摘 要 網(wǎng)絡(luò)和應(yīng)用程序都需具有控制用戶訪問網(wǎng)絡(luò)資源的功能，網(wǎng)絡(luò)方面，主要由防火墻通過訪問控制策略對(duì)用戶終端訪問網(wǎng)絡(luò)資源過程實(shí)施控制，但靜態(tài)訪問控制策略一是針對(duì)用戶終端，而不是用戶實(shí)施訪問控制，二是無法隨著終端和網(wǎng)絡(luò)狀態(tài)的變化而動(dòng)態(tài)改變，因此，需要一種動(dòng)態(tài)的網(wǎng)絡(luò)資源訪問控制機(jī)制，它基于用戶實(shí)施控制，并能夠隨著終端和網(wǎng)絡(luò)狀態(tài)的改變實(shí)時(shí)調(diào)整訪問控制策略，這種訪問機(jī)制就是統(tǒng)一訪問控制。本文介紹了統(tǒng)一訪問控制的組成，并通過一個(gè)實(shí)例討論了統(tǒng)一訪問控制的實(shí)現(xiàn)機(jī)制。

關(guān)鍵詞 防火墻 訪問控制策略 統(tǒng)一訪問控制

網(wǎng)絡(luò)的發(fā)展對(duì)網(wǎng)絡(luò)資源的安全訪問提出了新的要求：一是移動(dòng)性，終端用戶不再固定連接在某一個(gè)子網(wǎng)上，允許某個(gè)用戶出現(xiàn)在不同的子網(wǎng)，但擁有相同的訪問權(quán)限。二是動(dòng)態(tài)性，終端用戶的訪問權(quán)限是動(dòng)態(tài)變化的，如允許一臺(tái)正常的終端接入內(nèi)部網(wǎng)絡(luò)并訪問內(nèi)部網(wǎng)絡(luò)資源，一旦確定該終端感染病毒，應(yīng)立即將該終端和內(nèi)部網(wǎng)絡(luò)隔離，另外，有些資源的訪問受時(shí)間和地點(diǎn)的限制，如敏感數(shù)據(jù)只允許某個(gè)用戶在正常辦公時(shí)間和固定辦公地點(diǎn)進(jìn)行訪問，這些都需要?jiǎng)討B(tài)調(diào)整用戶的訪問權(quán)限。三是基于用戶，而不是基于終端設(shè)置訪問權(quán)限，同一辦公地點(diǎn)可能混雜各種類型的用戶，這些用戶可能在不同的時(shí)間段使用同一終端訪問網(wǎng)絡(luò)資源，顯然，當(dāng)不同用戶使用該終端訪問網(wǎng)絡(luò)資源時(shí)，該終端的訪問權(quán)限必須是不同的。一旦需要實(shí)現(xiàn)動(dòng)態(tài)安全策略，就無法使用手工配置防火墻的方式，必須由統(tǒng)一的安全控制器通過實(shí)時(shí)檢測(cè)用戶終端狀態(tài)、用戶終端位置和訪問的資源類型動(dòng)態(tài)生成訪問控制策略，并將訪問控制策略實(shí)時(shí)地傳輸?shù)较嚓P(guān)的安全設(shè)備，如防火墻等。這種通過在網(wǎng)絡(luò)中設(shè)置統(tǒng)一的安全控制器，實(shí)施動(dòng)態(tài)訪問控制策略的網(wǎng)絡(luò)資源訪問控制系統(tǒng)就是統(tǒng)一訪問控制（Unified Access Control，UAC）。

1 系統(tǒng)結(jié)構(gòu)

采用統(tǒng)一訪問控制的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)如圖1所示，和統(tǒng)一訪問控制相關(guān)的部件有UAC代理、安全控制器和策略執(zhí)行部件。

1. UAC代理

UAC代理是運(yùn)行在終端上的一個(gè)客戶軟件，和安全控制器構(gòu)成一個(gè)客戶、服務(wù)器（C/S）系統(tǒng)，它的主要功能如下。

·向安全控制器提供客戶的信用信息，如用戶名、口令或相關(guān)證書。

·檢測(cè)終端的安全狀態(tài)，如所安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)是否存在漏洞，是否已經(jīng)下載對(duì)應(yīng)的補(bǔ)丁軟件，終端是否安裝防病毒軟件，系統(tǒng)是否感染病毒等，并及時(shí)向安全控制器報(bào)告檢測(cè)結(jié)果。

·檢測(cè)和設(shè)置終端的訪問控制策略，如果終端安裝個(gè)人防火墻，檢測(cè)個(gè)人防火墻的訪問控制策略配置，并向安全控制器報(bào)告檢測(cè)結(jié)果，也允許安全控制器通過命令修改終端的訪問控制策略。

統(tǒng)一訪問控制方式下的終端如果需要訪問網(wǎng)絡(luò)中的資源，必須先通過UAC代理和安全控制器建立會(huì)話，通過會(huì)話向安全控制器報(bào)告終端的信用信息、安全狀態(tài)和個(gè)人防火墻配置的訪問控制策略等，并在上述信息發(fā)生變化的情況下，及時(shí)報(bào)告變化后的信息。在終端訪問網(wǎng)絡(luò)資源期間，UAC代理和安全控制器之間的會(huì)話必須存在。

2. 安全控制器

安全控制器是統(tǒng)一訪問控制（UAC）系統(tǒng)的核心，它的主要功能如下：

·建立統(tǒng)一的訪問控制策略庫，針對(duì)不同用戶、終端不同的安全狀態(tài)定義對(duì)應(yīng)的資源訪問控制策略。

·及時(shí)收集用戶的信用信息、終端的安全狀態(tài)和終端配置的訪問控制策略，結(jié)合統(tǒng)一的訪問控制策略庫動(dòng)態(tài)生成類似防火墻等策略執(zhí)行部件用于控制信息交換的訪問控制策略。

·及時(shí)向終端訪問資源過程中涉及的策略執(zhí)行部件推送訪問控制策略，并收集策略執(zhí)行部件檢測(cè)到的信息流異常情況，根據(jù)要求隨時(shí)調(diào)整相關(guān)用戶的訪問權(quán)限，并因此重新生成訪問控制策略，將其推送到相關(guān)策略執(zhí)行部件。

在某個(gè)用戶訪問網(wǎng)絡(luò)資源過程中，安全控制器一方面必須維持和該用戶終端上運(yùn)行的UAC代理之間的會(huì)話，通過會(huì)話及時(shí)了解該終端的相關(guān)信息和狀態(tài)，另一方面必須維持和用戶訪問網(wǎng)絡(luò)資源過程涉及的策略執(zhí)行部件之間的會(huì)話，通過會(huì)話隨時(shí)了解用戶訪問網(wǎng)絡(luò)資源過程中產(chǎn)生的信息流模式，在一切正常的情況下，允許用戶訪問網(wǎng)絡(luò)資源過程正常進(jìn)行，否則，立即通過向用戶訪問網(wǎng)絡(luò)資源過程涉及的策略執(zhí)行部件推送命令，終止該次訪問過程。

3. 策略執(zhí)行部件

策略執(zhí)行部件是根據(jù)安全控制器動(dòng)態(tài)生成的訪問控制策略控制用戶終端對(duì)網(wǎng)絡(luò)資源的訪問過程的部件，它的主要功能如下：

·建立、維持和安全控制器之間的會(huì)話，通過會(huì)話接收安全控制器為其制定的訪問控制策略，隨時(shí)通過會(huì)話向安全控制器匯報(bào)檢測(cè)到的信息流異常情況。

·根據(jù)安全控制器為其制定的訪問控制策略調(diào)整安全機(jī)制，這些安全機(jī)制包括分組過濾器、信息流優(yōu)先級(jí)設(shè)置和流量管制等。

·根據(jù)自己位于網(wǎng)絡(luò)的位置（或作為接入設(shè)備位于網(wǎng)絡(luò)邊緣，或作為網(wǎng)絡(luò)核心控制設(shè)備）選擇對(duì)應(yīng)的建立、維持和安全控制器之間的會(huì)話的方法及用于實(shí)現(xiàn)訪問控制策略的安全機(jī)制。

二、應(yīng)用實(shí)例

允許用戶通過外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，但需用IP Sec對(duì)用戶發(fā)送的數(shù)據(jù)予以確認(rèn)。

1.系統(tǒng)配置

圖1是動(dòng)態(tài)實(shí)現(xiàn)教師A通過外網(wǎng)訪問內(nèi)網(wǎng)資源的系統(tǒng)配置，防火墻初始配置的訪問控制策略只允許非信任區(qū)中的終端訪問非軍事區(qū)中的服務(wù)器，因此，當(dāng)連接在非信任區(qū)的教師A希望通過登錄安全控制器，獲得訪問信任區(qū)中Web和FTP服務(wù)器的權(quán)限時(shí)，一是必須在非軍事區(qū)中配置安全控制器，二是通過登錄Web服務(wù)器的方式完成教師A的身份認(rèn)證和權(quán)限鑒別。

防火墻初始配置的、和教師A登錄安全控制器有關(guān)的訪問控制策略如下：

從非信任區(qū)到非軍事區(qū)：源IP地址=0.0.0.0，目的IP地址=193.1.2.7/32，HTTPS GET服務(wù)。

安全控制器和非信任區(qū)中的終端之間通過TLS完成相互身份認(rèn)證，用戶A允許訪問的資源是IP地址分別為200.1.6.2和200.1.6.1的FTP和Web服務(wù)器。由于安全控制器完成對(duì)教師A的身份認(rèn)證后，建立教師A和其IP地址的綁定，防火墻通過IP地址來鑒別來自教師A的IP分組，但由于存在源IP地址欺騙攻擊，黑客可能通過盜用教師A的IP地址對(duì)內(nèi)網(wǎng)中的FTP和Web服務(wù)器實(shí)施攻擊。為了避免發(fā)生這種情況，當(dāng)教師A訪問內(nèi)網(wǎng)中的FTP和Web服務(wù)器時(shí)，教師A和防火墻連接非信任區(qū)的端口之間先建立隧道和安全關(guān)聯(lián)，用IP Sec AH簽別IP分組源終端的真實(shí)性。

2. 身份認(rèn)證和訪問控制策略動(dòng)態(tài)配置過程

教師A訪問內(nèi)網(wǎng)服務(wù)器資源前，必須啟動(dòng)UAC代理登錄安全控制器，如圖2所示，該過程一是完成相互身份認(rèn)證，由安全控制器將教師A和IP地址12.1.1.1綁定在一起。二是教師A通過HTTP和安全控制器交換安全狀態(tài)信息。

安全控制器在完成對(duì)教師A身份認(rèn)證和確定教師A終端安全狀態(tài)正常后，開始根據(jù)安全策略庫中配置的信息動(dòng)態(tài)配置防火墻的訪問控制策略和防火墻與教師A終端有關(guān)IP Sec的安全參數(shù)。

首先由安全控制器通過HTTP向教師A終端發(fā)送IP Sec配置信息，如表1所示。配置信息要求對(duì)源和目的IP地址分別為12.1.1.1/32和200.1.6.0/30的IP分組進(jìn)行IP Sec處理，IP Sec采用隧道模式，隧道兩端地址分別為12.1.1.1和193.1.3.1，通過AH保證IP分組的完整性。和教師A終端至隧道另一端的安全關(guān)聯(lián)有關(guān)的安全參數(shù)包括SPI（123）、認(rèn)證算法（HMAC-MD5-96）和認(rèn)證密鑰（KEY），這些配置信息必須保證安全傳輸，否則，隧道的安全傳輸特性無法保證。由于通過TLS握手協(xié)議完成安全控制器和教師A雙向身份認(rèn)證時(shí)已經(jīng)分配了共享密鑰，因此，通過將HTTP報(bào)文封裝成TLS記錄報(bào)文實(shí)現(xiàn)安全控制器和教師A終端之間的雙向安全傳輸。

同樣，安全控制器向防火墻發(fā)送IP Sec配置信息和允許教師A訪問內(nèi)網(wǎng)服務(wù)器資源的訪問控制策略。IP Sec配置信息和教師A終端相似，如表2所示。對(duì)防火墻動(dòng)態(tài)配置的訪問控制策略如下：

①從非信任區(qū)到信任區(qū)：源IP地址=12.1.1.1/32，目的IP地址=200.1.6.1/32，HTTP GET服務(wù)，非信任區(qū)接口采用IP Sec AH。

②從非信任區(qū)到信任區(qū)：源IP地址=12.1.1.1/32，目的IP地址=200.1.6.2/32，F(xiàn)TP GET服務(wù)，非信任區(qū)接口采用IP Sec AH。

訪問控制策略允許外網(wǎng)中IP地址為12.1.1.1/32的終端發(fā)起對(duì)內(nèi)網(wǎng)中IP地址為200.1.6.1服務(wù)器的HTTP GET訪問過程，IP地址為200.1.6.2服務(wù)器的FTP GET訪問過程，但訪問過程中涉及的TCP報(bào)文必須以IP Sec AH封裝格式在防火墻和教師A終端之間傳輸。安全控制器和防火墻之間需要通過專用安全傳輸協(xié)議實(shí)現(xiàn)配置信息和狀態(tài)信息的雙向安全傳輸。

無論是教師A終端配置的IP Sec信息，還是防火墻配置的IP Sec信息和訪問控制策略都是在教師A登錄安全控制器期間且教師A終端安全狀態(tài)正常的情況下才有效，一旦教師A退出安全控制器或者教師A終端安全狀態(tài)變成不正常，安全控制器將立即刪除這些配置。

3 教師A終端訪問內(nèi)網(wǎng)資源過程

教師A通過UAC代理成功登錄安全控制器后，可以啟動(dòng)對(duì)內(nèi)網(wǎng)服務(wù)器資源的訪問過程，當(dāng)教師A訪問內(nèi)網(wǎng)中IP地址為200.1.6.1的Web服務(wù)器時(shí)，教師A終端和內(nèi)網(wǎng)Web服務(wù)器之間進(jìn)行HTTP要求的信息交換過程，但由于教師A終端發(fā)送的IP分組符合IP Sec配置中的IP分組分類條件，這些IP分組需要先進(jìn)行IP Sec處理，如圖3所示。IP Sec AH格式的IP分組經(jīng)過外網(wǎng)傳輸后，到達(dá)防火墻，由于匹配防火墻配置的安全關(guān)聯(lián)（SPI=123、目的IP地址=193.1.3.1、安全協(xié)議=AH），防火墻根據(jù)相關(guān)安全參數(shù)（認(rèn)證算法=HMAC-MD5-96、認(rèn)證密鑰=KEY）對(duì)IP Sec AH格式的IP分組進(jìn)行完整性檢測(cè)，在完整性檢測(cè)正確的情況下，分離出內(nèi)層IP分組，然后根據(jù)會(huì)話表和訪問控制策略對(duì)內(nèi)層IP分組進(jìn)行轉(zhuǎn)發(fā)許可控制。根據(jù)訪問控制策略，對(duì)從非信任區(qū)接收到的IP分組，如果封裝形式不是IP Sec AH格式，即使源和目的IP地址及所請(qǐng)求的服務(wù)符合訪問控制策略或會(huì)話表中信息，也不能轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的服務(wù)器。同樣，防火墻對(duì)于從非信任區(qū)接口轉(zhuǎn)發(fā)出去的IP分組，如果IP分組的源和目的地址符合IP Sec配置中的IP分組分類條件，這些IP分組需要先進(jìn)行IP Sec處理。

由于終端發(fā)送IP分組時(shí)，先將IP分組封裝成圖3所示的IP Sec格式，而計(jì)算AH中的認(rèn)證數(shù)據(jù)時(shí)需要認(rèn)證密鑰KEY，認(rèn)證密鑰KEY只有終端至防火墻的安全關(guān)聯(lián)的雙方（終端和防火墻）才能掌握，這就意味著只有終端才能產(chǎn)生正確的認(rèn)證數(shù)據(jù)，防火墻能夠簽別正確的認(rèn)證數(shù)據(jù)且只轉(zhuǎn)發(fā)認(rèn)證數(shù)據(jù)正確的IP Sec AH格式中的內(nèi)層IP分組。由于黑客無法獲得認(rèn)證密鑰KEY，因而無法產(chǎn)生防火墻能夠鑒別的認(rèn)證數(shù)據(jù)，導(dǎo)致黑客偽造教師A終端地址的IP分組被防火墻丟棄。同樣，黑客也無法篡改內(nèi)網(wǎng)Web服務(wù)器發(fā)送給終端的IP分組。