一种基于OpenStack数字校园体系安全架构探究.docVIP

一种基于OpenStack数字校园体系安全架构探究 　　摘要：本文通过一种基于OpenStack的数字校园体系安全架构，可以有效地将分布在校园各个角落的服务器有效的整合在一起统一管理，可以根据情况快速部署服务器，有效的管理虚拟服务器建立统一身份认证体系，实现用户的单点登录，提高了系统的集成度，降低了运维成本 关键词：OpenStack；数字校园；体系架构；统一身份认证 中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2017）03-0084-02 1 前言 目前云计算技术发展势头极为迅猛，云计算有公有云、私有云、混合云，高校建立的就是自己的私有云，在众多的云计算技术中OpenStack可以说是??用范围最广，技术支持最为全面的。OpenStack是一种完全开源的云计算项目，完全可以用以建立私有云。对于希望整合自己的资源，同时进行各类实验的高校来说，开源的云计算产品更为实际 高校作为一个较为特殊的团体，信息化技术一直处于发展的前端；但是，随着越来越多的信息管理系统的使用，各类管理系统之间没有耦合关系成为信息孤岛，服务性变差，同时每个管理系统都要重新采购建设基础设施，基础设施的利用率低，运维成本高。如何有效的将这些管理系统整合起来就显得尤为重要，整合这些信息系统的一个必要前提就是建立统一的身份认证中心，将各个信息系统与之相连接，实现信息孤岛的联通。如果单独的建立这样一个信息中心势必又要重新采购硬件设备，造成基础设施建设的浪费。使用云计算技术整合现有的服务器资源降低成本，同时在建设新的数字化校园时候建立统一的身份认证中心，推动高校数字化校园信息一体化建设，向大数据时代迈进 2 OpenStack介绍 OpenStack是美国国家航天局（NASA）和RackSpace共同开发的一个开源云计算项目，其目的就是为用户提供一个方便的部署操作平台，从2012年项目开始，全球各大IT公司、硬件生产厂商都纷纷加入其中，对其提供各类支持，基于OpenStack的各类云平台也陆续上市提供服务。OpenStack无疑是现在开源云计算中支持基础设施即服务（IaaS）占有市场份额最大的。OpenStack包括计算、对象存储、镜像服务、身份服务、网络和地址管理、块存储、UI界面、测量、部署、数据库等各个方面。其中OpenStack最为重要的7个部分：Nova是控制器；Glance是镜像服务器；Swift是一种分布式、持续虚拟对象存储；Keystone提供认证和访问策略服务的；Neutron提供虚拟网络服务功能；Cinder是块存储；Horizon提供给使用者的一个Web控制面板 3 基于OpenStack的数字校园架构 3.1 OpenStack数字校园硬件设施部署方案 高校的信息管理系统与一般的企业不同，除了整体的教务管理系统、学工系统等信息管理系统外，还存在各个系部自己的信息管理系统，这些系统相互之间在物理上独立采购建设的，所以分布在校园的各处，日常维护起来运维成本十分高，同时各个系统的使用频率也完全不同，但在建设过程中每个系统所配置的硬件具有一定的重复性，如图1所示[1] 采用OpenStack架构的数字化校园就可以利用其虚拟服务和网络架构、网络设备，如图1所示，将所有的信息系统集中在云上，只需要对云进行基本维护即可，不需要单独对每个服务器进行维护，如果需要更新某个服务器时，可以实例化一个新的服务器进行更新，更新结束后在替换原来的虚拟服务器即可，不需要将原来的服务器关闭。在进行硬件部署时候完全可以将原来的服务器归拢在一个机房内进行部署，既方便了部署，同时方便对其进行统一维护，降低了整体的运维成本。而原来的服务器管理员只需要通过基于openstack云的虚拟桌面对服务器进行操作即可，就好像在本机操作一样。具体硬件设施部署方案如图2所示 3.2 统一身份认证设计方案 虽然同云架构有效的将服务器集中起来进行管理，并且通过OpenStack的管理可以有效的进行负载均衡，但用高校存在的多个信息管理系统在访问过程中需要多次输入来确认用户身份，对于日常使用十分不便。根据需求，本文设计了一种基于OpenStack的数字校园体系安全架构。架构分为存储，应用组件，认证资源，用户四个层面。上层的用户根据统一身份认证服务器进行统一身份设定与管理，限制用户访问某些资源权力，调节资源的使用和最大限度的减少欺诈行为。认证资源就是高校自己的各类信息管理系统，通过接口SSO API与统一身份认证应用组件相互连接，实现统一身份认证的各项功能。存储层是数据库构成的，其包括了认证拓扑结构和数据两部分。数据库由授权数据库和认证存储数据两部分构成[2] 为了验证方案的可行性与效果，本文将该方案以Py