陳鵬

摘 要：當(dāng)前軍工單位內(nèi)部使用網(wǎng)絡(luò)設(shè)備基本都具備網(wǎng)絡(luò)準(zhǔn)入控制功能，但對(duì)于網(wǎng)絡(luò)準(zhǔn)入的身份驗(yàn)證，特別是終端接入網(wǎng)絡(luò)的準(zhǔn)入控制，身份驗(yàn)證手段顯得較為單一和簡(jiǎn)單。文章針對(duì)軍工內(nèi)部網(wǎng)絡(luò)的現(xiàn)實(shí)要求，對(duì)基于CA身份認(rèn)證的單位內(nèi)部網(wǎng)絡(luò)接入控制認(rèn)證技術(shù)進(jìn)行了研究，并對(duì)軍工單位內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制提出了一種新的思路。

關(guān)鍵詞：軍工內(nèi)部網(wǎng)絡(luò)；CA；身份認(rèn)證；網(wǎng)絡(luò)準(zhǔn)入控制

中圖分類號(hào)：TP393.18；TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

隨著我國(guó)軍工單位信息化水平的提高和信息化應(yīng)用的完善，軍工單位的日常管理和科研生產(chǎn)對(duì)信息化尤其是網(wǎng)絡(luò)的依賴與日俱增。網(wǎng)絡(luò)在帶給軍工單位信息傳遞便利的同時(shí)，也會(huì)帶來(lái)非法入侵、木馬病毒、信息竊取等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如果非法的惡意攻擊者通過(guò)簡(jiǎn)單的方式就能接入軍工單位內(nèi)部網(wǎng)絡(luò)，那就可能會(huì)發(fā)生泄密事件，給國(guó)家安全帶來(lái)巨大的威脅。網(wǎng)絡(luò)終端是接入和訪問(wèn)網(wǎng)絡(luò)的入口，網(wǎng)絡(luò)終端的準(zhǔn)入控制是保障網(wǎng)絡(luò)安全的第一道也是最重要的安全防線。因此，軍工單位內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制的安全問(wèn)題備受關(guān)注。

2 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

2.1 基于交換機(jī)的端口綁定

交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口進(jìn)行終端MAC地址的綁定，限制二層鏈路層MAC地址的通信，這種方案只允許綁定了MAC地址的主機(jī)進(jìn)行網(wǎng)絡(luò)通信，未綁定的非法設(shè)備的MAC地址接入將被阻斷，但這種方案無(wú)法杜絕像MAC地址仿冒等接入行為。這種方案較容易實(shí)現(xiàn)，終端不用安裝認(rèn)證程序，可實(shí)現(xiàn)二層網(wǎng)絡(luò)鏈路的基本接入控制?？墒菬o(wú)法實(shí)現(xiàn)終端用戶身份鑒別和用戶訪問(wèn)權(quán)限控制。

2.2 基于接入的代理網(wǎng)關(guān)技術(shù)

在網(wǎng)絡(luò)中接入接入代理網(wǎng)關(guān)、阻斷類設(shè)備，在網(wǎng)絡(luò)中追蹤所有在線的終端類設(shè)備，通過(guò)IP、MAC地址信息的匹配來(lái)判斷終端接入的合法性。如果網(wǎng)絡(luò)中代理網(wǎng)關(guān)或阻斷器沒(méi)有相關(guān)設(shè)備的接入記錄，將通過(guò)網(wǎng)絡(luò)向該設(shè)備發(fā)送ARP網(wǎng)關(guān)欺騙包，保護(hù)網(wǎng)關(guān)通信，阻斷非法終端的接入。

2.3 通過(guò)802.1x接入認(rèn)證技術(shù)

另外一種方案是將基于客戶端/服務(wù)端的802.1x訪問(wèn)控制和認(rèn)證協(xié)議在接入層交換機(jī)端口上啟用，協(xié)議啟用后要獲得合法的以太網(wǎng)報(bào)文轉(zhuǎn)發(fā)，用戶終端必須通過(guò)EAPoL協(xié)議進(jìn)行用戶/設(shè)備認(rèn)證，認(rèn)證通過(guò)后，網(wǎng)絡(luò)端口被開(kāi)啟，正常的數(shù)據(jù)報(bào)文可以被轉(zhuǎn)發(fā)，如認(rèn)證失敗則報(bào)文將被丟棄端口被關(guān)閉。這種方法是認(rèn)證效率高、性能穩(wěn)定，能夠主動(dòng)防御非授權(quán)設(shè)備的接入，能從根本上解決終端身份無(wú)法認(rèn)定的問(wèn)題。

3 802.1x接入認(rèn)證技術(shù)原理

802.1x認(rèn)證系統(tǒng)采用客戶端/服務(wù)器體系結(jié)構(gòu)，它包含三個(gè)重要組成部分：請(qǐng)求者PAE，即認(rèn)證終端設(shè)備；認(rèn)證系統(tǒng)，即支持802.1x協(xié)議的網(wǎng)絡(luò)接入設(shè)備；認(rèn)證服務(wù)器系統(tǒng)，一般指Radius服務(wù)器，這三個(gè)實(shí)體結(jié)構(gòu)之間依靠EAP協(xié)議進(jìn)行通信。此結(jié)構(gòu)應(yīng)用于以太網(wǎng)中解決局域網(wǎng)的認(rèn)證和安全問(wèn)題。802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)如圖1所示。

802.1x協(xié)議資源占用少對(duì)網(wǎng)絡(luò)接入設(shè)備的性能沒(méi)有特別高的依賴，在準(zhǔn)入控制網(wǎng)絡(luò)成本上優(yōu)勢(shì)明顯可以有效降低建網(wǎng)成本，支持PPP認(rèn)證協(xié)議，有較好的擴(kuò)展性而且適配性較好，通過(guò)控制端口和非控制端口，將認(rèn)證報(bào)文和數(shù)據(jù)報(bào)文分離。能夠高效地認(rèn)證報(bào)文和數(shù)據(jù)報(bào)文的封裝，支持VLAN映射，可通過(guò)映射將不同不同權(quán)利的用戶分域分等級(jí)，802.1x認(rèn)證系統(tǒng)可以靈活的通過(guò)可擴(kuò)展認(rèn)證協(xié)議EAP進(jìn)行認(rèn)證報(bào)文傳遞和加密，可靠性很高。

（1）802.1x認(rèn)證有客戶端發(fā)起和設(shè)備端發(fā)起兩種認(rèn)證模式?？蛻舳酥鲃?dòng)發(fā)起是由終端通過(guò)組播或廣播方式向客戶端發(fā)送發(fā)起認(rèn)證報(bào)文EAPOL-Start，組播地址為固定地址，設(shè)備如果不支持組播將采用廣播方式代替；設(shè)備端主動(dòng)發(fā)起認(rèn)證模式為設(shè)備端定期廣播發(fā)送請(qǐng)求認(rèn)證報(bào)文進(jìn)行，這種認(rèn)證模式適用于無(wú)法主動(dòng)發(fā)起認(rèn)證報(bào)文請(qǐng)求的客戶端，如Windows操作系統(tǒng)的802.1x認(rèn)證服務(wù)。

（2）802.1x的驗(yàn)證過(guò)程有EAP中繼驗(yàn)證和EAP終止驗(yàn)證兩種模式。兩種模式之間Client/Device端均采用EAPOL協(xié)議報(bào)文通信，但兩種模式中Raidus服務(wù)與設(shè)備端的驗(yàn)證流程不一樣。中繼驗(yàn)證是把EAPOL報(bào)文封裝在Radius協(xié)議報(bào)文中（EAPOR），然后再與Radius通信，在這種模式下Raidus需要支持EAP并且偽隨機(jī)加密字由Radius提供； EAP終止驗(yàn)證模式的不同之處在于使用未未封裝的EAPOL協(xié)議報(bào)文通信，通過(guò)設(shè)備端提供偽隨機(jī)加密字并并采用標(biāo)準(zhǔn)Radius協(xié)議報(bào)文認(rèn)證，支持采用密碼驗(yàn)證協(xié)議PAP或質(zhì)詢握手驗(yàn)證協(xié)議CHAP兩種認(rèn)證模式。

（3）802.1x有基于端口的接入控制和基于MAC地址的兩種接入控制模式。兩種模式的區(qū)別是基于端口的接入控制模式只認(rèn)證一次端口即可用或不可用，不會(huì)重復(fù)驗(yàn)證合法性，這種模式適用于單端口多用戶場(chǎng)景；基于MAC地址的認(rèn)證方式則會(huì)定時(shí)掃描此MAC地址是否為合法的MAC進(jìn)行報(bào)文轉(zhuǎn)發(fā)，不會(huì)因一個(gè)用戶下線而導(dǎo)致端口不可用。

4 CA身份認(rèn)證技術(shù)原理

4.1 PKI系統(tǒng)的結(jié)構(gòu)

PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是硬件、軟件、人員、政策和手續(xù)的集合，通過(guò)公鑰加密技術(shù)和數(shù)字證書(shū)為域內(nèi)的網(wǎng)絡(luò)用戶提供安全的電子交易服務(wù)。PKI體系結(jié)構(gòu)主要由PKI策略、軟硬件系統(tǒng)、發(fā)證機(jī)構(gòu)CA、證書(shū)注冊(cè)機(jī)構(gòu)RA、證書(shū)發(fā)布系統(tǒng)和PKI門(mén)戶組成。

4.2 PKI的主要功能

PKI體系的主要功能是通過(guò)發(fā)證機(jī)構(gòu)CA將生成的用戶公鑰和身份標(biāo)識(shí)信息（姓名、工作單位、IP地址等）以一定規(guī)則放置在電子證書(shū)內(nèi)，這樣就可以對(duì)用戶的身份進(jìn)行認(rèn)證，而且通過(guò)數(shù)據(jù)加密和數(shù)字簽名技術(shù)可以確保用戶數(shù)據(jù)信息的保密性、完整性和抗抵賴性。

4.3 CA身份認(rèn)證系統(tǒng)

CA身份認(rèn)證系統(tǒng)是PKI的一個(gè)具體B/S和C/S架構(gòu)的平臺(tái)，由CA制證服務(wù)器、RA注冊(cè)機(jī)構(gòu)、LDAP目錄服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、管理服務(wù)器、密碼硬件設(shè)備和終端用戶組成，如圖2所示。

由CA證書(shū)服務(wù)器簽發(fā)數(shù)字證書(shū)并鑒別提交認(rèn)證請(qǐng)求用戶的身份。注冊(cè)機(jī)構(gòu)RA將用戶證書(shū)申請(qǐng)請(qǐng)求轉(zhuǎn)發(fā)至CA服務(wù)器，并向目錄服務(wù)器轉(zhuǎn)發(fā)CA簽發(fā)或注銷的數(shù)字證書(shū)；LDAP目錄服務(wù)器負(fù)責(zé)發(fā)布合法證書(shū)列表和CRL黑名單；數(shù)據(jù)庫(kù)服務(wù)器負(fù)責(zé)存放用戶信息、數(shù)字證書(shū)、密鑰和CRL黑名單等數(shù)據(jù)；管理服務(wù)器負(fù)責(zé)管理用戶信息、數(shù)字證書(shū)和USB Key證書(shū)載體設(shè)備，完成用戶授權(quán)、數(shù)字證書(shū)申請(qǐng)和USB Key證書(shū)載體綁定的功能，完成相關(guān)管理和日志審計(jì)功能；終端用戶認(rèn)證包括安全認(rèn)證組件和USB Key設(shè)備；安全認(rèn)證組件提供瀏覽器和C/S架構(gòu)https認(rèn)證以及與USB Key相關(guān)密鑰驅(qū)動(dòng)接口訪問(wèn)功能，最終將數(shù)字證書(shū)和私鑰簽名存入U(xiǎn)SB Key。

5 基于CA身份認(rèn)證的網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用研究

5.1 CA身份認(rèn)證與802.1X結(jié)合應(yīng)用研究

本文探索并研究了CA身份認(rèn)證和802.1x認(rèn)證相結(jié)合的網(wǎng)絡(luò)終端身份認(rèn)證接入控制模式，對(duì)USB Key中包含的身份信息+PIN碼作為用戶的身份標(biāo)識(shí)。同時(shí)，通過(guò)用戶進(jìn)行證書(shū)申請(qǐng)時(shí)需要提交終端硬盤(pán)序列號(hào)、IP地址、MAC地址等主機(jī)特征值進(jìn)行證書(shū)綁定來(lái)確認(rèn)接入認(rèn)證終端的標(biāo)識(shí)的唯一，如果存在USB Key內(nèi)證書(shū)過(guò)期、Key被拔出或證書(shū)過(guò)期，接入控制系統(tǒng)認(rèn)證將自動(dòng)失效并阻止終端數(shù)據(jù)通信，這種認(rèn)證方式提高了內(nèi)部網(wǎng)絡(luò)身份認(rèn)證的安全等級(jí)。

5.2 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)框架

網(wǎng)絡(luò)終端準(zhǔn)入控制系統(tǒng)主要由終端PC、接入交換設(shè)備、核心交換設(shè)備、Radius服務(wù)器、CA認(rèn)證中心構(gòu)成。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)框架圖3如所示。其中，終端與CA認(rèn)證服務(wù)器、終端與Radius認(rèn)證服務(wù)器為C/S方式部署，完成終端身份認(rèn)證和終端接入認(rèn)證功能；終端與安全管理服務(wù)器為B/S方式部署。

5.3 網(wǎng)絡(luò)準(zhǔn)入控制流程

首先，由CA認(rèn)證中心為用戶制證并將證書(shū)寫(xiě)入到一個(gè)USB Key中，USB Key中保存有數(shù)字證書(shū)、私鑰以及用戶的基本信息，USB Key能夠設(shè)置PIN碼，可保護(hù)證書(shū)和私鑰的安全性。客戶端PC身份驗(yàn)證模塊通過(guò)網(wǎng)絡(luò)連接CA認(rèn)證中心，根據(jù)USB Key中證書(shū)內(nèi)的信息進(jìn)行身份認(rèn)證。并且可以根據(jù)數(shù)字證書(shū)的簽名來(lái)判定終端硬件是否合法，根據(jù)時(shí)間戳判定證書(shū)是否處于有效期。

其次，客戶端PC接入網(wǎng)絡(luò)后會(huì)被接入層交換機(jī)劃入訪客區(qū)，訪客區(qū)終端計(jì)算機(jī)將被隔離網(wǎng)絡(luò)訪問(wèn)權(quán)限。終端認(rèn)證程序根據(jù)插入的USB Key，通過(guò)程序讀出USB Key中的證書(shū)信息，終端認(rèn)證程序?qū)⒆C書(shū)信息發(fā)送至CA認(rèn)證服務(wù)器進(jìn)行驗(yàn)簽，并通過(guò)時(shí)間戳服務(wù)器驗(yàn)證證書(shū)有效期。身份驗(yàn)證通過(guò)后，進(jìn)入802.1x網(wǎng)絡(luò)接入認(rèn)證階段。

最后，終端認(rèn)證程序?qū)⒆x取USB Key中的證書(shū)信息和PIN碼作為登錄賬號(hào)和密碼，終端認(rèn)證程序?qū)⒑戏ǖ挠脩裘蚉IN碼提交給Radius認(rèn)證服務(wù)器進(jìn)行驗(yàn)證。

6 結(jié)束語(yǔ)

軍工單位內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)因?yàn)槠渖婷艿男再|(zhì)，在安全防護(hù)要求和實(shí)施難度上同一般的非涉密網(wǎng)絡(luò)和互聯(lián)網(wǎng)網(wǎng)絡(luò)有很大的區(qū)別。本文探索并研究了CA身份認(rèn)證和802.1x認(rèn)證相結(jié)合的網(wǎng)絡(luò)終端身份認(rèn)證接入控制模式，對(duì)軍工內(nèi)部網(wǎng)絡(luò)中存在的問(wèn)題，通過(guò)CA身份認(rèn)證和802.1X網(wǎng)絡(luò)接入控制技術(shù)結(jié)合的系統(tǒng)應(yīng)用框架和流程進(jìn)行了研究，為增強(qiáng)軍工內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制安全性提供了一個(gè)新的思路。

參考文獻(xiàn)

[1] 陳晨，張煒，徐思遠(yuǎn).基于雙重認(rèn)證的局域網(wǎng)訪問(wèn)控制方式[J].網(wǎng)絡(luò)空間安全，2012.11：22-24.

[2] 朱鵬，謝欣，周顯敬，陳尚義.終端安全接入技術(shù)及發(fā)展趨勢(shì)研究[J].信息安全與通信保密，2010.2：52-55.

[3] 李彥，王柯柯.基于PKI技術(shù)的認(rèn)證中心研究[J].計(jì)算機(jī)科學(xué)，2006，33（2）：110-111，148.

[4] 閆輝，佟晶.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施探析[J].網(wǎng)絡(luò)空間安全，2016，（8）：43-45.

[5] 黃鵬.基于IEEE 802.1X身份認(rèn)證的政務(wù)內(nèi)網(wǎng)安全體系[D].山東大學(xué)，2012.