- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
Copyright © 2018 新华三技术有限公司及其许可者 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
随着产品虚拟化技术日渐普及,在一些中大型网络中,有大批量的虚拟和物理设备需要进行License授权,在此情况下,传统的从本地获取License并提供License授权的方式,已经不能满足安全性、易用性等需求。
H3C推出了License server产品,可向网络中的设备及应用提供集中的授权管理和分发服务,简化了用户的License授权过程、解决了动态业务授权控制等问题。
License server运行形态为独立的应用程序,操作管理、数据存储都在License server宿主机上完成,并提供安全计算、安全存储、加密通信等功能,向远端客户端提供位置无关的License授权管理服务。
我司授权申请和激活流程如图1所示。
License server系统由三部分组成:LicU、LicS和LMP,系统架构如图2所示。
系统架构各部分的说明如下:
· LicU:License client,表示向服务器申请/使用授权的客户端,如VCF Controller。
· LicS:License server,用来实现对授权的集中管理和分发。
· LMP:License Management Platform,授权管理平台,负责生成License激活文件。
· LK:License Key,授权码,用于生成设备的AK文件。
· AK:Activation Key,激活码,用于软件功能的激活。
· DID:Device Identity,设备标识,是设备的唯一标识。
· WEB:License server的可视化管理页面,在该页面可进行License文件的安装和系统参数的配置等操作。
License server是H3C推出的一款授权管理软件,具有集中管理授权、分发授权等功能,可以简化用户的License使用、解决动态业务授权控制等问题。其主要优点如下:
· 可独立运行于操作系统中,不依赖第三方软件
· 为网络中的客户端提供位置无关的授权管理服务
· 根据客户端的授权请求,可自动分配授权数据
· 支持授权与服务器硬件绑定,提高了系统防盗版能力
· 支持授权数据的HA备份,提高了系统可靠性
· 提供对授权的批量安装、卸载、导出等工具集
· 支持核心服务异常检测,并在状态异常时及时修复、记录日志
License server与客户端之间通过SSL协议进行通信交互,并提供涵盖四个层次的安全保障:传输安全、身份认证、日志审计和防盗版能力,为您打造最安全的授权管理软件。
· SSL
SSL(Secure Socket Layer,安全套接层)为Netscape所研发,用来保障数据在Internet上的传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与应用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两部分:
¡ SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP协议)之上,为上层协议提供数据封装、压缩、加密等基本功能的支持。
¡ SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,对通讯双方进行身份认证、协商加密算法、交换加密密钥等。
· Token
又称为令牌,包含License server用户的安全信息,唯一表示该用户、用户组和用户权限。系统使用令牌控制用户可以访问哪些安全对象。
License server对传输数据进行了加密处理,支持多套密钥,保障传输过程安全。
· 采用标准SSL协议进行数据封装传输
· 支持不同产品不同密钥能力
· 支持SSL/TLS协议协商
当客户端与License server建立连接时,需要建立SSL安全通道,具体步骤如下:
(1) 客户端向License server发送客户端的SSL协议版本号,加密算法种类等C/S间通信需求信息。
(2) License server向客户端发送包含认证信息和公钥的数字证书,客户端使用公钥加密对称密钥并发送至License server。
(3) 客户端和License server通过密文通信相互确认。至此,SSL安全通道完成建立,后续报文如用户登录、授权获取等的交互均建立在SSL安全通道基础上。
身份认证的安全作为License server安全接入中的重要一环,直接关系到系统的安全性。License server通过多种组合的安全身份检查,保证接入客户端安全。
· 支持用户名/密码认证
· 支持Token认证
· 支持用户密码增强功能
· 支持客户端、服务端随机数检查
客户端与License server完成SSL安全通道建立后,客户端需要使用用户名和密码发起Login请求,License server接收到请求报文后对其进行身份认证,认证通过后返回给客户端Token信息,后续客户端只需携带Token信息进行报文交互即可。
在创建用户密码时,系统要求密码有一定复杂度,以防止被轻易破解。此外,为加强通信的安全性,每次报文交互还会进行客户端和License server的随机数检查。
License server提供了丰富的日志信息,让您对远端接入的客户端访问情况了如指掌,做到所有访问行为有据可查。
· 支持操作日志、系统日志、诊断日志等多种类型,并可按条件查找
· 支持通过配置远端日志服务器,将日志信息保存至远端日志服务器
· 支持通过配置日志代理功能,将日志信息发送至指定的日志代理程序,由该程序进行日志的解析和处理,并发送至相应的日志服务器
License server将授权资源与服务器的硬件信息进行绑定,防止授权资源的非法迁移或克隆,提高系统防盗版能力。
License server可为网络中的客户端提供7*24小时不间断的授权服务。它响应客户端的授权申请,自动分配授权许可,并刷新可分配授权数量,记录授权使用时间。
在License文件安装时,License server授权管理模块会根据产品ID对授权资源进行分类管理。当客户端向License server申请授权时,License server的处理步骤如下:
(1) 根据客户端所属的产品类型在相应产品ID分类下查找授权资源。
(2) 根据授权申请报文中的授权名和数量,查找该产品分类的授权资源中是否存在符合要求的授权。
(3) 将符合要求的授权分配给客户端,并修改剩余数量。如果申请的是相对时间的license,则标记该资源被启用,开始计时。
授权释放有主动释放和被动释放两种方式,主动释放需要通过客户端发送授权释放请求报文来完成,被动释放则通过在License server管理页面执行强制释放操作来完成。
使用主动释放方式时,释放授权的步骤如下:
(1) 客户端向License server发送授权释放请求。
(2) License server根据授权释放请求报文中的Token查找该客户端对应的授权资源。
(3) License server根据授权释放报文中的授权名和数量,对授权资源进行回收,并修改已分配授权数。
(4) License server向客户端发送回应报文,告知授权已被回收。
使用被动释放方式时,释放授权的步骤如下:
(1) 在License server管理页面执行强制释放操作来释放指定授权。
(2) License server对该授权资源进行回收,并修改已分配授权数,然后在客户端发起的定时同步报文的回应中通知相关授权已被强制回收。
(3) 客户端同步刷新相应授权资源和计数。
License server内置定时检查模块,负责对License文件过期、客户端Token老化和授权资源老化等进行检查处理。
系统每隔1小时对使用中的License文件进行用时计数(单位为小时),当使用时间超出其有效期时,该License文件将被标记为过期,授权失效,并通过同步回应报文告知客户端。
系统每隔8小时对在线的客户端Token进行有效性检查,如果客户端超过24小时未能发送同步报文,则该Token将被标记为失效。当客户端恢复发送同步报文时,License server会通过同步回应报文告知客户端该Token已失效。
系统每隔8小时对已分配的授权资源进行有效性检查,如果授权资源超过24小时未被携带在客户端发送的同步报文中,则该授权资源将被标记为失效并回收。当同步报文中恢复携带该授权时,License server会通过同步回应报文告知客户端该授权已失效,客户端删除对应的失效授权。
· 当存在License文件过期、告警、授权资源强制回收等状态变化时,License server不能主动通知客户端,只能在客户端的同步回应报文中告知客户端,而客户端的同步报文发送存在一定的时间间隔,如VCFC每20分钟发送一次,NFV每8小时发送一次。因此,客户端的授权状态可能存在延时。
· 对于相对时间类型的License,一旦被客户端成功申请后便开始计时,即使该授权被客户端释放并被License server回收,其计时也不会停止。
· 卸载License server并不会清除之前安装过的授权数据,但会停止对使用时间的计时(只支持相对时间类型的License),当再次安装License server时,将重新恢复之前的授权数据和使用时间,并在此使用时间基础上继续计时。
客户端向License server申请并获取授权后,License server会记录该客户端的授权分配情况。客户端每隔一段时间会向License server发送同步报文,用来对状态信息进行同步。
License server对同步报文的处理如下:
(1) License server收到同步报文后,会对报文的合法性进行检查,检查通过后,对同步报文进行回应确认,否则不予回应。
(2) 如果License server超过24小时没有收到来自客户端的同步报文,则会将该客户端Token标记为过期,并对相应的授权进行回收。
如果客户端因网络故障长时间不能收到License server的同步报文回应,对于不同的产品,客户端可继续使用业务功能或关闭业务功能,如VCFC和NFV产品可以继续使用30天。
当网络故障恢复后,License server会在回应报文中告知该客户端因超时被老化。此时,客户端需要重新向License server发起注册并重新请求所需授权。在重新申请授权期间,对于不同的产品,客户端可将原有业务功能关闭或保持原有业务的正常运行,如VCFC在重新申请授权期间原有业务可以正常运行。
License server作为一款授权管理软件,一旦发生故障就可能造成因授权中断而导致的业务受限。因此,为了减少甚至消除故障对业务可用性造成的影响,在部署License server时,通常需要使用HA(High Availability,高可靠性)技术来提高系统的稳定性和可靠性。
我司HA技术实现主要基于Keepalived + Redis架构,并能支持100K客户端接入的高并发场景。
安装于不同物理服务器的两台License server分别以主备模式运行,由Redis数据库实现数据备份。在主备模式下,License server的DID信息由主备两台服务器的硬件信息共同生成,并作分布式同步,主备倒换后原有授权不受影响。
主备服务器上的Keepalived进程通过心跳机制监控主备License server的状态,一旦主License server发生故障,备License server的Keepalived进程便会感知,并将备License server切换为主,继续通过虚拟IP对外提供服务,主备倒换的过程如下:
(1) HA功能配置成功后,License server使用虚拟IP与客户端建立连接并提供授权服务,如图3所示。
图3 左侧License server为主并提供授权服务
(2) 主License server故障后,备License server切换为主,继续使用虚拟IP对外提供服务,此时客户端不感知变化,如图4所示。
图4 右侧License server为主并提供授权服务
(3) 原主License server恢复后,将以备License server的身份运行,如图5所示。
图5 右侧License server继续为主并提供授权服务
(1) 本章节的HA功能不是必须配置项,License server允许以单机模式运行。但为了防止因单点故障导致授权功能中断,推荐您开启该功能。
(2) 当前版本HA方案仅支持两台License server。
(3) 当其中一台License server服务器出现故障时,可使用新的服务器将其替换,新服务器的IP地址必须与原服务器的IP地址一致。
(4) 单机模式下,一旦更换License server服务器,则需要使用新服务器的DID信息重新申请License。HA模式下,如果更换了其中一台服务器,则License server的DID信息会由新加入服务器和原服务器的硬件信息共同生成,原来申请的License可继续使用。
License server对VCFC产品进行授权的组网环境,如图6所示。
图6 VCFC集群与License server组网
用户需要先建立VCFC集群,待集群稳定后,在集群主Leader的License管理页面配置与License server建立连接,并获取授权。
在集群环境中,集群其他成员授权数据由主Leader统一管理,成员无需再向License server请求授权。当出现主备倒换时,新Leader会自动与License server重新建立连接,并负责对集群其他成员的授权数据进行管理,期间业务功能不受影响。
License server对VNF产品进行授权的组网环境,如图7所示。
图7 VNF与License server组网
在该组网环境中,每台VNF设备都需要与License server建立连接,以获取授权。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
