基于數(shù)據(jù)加密技術(shù)的海外數(shù)據(jù)中心拓撲架構(gòu)設(shè)計

陳紅鵬， 樊增輝

(南方電網(wǎng)國際有限責(zé)任公司， 廣東, 廣州 510530)

0 引言

目前，現(xiàn)有技術(shù)缺乏建設(shè)標(biāo)準(zhǔn)統(tǒng)一的數(shù)據(jù)共享服務(wù)平臺和互聯(lián)互通的網(wǎng)絡(luò)服務(wù)平臺，維護量少、可用性低、安全性欠缺。針對該技術(shù)缺陷，文獻[1] 采用選擇性數(shù)據(jù)加密算法(SDEA)對不同的隱私分類方法選擇性地加密，通過該技術(shù)方案的實施，用戶能夠在實際應(yīng)用最少的執(zhí)行時間要求內(nèi)，通過選擇性數(shù)據(jù)加密算法對大數(shù)據(jù)的隱私性最大程度地加密，提高了數(shù)據(jù)加密能力，但對于海外數(shù)據(jù)傳遞，該技術(shù)的加密能力較弱。文獻[2] 在DES加密計算的基礎(chǔ)上，利用了Feistel網(wǎng)絡(luò)加密算法模型，將二者有機融合的主要目的是將DES加密算法中的56位密鑰進行擴展，最后得出128位密鑰，再將輸出后的秘鑰分割成4輪，采用32位密鑰改造算法對各輪密鑰實施處理，最終輸出子密鑰，然后又對各輪中的32位明文和子密鑰進行異或運算，實現(xiàn)了最終數(shù)據(jù)的加密和計算，這種方法大大提高了數(shù)據(jù)加密能力，但對于海外復(fù)雜數(shù)據(jù)傳輸，仍舊存在一些不足。

針對上述技術(shù)的不足，本研究構(gòu)建了新型的海外數(shù)據(jù)中心拓撲架構(gòu)，通過改進型加密技術(shù)，提高了海外數(shù)據(jù)中心拓撲架構(gòu)的應(yīng)用效率。

1 海外數(shù)據(jù)中心拓撲架構(gòu)設(shè)計

針對上述技術(shù)的不足，本研究結(jié)合信息化建設(shè)，以提升方案為基礎(chǔ)，構(gòu)建了具體的實施路徑和安全防護措施，該技術(shù)還借鑒國內(nèi)央企駐外單位數(shù)據(jù)中心建設(shè)經(jīng)驗，明確海外數(shù)據(jù)中心的建設(shè)內(nèi)容和安全防護的具體措施。

圖1為海外數(shù)據(jù)中心拓撲架構(gòu)示意圖。

圖1 海外數(shù)據(jù)中心拓撲架構(gòu)示意圖

在數(shù)據(jù)中心拓撲結(jié)構(gòu)圖中，充分考慮系統(tǒng)整體性，對可能出現(xiàn)的突發(fā)事件編制應(yīng)急處理方案，確保系統(tǒng)安全有序運行。按照“先遷移部署，后統(tǒng)一建設(shè)”的思路，將駐外單位的業(yè)務(wù)系統(tǒng)遷移至海外數(shù)據(jù)中心進行集中管理，實現(xiàn)系統(tǒng)集中部署、網(wǎng)絡(luò)集中管控、流程集中統(tǒng)一、人員集中管理[3]。

海外數(shù)據(jù)中心的建設(shè)以某電網(wǎng)的數(shù)據(jù)中心為主體，在香港建設(shè)針對境外業(yè)務(wù)的數(shù)據(jù)中心，通過打通駐外單位、香港數(shù)據(jù)中心、某電網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)流轉(zhuǎn)通道，支撐駐外單位信息化需求。承載的業(yè)務(wù)主體如表1所示。

表1 主要承載業(yè)務(wù)內(nèi)容示意表

2 關(guān)鍵技術(shù)設(shè)計

海外數(shù)據(jù)中心拓撲架構(gòu)中，數(shù)據(jù)管理中心是重要的一環(huán)。本研究的技術(shù)優(yōu)勢在于：

(1) 構(gòu)建了包括公網(wǎng)應(yīng)用模塊、防火墻子網(wǎng)層、數(shù)據(jù)通信層和數(shù)據(jù)監(jiān)控層的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)[4]，該架構(gòu)通過與多個數(shù)據(jù)管理服務(wù)器進行數(shù)據(jù)通信，提高了遠程數(shù)據(jù)交互能力；

(2) 采用了數(shù)據(jù)加密技術(shù)，設(shè)置數(shù)據(jù)安全組，提高了數(shù)據(jù)應(yīng)用的安全性能，避免受外界不安全因素的干擾。

2.1 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計

基于上述數(shù)據(jù)信息，本研究設(shè)計的新型數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)內(nèi)設(shè)置有堡壘機、VPN服務(wù)器和云防火墻總墻等。堡壘機與VPN服務(wù)器暴露在公網(wǎng)，通過白名單設(shè)置只允許特定IP訪問，拒絕其他任何IP。云防火墻篩選來自公網(wǎng)的惡意流量，對堡壘機與VPN服務(wù)器進行保護與出入流量監(jiān)控。VPN服務(wù)器與數(shù)據(jù)中心內(nèi)網(wǎng)服務(wù)器之間相互通信[5]；云防火墻篩選來自堡壘機與VPN服務(wù)器的惡意流量，并對進入內(nèi)網(wǎng)的流量進行監(jiān)控。

在VPN服務(wù)器外部還設(shè)置有云防火墻子墻，通過虛擬專有網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)信息通信。每個虛擬專有網(wǎng)絡(luò)都有一個獨立的隧道號[6]，一個隧道號對應(yīng)著一個虛擬化網(wǎng)絡(luò)。專有網(wǎng)絡(luò)之間通過隧道ID進行隔離，專有網(wǎng)絡(luò)內(nèi)部由于交換機和路由器的存在，可以像傳統(tǒng)網(wǎng)絡(luò)環(huán)境一樣劃分子網(wǎng)，每一個子網(wǎng)內(nèi)部的不同云服務(wù)器使用同一個交換機互聯(lián)，不同子網(wǎng)間使用路由器互聯(lián)。不同專有網(wǎng)絡(luò)之間內(nèi)部網(wǎng)絡(luò)完全隔離，可以通過對外映射的IP互連。本研究還采用隧道封裝技術(shù)對云服務(wù)器的IP報文進行封裝，云服務(wù)器的數(shù)據(jù)鏈路層(二層MAC地址)信息不會進入物理網(wǎng)絡(luò)，實現(xiàn)了不同云服務(wù)器間二層網(wǎng)絡(luò)隔離，因此也實現(xiàn)了不同專有網(wǎng)絡(luò)間二層網(wǎng)絡(luò)隔離。專有網(wǎng)絡(luò)內(nèi)的服務(wù)器使用安全組防火墻進行三層網(wǎng)絡(luò)訪問控制，通過采用數(shù)據(jù)加密計算提高了數(shù)據(jù)防護能力。

通過數(shù)據(jù)通信后，數(shù)據(jù)信息經(jīng)過虛擬路由器、虛擬交換機進入應(yīng)用系統(tǒng)集群，VPN認證成功的用戶可訪問應(yīng)用系統(tǒng)。堡壘機可以遠程應(yīng)用服務(wù)器，堡壘機對遠程用戶系統(tǒng)操作進行審計管理，對連接主機用戶做安全認證。云監(jiān)控agent調(diào)用主機進程將CPU、內(nèi)存、磁盤IO[7]、網(wǎng)絡(luò)等參數(shù)通過云控制臺可視化界面呈現(xiàn)。數(shù)據(jù)回傳給客戶端，訪問內(nèi)網(wǎng)系統(tǒng)的客戶端或者遠程主機的客戶端。通過上述方式，實現(xiàn)了數(shù)據(jù)的交互和管理。

2.2 數(shù)據(jù)加密計算方法

本研究采用改進型混沌密碼模型算法實現(xiàn)數(shù)據(jù)加密計算[8]，該加密模型示意圖如圖2所示。

在混沌密碼模型算法中，融合改進型MD5算法，提高海外數(shù)據(jù)信息在傳遞過程中的安全能力，通過融入密文實現(xiàn)數(shù)字化加密，并通過數(shù)字簽名后，通過混沌密碼模型算法進行二次加密，提高了大數(shù)據(jù)傳遞和交互能力。在應(yīng)用混沌密碼模型算法時，需要設(shè)計混沌密碼，MD5算法數(shù)據(jù)輸出[9]需要明確大數(shù)據(jù)連續(xù)混沌序列離散化的程度，以及選擇密鑰參數(shù)的精度，步驟如下。

(1) 選取改進型混沌密碼模型算法的密鑰參數(shù)。數(shù)據(jù)中心的海外傳遞數(shù)據(jù)先通過Blowfish加密算法輸出秘鑰，此時的秘鑰為公文密文，再通過Blowfish加密算法[10]將接收到的海外加密數(shù)據(jù)輸入到RSA加密算法模型，通過設(shè)置公鑰實現(xiàn)數(shù)據(jù)加密，最后再通過MD5算法輸出海外數(shù)據(jù)的數(shù)字簽名，這種方法已經(jīng)具有很大安全性。為了進一步提高數(shù)據(jù)加密能力，再次采用超混沌系統(tǒng)進行二次加密。

(2) 設(shè)置混沌密碼模型算法的數(shù)據(jù)參數(shù)。將混沌系統(tǒng)置于超混沌態(tài)，并設(shè)置超混沌系統(tǒng)運行過程中的各項數(shù)據(jù)參數(shù)，選取超混沌系統(tǒng)能夠正常工作的8個以上的初始值，以確保具有足夠多的加密空間。

(3) 加密計算。改進型MD5算法模型輸出數(shù)據(jù)信息之后，將該數(shù)據(jù)信息通過Hash值轉(zhuǎn)換模塊實現(xiàn)數(shù)值轉(zhuǎn)換，首先進行混沌序列預(yù)處理，然后將混沌系統(tǒng)輸出數(shù)據(jù)置于離散化狀態(tài)，這種方法通過四階Runge-Kutta法實現(xiàn)。對迭代序列值按一定的規(guī)律進行取舍，保留精華部分，通常前100個值被放棄，這樣能夠提高混沌序列生成的隨機性，隨機性越高，加密能力越強，海外中心數(shù)據(jù)信息越不容易受到外界的侵襲。這樣混沌序列就實現(xiàn)了數(shù)據(jù)加急，對于輸入的字節(jié)，通過式(1)表示：

(1)

式中，mod表示取模運算，i=1,2，…,n, 其中的[]為序列以下數(shù)據(jù)的取整計算，通過混沌計算后，可以輸出px(k)，py(k)，pz(k)，pw(k)等多個介于[0,256]的不同海外數(shù)據(jù)混沌序列。

(4) 通過超混沌系統(tǒng)進行加密數(shù)據(jù)信息的混淆計算。超混沌系統(tǒng)在工作過程中，其輸出的隨機變量以及數(shù)據(jù)狀態(tài)量很容易以一定的數(shù)據(jù)關(guān)系存在，數(shù)據(jù)之間的關(guān)聯(lián)能力是在數(shù)據(jù)傳輸過程中是否具有攻破能力的指標(biāo)之一。在遇到數(shù)據(jù)攻擊時，這些關(guān)聯(lián)能力一旦被掌握，海外數(shù)據(jù)在傳遞過程中的攻破規(guī)律也被容易識破。為了避免這一現(xiàn)象，通過混淆處理算法模型解決，如式(2)：

(2)

式中，⊕表示異或運算的標(biāo)識，pi(k),i=1,2,3,4表示經(jīng)過式(1)計算后和經(jīng)過改進型MD5算法加密后的超混沌序列。通過式(2)的計算，不同序列之間的規(guī)律或者關(guān)聯(lián)性被混淆，提高了數(shù)據(jù)加密能力。

(5) 模塊化劃分。將超混沌序列分別分組，再每個小組中實現(xiàn)數(shù)據(jù)加密，分別對輸出的px(k)，py(k)，pz(k)，pw(k)等不同的數(shù)據(jù)序列進行加密，通過字節(jié)分組的方式，實現(xiàn)分步加密，假設(shè)將4個序列劃分為一組，則加密公式可以為

(3)

式中，M表示待加密計算的海外數(shù)據(jù)中心輸出的數(shù)據(jù)明文信息，C表示通過改進型超混沌系統(tǒng)計算后，最終實現(xiàn)數(shù)據(jù)分組、序列加密之后輸出的密文系列。通過這種方式實現(xiàn)數(shù)據(jù)傳遞過程中的加密。

(6) 通過加密協(xié)議實現(xiàn)數(shù)據(jù)輸出，設(shè)置虛擬專有網(wǎng)絡(luò)，每個虛擬專有網(wǎng)絡(luò)都有一個獨立的隧道號，一個隧道號對應(yīng)著一個虛擬化網(wǎng)絡(luò)。專有網(wǎng)絡(luò)之間通過隧道ID進行隔離，專有網(wǎng)絡(luò)內(nèi)部由于交換機和路由器的存在，可以像傳統(tǒng)網(wǎng)絡(luò)環(huán)境一樣劃分子網(wǎng)，每一個子網(wǎng)內(nèi)部的不同云服務(wù)器使用同一個交換機互聯(lián)，不同子網(wǎng)間使用路由器互聯(lián)。不同專有網(wǎng)絡(luò)之間內(nèi)部網(wǎng)絡(luò)完全隔離，可以通過對外映射的IP互連。本研究還使用隧道封裝技術(shù)對云服務(wù)器的IP報文進行封裝，云服務(wù)器的數(shù)據(jù)鏈路層(二層MAC地址)信息不會進入物理網(wǎng)絡(luò)，實現(xiàn)了不同云服務(wù)器間二層網(wǎng)絡(luò)隔離，因此也實現(xiàn)了不同專有網(wǎng)絡(luò)間二層網(wǎng)絡(luò)隔離。專有網(wǎng)絡(luò)內(nèi)的服務(wù)器使用安全組防火墻進行三層網(wǎng)絡(luò)訪問控制。數(shù)據(jù)通信接口處還設(shè)置了精確的控制源IP地址、源端口、目的IP地址、目的端口以及傳輸層協(xié)議。不同的協(xié)議支持限制主機端口，支持傳輸層協(xié)議限制(只允許ssh、http、icmp等)。

3 試驗結(jié)果及分析

下面對本研究的方法進行驗證，在試驗時，試驗硬件條件為Pentium(R)，其中CPU為8 G內(nèi)存，硬盤容量為160 G，軟件環(huán)境為Win XP SP2或者Win 2003 SP1，數(shù)據(jù)仿真界面為MATLAB界面。試驗時，在服務(wù)器上安裝agent，根據(jù)操作系統(tǒng)提供不同版本的agent，并在控制臺操作實現(xiàn)自動安裝。

其他試驗的硬件參數(shù)如表2所示。

表2 試驗硬件參數(shù)

通過設(shè)置秘鑰，可用的密鑰空間通過以下數(shù)據(jù)集合表示：

(4)

其中，密鑰的精度范圍在12～18之間，通過選擇雙精度的密鑰參數(shù)，數(shù)據(jù)輸出長度為432 bit。數(shù)據(jù)經(jīng)過混沌密碼模型算法和改進的AES算法處理后，輸出數(shù)據(jù)的精度為256 bit，因此，密鑰可輸出688 bit。然后對服務(wù)器人為制造入侵事件(如Webshell、惡意軟件、核心數(shù)據(jù)被加密勒索等)。

輸入的數(shù)據(jù)樣本如表3所示。

表3 試驗硬件參數(shù)

假設(shè)選擇任意一組數(shù)據(jù)信息，將加密前的數(shù)據(jù)信息通過圖3表示。

圖3 加密前數(shù)據(jù)信息示意圖

通過本研究的方法加密后的密鑰參數(shù)直方圖如圖4所示。

通過圖3、圖4可以看出，本研究的方法在加密方面具有突出的技術(shù)效果。

圖4 本研究方法加密示意圖

下面分別將DES算法模型(方案1)、DH算法模型(方案2)與本研究的方法進行比較分析。選擇10組不同的數(shù)據(jù)樣本信息，分別人為制造不同的入侵事件。對3種方法分別測試10次，消耗的時間分別如圖5所示。

在圖5中，方案1在經(jīng)過10次不同的數(shù)據(jù)樣本計算中總耗時為103 s，方案2經(jīng)過10次不同的數(shù)據(jù)樣本計算中總耗時為97 s，通過本研究的方法最終總耗時為49 s，本研究的方法加快了數(shù)據(jù)傳遞能力，因此本研究方法的數(shù)據(jù)加密能力強。

圖5 耗時對比示意圖

為了突出本研究的技術(shù)效果，下面對加密能力的具體評估方式如式(5)所示。在衡量加密能力時，通過防攻破能力來評估。假設(shè)防攻破能力為P，則有：

(5)

通過式(5)的計算，將密鑰空間數(shù)據(jù)集合繪制成如圖6所示的數(shù)據(jù)信息。

圖6 防攻破能力對比示意圖

通過圖6可以看出，在經(jīng)過8小時的試驗過程中，本研究方法的數(shù)據(jù)防攻破能力最強，說明本研究方法的加密能力強。

4 總結(jié)

海外數(shù)據(jù)中心數(shù)據(jù)在傳遞過程中，數(shù)據(jù)比較薄弱，容易出現(xiàn)數(shù)據(jù)漏洞，為解決這些問題，本文進行以下技術(shù)研究：

(1) 構(gòu)建了一套海外數(shù)據(jù)中心拓撲架構(gòu)，在境外人員、機構(gòu)、物資、項目等多種信息中，能夠動態(tài)獲取、加密以及傳遞等。

(2) 構(gòu)建了一套數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，該架構(gòu)設(shè)置了堡壘機、VPN服務(wù)器和云防火墻總墻等多種防攻破數(shù)據(jù)信息，實現(xiàn)數(shù)據(jù)安全傳遞。

(3) 構(gòu)建了一種改進型混沌密碼模型算法，通過融合改進型MD5算法，極大地提高了數(shù)據(jù)加密能力。

通過試驗，發(fā)現(xiàn)本研究的方法加密能力強，加密速度快，有效地提高了數(shù)據(jù)安全性。本研究在研究過程中，基于偏度的限制，不可避免地會存在一些考慮不足之處，這需要進一步地研究。