中存储网9月2日报道,数据中心Data Center一方面要大力发展,吸引更多的用户访问,获取利益,尤其是对外提供各种服务的数据中心Data Center。另一方面又要防止数据中心Data Center的信息被人盗取或泄露,所以随着数据中心Data Center安全问题越来越引起人们的关注,很多关于数据中心Data Center安全的技术也如雨后春笋般出现了。该篇文章将着重介绍一部分数据中心Data Center常用的安全认证方法,对访问的用户进行管理与控制,达到保护用户隐私,防止信息被泄露,那么数据中心Data Center常用的有哪些认证方式呢?该篇文章将从根据自己掌握的积累经验,逐一道来。
在平时的生活中,我们经常要使用网银,其实网上银行就采用了几种认证技术,当我们登录自己的用户时,仅有认证通过后才可以访问。银行的数据中心Data Center包括前台和后台两大部分,前台部分就是面向用户的一部分网页终端和多媒体设备(存取款机),后台就是数据处理部分。仅有通过前台的认证才能访问后台的数据信息。常用的认证技术分为静态认证和动态认证。静态认证技术指的是通过用户自己设定的一串静态数据,静态密码来认证,万一用户注册完成后,除非用户自己更改,否则将保持不变。这种方式简单,不过安全性最低,只能通过定期的更改密码来提高安全性,这种技术简单容易遭受各种形式的安全攻击。另外一种是动态认证,动态认证是每次登录都要输入密码,每一次都不一样。可以通过短信密码、动态口令牌、手机令牌等几种方式获取,用户通过身份证、个人邮箱等信息登录,然后数据中心Data Center会将密码发到用户的手机上,用户输入收到的密码才能完成身份认证,从而确保系统身份认证的安全性,这种方式在网上银行中有最广泛的计算机应用。近几年又出现了一种USB Key证书密钥认证,这种方式由于安全级别最高,在银行行业里得到了广泛使用,农行的K宝,工行的U盾都是基于这种认证技术。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。USB Key就像是数据中心Data Center信息大门的一把钥匙,当然是做过加密的,仅有正确的人使用正确的钥匙才能把门打开,这是当今安全性比较高的用户认证方式。
除了动态和静态认证之外,还有数字证书认证,这种认证方式需要在服务器设备上安装服务器证书,然后用户的浏览器可以与服务器证书建立SSL连接,在SSL连接上传输任何数据都会被加密,在服务器和用户之间分别由可信的第三方CA认证中心颁发数字证书,这样在访问的时候,双方可以通过数字证书确认对方身份,解决网上交易可能存在的诈骗、泄密、篡改、恶意攻击等问题,使得网上交易和面对面交易一样安全,而银行往往是充当第三方CA认证的机构,所以我们在办理股票帐户或者支付宝帐户都需要到银行去办理,才能开通网上交易,由银行来确保交易的安全。最最安全的恐怕是安全VPN的技术,其利用安装在数据中心Data CenterVPN路由器、防火墙等网络设备上的数字证书,在VPN的数据传输中解决认证、机密、完整等问题,是最安全的一种认证方式,整个访问过程完全和别人隔离开,相当于数据中心Data Center给此用户开了一个安全通道,不会受到外界的任何干扰。
除了这些访问用户,对于数据中心Data Center内部的设备同样也是有访问控制,可以在这些设备上设置动态密码和静态密码,可以做本地认证,也可以做远程认证。具体很有不少的实现协议,比如:Raduis、TACAS、TACAS+认证等,Raduis和TACAS都是IETF的标准化协议,思科在TACAS基础上开发了TACAS+协议,这些认证协议都是成熟的网络技术,在数据中心Data Center网络设备上有着广泛应用。为了配合实现Raduis/TACAS认证,一般还需要在数据中心Data Center里部署ACS或者其它服务器,专门用来做认证访问控制,当有用户访问设备时,流量会先到认证服务器,仅有通过服务器认证,用户才能操控设备。当服务器故障时,默认转为本地认证,即采用设备上的密码进行认证,做两级防护。数据中心Data Center对于宽带网络用户一般采用:PPPOE、802.1X、Portal等协议完成用户认证。平时我们在家上网,都需要通过认证才能访问互联网,实际上就是通过这三种认证技术完成的,PPPOE是一个在宽带网络中使用最广的协议,在数据中心Data Center会部署一台专门的认证硬件设备叫BARS,对访问的宽带用户进行控制,仅有通过认证的用户才能上网,并完成对此用户的流量、时间的记时记费,PPPOE是基于RFC2516标准协议实现的,对设备的要求很高,往往需要专门的认证硬件设备。而802.1X和Portal则投入要少得多,不过Portal是厂家私有协议,互通性低,不见得所有设备都能支持,而且用户连接性差,不容易感知用户的上下线情况,802.1X则是一种实现简单、认证效率高、安全可靠的认证方式,大大降低了数据中心Data Center安全的建设成本,这种认证在校园网应用非常普遍。
由此可见,数据中心Data Center的安全认证技术多达十几种,有针对访问用户的,有针对访问设备的,也有针对访问网络的,每一种认证技术都有其独有的特点。其实不管哪种认证技术,都是为数据中心Data Center安全服务的。通过部署这些认证技术,可以提升数据中心Data Center运行的安全性,防止数据中心Data Center的信息泄露。当然有了这些认证技术,数据中心Data Center也不一定是高枕无忧,总是有一部分恶意的人企图非法入侵数据中心Data Center。所以,数据中心Data Center安全需要警钟长鸣,仅仅掌握几种认证技术,部署几个安全设备是远远不够的。