基于數(shù)據(jù)加密技術(shù)的海外數(shù)據(jù)中心拓?fù)浼軜?gòu)設(shè)計(jì)

陳紅鵬， 樊增輝

(南方電網(wǎng)國際有限責(zé)任公司， 廣東, 廣州 510530)

0 引言

目前，現(xiàn)有技術(shù)缺乏建設(shè)標(biāo)準(zhǔn)統(tǒng)一的數(shù)據(jù)共享服務(wù)平臺和互聯(lián)互通的網(wǎng)絡(luò)服務(wù)平臺，維護(hù)量少、可用性低、安全性欠缺。針對該技術(shù)缺陷，文獻(xiàn)[1] 采用選擇性數(shù)據(jù)加密算法(SDEA)對不同的隱私分類方法選擇性地加密，通過該技術(shù)方案的實(shí)施，用戶能夠在實(shí)際應(yīng)用最少的執(zhí)行時(shí)間要求內(nèi)，通過選擇性數(shù)據(jù)加密算法對大數(shù)據(jù)的隱私性最大程度地加密，提高了數(shù)據(jù)加密能力，但對于海外數(shù)據(jù)傳遞，該技術(shù)的加密能力較弱。文獻(xiàn)[2] 在DES加密計(jì)算的基礎(chǔ)上，利用了Feistel網(wǎng)絡(luò)加密算法模型，將二者有機(jī)融合的主要目的是將DES加密算法中的56位密鑰進(jìn)行擴(kuò)展，最后得出128位密鑰，再將輸出后的秘鑰分割成4輪，采用32位密鑰改造算法對各輪密鑰實(shí)施處理，最終輸出子密鑰，然后又對各輪中的32位明文和子密鑰進(jìn)行異或運(yùn)算，實(shí)現(xiàn)了最終數(shù)據(jù)的加密和計(jì)算，這種方法大大提高了數(shù)據(jù)加密能力，但對于海外復(fù)雜數(shù)據(jù)傳輸，仍舊存在一些不足。

針對上述技術(shù)的不足，本研究構(gòu)建了新型的海外數(shù)據(jù)中心拓?fù)浼軜?gòu)，通過改進(jìn)型加密技術(shù)，提高了海外數(shù)據(jù)中心拓?fù)浼軜?gòu)的應(yīng)用效率。

1 海外數(shù)據(jù)中心拓?fù)浼軜?gòu)設(shè)計(jì)

針對上述技術(shù)的不足，本研究結(jié)合信息化建設(shè)，以提升方案為基礎(chǔ)，構(gòu)建了具體的實(shí)施路徑和安全防護(hù)措施，該技術(shù)還借鑒國內(nèi)央企駐外單位數(shù)據(jù)中心建設(shè)經(jīng)驗(yàn)，明確海外數(shù)據(jù)中心的建設(shè)內(nèi)容和安全防護(hù)的具體措施。

圖1為海外數(shù)據(jù)中心拓?fù)浼軜?gòu)示意圖。

圖1 海外數(shù)據(jù)中心拓?fù)浼軜?gòu)示意圖

在數(shù)據(jù)中心拓?fù)浣Y(jié)構(gòu)圖中，充分考慮系統(tǒng)整體性，對可能出現(xiàn)的突發(fā)事件編制應(yīng)急處理方案，確保系統(tǒng)安全有序運(yùn)行。按照“先遷移部署，后統(tǒng)一建設(shè)”的思路，將駐外單位的業(yè)務(wù)系統(tǒng)遷移至海外數(shù)據(jù)中心進(jìn)行集中管理，實(shí)現(xiàn)系統(tǒng)集中部署、網(wǎng)絡(luò)集中管控、流程集中統(tǒng)一、人員集中管理[3]。

海外數(shù)據(jù)中心的建設(shè)以某電網(wǎng)的數(shù)據(jù)中心為主體，在香港建設(shè)針對境外業(yè)務(wù)的數(shù)據(jù)中心，通過打通駐外單位、香港數(shù)據(jù)中心、某電網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)流轉(zhuǎn)通道，支撐駐外單位信息化需求。承載的業(yè)務(wù)主體如表1所示。

表1 主要承載業(yè)務(wù)內(nèi)容示意表

2 關(guān)鍵技術(shù)設(shè)計(jì)

海外數(shù)據(jù)中心拓?fù)浼軜?gòu)中，數(shù)據(jù)管理中心是重要的一環(huán)。本研究的技術(shù)優(yōu)勢在于：

(1) 構(gòu)建了包括公網(wǎng)應(yīng)用模塊、防火墻子網(wǎng)層、數(shù)據(jù)通信層和數(shù)據(jù)監(jiān)控層的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)[4]，該架構(gòu)通過與多個(gè)數(shù)據(jù)管理服務(wù)器進(jìn)行數(shù)據(jù)通信，提高了遠(yuǎn)程數(shù)據(jù)交互能力；

(2) 采用了數(shù)據(jù)加密技術(shù)，設(shè)置數(shù)據(jù)安全組，提高了數(shù)據(jù)應(yīng)用的安全性能，避免受外界不安全因素的干擾。

2.1 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

基于上述數(shù)據(jù)信息，本研究設(shè)計(jì)的新型數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)內(nèi)設(shè)置有堡壘機(jī)、VPN服務(wù)器和云防火墻總墻等。堡壘機(jī)與VPN服務(wù)器暴露在公網(wǎng)，通過白名單設(shè)置只允許特定IP訪問，拒絕其他任何IP。云防火墻篩選來自公網(wǎng)的惡意流量，對堡壘機(jī)與VPN服務(wù)器進(jìn)行保護(hù)與出入流量監(jiān)控。VPN服務(wù)器與數(shù)據(jù)中心內(nèi)網(wǎng)服務(wù)器之間相互通信[5]；云防火墻篩選來自堡壘機(jī)與VPN服務(wù)器的惡意流量，并對進(jìn)入內(nèi)網(wǎng)的流量進(jìn)行監(jiān)控。

在VPN服務(wù)器外部還設(shè)置有云防火墻子墻，通過虛擬專有網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)信息通信。每個(gè)虛擬專有網(wǎng)絡(luò)都有一個(gè)獨(dú)立的隧道號[6]，一個(gè)隧道號對應(yīng)著一個(gè)虛擬化網(wǎng)絡(luò)。專有網(wǎng)絡(luò)之間通過隧道ID進(jìn)行隔離，專有網(wǎng)絡(luò)內(nèi)部由于交換機(jī)和路由器的存在，可以像傳統(tǒng)網(wǎng)絡(luò)環(huán)境一樣劃分子網(wǎng)，每一個(gè)子網(wǎng)內(nèi)部的不同云服務(wù)器使用同一個(gè)交換機(jī)互聯(lián)，不同子網(wǎng)間使用路由器互聯(lián)。不同專有網(wǎng)絡(luò)之間內(nèi)部網(wǎng)絡(luò)完全隔離，可以通過對外映射的IP互連。本研究還采用隧道封裝技術(shù)對云服務(wù)器的IP報(bào)文進(jìn)行封裝，云服務(wù)器的數(shù)據(jù)鏈路層(二層MAC地址)信息不會(huì)進(jìn)入物理網(wǎng)絡(luò)，實(shí)現(xiàn)了不同云服務(wù)器間二層網(wǎng)絡(luò)隔離，因此也實(shí)現(xiàn)了不同專有網(wǎng)絡(luò)間二層網(wǎng)絡(luò)隔離。專有網(wǎng)絡(luò)內(nèi)的服務(wù)器使用安全組防火墻進(jìn)行三層網(wǎng)絡(luò)訪問控制，通過采用數(shù)據(jù)加密計(jì)算提高了數(shù)據(jù)防護(hù)能力。

通過數(shù)據(jù)通信后，數(shù)據(jù)信息經(jīng)過虛擬路由器、虛擬交換機(jī)進(jìn)入應(yīng)用系統(tǒng)集群，VPN認(rèn)證成功的用戶可訪問應(yīng)用系統(tǒng)。堡壘機(jī)可以遠(yuǎn)程應(yīng)用服務(wù)器，堡壘機(jī)對遠(yuǎn)程用戶系統(tǒng)操作進(jìn)行審計(jì)管理，對連接主機(jī)用戶做安全認(rèn)證。云監(jiān)控agent調(diào)用主機(jī)進(jìn)程將CPU、內(nèi)存、磁盤IO[7]、網(wǎng)絡(luò)等參數(shù)通過云控制臺可視化界面呈現(xiàn)。數(shù)據(jù)回傳給客戶端，訪問內(nèi)網(wǎng)系統(tǒng)的客戶端或者遠(yuǎn)程主機(jī)的客戶端。通過上述方式，實(shí)現(xiàn)了數(shù)據(jù)的交互和管理。

2.2 數(shù)據(jù)加密計(jì)算方法

本研究采用改進(jìn)型混沌密碼模型算法實(shí)現(xiàn)數(shù)據(jù)加密計(jì)算[8]，該加密模型示意圖如圖2所示。

在混沌密碼模型算法中，融合改進(jìn)型MD5算法，提高海外數(shù)據(jù)信息在傳遞過程中的安全能力，通過融入密文實(shí)現(xiàn)數(shù)字化加密，并通過數(shù)字簽名后，通過混沌密碼模型算法進(jìn)行二次加密，提高了大數(shù)據(jù)傳遞和交互能力。在應(yīng)用混沌密碼模型算法時(shí)，需要設(shè)計(jì)混沌密碼，MD5算法數(shù)據(jù)輸出[9]需要明確大數(shù)據(jù)連續(xù)混沌序列離散化的程度，以及選擇密鑰參數(shù)的精度，步驟如下。

(1) 選取改進(jìn)型混沌密碼模型算法的密鑰參數(shù)。數(shù)據(jù)中心的海外傳遞數(shù)據(jù)先通過Blowfish加密算法輸出秘鑰，此時(shí)的秘鑰為公文密文，再通過Blowfish加密算法[10]將接收到的海外加密數(shù)據(jù)輸入到RSA加密算法模型，通過設(shè)置公鑰實(shí)現(xiàn)數(shù)據(jù)加密，最后再通過MD5算法輸出海外數(shù)據(jù)的數(shù)字簽名，這種方法已經(jīng)具有很大安全性。為了進(jìn)一步提高數(shù)據(jù)加密能力，再次采用超混沌系統(tǒng)進(jìn)行二次加密。

(2) 設(shè)置混沌密碼模型算法的數(shù)據(jù)參數(shù)。將混沌系統(tǒng)置于超混沌態(tài)，并設(shè)置超混沌系統(tǒng)運(yùn)行過程中的各項(xiàng)數(shù)據(jù)參數(shù)，選取超混沌系統(tǒng)能夠正常工作的8個(gè)以上的初始值，以確保具有足夠多的加密空間。

(3) 加密計(jì)算。改進(jìn)型MD5算法模型輸出數(shù)據(jù)信息之后，將該數(shù)據(jù)信息通過Hash值轉(zhuǎn)換模塊實(shí)現(xiàn)數(shù)值轉(zhuǎn)換，首先進(jìn)行混沌序列預(yù)處理，然后將混沌系統(tǒng)輸出數(shù)據(jù)置于離散化狀態(tài)，這種方法通過四階Runge-Kutta法實(shí)現(xiàn)。對迭代序列值按一定的規(guī)律進(jìn)行取舍，保留精華部分，通常前100個(gè)值被放棄，這樣能夠提高混沌序列生成的隨機(jī)性，隨機(jī)性越高，加密能力越強(qiáng)，海外中心數(shù)據(jù)信息越不容易受到外界的侵襲。這樣混沌序列就實(shí)現(xiàn)了數(shù)據(jù)加急，對于輸入的字節(jié)，通過式(1)表示：

(1)

式中，mod表示取模運(yùn)算，i=1,2，…,n, 其中的[]為序列以下數(shù)據(jù)的取整計(jì)算，通過混沌計(jì)算后，可以輸出px(k)，py(k)，pz(k)，pw(k)等多個(gè)介于[0,256]的不同海外數(shù)據(jù)混沌序列。

(4) 通過超混沌系統(tǒng)進(jìn)行加密數(shù)據(jù)信息的混淆計(jì)算。超混沌系統(tǒng)在工作過程中，其輸出的隨機(jī)變量以及數(shù)據(jù)狀態(tài)量很容易以一定的數(shù)據(jù)關(guān)系存在，數(shù)據(jù)之間的關(guān)聯(lián)能力是在數(shù)據(jù)傳輸過程中是否具有攻破能力的指標(biāo)之一。在遇到數(shù)據(jù)攻擊時(shí)，這些關(guān)聯(lián)能力一旦被掌握，海外數(shù)據(jù)在傳遞過程中的攻破規(guī)律也被容易識破。為了避免這一現(xiàn)象，通過混淆處理算法模型解決，如式(2)：

(2)

式中，⊕表示異或運(yùn)算的標(biāo)識，pi(k),i=1,2,3,4表示經(jīng)過式(1)計(jì)算后和經(jīng)過改進(jìn)型MD5算法加密后的超混沌序列。通過式(2)的計(jì)算，不同序列之間的規(guī)律或者關(guān)聯(lián)性被混淆，提高了數(shù)據(jù)加密能力。

(5) 模塊化劃分。將超混沌序列分別分組，再每個(gè)小組中實(shí)現(xiàn)數(shù)據(jù)加密，分別對輸出的px(k)，py(k)，pz(k)，pw(k)等不同的數(shù)據(jù)序列進(jìn)行加密，通過字節(jié)分組的方式，實(shí)現(xiàn)分步加密，假設(shè)將4個(gè)序列劃分為一組，則加密公式可以為

(3)

式中，M表示待加密計(jì)算的海外數(shù)據(jù)中心輸出的數(shù)據(jù)明文信息，C表示通過改進(jìn)型超混沌系統(tǒng)計(jì)算后，最終實(shí)現(xiàn)數(shù)據(jù)分組、序列加密之后輸出的密文系列。通過這種方式實(shí)現(xiàn)數(shù)據(jù)傳遞過程中的加密。

(6) 通過加密協(xié)議實(shí)現(xiàn)數(shù)據(jù)輸出，設(shè)置虛擬專有網(wǎng)絡(luò)，每個(gè)虛擬專有網(wǎng)絡(luò)都有一個(gè)獨(dú)立的隧道號，一個(gè)隧道號對應(yīng)著一個(gè)虛擬化網(wǎng)絡(luò)。專有網(wǎng)絡(luò)之間通過隧道ID進(jìn)行隔離，專有網(wǎng)絡(luò)內(nèi)部由于交換機(jī)和路由器的存在，可以像傳統(tǒng)網(wǎng)絡(luò)環(huán)境一樣劃分子網(wǎng)，每一個(gè)子網(wǎng)內(nèi)部的不同云服務(wù)器使用同一個(gè)交換機(jī)互聯(lián)，不同子網(wǎng)間使用路由器互聯(lián)。不同專有網(wǎng)絡(luò)之間內(nèi)部網(wǎng)絡(luò)完全隔離，可以通過對外映射的IP互連。本研究還使用隧道封裝技術(shù)對云服務(wù)器的IP報(bào)文進(jìn)行封裝，云服務(wù)器的數(shù)據(jù)鏈路層(二層MAC地址)信息不會(huì)進(jìn)入物理網(wǎng)絡(luò)，實(shí)現(xiàn)了不同云服務(wù)器間二層網(wǎng)絡(luò)隔離，因此也實(shí)現(xiàn)了不同專有網(wǎng)絡(luò)間二層網(wǎng)絡(luò)隔離。專有網(wǎng)絡(luò)內(nèi)的服務(wù)器使用安全組防火墻進(jìn)行三層網(wǎng)絡(luò)訪問控制。數(shù)據(jù)通信接口處還設(shè)置了精確的控制源IP地址、源端口、目的IP地址、目的端口以及傳輸層協(xié)議。不同的協(xié)議支持限制主機(jī)端口，支持傳輸層協(xié)議限制(只允許ssh、http、icmp等)。

3 試驗(yàn)結(jié)果及分析

下面對本研究的方法進(jìn)行驗(yàn)證，在試驗(yàn)時(shí)，試驗(yàn)硬件條件為Pentium(R)，其中CPU為8 G內(nèi)存，硬盤容量為160 G，軟件環(huán)境為Win XP SP2或者Win 2003 SP1，數(shù)據(jù)仿真界面為MATLAB界面。試驗(yàn)時(shí)，在服務(wù)器上安裝agent，根據(jù)操作系統(tǒng)提供不同版本的agent，并在控制臺操作實(shí)現(xiàn)自動(dòng)安裝。

其他試驗(yàn)的硬件參數(shù)如表2所示。

表2 試驗(yàn)硬件參數(shù)

通過設(shè)置秘鑰，可用的密鑰空間通過以下數(shù)據(jù)集合表示：

(4)

其中，密鑰的精度范圍在12～18之間，通過選擇雙精度的密鑰參數(shù)，數(shù)據(jù)輸出長度為432 bit。數(shù)據(jù)經(jīng)過混沌密碼模型算法和改進(jìn)的AES算法處理后，輸出數(shù)據(jù)的精度為256 bit，因此，密鑰可輸出688 bit。然后對服務(wù)器人為制造入侵事件(如Webshell、惡意軟件、核心數(shù)據(jù)被加密勒索等)。

輸入的數(shù)據(jù)樣本如表3所示。

表3 試驗(yàn)硬件參數(shù)

假設(shè)選擇任意一組數(shù)據(jù)信息，將加密前的數(shù)據(jù)信息通過圖3表示。

圖3 加密前數(shù)據(jù)信息示意圖

通過本研究的方法加密后的密鑰參數(shù)直方圖如圖4所示。

通過圖3、圖4可以看出，本研究的方法在加密方面具有突出的技術(shù)效果。

圖4 本研究方法加密示意圖

下面分別將DES算法模型(方案1)、DH算法模型(方案2)與本研究的方法進(jìn)行比較分析。選擇10組不同的數(shù)據(jù)樣本信息，分別人為制造不同的入侵事件。對3種方法分別測試10次，消耗的時(shí)間分別如圖5所示。

在圖5中，方案1在經(jīng)過10次不同的數(shù)據(jù)樣本計(jì)算中總耗時(shí)為103 s，方案2經(jīng)過10次不同的數(shù)據(jù)樣本計(jì)算中總耗時(shí)為97 s，通過本研究的方法最終總耗時(shí)為49 s，本研究的方法加快了數(shù)據(jù)傳遞能力，因此本研究方法的數(shù)據(jù)加密能力強(qiáng)。

圖5 耗時(shí)對比示意圖

為了突出本研究的技術(shù)效果，下面對加密能力的具體評估方式如式(5)所示。在衡量加密能力時(shí)，通過防攻破能力來評估。假設(shè)防攻破能力為P，則有：

(5)

通過式(5)的計(jì)算，將密鑰空間數(shù)據(jù)集合繪制成如圖6所示的數(shù)據(jù)信息。

圖6 防攻破能力對比示意圖

通過圖6可以看出，在經(jīng)過8小時(shí)的試驗(yàn)過程中，本研究方法的數(shù)據(jù)防攻破能力最強(qiáng)，說明本研究方法的加密能力強(qiáng)。

4 總結(jié)

海外數(shù)據(jù)中心數(shù)據(jù)在傳遞過程中，數(shù)據(jù)比較薄弱，容易出現(xiàn)數(shù)據(jù)漏洞，為解決這些問題，本文進(jìn)行以下技術(shù)研究：

(1) 構(gòu)建了一套海外數(shù)據(jù)中心拓?fù)浼軜?gòu)，在境外人員、機(jī)構(gòu)、物資、項(xiàng)目等多種信息中，能夠動(dòng)態(tài)獲取、加密以及傳遞等。

(2) 構(gòu)建了一套數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，該架構(gòu)設(shè)置了堡壘機(jī)、VPN服務(wù)器和云防火墻總墻等多種防攻破數(shù)據(jù)信息，實(shí)現(xiàn)數(shù)據(jù)安全傳遞。

(3) 構(gòu)建了一種改進(jìn)型混沌密碼模型算法，通過融合改進(jìn)型MD5算法，極大地提高了數(shù)據(jù)加密能力。

通過試驗(yàn)，發(fā)現(xiàn)本研究的方法加密能力強(qiáng)，加密速度快，有效地提高了數(shù)據(jù)安全性。本研究在研究過程中，基于偏度的限制，不可避免地會(huì)存在一些考慮不足之處，這需要進(jìn)一步地研究。