终端安全接入数据中心方法研究

◆许光泞 崔 隽 何锡点 徐鑫朋 袁 铭

终端安全接入数据中心方法研究

◆许光泞1崔 隽2何锡点2徐鑫朋1袁 铭1

(1.中国电子科技集团公司第三十二研究所 上海 201808； 2.中国电子科技集团公司第二十八研究所 江苏 210007)

数据中心是一个大规模、开放式的网络系统，应用环境也比较复杂。本文针对终端接入数据中心的安全问题，根据不同的终端类型，从传输通道安全、接入终端自身安全、用户认证三方面分析了安全解决方案和实现途径。最后，提出了终端安全接入数据中心的实现框架，覆盖终端安全接入数据中心的全过程。

数据中心；安全接入；终端；认证服务；访问控制

0 引言

随着互联网技术的进一步发展，信息化技术越来越普及，企业建立的信息系统越来越多。数据中心作为信息系统的中心，则为信息系统提供了稳定、可靠的基础设施和运行环境，并保证可以方便地维护和管理信息系统。数据中心经过近二十年时间的建设与发展，目前已经深入到各个大中型企业的内部，基本上每个大中型企业都已经建立了自己的数据中心，企业的所有信息系统基本上都在数据中心运行。数据中心技术的发展在方便使用信息系统的同时，也带来了各种各样的安全隐患[1]。企业对信息系统的依赖性越大，意味着这些安全问题的风险也越大。数据中心的安全接入和访问作为保障数据中心安全[2-4]的一部分，得到越来越多的企业重视，国内外对数据中心的安全接入和访问方法的研究较多[5-7]。

本文的主要研究内容为：在数据中心云计算环境下，构建用户接入访问云数据中心的安全解决方案。用户安全接入访问云数据中心的方案主要分为传输通道安全、接入终端安全和用户安全认证三个部分。

1 传输通道安全

传输通道的安全，一般是通过虚拟专用网（VPN）来实现的。VPN有很多种，每种都能满足不同的特定需求。目前使用最广泛的最流行的两种VPN方式为IPsec VPN和SSL VPN。IPSec VPN作为点对点连接方案，可以提供网与网之间的连接，是提供站点到站点连接的首要工具。IPSec VPN工作在第三层，一般部署在网络网关处，几乎可以为所有的应用提供服务，包括客户端/服务器模式和某些传统的应用及网络共享等。SSL VPN内嵌在浏览器中，具有免客户端、免安装、免维护、跨平台等特性，被越来越多的用户所使用。SSL VPN工作在网络层和应用层之间，它一般部署在内网中任一节点处即可，提供了数据私密性、端点验证、信息完整性等特性，可以随时根据需要，添加需要VPN保护的服务器，无需影响原有网络结构。

与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，可以根据用户的不同身份，给予不同的访问权限。而且在结合身份认证的基础上，还可以对访问人员的每个访问、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。SSL VPN在访问控制方面比IPSec VPN具有更细粒度，可以对接入客户进行各种限制，如可以访问的地址、端口、URL等。

2 接入终端安全

终端接入数据中心访问信息时，其自身的安全也非常重要。一个自身带有木马病毒、网络访问攻击的终端，对数据中心的安全威胁巨大，甚至会使数据中心瘫痪。接入终端安全管理的目的是尽可能地选用相应的技术和产品，以组合的方式，保证接入终端是安全可信的终端。目前国内外的一些网络安全公司，例如Symantec、卫士通、北信源等都有一套相对比较完善的解决方案或产品。

接入云数据中心的终端安全主要考虑终端安全综合防护管理、终端准入控制、终端行为控制、终端的存储与外设管理等几个方面的安全。

2.1 终端安全综合防护管理

随着信息化网络的发展，移动办公越来越流行，接入云数据中心的终端既有内网的终端，也有外网的各类便携笔记本和智能终端。实现“零病毒”、“零威胁”是内网终端信息安全防护的最终目标，确保内网终端始终处于安全的信息工作环境。而对于可以在外部网络中可使用的移动终端，在安全防护和使用的便捷需求上和内网终端是不一样的，因此在防护等级上要做到安全防护和使用便利性的平衡，同时由于外网终端可以连接互联网，因此对网络攻击的防护是外网终端防护的必要要求。

对于接入云数据中心的终端需要部署最新的杀毒软件，主动防御新的恶意软件和木马病毒。不定期地对接入终端进行安全加固和漏洞扫描，包括补丁安装、口令强度等，通过漏洞阻截技术阻断未知恶意行为程序的运行，增强接入终端自身的安全性。通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施)，企业可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。

2.2 终端准入控制

终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。一般是利用网络访问准入控制（NAC）解决方案实现对终端的全面主机完整性的检测，所有网络终端在接入数据中心的时候都要判断其终端是否完全满足数据中心制定的终端安全策略，如果终端上有任何的安全上的不满足，比如防病毒软件未安装、防病毒库没有更新、防火墙没有开、系统保护应用没有启用等都将阻止这类终端进入数据中心网络，保证了数据中心的安全建设效果，加强了数据中心的防护能力。

NAC主要包括以下功能：

（1）在线主机监测：系统可以通过监听和主动探测等方式检测网络中所有在线的主机，并判别在线主机是否为经过系统授权认证的信任主机。

（2）主机授权认证：系统可以通过在线主机是否安装客户端程序，并结合客户端报告的主机补丁安装情况，防病毒软件安装和运行情况等信息，进行网络授权认证，只允许通过授权认证的主机使用网络资源。

（3）非法主机网络阻断：对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法对网络进行攻击或试图窃密。

（4）IP和MAC绑定管理：系统可以将终端计算机的IP地址和MAC地址进行绑定，禁止用户修改自身的IP地址，并在用户试图更改IP地址时，产生相应的报警信息。

（5）网关设备联动：遵循CSC关联安全标准，可以同防火墙/网闸/UTM等网关设备联动，共同防止非法计算机接入到内部网络中。对于非法接入的计算机，系统可以通知防火墙/网闸/UTM等阻断其网络访问行为。

通过运行NAC，只要终端设备试图连接网络，网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问。

2.3 终端行为控制

在进行数据中心网络安全体系建设时，除了要考虑防火墙、杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为。

终端行为控制可以监控终端计算机网络接口的连接状态和终端计算机的网络流量情况，对于在单位时间内超出流量阈值的终端计算机，系统可以自动对其采取网络阻断等限制措施，防止其过度占用网络带宽。终端行为控制具体包括：详细记录终端使用文件的使用操作、应用程序使用情况、浏览网站情况等。对终端用户的行为进行记录和审计可帮助进行事后追查，能对用户行为进行更多了解，可以快速定位事故源头，及时解决问题。

2.4 存储与外设管理

终端的存储与外设管理主要是对终端计算机上各种外设和接口的使用进行管理。通过相应的安全管理软件可以禁用终端计算机的各种外设和接口，防止用户非法使用。对于移动存储设备的禁用，可以在禁止使用通用移动存储设备的同时，允许使用经过认证的移动存储设备。对终端实现存储与外设的管理，能对数据中心的信息流向受到控制，保证信息不被随意外泄。

3 用户认证授权

访问数据中心资源的用户，必须对其用户身份进行识别。笔记本电脑等传统终端采用数字证书硬件Key设备实现准入，智能终端等采用域用户名口令方式实现准入。一旦用户设备丢失或者数字证书硬件Key遗失，管理平台可以在第一时间禁用该数字证书硬件Key和该用户域用户名口令。同时，为了进一步提高系统安全性，身份认证采用多种认证方式组合认证，在数字证书或用户名口令方式下，组合硬件特征码认证，只有授权设备才可以进行身份识别，否则身份识别不通过。设备丢失后，硬件特征码与数字证书和域用户名口令的绑定关系随即取消，用户无法登录。

目前数据中心的用户身份认证基本都是采用多因子身份认证：本地认证、第三方认证、动态认证、混合认证等。本地认证支持用户名口令认证、自建CA认证等；第三方认证支持第三方CA认证、Radius、LDAP、Microsoft AD等认证，便于结合现有业务证书对用户实现统一管理；动态认证支持短信认证、USBKey认证、动态令牌认证、终端硬件特征码认证等；混合认证支持上述多种认证方式自由组合，实现针对不同用户的差异化多因子身份认证模式。

4 终端安全接入数据中心框架

终端安全接入数据中心的框架如下图所示：

图1 终端安全接入框架

整个终端安全接入方案框架主要由安全接入服务器、终端管理服务器和安全组代理服务器构成。终端管理服务器主要完成终端信息的录入、终端与用户的绑定、用户接入的许可、用户登录日志管理等功能。终端信息录入后由终端管理服务将相关用户信息和设备信息进行加密处理后，可以写入到UsbKey中并发放给相关用户，对于不方便插UsbKey的智能终端，则以数字证书的形式分发给智能终端用户。

UsbKey中需要保存的信息包括CA根证书、用户证书、设备证书及其私钥，整个系统提供相关程序工具，该工具在用户的设备上面进行运行，用户填入自己的用户名（英语或拼音）后，程序会收集用户设备上面的网卡物理地址，结合用户输入的用户ID生成按一定格式保存的用户和设备信息文件并加密。该文件通过终端管理服务器进行解析并保存到后台服务器中，相关信息会被相关管理程序生成用户证书和设备证书并写入到用户的UsbKey中。

系统通过标准的pcks #11接口来操作UsbKey，这样可以兼容不同厂家的UsbKey设备。在UsbKey中，用户证书的Label就是用户名，设备Label就是设备的MAC，这样当客户端运行时就可以根据用户输入的用户名和客户端自动获取的MAC地址从UsbKey中获取证书并传递到服务端进行验证。对于智能手机、平板电脑上B/S架构的业务系统，将永久的cookie作为唯一标识；对于平板上C/S架构的业务系统，由服务器为客户端生成一个随机的UUID作为终端唯一标识码；对于手机上C/S架构的业务系统，由于手机的IMEI是全球唯一的，故把手机的IMEI码作为终端唯一标识码。

4.1 安全接入服务器

安全接入服务器主要完成接入用户和设备的身份信息鉴别，整个鉴别过程是，用户插入UsbKey运行接入客户端，用户输入用户名和相关PIN码，当PIN通过后客户端会自动发现网卡的MAC并根据MAC从UsbKey中提取设备证书发送到服务端进行验证，验证过程包含了挑战过程，服务端随机生成一个随机数并用设备证书的公钥进行加密传回到客户端，客户端通过UsbKey进行解密并按事先约定的算法对随机数进行处理，处理后通过私钥进行加密并传回服务端，服务端通过公钥解密后通过同样的算法进行处理并和预期结果比较，比较通过后证书验证通过，设备证书验证通过后再进行用户证书验证，认证服务器可以从终端管理服务器获取用户和设备的绑定信息来判定是否合法，只有当用户信息和设备信息都认可后打开相关安全隧道对数据进行安全转发。当不满足接入条件时，通过终端管理服务器提供的接口写入相关的日志信息。安全接入服务器支持将信息发向第三方服务进行鉴别。

安全接入服务器主要完成用户、设备身份的鉴别和建立安全的隧道，并支持基于TCP/IP的所有协议，在实现上面采用基于开源的OpenVpn进行。OpenVpn是一种基于OpenSSL的开源VPN软件，用户的认证是基于SSL协议，隧道的封装基于TAP/TUN机制，OpenVpn在SSL认证通过后，在SSL的加密通道上面进行自己的密钥协商。OpenVpn通过BIO技术获取SSL协商过程产生的协议包并封装成自己的协议包进行网络传输，整个协商，认证过程在OpenVpn中体现为状态机，在实现思路方面通过修改OpenVpn的状态机机制，在SSL协商完成后和OpenVpn自己密钥协商的过程之间插入新的状态来实现用户、设备的认证逻辑。

4.2 认证服务器

在安全接入方案中，认证服务器默认由安全接入服务器来担当，也可由第三方的服务器来担当，认证服务器和安全接入服务器通过事先定义的协议对用户、设备信息进行传输和认证，并将结果返回给安全接入服务器来控制用户的接入。

4.3 终端管理服务器

终端管理服务器负责用户与设备信息的录入、用户与设备证书的生成和写入、用户与设备的绑定。整个终端管理服务器基于J2EE平台进行自主开发，采用前后端分离的技术，后端采用基于SpringCloud的微服务框架提供基于HTTPS的RestFul接口提供不同的服务，终端服务管理器提供用户信息收集工具和证书写入工具，所有工具以APP形式提供，而设备与用户信息输入、设备与用户信息绑定、日志查看则以WEB方式提供。

4.4 计算节点

计算节点根据传入的密钥和操作，在虚拟机运行过程中对虚拟镜像进行动态的加、解密操作。在实现方面，通过修改KVM的虚拟磁盘驱动来实现镜像的加、解密操作，虚拟机镜像文件保存了虚拟机的相关代码和数据并以文件形式保存在宿主机上面，当虚拟机启动后，通过Intel-VT技术，虚拟机访问磁盘时会产生相关中断并被模拟程序捕获，捕获的参数包括读取的设备号、逻辑扇区号，模拟程序通过镜像格式说明将相关参数转化为对文件的读写返回给虚拟机来完成磁盘的读写。

5 结束语

数据中心的信息安全事故的源头主要集中在用户终端，因此终端安全接入数据中心的方案，必然是一个端到端的安全体系架构，保证接入数据中心的终端和网络链路是安全、可信的。本文根据接入数据中心的不同终端类型，从传输通道安全、接入终端自身安全、用户认证三方面分析了安全解决方案和实现途径。最后，提出了终端安全接入数据中心的实现框架，覆盖终端安全接入数据中心的全过程。终端安全接入数据中心的问题，单靠一种安全技术方案并不能解决所有问题，还需要多种技术的组合，才能构成一个立体的安全体系。

[1] 孔功胜.云计算安全认证与可信接入协议研究进展[J]. 河南大学学报(自然版)，2017.

[2]李洪敏，李宇明，葛杨.虚拟化数据中心的安全设计[J].兵工自动化，2012.

[3]祝咏升，张彦，姚洪磊等.铁路信息系统安全防护体系的研究[J].中国铁道科学，2012.

[4]沈昌祥.云计算安全与等级保护[J].信息安全与通信保密，2012.

[5]JIVANADHAM L B，ISIAM A K M, KATAYAMA Y，et al. Cloud cognitive authenticator(CCA):a public cloud computing authentication mechanism[C].2013 International Conference on Informatics，Electronics & Vision(ICIEV)，IEEE，2013.

[6]袁慧.面向用户准入控制的信息安全统一威胁防御管理[J].电力信息与通信技术，2013.

[7]聂元铭，董建锋，李君怡.桌面云网络准入控制技术研究[J].技术研究，2013.