終端安全接入數據中心方法研究

◆許光濘 崔 雋 何錫點 徐鑫朋 袁 銘

終端安全接入數據中心方法研究

◆許光濘1崔 雋2何錫點2徐鑫朋1袁 銘1

(1.中國電子科技集團公司第三十二研究所 上海 201808； 2.中國電子科技集團公司第二十八研究所 江蘇 210007)

數據中心是一個大規模、開放式的網絡系統，應用環境也比較復雜。本文針對終端接入數據中心的安全問題，根據不同的終端類型，從傳輸通道安全、接入終端自身安全、用戶認證三方面分析了安全解決方案和實現途徑。最后，提出了終端安全接入數據中心的實現框架，覆蓋終端安全接入數據中心的全過程。

數據中心；安全接入；終端；認證服務；訪問控制

0 引言

隨著互聯網技術的進一步發展，信息化技術越來越普及，企業建立的信息系統越來越多。數據中心作為信息系統的中心，則為信息系統提供了穩定、可靠的基礎設施和運行環境，并保證可以方便地維護和管理信息系統。數據中心經過近二十年時間的建設與發展，目前已經深入到各個大中型企業的內部，基本上每個大中型企業都已經建立了自己的數據中心，企業的所有信息系統基本上都在數據中心運行。數據中心技術的發展在方便使用信息系統的同時，也帶來了各種各樣的安全隱患[1]。企業對信息系統的依賴性越大，意味著這些安全問題的風險也越大。數據中心的安全接入和訪問作為保障數據中心安全[2-4]的一部分，得到越來越多的企業重視，國內外對數據中心的安全接入和訪問方法的研究較多[5-7]。

本文的主要研究內容為：在數據中心云計算環境下，構建用戶接入訪問云數據中心的安全解決方案。用戶安全接入訪問云數據中心的方案主要分為傳輸通道安全、接入終端安全和用戶安全認證三個部分。

1 傳輸通道安全

傳輸通道的安全，一般是通過虛擬專用網（VPN）來實現的。VPN有很多種，每種都能滿足不同的特定需求。目前使用最廣泛的最流行的兩種VPN方式為IPsec VPN和SSL VPN。IPSec VPN作為點對點連接方案，可以提供網與網之間的連接，是提供站點到站點連接的首要工具。IPSec VPN工作在第三層，一般部署在網絡網關處，幾乎可以為所有的應用提供服務，包括客戶端/服務器模式和某些傳統的應用及網絡共享等。SSL VPN內嵌在瀏覽器中，具有免客戶端、免安裝、免維護、跨平臺等特性，被越來越多的用戶所使用。SSL VPN工作在網絡層和應用層之間，它一般部署在內網中任一節點處即可，提供了數據私密性、端點驗證、信息完整性等特性，可以隨時根據需要，添加需要VPN保護的服務器，無需影響原有網絡結構。

與IPSec VPN只搭建虛擬傳輸網絡不同的是，SSL VPN重點在于保護具體的敏感數據，可以根據用戶的不同身份，給予不同的訪問權限。而且在結合身份認證的基礎上，還可以對訪問人員的每個訪問、每個操作進行數字簽名，保證每筆數據的不可抵賴性和不可否認性，為事后追蹤提供了依據。SSL VPN在訪問控制方面比IPSec VPN具有更細粒度，可以對接入客戶進行各種限制，如可以訪問的地址、端口、URL等。

2 接入終端安全

終端接入數據中心訪問信息時，其自身的安全也非常重要。一個自身帶有木馬病毒、網絡訪問攻擊的終端，對數據中心的安全威脅巨大，甚至會使數據中心癱瘓。接入終端安全管理的目的是盡可能地選用相應的技術和產品，以組合的方式，保證接入終端是安全可信的終端。目前國內外的一些網絡安全公司，例如Symantec、衛士通、北信源等都有一套相對比較完善的解決方案或產品。

接入云數據中心的終端安全主要考慮終端安全綜合防護管理、終端準入控制、終端行為控制、終端的存儲與外設管理等幾個方面的安全。

2.1 終端安全綜合防護管理

隨著信息化網絡的發展，移動辦公越來越流行，接入云數據中心的終端既有內網的終端，也有外網的各類便攜筆記本和智能終端。實現“零病毒”、“零威脅”是內網終端信息安全防護的最終目標，確保內網終端始終處于安全的信息工作環境。而對于可以在外部網絡中可使用的移動終端，在安全防護和使用的便捷需求上和內網終端是不一樣的，因此在防護等級上要做到安全防護和使用便利性的平衡，同時由于外網終端可以連接互聯網，因此對網絡攻擊的防護是外網終端防護的必要要求。

對于接入云數據中心的終端需要部署最新的殺毒軟件，主動防御新的惡意軟件和木馬病毒。不定期地對接入終端進行安全加固和漏洞掃描，包括補丁安裝、口令強度等，通過漏洞阻截技術阻斷未知惡意行為程序的運行，增強接入終端自身的安全性。通過確保每個終端設備都符合企業安全策略(例如運行最相關的、最先進的安全保護措施)，企業可大幅度減少甚至是消除作為常見感染源或危害網絡的終端設備的數量。

2.2 終端準入控制

終端準入控制的核心思想在于屏蔽一切不安全的設備和人員接入網絡，或者規范用戶接入網絡的行為，從而鏟除網絡威脅的源頭，避免事后處理的高額成本。一般是利用網絡訪問準入控制（NAC）解決方案實現對終端的全面主機完整性的檢測，所有網絡終端在接入數據中心的時候都要判斷其終端是否完全滿足數據中心制定的終端安全策略，如果終端上有任何的安全上的不滿足，比如防病毒軟件未安裝、防病毒庫沒有更新、防火墻沒有開、系統保護應用沒有啟用等都將阻止這類終端進入數據中心網絡，保證了數據中心的安全建設效果，加強了數據中心的防護能力。

NAC主要包括以下功能：

（1）在線主機監測：系統可以通過監聽和主動探測等方式檢測網絡中所有在線的主機，并判別在線主機是否為經過系統授權認證的信任主機。

（2）主機授權認證：系統可以通過在線主機是否安裝客戶端程序，并結合客戶端報告的主機補丁安裝情況，防病毒軟件安裝和運行情況等信息，進行網絡授權認證，只允許通過授權認證的主機使用網絡資源。

（3）非法主機網絡阻斷：對于探測到的非法主機，系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響，無法對網絡進行攻擊或試圖竊密。

（4）IP和MAC綁定管理：系統可以將終端計算機的IP地址和MAC地址進行綁定，禁止用戶修改自身的IP地址，并在用戶試圖更改IP地址時，產生相應的報警信息。

（5）網關設備聯動：遵循CSC關聯安全標準，可以同防火墻/網閘/UTM等網關設備聯動，共同防止非法計算機接入到內部網絡中。對于非法接入的計算機，系統可以通知防火墻/網閘/UTM等阻斷其網絡訪問行為。

通過運行NAC，只要終端設備試圖連接網絡，網絡訪問設備(LAN、WAN、無線或遠程訪問設備)都將自動申請已安裝的客戶端或評估工具提供終端設備的安全資料。隨后將這些資料信息與網絡安全策略進行比較，并根據設備對這個策略的符合水平來決定如何處理網絡訪問請求。網絡可以簡單地準許或拒絕訪問，也可通過將設備重新定向到某個網段來限制網絡訪問。

2.3 終端行為控制

在進行數據中心網絡安全體系建設時，除了要考慮防火墻、殺病毒、入侵檢測，甚至身份認證等系統來解決有關外部黑客入侵、病毒困擾時，也要同時考慮來自內部網絡的可信環境下的非授權網絡行為和授權濫用行為。

終端行為控制可以監控終端計算機網絡接口的連接狀態和終端計算機的網絡流量情況，對于在單位時間內超出流量閾值的終端計算機，系統可以自動對其采取網絡阻斷等限制措施，防止其過度占用網絡帶寬。終端行為控制具體包括：詳細記錄終端使用文件的使用操作、應用程序使用情況、瀏覽網站情況等。對終端用戶的行為進行記錄和審計可幫助進行事后追查，能對用戶行為進行更多了解，可以快速定位事故源頭，及時解決問題。

2.4 存儲與外設管理

終端的存儲與外設管理主要是對終端計算機上各種外設和接口的使用進行管理。通過相應的安全管理軟件可以禁用終端計算機的各種外設和接口，防止用戶非法使用。對于移動存儲設備的禁用，可以在禁止使用通用移動存儲設備的同時，允許使用經過認證的移動存儲設備。對終端實現存儲與外設的管理，能對數據中心的信息流向受到控制，保證信息不被隨意外泄。

3 用戶認證授權

訪問數據中心資源的用戶，必須對其用戶身份進行識別。筆記本電腦等傳統終端采用數字證書硬件Key設備實現準入，智能終端等采用域用戶名口令方式實現準入。一旦用戶設備丟失或者數字證書硬件Key遺失，管理平臺可以在第一時間禁用該數字證書硬件Key和該用戶域用戶名口令。同時，為了進一步提高系統安全性，身份認證采用多種認證方式組合認證，在數字證書或用戶名口令方式下，組合硬件特征碼認證，只有授權設備才可以進行身份識別，否則身份識別不通過。設備丟失后，硬件特征碼與數字證書和域用戶名口令的綁定關系隨即取消，用戶無法登錄。

目前數據中心的用戶身份認證基本都是采用多因子身份認證：本地認證、第三方認證、動態認證、混合認證等。本地認證支持用戶名口令認證、自建CA認證等；第三方認證支持第三方CA認證、Radius、LDAP、Microsoft AD等認證，便于結合現有業務證書對用戶實現統一管理；動態認證支持短信認證、USBKey認證、動態令牌認證、終端硬件特征碼認證等；混合認證支持上述多種認證方式自由組合，實現針對不同用戶的差異化多因子身份認證模式。

4 終端安全接入數據中心框架

終端安全接入數據中心的框架如下圖所示：

圖1 終端安全接入框架

整個終端安全接入方案框架主要由安全接入服務器、終端管理服務器和安全組代理服務器構成。終端管理服務器主要完成終端信息的錄入、終端與用戶的綁定、用戶接入的許可、用戶登錄日志管理等功能。終端信息錄入后由終端管理服務將相關用戶信息和設備信息進行加密處理后，可以寫入到UsbKey中并發放給相關用戶，對于不方便插UsbKey的智能終端，則以數字證書的形式分發給智能終端用戶。

UsbKey中需要保存的信息包括CA根證書、用戶證書、設備證書及其私鑰，整個系統提供相關程序工具，該工具在用戶的設備上面進行運行，用戶填入自己的用戶名（英語或拼音）后，程序會收集用戶設備上面的網卡物理地址，結合用戶輸入的用戶ID生成按一定格式保存的用戶和設備信息文件并加密。該文件通過終端管理服務器進行解析并保存到后臺服務器中，相關信息會被相關管理程序生成用戶證書和設備證書并寫入到用戶的UsbKey中。

系統通過標準的pcks #11接口來操作UsbKey，這樣可以兼容不同廠家的UsbKey設備。在UsbKey中，用戶證書的Label就是用戶名，設備Label就是設備的MAC，這樣當客戶端運行時就可以根據用戶輸入的用戶名和客戶端自動獲取的MAC地址從UsbKey中獲取證書并傳遞到服務端進行驗證。對于智能手機、平板電腦上B/S架構的業務系統，將永久的cookie作為唯一標識；對于平板上C/S架構的業務系統，由服務器為客戶端生成一個隨機的UUID作為終端唯一標識碼；對于手機上C/S架構的業務系統，由于手機的IMEI是全球唯一的，故把手機的IMEI碼作為終端唯一標識碼。

4.1 安全接入服務器

安全接入服務器主要完成接入用戶和設備的身份信息鑒別，整個鑒別過程是，用戶插入UsbKey運行接入客戶端，用戶輸入用戶名和相關PIN碼，當PIN通過后客戶端會自動發現網卡的MAC并根據MAC從UsbKey中提取設備證書發送到服務端進行驗證，驗證過程包含了挑戰過程，服務端隨機生成一個隨機數并用設備證書的公鑰進行加密傳回到客戶端，客戶端通過UsbKey進行解密并按事先約定的算法對隨機數進行處理，處理后通過私鑰進行加密并傳回服務端，服務端通過公鑰解密后通過同樣的算法進行處理并和預期結果比較，比較通過后證書驗證通過，設備證書驗證通過后再進行用戶證書驗證，認證服務器可以從終端管理服務器獲取用戶和設備的綁定信息來判定是否合法，只有當用戶信息和設備信息都認可后打開相關安全隧道對數據進行安全轉發。當不滿足接入條件時，通過終端管理服務器提供的接口寫入相關的日志信息。安全接入服務器支持將信息發向第三方服務進行鑒別。

安全接入服務器主要完成用戶、設備身份的鑒別和建立安全的隧道，并支持基于TCP/IP的所有協議，在實現上面采用基于開源的OpenVpn進行。OpenVpn是一種基于OpenSSL的開源VPN軟件，用戶的認證是基于SSL協議，隧道的封裝基于TAP/TUN機制，OpenVpn在SSL認證通過后，在SSL的加密通道上面進行自己的密鑰協商。OpenVpn通過BIO技術獲取SSL協商過程產生的協議包并封裝成自己的協議包進行網絡傳輸，整個協商，認證過程在OpenVpn中體現為狀態機，在實現思路方面通過修改OpenVpn的狀態機機制，在SSL協商完成后和OpenVpn自己密鑰協商的過程之間插入新的狀態來實現用戶、設備的認證邏輯。

4.2 認證服務器

在安全接入方案中，認證服務器默認由安全接入服務器來擔當，也可由第三方的服務器來擔當，認證服務器和安全接入服務器通過事先定義的協議對用戶、設備信息進行傳輸和認證，并將結果返回給安全接入服務器來控制用戶的接入。

4.3 終端管理服務器

終端管理服務器負責用戶與設備信息的錄入、用戶與設備證書的生成和寫入、用戶與設備的綁定。整個終端管理服務器基于J2EE平臺進行自主開發，采用前后端分離的技術，后端采用基于SpringCloud的微服務框架提供基于HTTPS的RestFul接口提供不同的服務，終端服務管理器提供用戶信息收集工具和證書寫入工具，所有工具以APP形式提供，而設備與用戶信息輸入、設備與用戶信息綁定、日志查看則以WEB方式提供。

4.4 計算節點

計算節點根據傳入的密鑰和操作，在虛擬機運行過程中對虛擬鏡像進行動態的加、解密操作。在實現方面，通過修改KVM的虛擬磁盤驅動來實現鏡像的加、解密操作，虛擬機鏡像文件保存了虛擬機的相關代碼和數據并以文件形式保存在宿主機上面，當虛擬機啟動后，通過Intel-VT技術，虛擬機訪問磁盤時會產生相關中斷并被模擬程序捕獲，捕獲的參數包括讀取的設備號、邏輯扇區號，模擬程序通過鏡像格式說明將相關參數轉化為對文件的讀寫返回給虛擬機來完成磁盤的讀寫。

5 結束語

數據中心的信息安全事故的源頭主要集中在用戶終端，因此終端安全接入數據中心的方案，必然是一個端到端的安全體系架構，保證接入數據中心的終端和網絡鏈路是安全、可信的。本文根據接入數據中心的不同終端類型，從傳輸通道安全、接入終端自身安全、用戶認證三方面分析了安全解決方案和實現途徑。最后，提出了終端安全接入數據中心的實現框架，覆蓋終端安全接入數據中心的全過程。終端安全接入數據中心的問題，單靠一種安全技術方案并不能解決所有問題，還需要多種技術的組合，才能構成一個立體的安全體系。

[1] 孔功勝.云計算安全認證與可信接入協議研究進展[J]. 河南大學學報(自然版)，2017.

[2]李洪敏，李宇明，葛楊.虛擬化數據中心的安全設計[J].兵工自動化，2012.

[3]祝詠升，張彥，姚洪磊等.鐵路信息系統安全防護體系的研究[J].中國鐵道科學，2012.

[4]沈昌祥.云計算安全與等級保護[J].信息安全與通信保密，2012.

[5]JIVANADHAM L B，ISIAM A K M, KATAYAMA Y，et al. Cloud cognitive authenticator(CCA):a public cloud computing authentication mechanism[C].2013 International Conference on Informatics，Electronics & Vision(ICIEV)，IEEE，2013.

[6]袁慧.面向用戶準入控制的信息安全統一威脅防御管理[J].電力信息與通信技術，2013.

[7]聶元銘，董建鋒，李君怡.桌面云網絡準入控制技術研究[J].技術研究，2013.