张媛++黄磊++廉龙颖++马建乐

摘要：本文通过一种基于OpenStack的数字校园体系安全架构，可以有效地将分布在校园各个角落的服务器有效的整合在一起统一管理，可以根据情况快速部署服务器，有效的管理虚拟服务器建立统一身份认证体系，实现用户的单点登录，提高了系统的集成度，降低了运维成本。

关键词：OpenStack；数字校园；体系架构；统一身份认证

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2017）03-0084-02

1 前言

目前云计算技术发展势头极为迅猛，云计算有公有云、私有云、混合云，高校建立的就是自己的私有云，在众多的云计算技术中OpenStack可以说是應用范围最广，技术支持最为全面的。OpenStack是一种完全开源的云计算项目，完全可以用以建立私有云。对于希望整合自己的资源，同时进行各类实验的高校来说，开源的云计算产品更为实际。

高校作为一个较为特殊的团体，信息化技术一直处于发展的前端；但是，随着越来越多的信息管理系统的使用，各类管理系统之间没有耦合关系成为信息孤岛，服务性变差，同时每个管理系统都要重新采购建设基础设施，基础设施的利用率低，运维成本高。如何有效的将这些管理系统整合起来就显得尤为重要，整合这些信息系统的一个必要前提就是建立统一的身份认证中心，将各个信息系统与之相连接，实现信息孤岛的联通。如果单独的建立这样一个信息中心势必又要重新采购硬件设备，造成基础设施建设的浪费。使用云计算技术整合现有的服务器资源降低成本，同时在建设新的数字化校园时候建立统一的身份认证中心，推动高校数字化校园信息一体化建设，向大数据时代迈进。

2 OpenStack介绍

OpenStack是美国国家航天局（NASA）和RackSpace共同开发的一个开源云计算项目，其目的就是为用户提供一个方便的部署操作平台，从2012年项目开始，全球各大IT公司、硬件生产厂商都纷纷加入其中，对其提供各类支持，基于OpenStack的各类云平台也陆续上市提供服务。OpenStack无疑是现在开源云计算中支持基础设施即服务（IaaS）占有市场份额最大的。OpenStack包括计算、对象存储、镜像服务、身份服务、网络和地址管理、块存储、UI界面、测量、部署、数据库等各个方面。其中OpenStack最为重要的7个部分：Nova是控制器；Glance是镜像服务器；Swift是一种分布式、持续虚拟对象存储；Keystone提供认证和访问策略服务的；Neutron提供虚拟网络服务功能；Cinder是块存储；Horizon提供给使用者的一个Web控制面板。

3 基于OpenStack的数字校园架构

3.1 OpenStack数字校园硬件设施部署方案

高校的信息管理系统与一般的企业不同，除了整体的教务管理系统、学工系统等信息管理系统外，还存在各个系部自己的信息管理系统，这些系统相互之间在物理上独立采购建设的，所以分布在校园的各处，日常维护起来运维成本十分高，同时各个系统的使用频率也完全不同，但在建设过程中每个系统所配置的硬件具有一定的重复性，如图1所示[1]。

采用OpenStack架构的数字化校园就可以利用其虚拟服务和网络架构、网络设备，如图1所示，将所有的信息系统集中在云上，只需要对云进行基本维护即可，不需要单独对每个服务器进行维护，如果需要更新某个服务器时，可以实例化一个新的服务器进行更新，更新结束后在替换原来的虚拟服务器即可，不需要将原来的服务器关闭。在进行硬件部署时候完全可以将原来的服务器归拢在一个机房内进行部署，既方便了部署，同时方便对其进行统一维护，降低了整体的运维成本。而原来的服务器管理员只需要通过基于openstack云的虚拟桌面对服务器进行操作即可，就好像在本机操作一样。具体硬件设施部署方案如图2所示。

3.2 统一身份认证设计方案

虽然同云架构有效的将服务器集中起来进行管理，并且通过OpenStack的管理可以有效的进行负载均衡，但用高校存在的多个信息管理系统在访问过程中需要多次输入来确认用户身份，对于日常使用十分不便。根据需求，本文设计了一种基于OpenStack的数字校园体系安全架构。架构分为存储，应用组件，认证资源，用户四个层面。上层的用户根据统一身份认证服务器进行统一身份设定与管理，限制用户访问某些资源权力，调节资源的使用和最大限度的减少欺诈行为。认证资源就是高校自己的各类信息管理系统，通过接口SSO API与统一身份认证应用组件相互连接，实现统一身份认证的各项功能。存储层是数据库构成的，其包括了认证拓扑结构和数据两部分。数据库由授权数据库和认证存储数据两部分构成[2]。

为了验证方案的可行性与效果，本文将该方案以Python语言结合web API加以实现，并整合到数字校园架构的管理中间件层中，作为资源管理的重要组成部分。

部分关键代码如下：

OIDCClaimPrefix "OIDC-"

OIDCResponseType "id_token"

OIDCScope "openid email profile"

OIDCProviderMetadataURL

OIDCClientID

OIDCClientSecret

OIDCCryptoPassphrase openstack

OIDCRedirectURI http：//localhost：8888 /v3/OS-FEDERATION /identity_providers / /protocols /oidc/auth/redirect

AuthType openid-connect

Require valid-user

LogLevel debug

分析实际运行情况，基于OpenStack的数字校园可以满足单点登录，服务器可以合理分配CPU、内存、硬盘，达到基本的负载平衡，实现有效的资源调度。

4 结语

本文研究的一种基于OpenStack的数字校园体系安全架构要建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，将组织信息、用户信息统一存储，进行分级授权和集中身份认证，规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性，实现全部应用的单点登录。为学校众多的应用系统提供安全、方便、稳定的统一授权和认证平台，使学生、老师和学校管理人员只使用一套帐号和密码就可以登陆所有授权的系统。采用分级授权机制方便学校管理人员对用户信息及权限信息维护，减轻工作量。新系统不用再开发用户管理和权限管理功能，节省了后期新信息系统开发费用。为第三方开发单位减轻信息系统开发难度，不用再考虑复杂的权限管理及用户管理。通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了高校数字校园建设中硬件设施重复投资大，各个信息系统容易变成信息孤岛，云数据安全等问题。

参考文献

[1]郭欣，张丹珏.基于OpenStack的数字校园体系架构研究[J].微型电脑应用，2014（10）：49-52.

[2]葛磊，吴建军.高校云平台建设的研究与探索[J].软件工程，2016（1）：50-52.