一種基于OpenStack的數(shù)字校園體系安全架構(gòu)研究

張媛++黃磊++廉龍穎++馬建樂

摘要：本文通過一種基于OpenStack的數(shù)字校園體系安全架構(gòu)，可以有效地將分布在校園各個(gè)角落的服務(wù)器有效的整合在一起統(tǒng)一管理，可以根據(jù)情況快速部署服務(wù)器，有效的管理虛擬服務(wù)器建立統(tǒng)一身份認(rèn)證體系，實(shí)現(xiàn)用戶的單點(diǎn)登錄，提高了系統(tǒng)的集成度，降低了運(yùn)維成本。

關(guān)鍵詞：OpenStack；數(shù)字校園；體系架構(gòu)；統(tǒng)一身份認(rèn)證

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）03-0084-02

1 前言

目前云計(jì)算技術(shù)發(fā)展勢(shì)頭極為迅猛，云計(jì)算有公有云、私有云、混合云，高校建立的就是自己的私有云，在眾多的云計(jì)算技術(shù)中OpenStack可以說是應(yīng)用范圍最廣，技術(shù)支持最為全面的。OpenStack是一種完全開源的云計(jì)算項(xiàng)目，完全可以用以建立私有云。對(duì)于希望整合自己的資源，同時(shí)進(jìn)行各類實(shí)驗(yàn)的高校來說，開源的云計(jì)算產(chǎn)品更為實(shí)際。

高校作為一個(gè)較為特殊的團(tuán)體，信息化技術(shù)一直處于發(fā)展的前端；但是，隨著越來越多的信息管理系統(tǒng)的使用，各類管理系統(tǒng)之間沒有耦合關(guān)系成為信息孤島，服務(wù)性變差，同時(shí)每個(gè)管理系統(tǒng)都要重新采購建設(shè)基礎(chǔ)設(shè)施，基礎(chǔ)設(shè)施的利用率低，運(yùn)維成本高。如何有效的將這些管理系統(tǒng)整合起來就顯得尤為重要，整合這些信息系統(tǒng)的一個(gè)必要前提就是建立統(tǒng)一的身份認(rèn)證中心，將各個(gè)信息系統(tǒng)與之相連接，實(shí)現(xiàn)信息孤島的聯(lián)通。如果單獨(dú)的建立這樣一個(gè)信息中心勢(shì)必又要重新采購硬件設(shè)備，造成基礎(chǔ)設(shè)施建設(shè)的浪費(fèi)。使用云計(jì)算技術(shù)整合現(xiàn)有的服務(wù)器資源降低成本，同時(shí)在建設(shè)新的數(shù)字化校園時(shí)候建立統(tǒng)一的身份認(rèn)證中心，推動(dòng)高校數(shù)字化校園信息一體化建設(shè)，向大數(shù)據(jù)時(shí)代邁進(jìn)。

2 OpenStack介紹

OpenStack是美國國家航天局（NASA）和RackSpace共同開發(fā)的一個(gè)開源云計(jì)算項(xiàng)目，其目的就是為用戶提供一個(gè)方便的部署操作平臺(tái)，從2012年項(xiàng)目開始，全球各大IT公司、硬件生產(chǎn)廠商都紛紛加入其中，對(duì)其提供各類支持，基于OpenStack的各類云平臺(tái)也陸續(xù)上市提供服務(wù)。OpenStack無疑是現(xiàn)在開源云計(jì)算中支持基礎(chǔ)設(shè)施即服務(wù)（IaaS）占有市場(chǎng)份額最大的。OpenStack包括計(jì)算、對(duì)象存儲(chǔ)、鏡像服務(wù)、身份服務(wù)、網(wǎng)絡(luò)和地址管理、塊存儲(chǔ)、UI界面、測(cè)量、部署、數(shù)據(jù)庫等各個(gè)方面。其中OpenStack最為重要的7個(gè)部分：Nova是控制器；Glance是鏡像服務(wù)器；Swift是一種分布式、持續(xù)虛擬對(duì)象存儲(chǔ)；Keystone提供認(rèn)證和訪問策略服務(wù)的；Neutron提供虛擬網(wǎng)絡(luò)服務(wù)功能；Cinder是塊存儲(chǔ)；Horizon提供給使用者的一個(gè)Web控制面板。

3 基于OpenStack的數(shù)字校園架構(gòu)

3.1 OpenStack數(shù)字校園硬件設(shè)施部署方案

高校的信息管理系統(tǒng)與一般的企業(yè)不同，除了整體的教務(wù)管理系統(tǒng)、學(xué)工系統(tǒng)等信息管理系統(tǒng)外，還存在各個(gè)系部自己的信息管理系統(tǒng)，這些系統(tǒng)相互之間在物理上獨(dú)立采購建設(shè)的，所以分布在校園的各處，日常維護(hù)起來運(yùn)維成本十分高，同時(shí)各個(gè)系統(tǒng)的使用頻率也完全不同，但在建設(shè)過程中每個(gè)系統(tǒng)所配置的硬件具有一定的重復(fù)性，如圖1所示[1]。

采用OpenStack架構(gòu)的數(shù)字化校園就可以利用其虛擬服務(wù)和網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備，如圖1所示，將所有的信息系統(tǒng)集中在云上，只需要對(duì)云進(jìn)行基本維護(hù)即可，不需要單獨(dú)對(duì)每個(gè)服務(wù)器進(jìn)行維護(hù)，如果需要更新某個(gè)服務(wù)器時(shí)，可以實(shí)例化一個(gè)新的服務(wù)器進(jìn)行更新，更新結(jié)束后在替換原來的虛擬服務(wù)器即可，不需要將原來的服務(wù)器關(guān)閉。在進(jìn)行硬件部署時(shí)候完全可以將原來的服務(wù)器歸攏在一個(gè)機(jī)房?jī)?nèi)進(jìn)行部署，既方便了部署，同時(shí)方便對(duì)其進(jìn)行統(tǒng)一維護(hù)，降低了整體的運(yùn)維成本。而原來的服務(wù)器管理員只需要通過基于openstack云的虛擬桌面對(duì)服務(wù)器進(jìn)行操作即可，就好像在本機(jī)操作一樣。具體硬件設(shè)施部署方案如圖2所示。

3.2 統(tǒng)一身份認(rèn)證設(shè)計(jì)方案

雖然同云架構(gòu)有效的將服務(wù)器集中起來進(jìn)行管理，并且通過OpenStack的管理可以有效的進(jìn)行負(fù)載均衡，但用高校存在的多個(gè)信息管理系統(tǒng)在訪問過程中需要多次輸入來確認(rèn)用戶身份，對(duì)于日常使用十分不便。根據(jù)需求，本文設(shè)計(jì)了一種基于OpenStack的數(shù)字校園體系安全架構(gòu)。架構(gòu)分為存儲(chǔ)，應(yīng)用組件，認(rèn)證資源，用戶四個(gè)層面。上層的用戶根據(jù)統(tǒng)一身份認(rèn)證服務(wù)器進(jìn)行統(tǒng)一身份設(shè)定與管理，限制用戶訪問某些資源權(quán)力，調(diào)節(jié)資源的使用和最大限度的減少欺詐行為。認(rèn)證資源就是高校自己的各類信息管理系統(tǒng)，通過接口SSO API與統(tǒng)一身份認(rèn)證應(yīng)用組件相互連接，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證的各項(xiàng)功能。存儲(chǔ)層是數(shù)據(jù)庫構(gòu)成的，其包括了認(rèn)證拓?fù)浣Y(jié)構(gòu)和數(shù)據(jù)兩部分。數(shù)據(jù)庫由授權(quán)數(shù)據(jù)庫和認(rèn)證存儲(chǔ)數(shù)據(jù)兩部分構(gòu)成[2]。

為了驗(yàn)證方案的可行性與效果，本文將該方案以Python語言結(jié)合web API加以實(shí)現(xiàn)，并整合到數(shù)字校園架構(gòu)的管理中間件層中，作為資源管理的重要組成部分。

部分關(guān)鍵代碼如下：

OIDCClaimPrefix "OIDC-"

OIDCResponseType "id_token"

OIDCScope "openid email profile"

OIDCProviderMetadataURL

OIDCClientID

OIDCClientSecret

OIDCCryptoPassphrase openstack

OIDCRedirectURI http：//localhost：8888 /v3/OS-FEDERATION /identity_providers / /protocols /oidc/auth/redirect

AuthType openid-connect

Require valid-user

LogLevel debug

分析實(shí)際運(yùn)行情況，基于OpenStack的數(shù)字校園可以滿足單點(diǎn)登錄，服務(wù)器可以合理分配CPU、內(nèi)存、硬盤，達(dá)到基本的負(fù)載平衡，實(shí)現(xiàn)有效的資源調(diào)度。

4 結(jié)語

本文研究的一種基于OpenStack的數(shù)字校園體系安全架構(gòu)要建設(shè)以目錄服務(wù)和認(rèn)證服務(wù)為基礎(chǔ)的統(tǒng)一用戶管理、授權(quán)管理和身份認(rèn)證體系，將組織信息、用戶信息統(tǒng)一存儲(chǔ)，進(jìn)行分級(jí)授權(quán)和集中身份認(rèn)證，規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式。提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實(shí)現(xiàn)全部應(yīng)用的單點(diǎn)登錄。為學(xué)校眾多的應(yīng)用系統(tǒng)提供安全、方便、穩(wěn)定的統(tǒng)一授權(quán)和認(rèn)證平臺(tái)，使學(xué)生、老師和學(xué)校管理人員只使用一套帳號(hào)和密碼就可以登陸所有授權(quán)的系統(tǒng)。采用分級(jí)授權(quán)機(jī)制方便學(xué)校管理人員對(duì)用戶信息及權(quán)限信息維護(hù)，減輕工作量。新系統(tǒng)不用再開發(fā)用戶管理和權(quán)限管理功能，節(jié)省了后期新信息系統(tǒng)開發(fā)費(fèi)用。為第三方開發(fā)單位減輕信息系統(tǒng)開發(fā)難度，不用再考慮復(fù)雜的權(quán)限管理及用戶管理。通過提供統(tǒng)一的認(rèn)證服務(wù)、授權(quán)服務(wù)、集中管理用戶信息、集中審計(jì)，有效地解決了高校數(shù)字校園建設(shè)中硬件設(shè)施重復(fù)投資大，各個(gè)信息系統(tǒng)容易變成信息孤島，云數(shù)據(jù)安全等問題。

參考文獻(xiàn)

[1]郭欣，張丹玨.基于OpenStack的數(shù)字校園體系架構(gòu)研究[J].微型電腦應(yīng)用，2014（10）：49-52.

[2]葛磊，吳建軍.高校云平臺(tái)建設(shè)的研究與探索[J].軟件工程，2016（1）：50-52.