高校信息安全實驗平臺構建方式淺析

◆李 蒙 薛俊凱

?

高校信息安全實驗平臺構建方式淺析

◆李 蒙 薛俊凱

(青島工學院 山東 266300)

本文主要研究如何構建一套可滿足密碼學、安全加固、滲透測試等多種需求的綜合性信息安全實驗平臺，該實驗平臺采用目前流行的Openstack構建私有云，結合KVM構建實驗環境，較好滿足了信息安全相關實驗教學需求。

信息安全實驗平臺；OpenStack；KVM

0 引言

近年來，信息安全成為國家關注的重要領域，各高校正在積極開設信息安全類課程和專業，然而信息安全相關實驗內容極不完善，實驗環境和實驗器材都較為匱乏，開發一種具備實用性、開放性、靈活性的信息安全實驗平臺成為開展相關課程教學的基礎條件之一。本文結合高校實際教學需求和客觀技術條件，提出一套基于開源云計算平臺OpenStack，結合虛擬化技術構建實驗平臺的設計方案，能夠將物理服務器構建為統一資源池，實現分布式運算和存儲分配，并結合高校實際需求設定了用戶角色和實驗流程。

1 關鍵技術

1.1 私有云平臺

私有云平臺構建主要有自行開發、商業解決方案、開源解決方案三種[1]。在當前的主流云計算環境部署方式中，OpenStack是支持虛擬化技術類別最多的開源產品，提供了豐富的API調用接口，便于實現系統的進一步開發。

1.2 KVM虛擬化技術

虛擬化技術先后經歷了軟件模擬、虛擬化層翻譯、容器虛擬化三個階段。目前，OpenStack、CloudStack等多數私有云平臺上都使用KVM虛擬化技術，便于實現資源池動態調整和資源使用標準化，是當前最為可行的實驗平臺構建技術[2]。

1.3 OpenvSwitch

OpenvSwitch作為一個具有標準管理接口的企業級虛擬機交換機，能夠支持包括KVM在內的多種主流虛擬化技術，同時可支持多個物理機環境的分布式部署環境[3]。

2 基于私有云的實驗平臺設計目標

現有平臺普遍存在靈活性不足，可擴展性較差的缺點。本平臺基于云計算平臺構建，能伴隨用戶需求和規模的擴大快速調整，其總體目標如下：

（1）服務高校信息安全相關課程教學為首要設計目標，設計應從高校需求出發，完成角色和功能設計，系統的可用性和操作便捷性需要在設計全過程予以體現。

（2）基于OpenStack實現私有云平臺搭建，提高資源利用率，增強使用安全性，為上層應用提供可管理、易擴充、接口標準的統一資源平臺。

（3）根據高校用戶實際需求，區分用戶角色，賦予資源訪問權限，改善平臺管理方式，提高管理效率和資源利用率。

（4）根據實驗需求，明確操作流程間依附關系，提高系統易用性和使用流暢度。解決在線實驗平臺使用過程中容易遇到的資源調用沖突，穩定性不足的問題。

（5）整個平臺應以虛擬化技術為核心構建實驗場景，根據虛擬化技術的特點，設定實驗流程和用戶對虛擬機的調用權限，在使用便捷性和資源利用率上找到平衡點是關鍵。

3 實驗平臺總體設計

本平臺設計遵循軟件開發模塊化及獨立性的設計思路，整個信息安全實驗平臺從層次角度可分為硬件層、虛擬化層、管理層、服務層、應用層。硬件層主要包括物理服務器、存儲設備、硬件交換機、硬件WAF、硬件防火墻等；虛擬化層主要包括基于OpenStack平臺的虛擬化技術KVM和網絡虛擬化技術OpenvSwitch；管理層主要包括KVM虛擬機的管理工具Libvirt和SDN控制器Floodlight；服務層就是平臺提供的服務，主要有Connections、虛擬主機、主機拓撲、存儲池、網絡池和SDN controller；應用層主要包括用戶管理、主機管理、虛擬機管理、實驗管理、存儲管理、網絡管理和課程管理等。

3.1 虛擬化層設計

本系統使用OpenStack搭建私有云平臺，并在私有云基礎上部署虛擬化層應用，為用戶提供完善便利、擴展性強的基于虛擬化技術的信息安全實驗平臺，主要使用其核心組件中的計算組件Nova、鏡像服務Glance、身份服務Keystone、網絡&地址管理Neutron、塊存儲Cinder、部署編Heat實現私有云搭建。具體到虛擬化技術選擇，利用KVM的實時遷移、界面管理、虛擬機克隆及快照支持等功能，實現對虛擬機的CPU、內存等進行在線擴容。使用Libvirt進行虛擬機監控，完成API請求，管理虛擬機。

3.2 網絡層設計

本平臺使用運行在KVM虛擬化平臺上的虛擬交換機OpenvSwitch，為動態變化的端點提供2層交換功能，并通過基于Apache協議的Floodlight管理虛擬交換機，使用OpenFlow作為控制器。一方面，OpenFlow控制器可以通過OpenFlow協議連接到任何支持OpenFlow的交換機，控制器通過和交換機交換流表規則來控制數據流向；另一方面，OpenFlow控制器向用戶提供界面或者接口，用戶可以通過界面對網絡架構進行動態的修改，修改交換機的流表規則等。

3.3 應用層設計

系統整體需實現用戶管理、物理機管理、虛擬機管理、存儲管理、網絡管理、實驗拓撲管理、實驗場景管理、學習任務管理、模式設置、日志管理等功能。根據高校實際情況，用戶分為管理員、科研員、教員、學員四種用戶角色。管理員擁有本實驗平臺的最高權限，用戶添加和角色設定乃至權限分配由管理員統一設置；科研員是實驗場景開發的主體，通過場景管理權限創建實驗場景，提交至管理員審核，只有審核通過的實驗場景，才能被其他用戶使用；教員通過設置學習任務，供學員學習并對學習情況進行監督；學員具體完成實驗項目，進行信息安全知識的學習，具有實驗項目的點評權限。

4 實驗平臺設計創新點

整個設計較好地滿足了高校教學實際需求，可以根據學員反饋和教學需求靈活擴展實驗資源，充分滿足了設計目標要求的靈活性、可擴展性、經濟性、隔離性、高可用性的要求，具有廣泛的應用前景。總體來說，本設計的創新點主要包含如下幾個方面：

（1）基于OpenStack構建私有云平臺，可以靈活增加服務節點，實現計算性能、存儲性能、存儲容量的線性提升，而且其構建方式可實現分布式運算和存儲分配，實現平臺構建的經濟性、高可用性、高效性、靈活性。

（2）基于虛擬化技術，利用開源安全系統IOS生成虛擬機配合虛擬網絡構建實驗場景，可滿足各種信息安全實驗場景構建需求，具有高度的實驗靈活性和用戶隔離性。

（3）基于高校需求將實驗平臺管理權、實驗場景創建權、學習任務設定權、實驗使用及評價權，分別賦予管理員、科研員、教員、學員4個角色，規范了實驗流程并實現了平臺資源高效管理，實現了實驗平臺的易用性和穩定性要求。

5 結束語

綜上所述，本文所提出的基于OpenStack構建私有云計算平臺，結合虛擬化技術構建信息安全實驗平臺的設計思路。其一，可以實現底層分布式硬件資源池建設，滿足信息安全實驗平臺的高擴展性要求；其二，鑒于平臺中大部分實驗項目都基于虛擬機構建，采用KVM作為實驗平臺的虛擬化技術支撐，結合OpenSwith和Libvirt實現虛擬機管理和實驗拓撲構建；其三，功能設計上重點體現高校實際教學需求。

層次化的設計思路使得該實驗平臺具有高可控性和高可擴展性，便于開設一些高水平的實驗，可使教師和學生及時跟蹤當前技術的最新發展，提高教學質量，能最大限度地滿足信息安全類課程的實驗教學需求。

[1]廉龍穎，王希斌，劉文強等.基于OpenStack的網絡安全實驗平臺[J].教學研究，2015.

[2]秦學東，陳大慶，崔曉松.基于開源虛擬化的高可用服務器架構[J].現代圖書情報技術, 2011．

[3]徐重峰.基于OpenFlow的光網絡QoS機制研究[D].北京郵電大學，2015．

青島工學院2016年度董事長科研資助基金（課題編號：2016KY015；課題名稱：基于SDN技術的信息安全實驗平臺研究）。