教育考试虚拟计算平台构建和访问控制技术研究

文林彬 田永民 罗卓君

（湖南大众传媒职业技术学院 湖南 410100）

0 引言

《国家中长期教育改革和发展纲要（2010—2020年）》指出：“信息技术对教育发展具有革命性影响，必须予以高度重视。”同时指出要加强考试管理，完善专业考试机构功能，提高服务能力和水平。教育考试院作为专门的招生考试管理机构，主要工作就是管理招生、考试和服务招生、考试，近年来随着考试种类不断增加，考试规模不断扩大，招生考试机构的工作量也在不断增加，利用飞速发展的信息技术，是招生考试管理工作的一个重要的课题，虚拟化技术可以大力提升教育考试信息系统的计算能力，也能利用高校等机构已有的IT投资，是教育考试管理机构和高校值得探讨的领域。

1 教育考试虚拟计算平台架构设计

本平台架构主要完成“三网一库”为架构的教育考试信息化建设，即在考试院内部政务信息化方面建立招考管理系统，在外部建立为公众服务的系统。教育考试专网即办公业务资源网络以专网为基础建立无纸化办公平台，以及实现各级教育考试管理部门涉密信息共享。在内网、外网分别建立办公业务资源库，并在专网上有机组成办公资源库，最终形成一个基础设施统一、内外网物理隔离、专项业务系统逻辑上独立的教育考试信息业务体系。

教育考试信息内网（涉密网）与其它网络之间物理隔离，教育考试信息外网与教育考试信息网站及 Internet之间逻辑隔离，支持数据，语音和视频业务，承担相应的业务系统运行和信息交换，配备完善是指网络管理，设备管理和用户管理（认证，授权，策略）等功能，作为跨部门，跨地区业务系统的互联和资源共享的网络基础发挥作用。

教育考试信息应用系统是指围绕招生考试管理和公共咨询服务，利用外网平台提供的资源，以教育考试信息资源开发为主线，以教育考试信息资源目录体系与交换体系和网络信任体系为支撑，通过教育考试信息门户网站提供服务的外网平台应用系统体系。

平台服务器部署的多台服务器由应用服务集群、数据库集群组和辅助服务器群组成。应用服务集群由负载均衡服务器设备和运行应用服务程序的服务器群构成，为用户提供各项服务。数据库集群由若干高性能服务器构成，为前端应用提供数据存储、查询等服务。辅助服务器群由统计分析服务器、管理服务器等构成，提供系统管理、监测、统计分析等服务。服务器群采用虚拟集群的方式实际情况，在本文中，虚拟集群是由一个未安装虚拟化环境的管理节点和多个安装了虚拟化环境的计算节点组成的。虚拟机则部署在这些计算节点上。整个管理器由部署在虚拟集群管理节点的控制中心和部署在各个计算节点上的采集器组成。控制中心主要包括信息管理器、虚拟机装箱模块和虚拟机迁移模块。本架构在功能上划分为三个模块：虚拟集群监控模块、虚拟机装箱模块、虚拟机迁移模块。虚拟集群监控模块由部署在管理节点的信息管理器和部署在各个计算节点上的采集器组成，对虚拟集群进行实时监控，获取物理服务器和虚拟机的状态信息。具体如图1所示：

图1 教育考试信息虚拟计算机架构设计

2 虚拟计算平台访问控制

教育考试信息虚拟计算平台最重要的要求是建立一套安全访问控制手段，系统共有两类用户：一类用户我们称之为外部用户，如考生、区县考办、考点校、主考校、助学单位、银行就是外部用户，他们有个共同的特点就是要通过Interact来访问系统，并与系统发生相应的交互；而另一类用户我们可以称之为内部用户，如市考办等，这些内部用户是通过考试院内部网络来访问系统的。访问层是访问虚拟计算服务系统的入口。主要目标是提供便捷、透明的服务。本层主要面向用户和应用程序，可以借鉴已经成熟的访问控制与身份认证技术，认证技术采用双向认证，采用安全性较高的数字签名和证书甄别技术。通过客户端和服务器端认证后，采用安全通信通道进行数据访问与存储操作。接口层是访问程序访问虚拟计算平台存储系统的接口，访问程序根据统一的协议和接口参数进行编程。接口层的存在让访问程序的访问实现了跨平台性。

学校和教育考试院建立的各自虚拟计算机平台。平台为每个双方用户分配各自的虚拟计算资源（如虚拟机 VM）并通过VLAN等技术实现互联和安全隔离。虚拟计算平台资源管理器向各自数据中心的资源管理器开放接口，使得双方可以控制和管理云端属于自已的虚拟计算资源和虚拟网络资源。双方通过向电信网络提供商租用VPN实现内部IT资源与内部虚拟计算资源池的安全连接。电信网络提供商向用户开放接口，允许用户管理和控制属于自已的虚拟专用网络资源。从用户数据而角度，双方各自如同拥有独立的与外界隔离的计算和存储资源池。控制面上，数据中心的信息管理系统直接控制学校和教育考试院内的物理计算和存储资源，通过虚拟计算机平台开放的接口实现虚拟计算和存储资源的请求、创建、管理等功能。虚拟计算平台数据中心同样直接管理各自内部的物理网络资源，通过电信网络提供商开放的接口实现VPN的请求、创建、管理等功能。

通过基于虚拟专用局域网技术的 VPN 技术将分散的站点资源互联在一个虚拟 LAN 中，可以实现数据计算、存储资源间透明的、安全的、并且网络资源服务质量可保障的2层数据连接，并且还可以避免用户进行网络互联和安全方面繁琐的配置工作。尤其是当学校和考试院私有虚拟计算平台中需要增加新的资源站点或者需要进行虚拟资源在不同站点间进行动态迁移时，按照传统的 VPN 配置方式需要用户自行调整防火墙设置、更新路由表、重新配置应用程序的网络连接模块以适应新的网络拓扑等等，这一切将大大增加网络管理的复杂度，并降低企业虚拟私有云部署的灵活度。

3 总结

教育考试信息化建设是一个长期的过程，所有投资不能一步到位，采用虚拟化技术无疑使一种节约投资和效益最大化的重要手段。通过实施虚拟化技术为教育考试院等招考管理部门建立内部招考管理系统和对外的咨询服务系统提供了技术的可行方案，运用虚拟集群技术构建整个虚拟服务系统，将计算资源进行统一调度。在此基础上使用虚拟专网技术与高校招生平台实现安全对接，设计了VPN的自动配置方式，实现了用户的之间的安全隔离，进而提高了整个虚拟计算平台的安全性能。

[1]B.Berde，A.Chiosi，and D.Verehere，“Networks Meet the Requirements of Grid APPlications，”Bell Labs Technical Joumal，Vol.14，No.l，PP.173-183，2009.

[2]卢锡城，王怀民，第三作者（导师）.虚拟计算环境 iVCE：概念与体系结构[J].中国科学E辑，2006，36（10）：1081～1099.

[3]王汝传，易侃.分布式任务调度与副本复制集成策略研究.通信学报.2010.31（9）：94～01.

[4]伍文静，程耀东，汪璐等.面向本地分布式存储系统的动态副本策略.计算机工程与应用.2010.46（12）：21～24.