企業網D1Net 8月29日數據中心一方面要大力發展，吸引更多的用戶訪問，獲取利益，尤其是對外提供各種服務的數據中心。另一方面又要防止數據中心的信息被人盜取或泄露，所以隨著數據中心安全問題越來越引起人們的關注，很多關于數據中心安全的技術也如雨后春筍般出現了。本文將著重介紹一些數據中心常用的安全認證方法，對訪問的用戶進行管理與控制，達到保護用戶隱私，防止信息被泄露，那么數據中心常用的有哪些認證方式呢？本文將從根據自己掌握的積累經驗，逐一道來。

在平時的生活中，我們經常要使用網銀，其實網上銀行就采用了幾種認證技術，當我們登錄自己的用戶時，只有認證通過后才可以訪問。銀行的數據中心包括前臺和后臺兩大部分，前臺部分就是面向用戶的一些網頁終端和多媒體設備（存取款機），后臺就是數據處理部分。只有通過前臺的認證才能訪問后臺的數據信息。常用的認證技術分為靜態認證和動態認證。靜態認證技術指的是通過用戶自己設定的一串靜態數據，靜態密碼來認證，一旦用戶注冊完成后，除非用戶自己更改，否則將保持不變。這種方式簡單，但是安全性最低，只能通過定期的更改密碼來提高安全性，這種技術簡單容易遭受各種形式的安全攻擊。另外一種是動態認證，動態認證是每次登錄都要輸入密碼，每一次都不同。可以通過短信密碼、動態口令牌、手機令牌等幾種方式獲取，用戶通過身份證、個人郵箱等信息登錄，然后數據中心會將密碼發到用戶的手機上，用戶輸入收到的密碼才能完成身份認證，從而確保系統身份認證的安全性，這種方式在網上銀行中有最廣泛的應用。近幾年又出現了一種USB Key證書密鑰認證，這種方式由于安全級別最高，在銀行行業里得到了廣泛使用，農行的K寶，工行的U盾都是基于這種認證技術。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USB Key內置的公鑰算法實現對用戶身份的認證。USB Key就像是數據中心信息大門的一把鑰匙，當然是做過加密的，只有正確的人使用正確的鑰匙才能把門打開，這是當今安全性比較高的用戶認證方式。

除了動態和靜態認證之外，還有數字證書認證，這種認證方式需要在服務器設備上安裝服務器證書，然后用戶的瀏覽器可以與服務器證書建立SSL連接，在SSL連接上傳輸任何數據都會被加密，在服務器和用戶之間分別由可信的第三方CA認證中心頒發數字證書，這樣在訪問的時候，雙方可以通過數字證書確認對方身份，解決網上交易可能存在的詐騙、泄密、篡改、惡意攻擊等問題，使得網上交易和面對面交易一樣安全，而銀行往往是充當第三方CA認證的機構，所以我們在辦理股票帳戶或者支付寶帳戶都需要到銀行去辦理，才能開通網上交易，由銀行來確保交易的安全。最最安全的恐怕是安全VPN的技術，其利用安裝在數據中心VPN路由器、防火墻等網絡設備上的數字證書，在VPN的數據傳輸中解決認證、機密、完整等問題，是最安全的一種認證方式，整個訪問過程完全和別人隔離開，相當于數據中心給此用戶開了一個安全通道，不會受到外界的任何干擾。

除了這些訪問用戶，對于數據中心內部的設備同樣也是有訪問控制，可以在這些設備上設置動態密碼和靜態密碼，可以做本地認證，也可以做遠程認證。具體很有不少的實現協議，比如：Raduis、TACAS、TACAS+認證等，Raduis和TACAS都是IETF的標準化協議，思科在TACAS基礎上開發了TACAS+協議，這些認證協議都是成熟的網絡技術，在數據中心網絡設備上有著廣泛應用。為了配合實現Raduis/TACAS認證，一般還需要在數據中心里部署ACS或者其它服務器，專門用來做認證訪問控制，當有用戶訪問設備時，流量會先到認證服務器，只有通過服務器認證，用戶才能操控設備。當服務器故障時，默認轉為本地認證，即采用設備上的密碼進行認證，做兩級防護。數據中心對于寬帶網絡用戶一般采用：PPPOE、802.1X、Portal等協議完成用戶認證。平時我們在家上網，都需要通過認證才能訪問互聯網，實際上就是通過這三種認證技術完成的，PPPOE是一個在寬帶網絡中使用最廣的協議，在數據中心會部署一臺專門的認證硬件設備叫BARS，對訪問的寬帶用戶進行控制，只有通過認證的用戶才能上網，并完成對此用戶的流量、時間的記時記費，PPPOE是基于RFC2516標準協議實現的，對設備的要求很高，往往需要專門的認證硬件設備。而802.1X和Portal則投入要少得多，不過Portal是廠家私有協議，互通性低，不見得所有設備都能支持，而且用戶連接性差，不容易感知用戶的上下線情況，802.1X則是一種實現簡單、認證效率高、安全可靠的認證方式，大大降低了數據中心安全的建設成本，這種認證在校園網應用非常普遍。

由此可見，數據中心的安全認證技術多達十幾種，有針對訪問用戶的，有針對訪問設備的，也有針對訪問網絡的，每一種認證技術都有其獨有的特點。其實不管哪種認證技術，都是為數據中心安全服務的。通過部署這些認證技術，可以提升數據中心運行的安全性，防止數據中心的信息泄露。當然有了這些認證技術，數據中心也不一定是高枕無憂，總是有一些惡意的人企圖非法入侵數據中心。所以，數據中心安全需要警鐘長鳴，僅僅掌握幾種認證技術，部署幾個安全設備是遠遠不夠的。