2020年第6期
信息通信 2020(总第 210 期)
INFORMATION  & COMMUNICATIONS
(Sum. No  210)
内蒙古联通VOLTE 云平台的结构及信息安全防护研究
周志强,张铁钢.赵柏楠,李江平
(内蒙联通网络管理中心,内蒙古呼和浩特010020)
摘要:内蒙古联通VOETE 的IMS 功能网元使用云平台搭建,使用云平台提供核心网应用功能在内蒙古属于首次部署,
IT 与IC 融合叹技术革新•的方式正在加速推进中;这种IT 与IC 融合方式的通信技术,在维护方式及维护能力的转变中,
给我们现有的维护人员带来非常大的压力与挑战。文章首先从云平台的内部软件结构开始论述各种软件在
云平台上的
作用,并展示如现有网元MME 、HSS 、DNS 等网元在云平台上的部署方法,然后针对及如何进行信息妥全防护,论述防 护方式及要点。
关键词:云平台;VOLTE ;虚机中图分类号:F626
文献标识码:A
文章编号:1673-1131(2019 )06-0235-04
1概述
U 与IC 融合以技术革新的方式正在加速推进中;根据技
术发展需求,2018年内蒙古联通VOLTE 网络V-IMS 功能网 元使用云平台搭建,用云平台提供核心网应用功能在内蒙古 属于首次;这种IT 与IC 融合方式的通信技术,在维护方式及
维护能力的转变中,给我们现有的维护人员带来非常大的压 力与挑战。本文首先从云平台的内部软件结构开始论述各种 软件在云平台上的作用,并展示如现有网元MME 、HSS 、DNS
等网元在云平台上的部署方法,然后针对及如何进行信息安 全防护,论述防护方式及要点。
2 VOLTE-IMS 功能网元使用云平台搭建
2.1 OpenStack 云平台部署软件简介
首先搭建运营商级别的云平台,大部分会选用一种叫
OpenStack 的云平台部署软件。OpenStack 是一^由NASA
(美国国家航空航天局)和Rackspace 合作研发并发起的,以
Apache 许可证授权的自由软件和开放源代码项目。这个Open-
Stack 的云平台部署软件之所以能够发展迅速,关键在于它是
一套开源软件,使用者可以在其开源主代码下,自由开发其新 版本的OpenStack 云平台部署软件,所以它像LINUX  一样风
靡全球,并发展迅速。
Your  Applications
Standard  Hardware
OpenStack 通过一组相关的服务提供IaaS 解决方案
图]OpenStack 架构示意图
现在我们内蒙古的VOETE 的IMS 网元就是部署在基于
OpenStack 的云平台部署软件上的核心网。首先我们先了解
-下OpenStack 云平台部署软件大概结构。
OpenStack 是一个开源的云计算管理平台项目,由计算
节点(compute)、网络节点(Networking)、存储节点(Stor ­
age) 三个主要的组件及其它辅助组件组合起来完成具体工
作。OpenStack 支持几乎所有类型的云环境,具有可以提供
实施简单、可大规模扩展、丰富、标准统一的云计算骨理平台 等优点。
OpenStack 通过各种互补的服务提供了基础设施即服务
(IaaS)的解决方案,每个服务提供API 以进行集成°OpenStack
是一个旨在为公共及私有云的建设与管理提供软件的开源项 目o 它的社区拥有超过130家企业及1350位开发者,这些机
构与个人都将OpenStack 作为基础设施即服务(IaaS)资源的 通用前端。OpenStack 项目的首要任务是简化云的部署过程
并为其带来良好的可扩展性。本文希望通过提供必要的指导
信息,帮助大家利用OpenStack 前端来设置及管理自己的公共 云或私有云。
2.2内蒙古VOETE-IMS 的Openstack 云平台硬件构成
内蒙古VOLTE-IMS 的Openstack 云平台硬件的计算能 力单元是使用Nokia 的AirFrame 小型机构成,设置在一枢纽、 二枢纽两个枢纽楼内,配置虚拟网元NM_HHHT_TAS1、NM_
HHHT_TAS2、NM_HHHT_CSCFk  NM_HHHT_CSCF2 共计
四套。
rxmKii  a .
All-frame
收稿日期:202805-28
作者简介:周志强(1978-),男,研究生学历,高级工程师,2007年6月至今在中国联通内蒙古分公司从事IMS 、VOLTE 核心网维护工作;张
铁刚(1974-),男,本科学历,高级工程师,199?年8月至今在中国联通内蒙古分公司员责网管中心管理工作;赵柏楠(1978-),男,本科学历,
中级工程师,2000年8月至今在中国联通内蒙古分公司从事移动核心网维护工作;李江平(1986J ,女,研究生学历,中级工程师,2004年6 月至今在中国联通内蒙古分公司从事移动核心网维护工作。
235
UnderClood
交 U MflSwrtches
田M15点 Ccntrollei- Nodes
IP 承载网
图3内蒙古VOLTE-IMS 的OpenStack 云平台硬件组网实际上整个内蒙古VOLTE-IMS 云平台硬件结构看起来
非常简单,每个枢纽楼配置12台AirFmme 小型机,并构成
VOLTE-IMS 云平台计算能力,AirFrame 小型机上安装Cen-
tos7.0的Linux 操作系统,并配置一套Storage 作为存储单元,
外部接口配置一对交换机(Switches 〉作为所有设备的Net-
work  (Neutron),用于提供网络连接服务,交换机对夕卜连接IP
承载网。
2.3内蒙古VOLTE-IMS 的Openstack 云平台软件组件构成
以下是一些 OpenStack 的更亜构成部分:
Open  S3
成部分
Service
Proje«
Compute
Nova Object  Storage
Swift
Block  storage Cinder Image  service
Glance Identity  service Keystone
Dashboard
Horizon Networking
Neutron
图4内蒙古OpenStack 重要构成
H O 2N O N
Hypervisor
BARBICAN
酋 KEYSTONE
頰 HEAT
/ VITRAGE
Compute
*
NOVA Stock  Storage
CINDER Image
GLANCE
Object Starsge
⑥c 印h
T E L E M E T R Y
图5内蒙古OpenStack 软件模块构成结构
OpenStack 目前共涵盖了七个核心组件,分别是计算
(Compute)、对象存储(Oljject  Storage)、认证(Identity)、用户界
面(Dashboard) > 块存储(Block  Storage)、网络(Network)和镜
像服务(ImageService).每个组件都是多个服务的集合,一个 服务意味着运行着的一个进程。具体每个组件功能介绍如下:
(1) Compute  (Nova) Compute  的项目代号是 Nova,它根
据需求提供虚拟机服务,比如创建虚拟机或对虚拟机做热迁 移等。
(2) Object  Stomge(Swift)它允许存储或检索对象,也可以
认为它允许存储或检索文件,它能以低成本的方式通过REST-
fol  API 管理大量无结构数据。⑶Block  Storage(Cindcr)提供块存储服务;
⑷Identi® (Keystone)为所有OpenStack 服务提供身份验
证和授权,跟踪用户以及他们的权限,提供一个可用服务及
API 列表。
(5) DashBoard(Harizan)它为所有 OpenStack  的服务提供
一个模块化的基于Qjang 。的界面,通过这个界面,不论是最终 用户还是运维人员都可以完成大多数的操作,比如启动虚拟
机,分配IP 地址,动态迁移等。
(6) Network(Neutron)用于提供网络连接服务,允许用户
创建自己的虚拟网络并连接各种网络设备接口。
(7) Image  Service  (Glance)提供一个虚拟机镜像的存储、
査询和检索服务,通过提供一个虚拟磁盘映像的目录和存储
库,为Nova 虚拟机提供镜像服务。
2.4内蒙古OpenStack 云平台提供服芻的方式
360云平台
整个云平台的服务是以各种各样的进程来实现的,在
OpenStack 里面统称为instance,或者叫做各种各样的实例。所
有的服务,比如内蒙古联通的NM_HHHT_TASkNM_HHHT_
TAS2、NM_HHHT_CSCF1、NM_HHHT_CSCF2 四个网元,在
OpenStack 宣面以文件存在,四入网元菖是四个文件;当四个
文件运行起来后,就叫做实例(instance),类似WINDOWS 里
面的进程运行的概念。
云平台的服务方式有三种第一种方式IaaS (基础架构即服
务),通过网络提供“基础的计算资源",包括处理能力、存储空 间、网络等,用户能从申请到硬件或虚拟硬件,包括裸机(Bare
Metal)或虚拟机,然后在上面安装操作系统或其他应用程序。
第二种方式PaaS (平台即服务〉,把计算环境、开发环境等平台 作为一种服务通过网络提供给用户。用户能从中申请到一个
安装了操作系统以及支撑应用程序运行所需要的运行库等软 件的物理机或虚拟机,然后在上面安装其他应用程序,但不能
修改已经预装好的操作系统和运行环境。第三种方式SaaS  (软件即服务),通过网络,为用户提供软件及应用程序的一种
服务方式。应用软件安装在厂商或者服务供应商那里,用户
可以通过网络以租赁的方式来使用这些软件,而不是购买,比 较常见的模式是提供一组账户密码。
内蒙古VOLTE-IMS 的OpenStack 云平台,实际上只是一 个运营商内部云系统,使用用户只有IMS 网络,IMS 网络进入 云平台按照VOLTE-IMS 方式调用NM_HHHT_IAS1、NM_
HHHT  TAS2, NM_HHHT_CSCF1、NM_HHHT_CSCF2 四个
虚机贏,以及在衣四个就上搭载的亚务进疵通过信令流
程消息的1P 化,传输在物理层面,而整个物理层面网络出入口
只有Network  (Neutron)的Switch 出口。在这种架构里面,
OpenStack 云平台的服务方式包含两种方式:第一种方式IaaS
(基础架构即服务)及第二种方式PaaS (平台即服务)。
2.5 OpenStack  的安裝
安裝OpenStack 首先需要安装一个Master 节点,Master
节点只是用于安装OpenStack 的,我们还必须创建至少2个节
点,用于搭建OpoiStack,这2个节点就是Controller 和Com ­
pute, 以后还可根据需要添加 Storage  等节点。 以上的Master
节点仅仅是Fuel 软件安装时的管理节点,实际上这不是Open-
Stack 定义的节点,真正的OpenStack 节点是controller 和com ­
pute  等节点。配置2块网卡,连接选择X-netl 和X-net2网络,
不需要设置从光驱启动,而是从网络启动(PXE),
236
New VM
图6内蒙古OpenStack软件节点安装
Zew VM
按照上述截图往复,可以相应安装Master节点、Controller 和Compute节点,最后形成类似如下图节点,在这里讲述安装过程,不是为了解释如何安装OpenStack,而是为了后面分析信息安全防护。
Virtual Machine Manager口X File Edit View Help
1Open
Marne
▼QEMU/KVM
Running
A-contrailler
Running
A-ma5ter
Running
CPU IK會
图7内蒙古OpenStack软件节点安装
图10内蒙古OpenStack软件节点安装
3内蒙古OpenStack信息安全防护研究
3.1内蒙古OpenStack云平台Master节点安全防护
OpenStack云平台控制结构可以分为Master(主节点)、Controllerf控制节点)。Master节点仅仅是Fuel软件安装时的管理节点,实际上这不是OpenStack定义的节点,真正的Open-Stack节点是Controller和Compute等节点。但是根据图1IMaster节点是可以从内网以admin超级用户身份登录Con­troller和Compute等节点的。
Zew VM
Choose Memory and CPU s皀ttings
Memory(RAM):4096—+I MiB
Up to9&5O9MiB awaii£bLe on tne host CPUs:|(4—4-
Up to N A
Cancel Back Forward
Now VM
图8内蒙古OpenStack软件节点安装
图9内蒙古OpenStack软件节点安装
图11内蒙古OpenStack控制结构
根据图1IMaster节点是可以从内网以admin超级用户身份登录Controller和Compute等节点的,实际上如果从Master 节点SSH进入Controller和Compute等节点时,在OpenStack 认为很多操作是可信的,无需进一步验证,Master节点可以增加Controller和Compute等节点,当然也可以删除它们所有节点,当所有节点被删除后,就意味着整个云平台的功能丧失。从信息安全角度讲,Master节点的用户名密码将变的非常重要,一旦被泄露,将会有整个内蒙古VOETE-IMS的OpenStack 平台被黑的凤险。所以该密码一定要在平台建立后尽快修改原始密码,并按照联通集团密码维护规范要求经常修改。
3.2内蒙古OpenStack仪表板(Dashboard)的信息安全防护
OpenStack还可以使用OpenStack仪表板(Dashboard)登录控制整个云平台;这个登录用户名及密码与Master节点用户名密码是两回事。
237
不能见到内部IP,这样杜绝外部网络对VOLTE4MS云平台进
行攻击的可能性。需要加装防火墙确保安全。
ContraUw hfodofB)Ccmp^rta}Sioraga
图12内蒙古OpenStack仪表板
OpenStack仪表板(Dashboard)可以新增虚拟机,像NM_
HHHT—IASl、NM_HHHT_TAS2>NM_HHHT_CSCFU NM_
HEfflT_CSCF2㈣个虚拟机的功能就应这里南Project下苗
instance里面添加的,上述四个IMS网元实际就是云平台里面
的四个运行的实例,在这里添加和删除一个虚拟机将变得非
常容易。如图13中TestVM代表在内蒙古VOLTE-IMS云平
台运行的NM_HHHT_IAS1、NM_HHHT_TAS2、NM_HHHT_
CSCFK NM_HHHT_CSCF2的一个虚拟机,本文为防止泄密
只象征性配冠了一禾代表性的虚拟机TestVM,如果想对任何
一个虚拟机进行重启、删除、添加将是轻而易举的事。
Q openstack
Instances
Instances-"Q-*1—*—
1iMMftM-#K*f AvalltMHh
MWM枷«WMI ZOM TH*»Ml(**"4AMWfr
1rwiamt
N»uma
Instances
图13内蒙古OpenS城k仪表板増加删除虚拟机
从信息安全角度讲,OpenStack仪表板(Dashboard)用户名密码也是非常重要的,虽然不能像Master节点
一样删除Controller和Compute等节点,但也可以随意删除、启动、新增各种Project下的虚拟机,所以该密码也一定要在平台建立后尽快修改原始密码,并按照联通集团密码维护规范要求经常修改。
3.3内蒙古OpenStack网络的信息安全防护
从信息安全角度讲,建立网络结构时,为确保安全,在与非VOETE-1MS云平台节点对接时一定要使内网IP不可见,要设置浮动EP;非VOLTE-IMS云平台网络只能见到浮动CP,
图14内蒙古OpenStack防护要点图示
在图14可以看到OpenStack信息安全防护首先要从外部网络入口开始,建议建立除防火墙阻挡外部攻击外,建议在与
外部网相连的的接口VM_1下曾配IPtable防护列表,做二次防护,例如图15:
图15内蒙古OpenStack防护要点图示
为防止信息泄露,上图只是示例,IP地址也进行了隐藏处理,非完整真实网络内配置;上图中将正在使用的IP的进行了ACCEPT处理,对其它不在用IP及端口进行DROP处理,确保外部网络接口不被攻击;现在我们掌握的信息看,首先要防护OPSIACK平台MASTER用户名密码,尤其root账户口令,要至少8位复杂密码;有条件的情况可以将OPSIACK平台MASTER维护口隔离,不允许远程访问。
4结语
VOLTE云平台安全防护是一个全新课题,需要逐步深入分析研究,主要是挑战是实体系统及云化系统两层均需要进行细致防护,和以前只防护实体有较大区别,而且OPENS­TACK本身是国外开发,多数内部端口不可见;部分国内厂家只是简单包装后做了自己的应用加载,多数也不清楚内部防护做法,所以安全防护还需逐步深入了解逐步防护。
参奢文献:
]
]
]
]
1
2
3
4
r
L
r
L
[
[
(OpenStack介绍》,NOKIAEDU.
《云计算管理>,NOKIAEDU.
<CB00303_V_l850_StudentHandout^,NOKIAEDU.
<CB00309-V-K-l850-SG-R_l8.5-Edl-Student_CBND-Description CEPDF»,NOKIAEDU.
238