黎澤良，佘 健，劉高錦

（邁普通信技術(shù)股份有限公司 成都610041）

1 引言

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)已經(jīng)滲透到社會生活的各個方面。網(wǎng)絡(luò)給我們帶來便捷高效的信息交互的同時，也帶來了一系列安全和管理上的新問題。由于網(wǎng)絡(luò)的開放性，致使網(wǎng)絡(luò)中的身份識別、攻擊源查找困難，諸如病毒、木馬、入侵、IP欺騙、DNS欺騙、虛假身份和有害信息等層出不窮，嚴重威脅著網(wǎng)絡(luò)穩(wěn)定運行和可持續(xù)發(fā)展。

如何構(gòu)建一個安全可信的網(wǎng)絡(luò)，越來越成為人們關(guān)注的焦點。因此，各種入侵檢測、網(wǎng)絡(luò)隔離、訪問控制和病毒防范的網(wǎng)絡(luò)安全技術(shù)也隨之蓬勃發(fā)展起來。然而，據(jù)統(tǒng)計數(shù)據(jù)表明，網(wǎng)絡(luò)安全威脅的60%來自網(wǎng)絡(luò)內(nèi)部，也就是網(wǎng)絡(luò)內(nèi)部的終端結(jié)構(gòu)和操作系統(tǒng)的不安全所引起的，僅僅關(guān)注來自外部威脅的防火墻、入侵檢測系統(tǒng)等傳統(tǒng)安全措施，對來自內(nèi)部的威脅顯得無能為力。因此，如何確保網(wǎng)絡(luò)內(nèi)部的安全已經(jīng)越來越受到人們的重視，成為網(wǎng)絡(luò)安全領(lǐng)域中的一個應(yīng)用和實踐的熱點。

2 可信網(wǎng)絡(luò)訪問控制模型

要構(gòu)建一個安全可信的網(wǎng)絡(luò)環(huán)境，必須從信息安全的源頭著手，內(nèi)外共防來構(gòu)造安全的可信網(wǎng)絡(luò)連接環(huán)境?？尚庞嬎憬M織（trusted network group）下屬可信網(wǎng)絡(luò)連接小組發(fā)布了可信網(wǎng)絡(luò)連接（trusted network connect，TNC）規(guī)范，該規(guī)范提出了一個開放的網(wǎng)絡(luò)連接體系結(jié)構(gòu)，通過提供一致的安全服務(wù)體系結(jié)構(gòu)來為網(wǎng)絡(luò)提供安全性保障。

TNC規(guī)范描述了可信網(wǎng)絡(luò)連接的3部分執(zhí)行主體：訪問請求者（終端）、策略執(zhí)行點和策略決策點。TNC規(guī)范的主要思想是：在訪問請求者訪問網(wǎng)絡(luò)之前，策略決策點對終端的身份進行識別，同時對其安全性、完整性狀態(tài)進行檢測并與系統(tǒng)的安全策略進行比較。如果滿足安全策略要求，策略執(zhí)行點則允許終端接入網(wǎng)絡(luò)；如果不滿足要求，則拒絕或是對該終端進行隔離。

TNC規(guī)范從網(wǎng)絡(luò)準入和終端安全要求的角度出發(fā)，保證了接入用戶的安全性、可信性，從一定程度上減少了來自內(nèi)網(wǎng)的安全威脅。但TNC規(guī)范有一定的局限性，其只關(guān)注了網(wǎng)絡(luò)準入和終端接入前的安全，而未關(guān)注終端接入后的安全性和網(wǎng)絡(luò)行為、安全審計，從而在網(wǎng)絡(luò)安全建設(shè)中留下了安全隱患。

依據(jù)TNC規(guī)范的可信網(wǎng)絡(luò)連接框架概念，結(jié)合各種現(xiàn)有網(wǎng)絡(luò)安全管理技術(shù)和多年網(wǎng)絡(luò)安全應(yīng)用實踐，我們將TNC框架分解和擴展為可信網(wǎng)絡(luò)訪問 （trusted network access，TNA）控制模型，如圖 1所示。

圖1 可信網(wǎng)絡(luò)訪問控制模型

·安全準入管理實現(xiàn)TNC可信網(wǎng)絡(luò)連接框架中的終端身份識別和終端安全檢查，保證合法和符合安全條件的終端接入網(wǎng)絡(luò)。目前可用于終端身份驗證的技術(shù)包括 IEEE 802.1x、EAPOU、PPPoE、Portal協(xié)議等。

·網(wǎng)絡(luò)行為管理擴展TNC可信網(wǎng)絡(luò)連接框架中安全檢測管理，對終端接入網(wǎng)絡(luò)后的行為進行分級授權(quán)，對不同的終端和角色準許訪問不同網(wǎng)絡(luò)資源，運行不同網(wǎng)絡(luò)應(yīng)用的權(quán)限，同時可對不同終端分配不同的網(wǎng)絡(luò)帶寬資源等。

· 網(wǎng)絡(luò)安全審計實現(xiàn)終端接入網(wǎng)絡(luò)后的安全監(jiān)測，發(fā)現(xiàn)網(wǎng)絡(luò)不安全因素。網(wǎng)絡(luò)安全審計可對用戶的接入行為、接入后的網(wǎng)絡(luò)行為、終端操作行為進行審計，發(fā)現(xiàn)非法網(wǎng)絡(luò)接入和非法網(wǎng)絡(luò)行為，提高網(wǎng)絡(luò)安全性。

TNA模型全面覆蓋了終端安全水平檢查、網(wǎng)絡(luò)準入控制、網(wǎng)絡(luò)行為控制、網(wǎng)絡(luò)安全審計等網(wǎng)絡(luò)訪問各環(huán)節(jié)，可以歸納為 “誰在什么條件下可以接入網(wǎng)絡(luò)”、“接入網(wǎng)絡(luò)后可以干些什么”、“接入網(wǎng)絡(luò)后真正干了些什么”3個重要方面，是更全面的網(wǎng)絡(luò)訪問安全控制方式。

3 可信網(wǎng)絡(luò)訪問控制系統(tǒng)

基于以上描述的可信網(wǎng)絡(luò)訪問控制模型，我們在對IEEE 802.1x等多種技術(shù)的基礎(chǔ)上進行擴展，設(shè)計并實現(xiàn)了可信網(wǎng)絡(luò)訪問控制系統(tǒng)。該系統(tǒng)完全滿足可信網(wǎng)絡(luò)連接規(guī)范，并從網(wǎng)絡(luò)安全建設(shè)的角度，大大加強了網(wǎng)絡(luò)的安全性。

該系統(tǒng)主要包括RADIUS認證服務(wù)器、策略服務(wù)器、安全補丁服務(wù)器、接入設(shè)備（策略執(zhí)行點），接入終端等?？尚啪W(wǎng)絡(luò)訪問控制系統(tǒng)實現(xiàn)用戶準入控制原理如圖2所示。

圖2 典型可信網(wǎng)絡(luò)訪問控制示意

其主要流程主要如下。

·接入終端和接入設(shè)備協(xié)同完成IEEE 802.1x標準認證過程，實現(xiàn)用戶名和密碼驗證，完成接入終端身份識別。

·IEEE 802.1x認證通過后，接入終端向策略服務(wù)器請求安全檢查規(guī)則，執(zhí)行終端安全檢查，確保接入終端安全，消除接入終端安全隱患。

·接入終端安全檢查通過后，接入設(shè)備將應(yīng)用該接入終端對應(yīng)角色安全策略，授予終端用戶訪問網(wǎng)絡(luò)工作區(qū)相關(guān)內(nèi)容的權(quán)限，同時對用戶網(wǎng)絡(luò)行為進行分級、控制，確保不同用戶享有不同網(wǎng)絡(luò)訪問權(quán)限和資源。

·接入終端被準入網(wǎng)絡(luò)后，系統(tǒng)將記錄該接入終端的網(wǎng)絡(luò)行為、終端操作行為，以對接入終端進行安全審計。

·終端用戶在身份識別、終端安全檢查未通過時，接入設(shè)備將授予終端用戶訪問隔離區(qū)相關(guān)內(nèi)容權(quán)限，確保用戶可以進行軟件補丁升級、防病毒軟件安裝或升級、其他安全修復(fù)資源獲取等。

3.1 IEEE 802.1x認證擴展

依據(jù)IEEE 802.1x規(guī)范的認證過程，可以看出標準EAPOL僅僅從用戶名和密碼角度對用戶的安全進行了限制，簡單地使用標準協(xié)議，容易造成如中間人攻擊、拒絕服務(wù)攻擊、IP地址偽造、會話劫持等安全隱患，無法滿足網(wǎng)絡(luò)安全準入控制的需求。

圖3 擴展后的認證過程

為此，我們在可信網(wǎng)絡(luò)訪問控制系統(tǒng)中，對用戶認證過程進行擴展，對接入的用戶不僅僅進行用戶名和密碼認證，同時對終端安全進行檢查，終端安全檢查通過后，才認為終端合法并接入網(wǎng)絡(luò)。

因此，使用IEEE 802.1x協(xié)議進行網(wǎng)絡(luò)安全準入系統(tǒng)建設(shè)就必須對其進行相關(guān)擴展，具體實施方式是通過擴展EAPOL來實現(xiàn)的，如圖3所示。

在IEEE 802.1x擴展認證整個實施過程中，主要參與的角色有4個，分別是接入終端（即用戶PC）、接入設(shè)備（認證點）、策略服務(wù)器 （向安全終端下發(fā)安全策略）、RADIUS服務(wù)器（對終端進行身份驗證）。

具體擴展認證過程如下：

（1）接入設(shè)備利用標準EAPOL協(xié)議對接入終端進行認證，如果成功，則會收到RADIUS服務(wù)器回送的成功消息；

（2）接入設(shè)備收到認證成功消息后，會通知接入終端策略服務(wù)器的信息（策略服務(wù)器的IP地址、端口等），并在一個固定的時間內(nèi)，打開通向策略服務(wù)器的數(shù)據(jù)通路。

（3）接入終端收到了策略服務(wù)器的通知信息后，會通過加密通道連接策略服務(wù)器（例如SSL），請求安全檢查規(guī)則；

（4）策略服務(wù)器將安全檢查規(guī)則下發(fā)到接入終端本地，接入終端的安全計算模塊進行終端安全檢查；

（5）接入終端將計算出的安全檢查結(jié)果通知給接入設(shè)備；

（6）接入設(shè)備根據(jù)安全檢查結(jié)果，決定是否繼續(xù)打開或關(guān)閉數(shù)據(jù)通道，并對接入終端應(yīng)用安全策略，控制網(wǎng)絡(luò)行為。

（7）接入設(shè)備通知接入終端最終請求認證結(jié)果，完成IEEE 802.1x擴展認證過程。

3.2 終端安全檢查

終端安全檢查主要實現(xiàn)用戶側(cè)的安全，通過交互處理和系統(tǒng)聯(lián)動，保證接入用戶均為安全的用戶，從而把隱患擋在網(wǎng)絡(luò)之外；終端安全檢查包括終端補丁管理、防病毒軟件管理、進程與服務(wù)管理、端口管理。

（1）補丁管理

當終端接入網(wǎng)絡(luò)時，自動對終端用戶系統(tǒng)進行安全性檢查，如果用戶系統(tǒng)沒有安裝規(guī)定的補丁，則該用戶被定向到補丁服務(wù)器，當更新完成相應(yīng)補丁后，才能接入網(wǎng)絡(luò)。

（2）防病毒軟件的自動安裝和升級

當終端接入網(wǎng)絡(luò)時，自動對終端用戶系統(tǒng)進行安全檢查，如果被檢測到?jīng)]有安裝防病毒軟件或者病毒庫不是最新的，提示其安裝或升級，否則不許上網(wǎng)，或隔離至隔離區(qū)讓用戶自行做出修復(fù)選擇。如果用戶雖然安裝了殺毒軟件，但是沒有運行，則用戶必須啟動后，才能接入網(wǎng)絡(luò)。

（3）對終端的其他管理

還可以對上網(wǎng)終端的所有軟件程序進行管理（包括安裝、運行、升級、卸載等行為）以及用戶行為管理和監(jiān)控等。當終端用戶接入網(wǎng)絡(luò)時，自動對用戶系統(tǒng)進行安全性檢查，如果用戶系統(tǒng)安裝、運行了違禁軟件，則用戶必須卸載、停用相應(yīng)軟件后，才能接入網(wǎng)絡(luò)。

3.3 基于角色的網(wǎng)絡(luò)行為管理

終端用戶被準入網(wǎng)絡(luò)后，可信網(wǎng)絡(luò)訪問控制系統(tǒng)將對用戶網(wǎng)絡(luò)行為進行管理。依據(jù)基于角色的權(quán)限控制模型（RBAC）的基本思想，系統(tǒng)根據(jù)終端用戶的不同職能劃分為角色，同時為角色授予不同的網(wǎng)絡(luò)行為權(quán)限，終端用戶通過所屬的角色，間接地獲得訪問網(wǎng)絡(luò)資源和對系統(tǒng)資源進行操作的許可。這里所說的網(wǎng)絡(luò)資源，通常包括了網(wǎng)絡(luò)范圍、網(wǎng)絡(luò)上的服務(wù)、網(wǎng)絡(luò)帶寬資源以及QoS保證能力等。

系統(tǒng)控制終端用戶網(wǎng)絡(luò)行為主要執(zhí)行步驟如下。

（1）接入設(shè)備向策略服務(wù)器獲取接入終端角色信息。

（2）接入設(shè)備從本地（緩存）或策略服務(wù)器獲取角色對應(yīng)的權(quán)限信息，具體包括用戶可訪問地址、端口，可使用的協(xié)議，接入資源控制信息等。

（3）接入設(shè)備將獲取的權(quán)限信息應(yīng)用于該接入終端，控制終端用戶所能進行的網(wǎng)絡(luò)行為。

基于角色的網(wǎng)絡(luò)行為管理，提高了系統(tǒng)對終端用戶授權(quán)的靈活性，同時也提高了對接入后用戶的網(wǎng)絡(luò)行為管理，加強了對網(wǎng)絡(luò)核心資源的保護，更有效地利用網(wǎng)絡(luò)帶寬等，更能有效保證企業(yè)關(guān)鍵業(yè)務(wù)運行。

3.4 網(wǎng)絡(luò)行為安全審計

可信網(wǎng)絡(luò)訪問控制系統(tǒng)為進一步提高網(wǎng)絡(luò)安全，做到接入終端行為可控、可管、可查的目的，當終端用戶準入網(wǎng)絡(luò)后，系統(tǒng)將自動對用戶的網(wǎng)絡(luò)行為、終端操作行為記錄并審計，對可疑的網(wǎng)絡(luò)行為、終端操作行為自動報警，及時排除安全隱患。

系統(tǒng)主要審計內(nèi)容包括：

· 實現(xiàn)終端用戶上網(wǎng)訪問行為的審計；

· 實現(xiàn)終端用戶訪問網(wǎng)絡(luò)資源的審計；

· 實現(xiàn)終端用戶對文件的操作行為審計；

· 實現(xiàn)終端用戶對外設(shè)的操作行為審計；

· 完成終端用戶即時通信行為的審計。

可信網(wǎng)絡(luò)訪問控制系統(tǒng)為自動完成終端行為、網(wǎng)絡(luò)行為審計并報警，從事件的授權(quán)、事件發(fā)生的頻度、禁止發(fā)生的事件、已知的病毒事件等幾個維度出發(fā)，設(shè)計并實現(xiàn)了系統(tǒng)自動審計報警系統(tǒng)，由此可以較好地發(fā)現(xiàn)潛在安全隱患，提高可信網(wǎng)絡(luò)安全。

4 結(jié)束語

如果把網(wǎng)絡(luò)看成是一個虛擬的大社區(qū)，網(wǎng)絡(luò)安全準入控制就是這個社區(qū)的門禁系統(tǒng)、監(jiān)測系統(tǒng)，維護著網(wǎng)絡(luò)信息的安全。隨著未來的網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)承載的業(yè)務(wù)應(yīng)用對安全的要求也會越來越高，網(wǎng)絡(luò)與安全技術(shù)的融合是一個必然趨勢，網(wǎng)絡(luò)安全準入控制技術(shù)也向智能化、一體化多系統(tǒng)聯(lián)動的方向發(fā)展，未來相當長的一個時期內(nèi)，都將成為網(wǎng)絡(luò)安全技術(shù)的一個熱點。

1 Trusted Computing Group(TCG).Trusted network connect TNC architecture for interoperability specification, version1.3,reversion 6,2008

2 IEEE Std 802.1x-2001.IEEE standard for local and metropolitan area networks-port-based network access control

3 Trusted Computing Group(TCG).Trusted network connect TNC IF-PEP:protocol binding for RADIUS,specification version1.1,reversion 0.7,2007

4 Trusted Computing Group(TCG).TCG trusted network connect TNC architecture for interoperability specification(version 1.0),2005

5 Trusted Computing Group(TCG).TCG trusted network connect open standards for integrity-based network access control,2007

6 Trusted Computing Group(TCG).TCG specification architecture overview,revision 1.2,April 2004