在過(guò)去的幾年中，Internet得到了迅猛的發(fā)展，全世界每天都有成千上萬(wàn)的主機(jī)連入Internet。Internet的網(wǎng)絡(luò)規(guī)模急劇膨脹，不僅供應(yīng)商開(kāi)始利用它開(kāi)拓電子商務(wù)等商業(yè)應(yīng)用，許多政府機(jī)構(gòu)也連入了Internet。軍事通信領(lǐng)域的Internet應(yīng)用也已開(kāi)展。計(jì)算機(jī)網(wǎng)絡(luò)和Internet的廣泛普及引起了人們對(duì)網(wǎng)絡(luò)安全問(wèn)題的普遍關(guān)注，這其中一個(gè)主要的安全問(wèn)題就是如何有效地控制成千上萬(wàn)的用戶對(duì)網(wǎng)絡(luò)的各個(gè)組成部分和資源所進(jìn)行的訪問(wèn)。顯然，不能相信所有的用戶都能正確、合法地使用網(wǎng)絡(luò)，這就有必要進(jìn)行適當(dāng)?shù)脑L問(wèn)控制，最基本的要求就是采用確定的機(jī)制對(duì)通信實(shí)體和網(wǎng)絡(luò)用戶進(jìn)行可靠的認(rèn)證和控制。

隨著Internet的快速發(fā)展，Intranet作為因特網(wǎng)技術(shù)運(yùn)用于單位、部門(mén)和企業(yè)專用網(wǎng)的產(chǎn)物，也得到迅速普及發(fā)展。Intranet并非是地域上的概念，而是在信息空間上的虛擬網(wǎng)絡(luò)概念，如一個(gè)國(guó)家外交系統(tǒng)的內(nèi)域網(wǎng)用戶可能分布全球。它在原有專用網(wǎng)的基礎(chǔ)上增加了服務(wù)器、服務(wù)器軟件、Web內(nèi)容制作工具和瀏覽器，與因特網(wǎng)連通，從而使內(nèi)域網(wǎng)充滿了生機(jī)和活力。內(nèi)域網(wǎng)為公司和單位信息的散播和利用提供了極為便利的條件。瀏覽器為網(wǎng)上用戶提供信息，服務(wù)器對(duì)網(wǎng)絡(luò)進(jìn)行管理、組織和存儲(chǔ)信息，并提供必要的安全服務(wù)。通常情況下，Intranet中則存有大量的單位內(nèi)部的敏感信息，具有極高的商務(wù)、政治和軍事價(jià)值。因此，Intranet是一種半封閉甚至是全封閉的集中式可控網(wǎng)，其安全保密是至關(guān)重要的，要保證內(nèi)域網(wǎng)不被非法入侵和破壞，網(wǎng)中的敏感信息不被非法竊取和篡改，同時(shí)還要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通，向他們提供應(yīng)有的服務(wù)。這些安全業(yè)務(wù)都需要一個(gè)完善的接入控制機(jī)制。

1 網(wǎng)絡(luò)安全接入控制技術(shù)概述

接入或訪問(wèn)控制是保證網(wǎng)絡(luò)安全的重要手段，它通過(guò)一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪問(wèn)，在對(duì)主體認(rèn)證之后實(shí)施網(wǎng)絡(luò)資源的安全管理使用。

通常，我們認(rèn)為計(jì)算機(jī)系統(tǒng)中有3類入侵者：

偽裝者(Masquerader)：非法用戶，喬裝合法用戶滲透進(jìn)入系統(tǒng)，一般來(lái)自系統(tǒng)外部；

違法者(Misfeasor)：合法用戶，非法訪問(wèn)未授權(quán)數(shù)據(jù)、程序或資源，一般來(lái)自系統(tǒng)內(nèi)部；

地下用戶(Clandestine user)：掌握了系統(tǒng)的管理控制，并利用它來(lái)逃避審計(jì)和接入控制或抑制審計(jì)作用，可能來(lái)自系統(tǒng)的外部或者內(nèi)部。

針對(duì)以上3類入侵攻擊，接入控制基本功能包括以下3個(gè)：阻止非法用戶進(jìn)入系統(tǒng)；允許合法用戶進(jìn)入系統(tǒng)；使合法用戶按其權(quán)限，來(lái)進(jìn)行各種信息活動(dòng)，不得有越權(quán)行為。

實(shí)現(xiàn)安全的網(wǎng)絡(luò)接入控制的機(jī)構(gòu)模型組成如圖1所示。該模型包括兩部分：

用戶的認(rèn)證與識(shí)別；

對(duì)認(rèn)證的用戶進(jìn)行授權(quán)。

接入控制實(shí)現(xiàn)模型的建立主要是根據(jù)如下3種類型的信息：

主體(Subjects)：是對(duì)目標(biāo)進(jìn)行訪問(wèn)的實(shí)體。主體可以是用戶、用戶組、終端、主機(jī)或者是一個(gè)應(yīng)用程序。

客體(Objects)：是一個(gè)可接受訪問(wèn)和受控的實(shí)體。它可以是一個(gè)數(shù)據(jù)文件、一個(gè)程序組或一個(gè)數(shù)據(jù)庫(kù)。

接入權(quán)限：表示主體對(duì)客體訪問(wèn)時(shí)可擁有的權(quán)利。接入權(quán)要按每一對(duì)主體客體分別限定，包括讀、寫(xiě)、執(zhí)行等。讀、寫(xiě)權(quán)含義明確，而執(zhí)行權(quán)是指目標(biāo)為一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。

概括地講，實(shí)現(xiàn)安全接入控制的策略包括：

最小權(quán)益策略：按主體執(zhí)行任務(wù)所需權(quán)利最小化分配權(quán)力；

最小泄露策略：按主體執(zhí)行任務(wù)所知道的信息最小化的原則分配權(quán)力；

多級(jí)安全策略：主體和客體按普通、秘密、機(jī)密、絕密級(jí)劃分，進(jìn)行權(quán)限和流向控制。

2 網(wǎng)絡(luò)安全接入控制技術(shù)的實(shí)現(xiàn)

下面從兩個(gè)角度討論網(wǎng)絡(luò)安全接入控制技術(shù)的實(shí)現(xiàn)。圖2給出了一個(gè)簡(jiǎn)單的接入控制的實(shí)現(xiàn)框圖。從工作方式上，網(wǎng)絡(luò)接入控制的實(shí)現(xiàn)可分為如下兩類：

(1)自主式網(wǎng)絡(luò)接入控制

也稱辨別接入控制，簡(jiǎn)記為DAC。它由網(wǎng)絡(luò)資源擁有者給用戶分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制。每個(gè)用戶的接入權(quán)由網(wǎng)絡(luò)系統(tǒng)的管理者事先建立，常以接入控制表或權(quán)限表來(lái)實(shí)現(xiàn)。這一方法靈活，便于合法用戶訪問(wèn)相應(yīng)的數(shù)據(jù)，在安全性要求不高的網(wǎng)絡(luò)環(huán)境下可采用。但如果系統(tǒng)管理員疏于管理或者接入控制策略設(shè)置有誤時(shí)，就會(huì)危及到網(wǎng)絡(luò)系統(tǒng)和資源的安全。因而，DAC容易受到攻擊。

(2)強(qiáng)制式網(wǎng)絡(luò)接入控制

簡(jiǎn)記為MAC。它由網(wǎng)絡(luò)系統(tǒng)管理員來(lái)分配接入權(quán)限和實(shí)施控制，易于與網(wǎng)絡(luò)的安全策略協(xié)調(diào)，常用敏感標(biāo)記實(shí)現(xiàn)多級(jí)安全控制。由于它易于針對(duì)所有用戶和資源實(shí)施強(qiáng)化的安全接入策略，因而有較高的安全保障。

另外，針對(duì)不同的應(yīng)用環(huán)境，網(wǎng)絡(luò)接入策略也有不同應(yīng)用模式。下面分別介紹目前有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)環(huán)境下，主要的網(wǎng)絡(luò)安全接入技術(shù)的實(shí)現(xiàn)。

(1)有線網(wǎng)絡(luò)系統(tǒng)中的安全接入控制技術(shù)

在有線網(wǎng)絡(luò)系統(tǒng)中，通常情況下安全接入控制技術(shù)都是與防火墻技術(shù)結(jié)合使用，來(lái)保障一個(gè)Intranet的內(nèi)部資源不被非法用戶獲得，同時(shí)給合法用戶提供合理的Internet接入服務(wù)。下面結(jié)合一個(gè)有線網(wǎng)絡(luò)環(huán)境的實(shí)例（如圖3所示），來(lái)說(shuō)明如何使用網(wǎng)絡(luò)接入控制來(lái)實(shí)現(xiàn)Intranet到Internet的接入安全管理。

在圖3中，虛線以下構(gòu)造了一個(gè)Intranet，其中兩處為網(wǎng)絡(luò)接入控制點(diǎn)，分別說(shuō)明如下：

1接入控制點(diǎn)1即Intranet與Internet的連接點(diǎn)，該處的接入控制功能通常由防火墻完成。由于控制點(diǎn)1直接與Internet連接，其受到入侵攻擊和非法接入的可能性最大，因而也是最危險(xiǎn)的位置。下面以屏蔽子網(wǎng)模式的防火墻配置為例，說(shuō)明接入控制點(diǎn)1的網(wǎng)絡(luò)接入控制安全要求有：

允許所有用戶的電子郵件業(yè)務(wù)（SMTP）；

允許DNS查詢；

允許Intranet內(nèi)的局域網(wǎng)用戶有限制地訪問(wèn)Internet；

控制外部的IP與內(nèi)部主機(jī)的直接連接；

根據(jù)外部主機(jī)使用者的身份分配臨時(shí)訪問(wèn)權(quán)限，并給出訪問(wèn)地址權(quán)限列表；

根據(jù)黑名單地址，屏蔽所有可疑的連接請(qǐng)求；

負(fù)責(zé)入侵審計(jì)和追蹤，記錄所有與安全相關(guān)的網(wǎng)絡(luò)活動(dòng)。

2接入控制點(diǎn)2即為撥號(hào)用戶或DDN和ISDN接入的用戶提供的接入服務(wù)。這里通常有兩種情況，即對(duì)Internet的接入和對(duì)內(nèi)部資源的接入。其安全接入策略包括：

對(duì)于撥號(hào)用戶，接入服務(wù)器通過(guò)用戶口令確定用戶身份，從而提供相應(yīng)的接入業(yè)務(wù)。另外，接入服務(wù)器采用回?fù)芗夹g(shù)確保用戶身份的有效性。

對(duì)于DDN或ISDN的用戶，通過(guò)捆綁邏輯IP地址與實(shí)際的MAC地址，實(shí)現(xiàn)面向主機(jī)的用戶身份認(rèn)證，并提供相應(yīng)的接入業(yè)務(wù)。

根據(jù)撥號(hào)用戶的身份分配臨時(shí)訪問(wèn)權(quán)限，并給出訪問(wèn)地址權(quán)限的列表。

(2)無(wú)線網(wǎng)絡(luò)系統(tǒng)中的安全接入控制技術(shù)

目前，網(wǎng)絡(luò)安全接入技術(shù)主要應(yīng)用于寬帶無(wú)線接入網(wǎng)絡(luò)和無(wú)線LAN的構(gòu)建上，如藍(lán)牙系統(tǒng)、無(wú)線IP系統(tǒng)等等。通常在無(wú)線網(wǎng)絡(luò)中，不僅要考慮本地?zé)o線用戶的接入，移動(dòng)用戶的安全接入也是系統(tǒng)的一個(gè)重要安全要求。下面結(jié)合圖4，來(lái)簡(jiǎn)單說(shuō)明在無(wú)線網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的安全接入技術(shù)。

1接入控制點(diǎn)1即每個(gè)小區(qū)的無(wú)線接入點(diǎn)，負(fù)責(zé)該小區(qū)內(nèi)的移動(dòng)終端的無(wú)線接入服務(wù)。它的主要安全工作就是確保當(dāng)前接入的用戶有該接入權(quán)限。該接入點(diǎn)主要的工作包括：

為小區(qū)內(nèi)的本地移動(dòng)用戶提供接入服務(wù)，通過(guò)驗(yàn)證用戶口令和校驗(yàn)用戶的MAC地址來(lái)確保用戶的身份。出于安全的考慮，通常情況下，用戶口令以密文形式提交給接入點(diǎn)。

為小區(qū)內(nèi)的漫游用戶提供接入服務(wù)。通常，漫游用戶將根據(jù)信號(hào)強(qiáng)度和監(jiān)測(cè)到的包錯(cuò)誤率，選擇其中性能最好的一個(gè)接入點(diǎn)并與之聯(lián)系，請(qǐng)求接入。接入點(diǎn)則通過(guò)聯(lián)系根服務(wù)器來(lái)確定該用戶的身份。

2接入控制點(diǎn)2主要負(fù)責(zé)對(duì)系統(tǒng)資源的接入控制。該接入點(diǎn)的工作包括：

驗(yàn)證小區(qū)內(nèi)用戶身份并分配臨時(shí)權(quán)限，以訪問(wèn)其權(quán)限內(nèi)的資源。

驗(yàn)證來(lái)自Internet的用戶身份并分配臨時(shí)權(quán)限，以訪問(wèn)其權(quán)限內(nèi)的資源。

控制來(lái)自Internet用戶與當(dāng)前小區(qū)內(nèi)的用戶建立連接，并進(jìn)行安全檢查，作審計(jì)和日志工作。

3 總結(jié)

以上對(duì)當(dāng)前網(wǎng)絡(luò)安全接入技術(shù)作了簡(jiǎn)單的介紹，并討論了在不同的環(huán)境下，網(wǎng)絡(luò)安全接入控制技術(shù)的實(shí)現(xiàn)。到目前為止，有線網(wǎng)絡(luò)環(huán)境下的安全接入控制技術(shù)較為成熟，安全性也較高；而在無(wú)線網(wǎng)絡(luò)系統(tǒng)中，現(xiàn)有的接入控制技術(shù)還不是十分成熟，其主要的接入控制多集中于MAC層的訪問(wèn)控制和WEP(Wired Equivalent Privacy)加密機(jī)制，但安全性較低，容易遭到IP欺騙攻擊或被非法用戶解密接入口令(因?yàn)閃EP中的密鑰長(zhǎng)度僅為40bit)。因此，如何提高無(wú)線網(wǎng)絡(luò)系統(tǒng)中的安全接入控制技術(shù)是當(dāng)前的一個(gè)研究熱點(diǎn)，一個(gè)可能的思路是將PKI(Public Key Infrastructure)引入無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)中?！?/p>

參考文獻(xiàn)

1王育民,劉建偉.通信網(wǎng)的安全—理論與技術(shù).西安:西安電子科技大學(xué)出版社:1999

2 Denning D E.An intrusion－detection model. IEEE Trans on Software Engineering,1987,SE－13(2):222—232

3 王常杰,秦浩,王育民.基于IPv6防火墻設(shè)計(jì).計(jì)算機(jī)學(xué)報(bào)，2001,24（2）:219—223

4 Amoroso E G.Fundamentals of Computer Security Technology.Prentice Hall Inc,1994

（收稿日期：2001－07－09）

作者簡(jiǎn)介

王常杰，西安電子科技大學(xué)通信工程學(xué)院在讀博士生。主要從事通信網(wǎng)安全、移動(dòng)IP安全等方面的研究工作。目前在香港城市大學(xué)作VPN合作研究。