◆李 蒙 薛俊凱

?

高校信息安全實驗平臺構(gòu)建方式淺析

◆李 蒙 薛俊凱

(青島工學院 山東 266300)

本文主要研究如何構(gòu)建一套可滿足密碼學、安全加固、滲透測試等多種需求的綜合性信息安全實驗平臺，該實驗平臺采用目前流行的Openstack構(gòu)建私有云，結(jié)合KVM構(gòu)建實驗環(huán)境，較好滿足了信息安全相關(guān)實驗教學需求。

信息安全實驗平臺；OpenStack；KVM

0 引言

近年來，信息安全成為國家關(guān)注的重要領(lǐng)域，各高校正在積極開設(shè)信息安全類課程和專業(yè)，然而信息安全相關(guān)實驗內(nèi)容極不完善，實驗環(huán)境和實驗器材都較為匱乏，開發(fā)一種具備實用性、開放性、靈活性的信息安全實驗平臺成為開展相關(guān)課程教學的基礎(chǔ)條件之一。本文結(jié)合高校實際教學需求和客觀技術(shù)條件，提出一套基于開源云計算平臺OpenStack，結(jié)合虛擬化技術(shù)構(gòu)建實驗平臺的設(shè)計方案，能夠?qū)⑽锢矸?wù)器構(gòu)建為統(tǒng)一資源池，實現(xiàn)分布式運算和存儲分配，并結(jié)合高校實際需求設(shè)定了用戶角色和實驗流程。

1 關(guān)鍵技術(shù)

1.1 私有云平臺

私有云平臺構(gòu)建主要有自行開發(fā)、商業(yè)解決方案、開源解決方案三種[1]。在當前的主流云計算環(huán)境部署方式中，OpenStack是支持虛擬化技術(shù)類別最多的開源產(chǎn)品，提供了豐富的API調(diào)用接口，便于實現(xiàn)系統(tǒng)的進一步開發(fā)。

1.2 KVM虛擬化技術(shù)

虛擬化技術(shù)先后經(jīng)歷了軟件模擬、虛擬化層翻譯、容器虛擬化三個階段。目前，OpenStack、CloudStack等多數(shù)私有云平臺上都使用KVM虛擬化技術(shù)，便于實現(xiàn)資源池動態(tài)調(diào)整和資源使用標準化，是當前最為可行的實驗平臺構(gòu)建技術(shù)[2]。

1.3 OpenvSwitch

OpenvSwitch作為一個具有標準管理接口的企業(yè)級虛擬機交換機，能夠支持包括KVM在內(nèi)的多種主流虛擬化技術(shù)，同時可支持多個物理機環(huán)境的分布式部署環(huán)境[3]。

2 基于私有云的實驗平臺設(shè)計目標

現(xiàn)有平臺普遍存在靈活性不足，可擴展性較差的缺點。本平臺基于云計算平臺構(gòu)建，能伴隨用戶需求和規(guī)模的擴大快速調(diào)整，其總體目標如下：

（1）服務(wù)高校信息安全相關(guān)課程教學為首要設(shè)計目標，設(shè)計應(yīng)從高校需求出發(fā)，完成角色和功能設(shè)計，系統(tǒng)的可用性和操作便捷性需要在設(shè)計全過程予以體現(xiàn)。

（2）基于OpenStack實現(xiàn)私有云平臺搭建，提高資源利用率，增強使用安全性，為上層應(yīng)用提供可管理、易擴充、接口標準的統(tǒng)一資源平臺。

（3）根據(jù)高校用戶實際需求，區(qū)分用戶角色，賦予資源訪問權(quán)限，改善平臺管理方式，提高管理效率和資源利用率。

（4）根據(jù)實驗需求，明確操作流程間依附關(guān)系，提高系統(tǒng)易用性和使用流暢度。解決在線實驗平臺使用過程中容易遇到的資源調(diào)用沖突，穩(wěn)定性不足的問題。

（5）整個平臺應(yīng)以虛擬化技術(shù)為核心構(gòu)建實驗場景，根據(jù)虛擬化技術(shù)的特點，設(shè)定實驗流程和用戶對虛擬機的調(diào)用權(quán)限，在使用便捷性和資源利用率上找到平衡點是關(guān)鍵。

3 實驗平臺總體設(shè)計

本平臺設(shè)計遵循軟件開發(fā)模塊化及獨立性的設(shè)計思路，整個信息安全實驗平臺從層次角度可分為硬件層、虛擬化層、管理層、服務(wù)層、應(yīng)用層。硬件層主要包括物理服務(wù)器、存儲設(shè)備、硬件交換機、硬件WAF、硬件防火墻等；虛擬化層主要包括基于OpenStack平臺的虛擬化技術(shù)KVM和網(wǎng)絡(luò)虛擬化技術(shù)OpenvSwitch；管理層主要包括KVM虛擬機的管理工具Libvirt和SDN控制器Floodlight；服務(wù)層就是平臺提供的服務(wù)，主要有Connections、虛擬主機、主機拓撲、存儲池、網(wǎng)絡(luò)池和SDN controller；應(yīng)用層主要包括用戶管理、主機管理、虛擬機管理、實驗管理、存儲管理、網(wǎng)絡(luò)管理和課程管理等。

3.1 虛擬化層設(shè)計

本系統(tǒng)使用OpenStack搭建私有云平臺，并在私有云基礎(chǔ)上部署虛擬化層應(yīng)用，為用戶提供完善便利、擴展性強的基于虛擬化技術(shù)的信息安全實驗平臺，主要使用其核心組件中的計算組件Nova、鏡像服務(wù)Glance、身份服務(wù)Keystone、網(wǎng)絡(luò)&地址管理Neutron、塊存儲Cinder、部署編Heat實現(xiàn)私有云搭建。具體到虛擬化技術(shù)選擇，利用KVM的實時遷移、界面管理、虛擬機克隆及快照支持等功能，實現(xiàn)對虛擬機的CPU、內(nèi)存等進行在線擴容。使用Libvirt進行虛擬機監(jiān)控，完成API請求，管理虛擬機。

3.2 網(wǎng)絡(luò)層設(shè)計

本平臺使用運行在KVM虛擬化平臺上的虛擬交換機OpenvSwitch，為動態(tài)變化的端點提供2層交換功能，并通過基于Apache協(xié)議的Floodlight管理虛擬交換機，使用OpenFlow作為控制器。一方面，OpenFlow控制器可以通過OpenFlow協(xié)議連接到任何支持OpenFlow的交換機，控制器通過和交換機交換流表規(guī)則來控制數(shù)據(jù)流向；另一方面，OpenFlow控制器向用戶提供界面或者接口，用戶可以通過界面對網(wǎng)絡(luò)架構(gòu)進行動態(tài)的修改，修改交換機的流表規(guī)則等。

3.3 應(yīng)用層設(shè)計

系統(tǒng)整體需實現(xiàn)用戶管理、物理機管理、虛擬機管理、存儲管理、網(wǎng)絡(luò)管理、實驗拓撲管理、實驗場景管理、學習任務(wù)管理、模式設(shè)置、日志管理等功能。根據(jù)高校實際情況，用戶分為管理員、科研員、教員、學員四種用戶角色。管理員擁有本實驗平臺的最高權(quán)限，用戶添加和角色設(shè)定乃至權(quán)限分配由管理員統(tǒng)一設(shè)置；科研員是實驗場景開發(fā)的主體，通過場景管理權(quán)限創(chuàng)建實驗場景，提交至管理員審核，只有審核通過的實驗場景，才能被其他用戶使用；教員通過設(shè)置學習任務(wù)，供學員學習并對學習情況進行監(jiān)督；學員具體完成實驗項目，進行信息安全知識的學習，具有實驗項目的點評權(quán)限。

4 實驗平臺設(shè)計創(chuàng)新點

整個設(shè)計較好地滿足了高校教學實際需求，可以根據(jù)學員反饋和教學需求靈活擴展實驗資源，充分滿足了設(shè)計目標要求的靈活性、可擴展性、經(jīng)濟性、隔離性、高可用性的要求，具有廣泛的應(yīng)用前景?？傮w來說，本設(shè)計的創(chuàng)新點主要包含如下幾個方面：

（1）基于OpenStack構(gòu)建私有云平臺，可以靈活增加服務(wù)節(jié)點，實現(xiàn)計算性能、存儲性能、存儲容量的線性提升，而且其構(gòu)建方式可實現(xiàn)分布式運算和存儲分配，實現(xiàn)平臺構(gòu)建的經(jīng)濟性、高可用性、高效性、靈活性。

（2）基于虛擬化技術(shù)，利用開源安全系統(tǒng)IOS生成虛擬機配合虛擬網(wǎng)絡(luò)構(gòu)建實驗場景，可滿足各種信息安全實驗場景構(gòu)建需求，具有高度的實驗靈活性和用戶隔離性。

（3）基于高校需求將實驗平臺管理權(quán)、實驗場景創(chuàng)建權(quán)、學習任務(wù)設(shè)定權(quán)、實驗使用及評價權(quán)，分別賦予管理員、科研員、教員、學員4個角色，規(guī)范了實驗流程并實現(xiàn)了平臺資源高效管理，實現(xiàn)了實驗平臺的易用性和穩(wěn)定性要求。

5 結(jié)束語

綜上所述，本文所提出的基于OpenStack構(gòu)建私有云計算平臺，結(jié)合虛擬化技術(shù)構(gòu)建信息安全實驗平臺的設(shè)計思路。其一，可以實現(xiàn)底層分布式硬件資源池建設(shè)，滿足信息安全實驗平臺的高擴展性要求；其二，鑒于平臺中大部分實驗項目都基于虛擬機構(gòu)建，采用KVM作為實驗平臺的虛擬化技術(shù)支撐，結(jié)合OpenSwith和Libvirt實現(xiàn)虛擬機管理和實驗拓撲構(gòu)建；其三，功能設(shè)計上重點體現(xiàn)高校實際教學需求。

層次化的設(shè)計思路使得該實驗平臺具有高可控性和高可擴展性，便于開設(shè)一些高水平的實驗，可使教師和學生及時跟蹤當前技術(shù)的最新發(fā)展，提高教學質(zhì)量，能最大限度地滿足信息安全類課程的實驗教學需求。

[1]廉龍穎，王希斌，劉文強等.基于OpenStack的網(wǎng)絡(luò)安全實驗平臺[J].教學研究，2015.

[2]秦學東，陳大慶，崔曉松.基于開源虛擬化的高可用服務(wù)器架構(gòu)[J].現(xiàn)代圖書情報技術(shù), 2011．

[3]徐重峰.基于OpenFlow的光網(wǎng)絡(luò)QoS機制研究[D].北京郵電大學，2015．

青島工學院2016年度董事長科研資助基金（課題編號：2016KY015；課題名稱：基于SDN技術(shù)的信息安全實驗平臺研究）。