時間內(nèi)超出流量閾值的終端計算機(jī)，系統(tǒng)可以自動對其采取網(wǎng)絡(luò)阻斷等限制措施，防止其過度占用網(wǎng)絡(luò)帶寬。終端行為控制具體包括：詳細(xì)記錄終端使用文件的使用操作、應(yīng)用程序使用情況、瀏覽網(wǎng)站情況等。對終端用戶的行為進(jìn)行記錄和審計可幫助進(jìn)行事后追查，能對用戶行為進(jìn)行更多了解，可以快速定位事故源頭，及時解決問題。

2.4 存儲與外設(shè)管理

終端的存儲與外設(shè)管理主要是對終端計算機(jī)上各種外設(shè)和接口的使用進(jìn)行管理。通過相應(yīng)的安全管理軟件可以禁用終端計算機(jī)的各種外設(shè)和接口，防止用戶非法使用。對于移動存儲設(shè)備的禁用，可以在禁止使用通用移動存儲設(shè)備的同時，允許使用經(jīng)過認(rèn)證的移動存儲設(shè)備。對終端實現(xiàn)存儲與外設(shè)的管理，能對數(shù)據(jù)中心的信息流向受到控制，保證信息不被隨意外泄。

3 用戶認(rèn)證授權(quán)

訪問數(shù)據(jù)中心資源的用戶，必須對其用戶身份進(jìn)行識別。筆記本電腦等傳統(tǒng)終端采用數(shù)字證書硬件Key設(shè)備實現(xiàn)準(zhǔn)入，智能終端等采用域用戶名口令方式實現(xiàn)準(zhǔn)入。一旦用戶設(shè)備丟失或者數(shù)字證書硬件Key遺失，管理平臺可以在第一時間禁用該數(shù)字證書硬件Key和該用戶域用戶名口令。同時，為了進(jìn)一步提高系統(tǒng)安全性，身份認(rèn)證采用多種認(rèn)證方式組合認(rèn)證，在數(shù)字證書或用戶名口令方式下，組合硬件特征碼認(rèn)證，只有授權(quán)設(shè)備才可以進(jìn)行身份識別，否則身份識別不通過。設(shè)備丟失后，硬件特征碼與數(shù)字證書和域用戶名口令的綁定關(guān)系隨即取消，用戶無法登錄。

目前數(shù)據(jù)中心的用戶身份認(rèn)證基本都是采用多因子身份認(rèn)證：本地認(rèn)證、第三方認(rèn)證、動態(tài)認(rèn)證、混合認(rèn)證等。本地認(rèn)證支持用戶名口令認(rèn)證、自建CA認(rèn)證等；第三方認(rèn)證支持第三方CA認(rèn)證、Radius、LDAP、Microsoft AD等認(rèn)證，便于結(jié)合現(xiàn)有業(yè)務(wù)證書對用戶實現(xiàn)統(tǒng)一管理；動態(tài)認(rèn)證支持短信認(rèn)證、USBKey認(rèn)證、動態(tài)令牌認(rèn)證、終端硬件特征碼認(rèn)證等；混合認(rèn)證支持上述多種認(rèn)證方式自由組合，實現(xiàn)針對不同用戶的差異化多因子身份認(rèn)證模式。

4 終端安全接入數(shù)據(jù)中心框架

終端安全接入數(shù)據(jù)中心的框架如下圖所示：

圖1 終端安全接入框架

整個終端安全接入方案框架主要由安全接入服務(wù)器、終端管理服務(wù)器和安全組代理服務(wù)器構(gòu)成。終端管理服務(wù)器主要完成終端信息的錄入、終端與用戶的綁定、用戶接入的許可、用戶登錄日志管理等功能。終端信息錄入后由終端管理服務(wù)將相關(guān)用戶信息和設(shè)備信息進(jìn)行加密處理后，可以寫入到UsbKey中并發(fā)放給相關(guān)用戶，對于不方便插UsbKey的智能終端，則以數(shù)字證書的形式分發(fā)給智能終端用戶。

UsbKey中需要保存的信息包括CA根證書、用戶證書、設(shè)備證書及其私鑰，整個系統(tǒng)提供相關(guān)程序工具，該工具在用戶的設(shè)備上面進(jìn)行運(yùn)行，用戶填入自己的用戶名（英語或拼音）后，程序會收集用戶設(shè)備上面的網(wǎng)卡物理地址，結(jié)合用戶輸入的用戶ID生成按一定格式保存的用戶和設(shè)備信息文件并加密。該文件通過終端管理服務(wù)器進(jìn)行解析并保存到后臺服務(wù)器中，相關(guān)信息會被相關(guān)管理程序生成用戶證書和設(shè)備證書并寫入到用戶的UsbKey中。

系統(tǒng)通過標(biāo)準(zhǔn)的pcks #11接口來操作UsbKey，這樣可以兼容不同廠家的UsbKey設(shè)備。在UsbKey中，用戶證書的Label就是用戶名，設(shè)備Label就是設(shè)備的MAC，這樣當(dāng)客戶端運(yùn)行時就可以根據(jù)用戶輸入的用戶名和客戶端自動獲取的MAC地址從UsbKey中獲取證書并傳遞到服務(wù)端進(jìn)行驗證。對于智能手機(jī)、平板電腦上B/S架構(gòu)的業(yè)務(wù)系統(tǒng)，將永久的cookie作為唯一標(biāo)識；對于平板上C/S架構(gòu)的業(yè)務(wù)系統(tǒng)，由服務(wù)器為客戶端生成一個隨機(jī)的UUID作為終端唯一標(biāo)識碼；對于手機(jī)上C/S架構(gòu)的業(yè)務(wù)系統(tǒng)，由于手機(jī)的IMEI是全球唯一的，故把手機(jī)的IMEI碼作為終端唯一標(biāo)識碼。

4.1 安全接入服務(wù)器

安全接入服務(wù)器主要完成接入用戶和設(shè)備的身份信息鑒別，整個鑒別過程是，用戶插入UsbKey運(yùn)行接入客戶端，用戶輸入用戶名和相關(guān)PIN碼，當(dāng)PIN通過后客戶端會自動發(fā)現(xiàn)網(wǎng)卡的MAC并根據(jù)MAC從UsbKey中提取設(shè)備證書發(fā)送到服務(wù)端進(jìn)行驗證，驗證過程包含了挑戰(zhàn)過程，服務(wù)端隨機(jī)生成一個隨機(jī)數(shù)并用設(shè)備證書的公鑰進(jìn)行加密傳回到客戶端，客戶端通過UsbKey進(jìn)行解密并按事先約定的算法對隨機(jī)數(shù)進(jìn)行處理，處理后通過私鑰進(jìn)行加密并傳回服務(wù)端，服務(wù)端通過公鑰解密后通過同樣的算法進(jìn)行處理并和預(yù)期結(jié)果比較，比較通過后證書驗證通過，設(shè)備證書驗證通過后再進(jìn)行用戶證書驗證，認(rèn)證服務(wù)器可以從終端管理服務(wù)器獲取用戶和設(shè)備的綁定信息來判定是否合法，只有當(dāng)用戶信息和設(shè)備信息都認(rèn)可后打開相關(guān)安全隧道對數(shù)據(jù)進(jìn)行安全轉(zhuǎn)發(fā)。當(dāng)不滿足接入條件時，通過終端管理服務(wù)器提供的接口寫入相關(guān)的日志信息。安全接入服務(wù)器支持將信息發(fā)向第三方服務(wù)進(jìn)行鑒別。

安全接入服務(wù)器主要完成用戶、設(shè)備身份的鑒別和建立安全的隧道，并支持基于TCP/IP的所有協(xié)議，在實現(xiàn)上面采用基于開源的OpenVpn進(jìn)行。OpenVpn是一種基于OpenSSL的開源VPN軟件，用戶的認(rèn)證是基于SSL協(xié)議，隧道的封裝基于TAP/TUN機(jī)制，OpenVpn在SSL認(rèn)證通過后，在SSL的加密通道上面進(jìn)行自己的密鑰協(xié)商。OpenVpn通過BIO技術(shù)獲取SSL協(xié)商過程產(chǎn)生的協(xié)議包并封裝成自己的協(xié)議包進(jìn)行網(wǎng)絡(luò)傳輸，整個協(xié)商，認(rèn)證過程在OpenVpn中體現(xiàn)為狀態(tài)機(jī)，在實現(xiàn)思路方面通過修改OpenVpn的狀態(tài)機(jī)機(jī)制，在SSL協(xié)商完成后和OpenVpn自己密鑰協(xié)商的過程之間插入新的狀態(tài)來實現(xiàn)用戶、設(shè)備的認(rèn)證邏輯。

4.2 認(rèn)證服務(wù)器

在安全接入方案中，認(rèn)證服務(wù)器默認(rèn)由安全接入服務(wù)器來擔(dān)當(dāng)，也可由第三方的服務(wù)器來擔(dān)當(dāng)，認(rèn)證服務(wù)器和安全接入服務(wù)器通過事先定義的協(xié)議對用戶、設(shè)備信息進(jìn)行傳輸和認(rèn)證，并將結(jié)果返回給安全接入服務(wù)器來控制用戶的接入。

4.3 終端管理服務(wù)器

終端管理服務(wù)器負(fù)責(zé)用戶與設(shè)備信息的錄入、用戶與設(shè)備證書的生成和寫入、用戶與設(shè)備的綁定。整個終端管理服務(wù)器基于J2EE平臺進(jìn)行自主開發(fā)，采用前后端分離的技術(shù)，后端采用基于SpringCloud的微服務(wù)框架提供基于HTTPS的RestFul接口提供不同的服務(wù)，終端服務(wù)管理器提供用戶信息收集工具和證書寫入工具，所有工具以APP形式提供，而設(shè)備與用戶信息輸入、設(shè)備與用戶信息綁定、日志查看則以WEB方式提供。

4.4 計算節(jié)點

計算節(jié)點根據(jù)傳入的密鑰和操作，在虛擬機(jī)運(yùn)行過程中對虛擬鏡像進(jìn)行動態(tài)的加、解密操作。在實現(xiàn)方面，通過修改KVM的虛擬磁盤驅(qū)動來實現(xiàn)鏡像的加、解密操作，虛擬機(jī)鏡像文件保存了虛擬機(jī)的相關(guān)代碼和數(shù)據(jù)并以文件形式保存在宿主機(jī)上面，當(dāng)虛擬機(jī)啟動后，通過Intel-VT技術(shù)，虛擬機(jī)訪問磁盤時會產(chǎn)生相關(guān)中斷并被模擬程序捕獲，捕獲的參數(shù)包括讀取的設(shè)備號、邏輯扇區(qū)號，模擬程序通過鏡像格式說明將相關(guān)參數(shù)轉(zhuǎn)化為對文件的讀寫返回給虛擬機(jī)來完成磁盤的讀寫。

5 結(jié)束語

數(shù)據(jù)中心的信息安全事故的源頭主要集中在用戶終端，因此終端安全接入數(shù)據(jù)中心的方案，必然是一個端到端的安全體系架構(gòu)，保證接入數(shù)據(jù)中心的終端和網(wǎng)絡(luò)鏈路是安全、可信的。本文根據(jù)接入數(shù)據(jù)中心的不同終端類型，從傳輸通道安全、接入終端自身安全、用戶認(rèn)證三方面分析了安全解決方案和實現(xiàn)途徑。最后，提出了終端安全接入數(shù)據(jù)中心的實現(xiàn)框架，覆蓋終端安全接入數(shù)據(jù)中心的全過程。終端安全接入數(shù)據(jù)中心的問題，單靠一種安全技術(shù)方案并不能解決所有問題，還需要多種技術(shù)的組合，才能構(gòu)成一個立體的安全體系。

[1] 孔功勝.云計算安全認(rèn)證與可信接入?yún)f(xié)議研究進(jìn)展[J]. 河南大學(xué)學(xué)報(自然版)，2017.

[2]李洪敏，李宇明，葛楊.虛擬化數(shù)據(jù)中心的安全設(shè)計[J].兵工自動化，2012.

[3]祝詠升，張彥，姚洪磊等.鐵路信息系統(tǒng)安全防護(hù)體系的研究[J].中國鐵道科學(xué)，2012.

[4]沈昌祥.云計算安全與等級保護(hù)[J].信息安全與通信保密，2012.

[5]JIVANADHAM L B，ISIAM A K M, KATAYAMA Y，et al. Cloud cognitive authenticator(CCA):a public cloud computing authentication mechanism[C].2013 International Conference on Informatics，Electronics & Vision(ICIEV)，IEEE，2013.

[6]袁慧.面向用戶準(zhǔn)入控制的信息安全統(tǒng)一威脅防御管理[J].電力信息與通信技術(shù)，2013.

[7]聶元銘，董建鋒，李君怡.桌面云網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)研究[J].技術(shù)研究，2013.