校園數據中心建設中的密碼應用技術

◆宋燕紅 杜立平

校園數據中心建設中的密碼應用技術

◆宋燕紅 杜立平

（北京電子科技學院 北京 100070）

本文提出了一種適用于新一代校園數據中心的密碼設備部署方案。利用虛擬化技術將密碼機虛擬化，為系統中虛擬終端、虛擬服務器、虛擬網絡和虛擬存儲等提供多層次、全方位的密碼服務，可為校園數據中心高效、可靠和安全運行提供有效支撐。

校園；數據中心；密碼技術

數據中心是學校教學及行政管理等各項業務的運行環境，處于核心的地位,承載和處理學校的海量信息，也存在著大量敏感、隱私數據，所以學校必須建立有效的安全防護體系,這樣才能夠保證數據的安全保密。

1 數據中心架構

新一代數據中心是基于云平臺構建的，將虛擬化技術運用到數據中心設計中，形成了新一代云數據中心的設計方案。

校園云數據中心建設的總體架構自底向上為云機房基礎設施層、云計算基礎架構層（基礎資源層和災備層）、業務應用層、服務對象層，以及數據中心的安全保障和數據中心統一管理。

云機房基礎設施層，是基于業務需求的模塊化數據中心的設計與實現；云計算基礎架構層，主要涉及基礎資源層與容災備份層。其中的基礎資源層，包括服務器設備、存儲設備、網絡設備、安全設備、虛擬化軟件，以及通過虛擬化平臺構建的虛擬化資源池，還有物理資源池，可以通過智能資源調度與管理平臺對虛擬資源池與物理資源池統一管理，并對上層應用系統提供IT服務，該層是校園信息化的基礎架構，其中密碼設備可為各類信息提供密碼服務。業務應用層整合高校的各類業務，為服務對象層按需提供服務。

2 密碼技術應用

密碼是可證明安全的網絡與信息安全核心技術手段，通過加密、身份識別、數字簽名等機制構成數據安全、事務安全的基本工具集，簡單有效地實現對客體保護、主體管控，是一種安全托底的技術手段，也是信息系統的最后一道防線。本文重點就云計算基礎架構層的密碼防護提出一種技術思路。

2.1 技術體系結構

校園數據中心云平臺把學校所有信息組成一個可分配和回收的計算資源池，動態地將虛擬化資源提供給師生。因此，可以利用云計算技術和理念，整合密碼機，從而形成密碼服務資源池，動態地為需要密碼服務的用戶提供按需服務。

在云計算基礎架構層，采用網絡、計算環境、應用服務、數據信息等多重多層次密碼保護機制，為校園數據中心提供密碼服務。虛擬化資源除虛擬計算資源外，還包括虛擬交換機、虛擬存儲等，均使用虛擬密碼機提供的密碼服務。

用戶終端機之間可以通過虛擬交換機，實現終端之間及用戶終端與虛擬應用服務器之間數據交互，實現基于虛擬化的數據集中應用，并訪問各種應用服務器。服務器端的密碼機需要實現密碼機的虛擬化，即密碼設備資源池化，滿足對虛擬機系統多租戶的密碼服務支持。

2.2 數據中心密碼機部署應用

本文以一個中小規模校園數據中心建設方案為例，說明基于密碼的防護技術應用。首先根據高校數據中心網絡構成特點、業務邏輯、安全防護需求，我們可以將數據中心劃分為不同的安全域。

為了滿足數據中心的可視化統一管控以及與配套系統，如本文討論的密碼系統的緊密耦合需求，高校數據中心建設需使用國產的、標準的硬件、軟件產品設計，如國產Linux操作系統，國產高性能服務器，如華為刀片服務器等，提供簡單可靠、易于部署和管理、便于擴展和升級的信息技術基礎架構，為學校節省投資并且加快建設周期。

校園數據中心需根據實際的網絡體系結構，部署各類密碼機來提供按需密碼服務，主要有（1）終端密碼機，安裝于用戶終端，為師生訪問校園數據中心提供身份認證等密碼服務，有USB或PCI-E兩種接口形態；（2）服務器密碼機，為各類虛擬應用服務器提供虛擬密碼服務，為PCI-E接口形態；（3）網絡存儲密碼機，提供磁盤陣列數據的網絡存儲加密功能，為網絡接口形態；（4）網絡密碼機，為網絡數據傳輸提供高速密碼服務，確保數據傳輸全程保密。

基于合理部署各類密碼機，可以從終端、服務器、通信網絡、數據安全、業務應用安全等方面，較為系統地解決校園數據中心的密碼防護需求，為提供有效可靠的信息和網絡密碼防護功能、防止信息被非法訪問和竊取、阻止對信息系統及傳輸網絡的惡意攻擊和破壞、實現網絡、終端、服務器、系統、數據庫和重要信息的密碼防護、確保各應用系統安全、穩定、可靠、高效的運轉提供了支撐。

2.3 實現機制設計

（1）存儲加密機制

在應用服務器與磁盤陣列之間通過網絡接口連接存儲密碼機，對存儲元數據實施保護，如圖1所示。

圖1 數據存儲加密機制

當應用服務器向網絡存儲設備寫入數據時進行加密操作，從網絡存儲設備讀取數據時進行解密操作。應用服務器將SCSI命令、狀態和數據封裝為iSCSI/FC報文，其中命令描述塊（CDB）完成在磁盤上讀寫數據塊的實際操作。iSCSI/FC報文通過TCP/IP或者光纖通道網絡發向網絡存儲設備。當數據輸入操作分組經過存儲加密設備時，對分組的CDB數據凈核進行加密，并以密文數據形式存儲在網絡存儲設備上。

（2）服務器加密機制

數據中心的計算功能由各類應用服務器承擔，其被虛擬化后，用戶通過虛擬機之間的隔離機制實現了一定程度的隔離保護，但數據中心服務器仍存有明文信息。為此，將PCI-E接口的服務器密碼機虛擬化，如圖2所示，利用密碼管理服務器加載密鑰，在虛擬機部署和配置加密客戶端，使得應用可以調用虛擬密碼機提供的密碼服務API，實現用戶終端本地數據的存儲加密以及應用服務器之間的數據傳輸加密。

圖2 虛擬機密碼保護機制

3 結束語

密碼作為信息系統安全的核心技術，是校園數據中心發展的保障支撐和必要助力。云環境下的數據安全問題，很多時候都可以歸結為“如何在不可信的空間安全存取敏感數據”的問題。伴隨著國際網絡安全形勢日益緊張，密碼技術的重要性也日漸凸顯，針對校園數據中心各種新興業務安全及密碼防護工作時不我待。

[1]任斌.“智慧校園”數據中心的建設[J].辦公自動化，2015（9）.

[2]華為技術有限公司網站，XXXX大學云數據中心建設方案，2015.11.

[3]田景成.云計算與密碼技術[J].信息安全與通信保密，2012（11）.