劉建兵 王振欣 石永杰

1(北京北信源軟件股份有限公司 北京 100195) 2(中國(guó)石油西北銷(xiāo)售公司 蘭州 730060)

上一篇文章[1]追溯了網(wǎng)絡(luò)安全問(wèn)題的根源來(lái)自于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的缺陷，并基于社會(huì)控制原理類(lèi)比分析了網(wǎng)絡(luò)安全和社會(huì)安全，發(fā)現(xiàn)傳統(tǒng)局域網(wǎng)架構(gòu)缺少社會(huì)控制3個(gè)要素，將社會(huì)控制3要素映射成網(wǎng)絡(luò)控制3要素，并將其融入網(wǎng)絡(luò)架構(gòu)，讓網(wǎng)絡(luò)內(nèi)生安全能力成為網(wǎng)絡(luò)架構(gòu)的進(jìn)化方向，基于這種技術(shù)路徑改進(jìn)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，設(shè)計(jì)新的網(wǎng)絡(luò)架構(gòu)，以提升網(wǎng)絡(luò)的安全能力.網(wǎng)絡(luò)和安全的一體化、網(wǎng)絡(luò)內(nèi)生安全能力，將在全域共識(shí)安全策略、安全策略統(tǒng)一管控、接入邊界管控、接入設(shè)備身份認(rèn)證、全網(wǎng)資產(chǎn)管理、整合安全管理資源等方面獲得新特性，為安全管理提供全新技術(shù)手段，提供解決網(wǎng)絡(luò)安全問(wèn)題的新思路.本文將承接這一思路，構(gòu)建主動(dòng)安全網(wǎng)絡(luò)架構(gòu)，敘述新架構(gòu)構(gòu)成，將密碼學(xué)技術(shù)應(yīng)用于新架構(gòu)之中，以及社會(huì)控制3要素如何融入傳統(tǒng)架構(gòu)、傳統(tǒng)架構(gòu)到新結(jié)構(gòu)轉(zhuǎn)換等.

1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的組成及要素

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)(如圖1所示)是將網(wǎng)絡(luò)定位成信息通路，作為信息通路承載各種業(yè)務(wù)應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)本身沒(méi)有安全功能和能力；信息系統(tǒng)安全能力需要旁路或外掛的安全應(yīng)用提供支撐；旁路或外掛的安全功能分散[2]，安全管控不集中，安全功能協(xié)同聯(lián)動(dòng)少，難以達(dá)到預(yù)期的安全防護(hù)效果.為了應(yīng)對(duì)不斷演化的威脅和攻擊，需要傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進(jìn)行結(jié)構(gòu)進(jìn)化，使得網(wǎng)絡(luò)架構(gòu)本身內(nèi)生安全能力[3]，并在全面兼容集成傳統(tǒng)安全應(yīng)用能力基礎(chǔ)上實(shí)現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一管控，實(shí)現(xiàn)網(wǎng)絡(luò)安全的主動(dòng)協(xié)同防御[4]，以有效應(yīng)對(duì)不斷變化的威脅和攻擊.

圖1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖

1.1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的組成

源于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的信息通路定位，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)上主要考慮了業(yè)務(wù)應(yīng)用的通信需求，在網(wǎng)絡(luò)安全方面考慮很少.

局域網(wǎng)設(shè)計(jì)可以采用環(huán)形、星型、網(wǎng)狀等多種物理拓?fù)浣Y(jié)構(gòu)，但在邏輯上遵循“分層網(wǎng)絡(luò)設(shè)計(jì)模型”，該模型已經(jīng)成為網(wǎng)絡(luò)設(shè)計(jì)的事實(shí)標(biāo)準(zhǔn)，該模型在邏輯上將局域網(wǎng)分為“核心層”“匯聚層”和“接入層”3個(gè)層級(jí)[5]，大型復(fù)雜網(wǎng)絡(luò)都是以該模型為參照通過(guò)多模塊組合形成的，針對(duì)業(yè)務(wù)、管理、運(yùn)維等需求，一般以模塊化的思想設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，在模塊設(shè)計(jì)上，每個(gè)模塊進(jìn)行分層設(shè)計(jì)，采用2層或者3層架構(gòu)[6].

核心層是一個(gè)高速的交換式骨干，開(kāi)放最短路徑優(yōu)先協(xié)議(OSPF)，這一層不對(duì)數(shù)據(jù)包/幀進(jìn)行任何的處理，以提高包交換的速度.核心層的主要功能是在網(wǎng)絡(luò)的各個(gè)匯聚層設(shè)備之間提供高速的連接.匯聚層是核心層和接入層之間的分界點(diǎn).它能幫助定義和區(qū)分核心層.匯聚層的功能是對(duì)網(wǎng)絡(luò)的邊界進(jìn)行定義.對(duì)數(shù)據(jù)包/幀的處理應(yīng)該在這一層完成.可以將匯聚層匯總為提供基于策略連接的層.數(shù)據(jù)包的處理、過(guò)濾、路由總結(jié)、路由過(guò)濾、路由重新分配、VLAN間路由選擇、策略路由和安全策略是匯聚層的一些主要功能.接入層是本地終端用戶(hù)被許可接入網(wǎng)絡(luò)的點(diǎn).該層除了完成高密度用戶(hù)接入功能外，也可以使用訪問(wèn)列表或者過(guò)濾器來(lái)滿(mǎn)足特定用戶(hù)的需要.在接入層中，交換機(jī)被稱(chēng)為邊緣設(shè)備，2層交換機(jī)在接入層中起非常重要的作用.

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，核心層功能和安全完全無(wú)關(guān)，只在匯聚層和接入層可以實(shí)施部分簡(jiǎn)單靜態(tài)安全策略[7]，實(shí)質(zhì)上這2層的安全策略是面向網(wǎng)段的以IP地址為根據(jù)的策略，因其沒(méi)有對(duì)IP地址使用者的驗(yàn)證能力，導(dǎo)致安全策略是靜態(tài)的、粗線條的、非智能的，難以應(yīng)對(duì)IP地址變換、接入位置變換等情況，不得不以補(bǔ)丁式、外掛式的其他安全設(shè)備來(lái)彌補(bǔ)安全策略的要求.

1.2 網(wǎng)絡(luò)架構(gòu)及安全要素

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)無(wú)法提供更高級(jí)的安全能力，網(wǎng)絡(luò)應(yīng)用的安全要求不得不由其他的安全技術(shù)和產(chǎn)品來(lái)彌補(bǔ).基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，隨著安全需求的增加逐步形成了當(dāng)前的網(wǎng)絡(luò)安全架構(gòu)[8]，各色網(wǎng)絡(luò)安全設(shè)備悉數(shù)登場(chǎng)，防火墻、入侵檢測(cè)、入侵防御、DDOS防護(hù)、身份認(rèn)證、防病毒、掃描器、補(bǔ)丁分發(fā)、終端管理等不一而足.這些安全要素極大地豐富了網(wǎng)絡(luò)安全技術(shù)家族，從不同的層面和角度提供適應(yīng)不同安全需求的功能，五花八門(mén)，目不暇接.

2 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)對(duì)安全的處理

2.1 安全處理方式

構(gòu)建于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)上的信息系統(tǒng)，其天然的開(kāi)放性造成這樣的事實(shí)，即無(wú)論是否是信息系統(tǒng)的相關(guān)者，都天然擁有訪問(wèn)信息系統(tǒng)的基本條件，也就是網(wǎng)絡(luò)訪問(wèn)的可達(dá)性，而隨后產(chǎn)生的系統(tǒng)安全問(wèn)題再采取補(bǔ)救措施來(lái)解決.這好比曾經(jīng)出現(xiàn)過(guò)的不檢票的電影院，不管有票無(wú)票都可以先進(jìn)來(lái)，是否允許觀影，再通過(guò)查票清除無(wú)票者，其有效性、效率比之檢票入場(chǎng)的方式必然是低下的.如此明顯的反制方式長(zhǎng)期存在于屬于高科技信息安全領(lǐng)域是難以理解和具有諷刺意味的.

為了應(yīng)對(duì)信息系統(tǒng)安全問(wèn)題，保護(hù)網(wǎng)內(nèi)資源，在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)上以外掛、旁路和補(bǔ)丁方式附加了多種安全設(shè)備，包括防火墻、入侵檢測(cè)、流量審計(jì)、身份認(rèn)證、行為管理、邊界準(zhǔn)入、終端管理、補(bǔ)丁管理等，如圖2所示.

圖2 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)安全防護(hù)示意圖

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)在安全防護(hù)方面采取的主要措施如下：

1) 互聯(lián)網(wǎng)出口旁路部署抗拒絕服務(wù)器攻擊設(shè)備，引流檢測(cè)攻擊并回注；

2) 互聯(lián)網(wǎng)出口部署防火墻，進(jìn)行分區(qū)的安全防護(hù)和防病毒、URL、垃圾郵件、文件、內(nèi)容等方面的安全檢測(cè)防護(hù)；

3) 核心交換機(jī)旁路或外掛入侵檢測(cè)、行為管理、流量審計(jì)等安全應(yīng)用，從不同角度進(jìn)行安全威脅攻擊的檢測(cè)和防護(hù)；

4) 管理區(qū)部署安全管理應(yīng)用，包括統(tǒng)一運(yùn)維管理、入網(wǎng)資產(chǎn)管理等；

5) 數(shù)據(jù)中心部署安全應(yīng)用，為入網(wǎng)終端提供病毒防護(hù)、補(bǔ)丁分發(fā)、認(rèn)證準(zhǔn)入等安全服務(wù)；

6) 終端安裝客戶(hù)端軟件，與服務(wù)器配合，實(shí)現(xiàn)防病毒、補(bǔ)丁分發(fā)、認(rèn)證準(zhǔn)入等安全機(jī)制.

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)通過(guò)部署在多個(gè)位置的安全應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)[9].安全應(yīng)用除了防火墻部署在網(wǎng)絡(luò)通路的主路徑上，其他的安全防護(hù)設(shè)備都是旁路或者外掛部署；部署管理區(qū)的安全管理系統(tǒng)對(duì)各種安全設(shè)備進(jìn)行統(tǒng)一運(yùn)維管理；數(shù)據(jù)中心部署的安全應(yīng)用與安裝在終端的客戶(hù)端軟件交互，實(shí)現(xiàn)終端安全認(rèn)證、補(bǔ)丁分發(fā)和準(zhǔn)入.這些附加在網(wǎng)絡(luò)架構(gòu)上的安全功能試圖彌補(bǔ)網(wǎng)絡(luò)架構(gòu)的安全缺陷，但是這些安全措施都是從不同的角度、不同的側(cè)面解決細(xì)分的具體安全問(wèn)題，本身缺乏整體性，相互之間缺乏協(xié)同性，名為各司其職，實(shí)為各自為政，特別是在多廠商的情況下，多個(gè)安全產(chǎn)品標(biāo)準(zhǔn)不一，難以集成和協(xié)同，統(tǒng)一管理困難，實(shí)際效果事倍功半，這就是傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下對(duì)安全問(wèn)題的處理方式和現(xiàn)狀.

2.2 安全防護(hù)的問(wèn)題

在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下信息系統(tǒng)安全防護(hù)方式為旁路和外掛的安全設(shè)備、系統(tǒng)和應(yīng)用各自部署，分別檢測(cè)，安全防護(hù)能力分散、安全管控不集中，安全功能協(xié)同聯(lián)動(dòng)少，導(dǎo)致安全防護(hù)達(dá)不到預(yù)期效果，帶來(lái)了影響安全防護(hù)效果的重要問(wèn)題：

1) 安全認(rèn)證不嚴(yán)格、不徹底.現(xiàn)有認(rèn)證方式，終端在未認(rèn)證前，已經(jīng)可以穿過(guò)網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)中心的安全應(yīng)用，若安全應(yīng)用被攻陷，攻擊者實(shí)質(zhì)上已經(jīng)滲透進(jìn)了內(nèi)網(wǎng).

2) 現(xiàn)有的終端認(rèn)證方式中，用戶(hù)、設(shè)備、賬號(hào)存在多對(duì)多的映射關(guān)系，網(wǎng)絡(luò)安全分析追溯時(shí)難以唯一定位鎖定設(shè)備，影響安全攻擊鏈的分析與追溯[10].

3) 現(xiàn)有安全設(shè)備、安全應(yīng)用各自為政，功能未相互配套，安全能力未形成統(tǒng)一安全智慧，各安全設(shè)備和應(yīng)用無(wú)法相互聯(lián)動(dòng)配合，未形成實(shí)質(zhì)的協(xié)同防御體系[11].

4) 網(wǎng)絡(luò)安全策略離散紙面化，未形成策略的統(tǒng)一制定、管理和執(zhí)行控制中心，安全防護(hù)未在統(tǒng)一安全策略下如章如法地有序進(jìn)行，導(dǎo)致安全防護(hù)效果不佳、安全響應(yīng)效率不高.

綜合來(lái)看，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)對(duì)安全的處理方式、安全防護(hù)不徹底，技術(shù)上未充分整合集成各種安全技術(shù)的安全能力；管理上未形成安全資源、安全策略的統(tǒng)一管控中心，安全防護(hù)的主動(dòng)性、協(xié)同性無(wú)法提高，安全防護(hù)效率效果與實(shí)際安全防護(hù)需求有明顯差距.

3 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的組成

3.1 架構(gòu)組成

提供全局的、整體的、網(wǎng)絡(luò)安全一體化的安全能力，集成附加安全產(chǎn)品的安全能力是提高信息網(wǎng)絡(luò)整體安全能力的關(guān)鍵，是主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)目標(biāo).

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)組成如圖3所示.

圖3 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)組成

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)通過(guò)接入層邊界認(rèn)證機(jī)的內(nèi)嵌認(rèn)證技術(shù)[12]，在網(wǎng)絡(luò)邊緣建立全網(wǎng)接入設(shè)備的嚴(yán)格認(rèn)證準(zhǔn)入機(jī)制，實(shí)現(xiàn)全局性的身份驗(yàn)證和網(wǎng)絡(luò)安全一體化能力；通過(guò)在網(wǎng)絡(luò)架構(gòu)上增加管控中心統(tǒng)一管控網(wǎng)絡(luò)準(zhǔn)入和訪問(wèn)策略，實(shí)現(xiàn)訪問(wèn)策略根據(jù)接入設(shè)備身份動(dòng)態(tài)部署到邊界認(rèn)證機(jī)，實(shí)現(xiàn)全網(wǎng)訪問(wèn)控制的全局統(tǒng)一一體化管理，并開(kāi)放集成協(xié)議，為附加安全系統(tǒng)提供集成架構(gòu).

3.2 總體結(jié)構(gòu)

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)采用密碼技術(shù)作為安全能力的基礎(chǔ)支撐，通過(guò)數(shù)據(jù)中心的IPK(identity public key)密鑰平臺(tái)，引入國(guó)密技術(shù)，全面支撐主動(dòng)安全網(wǎng)絡(luò)架構(gòu)整體運(yùn)行.

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)包括認(rèn)證客戶(hù)端、邊界認(rèn)證機(jī)、管理控制服務(wù)器、IPK密鑰平臺(tái)，以及緊密集成的傳統(tǒng)安全服務(wù)，如圖4所示.邊界認(rèn)證機(jī)是在接入交換機(jī)中內(nèi)嵌了認(rèn)證、準(zhǔn)入和安全訪問(wèn)控制能力的新型網(wǎng)絡(luò)安全設(shè)備，是網(wǎng)絡(luò)安全架構(gòu)的認(rèn)證、準(zhǔn)入和安全策略執(zhí)行部件.管理控制服務(wù)器是統(tǒng)一管控中心，是集成全網(wǎng)安全智慧、對(duì)網(wǎng)絡(luò)資源、安全策略統(tǒng)一管控的操作管理部件，二者在架構(gòu)中起至關(guān)重要作用.

圖4 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)總體結(jié)構(gòu)

終端接入網(wǎng)絡(luò)邊界認(rèn)證機(jī)，通過(guò)安裝在終端上的認(rèn)證客戶(hù)端軟件與邊界認(rèn)證機(jī)進(jìn)行認(rèn)證報(bào)文的交互，完成并維持接入設(shè)備的認(rèn)證狀態(tài).

邊界認(rèn)證機(jī)內(nèi)嵌安全認(rèn)證功能，與管理控制服務(wù)器進(jìn)行認(rèn)證信息和安全策略等消息的交互.

管理控制服務(wù)器與邊界認(rèn)證機(jī)進(jìn)行認(rèn)證報(bào)文和安全策略等信息的交互，進(jìn)行資產(chǎn)管理、安全策略管理、安全控制管理，并充分集成融合與其他安全應(yīng)用(如防病毒、流量分析等)的安全能力.

IPK密鑰平臺(tái)對(duì)ASN(active security network)架構(gòu)提供密鑰支撐，以設(shè)備MAC為物理特征標(biāo)識(shí)生成設(shè)備的唯一組合標(biāo)識(shí)CID(combination ID)，通過(guò)密鑰種子與CID計(jì)算生成設(shè)備公私鑰，通過(guò)密鑰支撐整個(gè)架構(gòu)安全運(yùn)行.

3.3 安全特性

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)作為一種新型主動(dòng)安全網(wǎng)絡(luò)架構(gòu)，關(guān)注認(rèn)證Authentication、資產(chǎn)Asset、訪問(wèn)控制Access、審計(jì)Audit這4個(gè)關(guān)鍵要素，以訪問(wèn)控制策略為核心，以態(tài)勢(shì)感知為信息綜合，兼顧IT管理的眾多要素，包括防病毒、終端管理的全部?jī)?nèi)容，并兼容掃描探測(cè)、流量分析等安全防護(hù)內(nèi)容.

相對(duì)于傳統(tǒng)的4A的訪問(wèn)端和認(rèn)證端2層認(rèn)證架構(gòu)[13]，ASN將認(rèn)證和準(zhǔn)入能力建構(gòu)在網(wǎng)絡(luò)接入層，使得網(wǎng)絡(luò)直接參與到認(rèn)證過(guò)程中來(lái)，在身份認(rèn)證的基礎(chǔ)上動(dòng)態(tài)部署網(wǎng)絡(luò)訪問(wèn)控制策略，實(shí)現(xiàn)的是訪問(wèn)端、接入層和認(rèn)證控制端的3層架構(gòu)，將認(rèn)證和管理控制分離，在網(wǎng)絡(luò)邊緣完成認(rèn)證、準(zhǔn)入和訪問(wèn)策略控制功能，在管理控制端完成數(shù)據(jù)管理和審計(jì)管理；依托網(wǎng)絡(luò)邊界實(shí)現(xiàn)了分布式架構(gòu).由于ASN將網(wǎng)絡(luò)接入層納入整體安全架構(gòu)，和網(wǎng)絡(luò)融為一體，因此ASN架構(gòu)成為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的一部分，而不是4A架構(gòu)的安全應(yīng)用.此外，ASN的管理控制中心提供開(kāi)放的集成協(xié)議，提供對(duì)傳統(tǒng)安全產(chǎn)品的集成能力.如此，ASN從更深的層面應(yīng)對(duì)網(wǎng)絡(luò)安全，將網(wǎng)絡(luò)安全能力回歸網(wǎng)絡(luò)，改變補(bǔ)丁式、外掛式的安全解決方式，可以取得更全面更便捷更高效更直接的安全效果.

采用ASN架構(gòu)可以獲得如下的安全新特性：

1) 全網(wǎng)統(tǒng)一的認(rèn)證和準(zhǔn)入.得益于ASN架構(gòu)接入層的安全控制能力，可以完成對(duì)所有接入設(shè)備(包括臺(tái)式機(jī)、筆記本等通用電腦，平板、手機(jī)等移動(dòng)設(shè)備，打印機(jī)、攝像頭等啞終端)的身份認(rèn)證和準(zhǔn)入，對(duì)于PC類(lèi)擁有通用操作系統(tǒng)的接入端，ASN可以提供基于國(guó)密算法的接入認(rèn)證；啞終端設(shè)備在移植認(rèn)證協(xié)議后也可以實(shí)現(xiàn)基于國(guó)密算法的接入認(rèn)證，不支持ASN協(xié)議的設(shè)備可以采用基于MAC地址的認(rèn)證方式.

2) 訪問(wèn)控制策略應(yīng)用的新特性.ASN與分布式的網(wǎng)絡(luò)接入層相融合，動(dòng)態(tài)定位訪問(wèn)端接入位置，主動(dòng)實(shí)時(shí)部署安全策略，實(shí)現(xiàn)了安全策略的動(dòng)態(tài)主動(dòng)移動(dòng)性和訪問(wèn)對(duì)象的跟隨性，改變了傳統(tǒng)訪問(wèn)控制策略靜態(tài)部署，使安全策略隨著訪問(wèn)端身份移動(dòng)，訪問(wèn)到哪里策略到哪里.

3) 容忍訪問(wèn)者安全缺陷.安全策略的動(dòng)態(tài)主動(dòng)性和移動(dòng)跟隨性，直接帶來(lái)了對(duì)接入設(shè)備的安全缺陷，提供實(shí)時(shí)保護(hù)能力，對(duì)于配置缺陷和安全漏洞，缺少補(bǔ)丁，存在惡意代碼網(wǎng)絡(luò)攻擊行為等接入設(shè)備缺陷，預(yù)置的安全策略在接入的瞬間即提供保護(hù)作用，可以有效阻止網(wǎng)絡(luò)和接入設(shè)備之間雙向的漏洞利用和攻擊.

4) 綜合發(fā)揮其他安全能力的作用.通過(guò)充分集成融合其他安全應(yīng)用的安全智慧和能力，以其提供的問(wèn)題線索快速形成有效的訪問(wèn)控制規(guī)則，快速部署到網(wǎng)絡(luò)邊界，使其他安全能力成為ASN的耳目，達(dá)到有效阻止不安全或不合規(guī)網(wǎng)絡(luò)行為的目的，ASN將全部安全能力融合為有機(jī)整體，更充分發(fā)揮整體作用.

ASN架構(gòu)賦予網(wǎng)絡(luò)天然的網(wǎng)絡(luò)安全能力，讓原本和網(wǎng)絡(luò)分離的安全能力回歸網(wǎng)絡(luò)，改變補(bǔ)丁式、外掛式的安全解決方案，安全沉入網(wǎng)絡(luò)底層，成為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的有機(jī)組成部分，實(shí)現(xiàn)網(wǎng)絡(luò)和安全一體化、通信和安全一體化.新架構(gòu)增加集中式資產(chǎn)、認(rèn)證、策略和審計(jì)一體化中央管控核心，作為網(wǎng)絡(luò)安全的智慧大腦，統(tǒng)一協(xié)同網(wǎng)絡(luò)安全管理和技術(shù)工作，實(shí)現(xiàn)網(wǎng)絡(luò)安全主動(dòng)協(xié)同防御.

4 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的功能

4.1 IPK密鑰平臺(tái)

IPK標(biāo)識(shí)公鑰體系屬于非對(duì)稱(chēng)的公鑰密碼體系，基于成熟的標(biāo)識(shí)公鑰密碼技術(shù)，實(shí)現(xiàn)了標(biāo)識(shí)與密鑰的關(guān)聯(lián)[14].標(biāo)識(shí)公鑰體系中不需要第三方數(shù)字證書(shū)，是將網(wǎng)絡(luò)中設(shè)備、終端或系統(tǒng)的唯一標(biāo)識(shí)CID作為計(jì)算密鑰對(duì)的因子，通過(guò)密鑰種子與因子進(jìn)行數(shù)學(xué)計(jì)算生成設(shè)備對(duì)應(yīng)公私鑰，是方便靈活、低成本、高強(qiáng)度的新型密鑰系統(tǒng).

IPK密鑰平臺(tái)為所有需要接入網(wǎng)絡(luò)的設(shè)備(不能安裝認(rèn)證客戶(hù)端的終端除外)生成公鑰和私鑰.平臺(tái)以通用計(jì)算機(jī)類(lèi)終端、邊界認(rèn)證機(jī)、第三方安全系統(tǒng)/平臺(tái)、管理控制服務(wù)器的MAC生成的CID為因子，通過(guò)密鑰種子與CID進(jìn)行數(shù)學(xué)計(jì)算生成各自對(duì)應(yīng)的公鑰和私鑰，為架構(gòu)運(yùn)行提供全面的密鑰支撐.

邊界認(rèn)證機(jī)、第三方平臺(tái)/系統(tǒng)到管理控制服務(wù)器的認(rèn)證過(guò)程、終端到邊界認(rèn)證機(jī)認(rèn)證都通過(guò)國(guó)產(chǎn)SM2[15]算法，采用對(duì)應(yīng)的公私鑰進(jìn)行認(rèn)證報(bào)文的加解密完成整個(gè)認(rèn)證過(guò)程；邊界認(rèn)證機(jī)、第三方平臺(tái)/系統(tǒng)到管理控制服務(wù)器注冊(cè)認(rèn)證后，生成分組密鑰(對(duì)稱(chēng)密鑰)，用SM4[16]算法進(jìn)行業(yè)務(wù)數(shù)據(jù)的加解密保護(hù).同一局域網(wǎng)的邊界認(rèn)證及通過(guò)國(guó)產(chǎn)SM2算法，采用對(duì)應(yīng)的公私鑰進(jìn)行團(tuán)體密鑰的加密傳輸[17]，采用SM4算法和團(tuán)體密鑰實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)加密傳輸，如圖5所示.

圖5 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)密鑰支撐

4.2 認(rèn)證客戶(hù)端

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)下，對(duì)于通用計(jì)算機(jī)類(lèi)終端，安裝認(rèn)證客戶(hù)端軟件.認(rèn)證客戶(hù)端軟件支持Window，Linux等操作系統(tǒng).認(rèn)證客戶(hù)端主要功能如下：

認(rèn)證客戶(hù)端軟件導(dǎo)入了終端計(jì)算機(jī)私鑰，通過(guò)私鑰對(duì)邊界認(rèn)證機(jī)發(fā)送的加密認(rèn)證報(bào)文進(jìn)行解密，并將解密后信息發(fā)送給邊界認(rèn)證機(jī)，完成認(rèn)證過(guò)程.

終端上線認(rèn)證成功后，管理控制服務(wù)器中預(yù)置的安全策略下達(dá)至邊界認(rèn)證機(jī)，終端上的安全策略由邊界認(rèn)證機(jī)轉(zhuǎn)發(fā)至終端，實(shí)現(xiàn)終端網(wǎng)絡(luò)行為訪問(wèn)控制.

4.3 邊界認(rèn)證機(jī)

ASN采用分布式邊緣計(jì)算架構(gòu)，以邊界認(rèn)證機(jī)代替接入交換機(jī).邊界認(rèn)證機(jī)內(nèi)嵌認(rèn)證(embedded authenitication server, EAS)與接入終端交互進(jìn)行終端的認(rèn)證和準(zhǔn)入；邊界認(rèn)證機(jī)內(nèi)嵌安全通信模塊，用來(lái)完成與管理控制服務(wù)器的安全交互，包括邊界認(rèn)證機(jī)注冊(cè)、認(rèn)證、終端認(rèn)證信息查詢(xún)、終端信息上報(bào)、安全策略接收轉(zhuǎn)發(fā)和執(zhí)行等功能.

邊界認(rèn)證機(jī)主要功能如圖6所示:

圖6 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)邊界認(rèn)證機(jī)功能

1) 邊界認(rèn)證機(jī)到管理控制服務(wù)器上注冊(cè)認(rèn)證，利用標(biāo)識(shí)公鑰機(jī)制生成的公私鑰進(jìn)行認(rèn)證報(bào)文的加解密，以完成認(rèn)證過(guò)程.

2) 邊界認(rèn)證機(jī)注冊(cè)認(rèn)證成功后，如果管理控制服務(wù)器上存在MAC黑名單，則會(huì)下發(fā)到邊界認(rèn)證機(jī)，用以后續(xù)禁止相關(guān)終端認(rèn)證.

3) 邊界認(rèn)證機(jī)在管理控制服務(wù)器注冊(cè)認(rèn)證成功后，同一局域網(wǎng)的邊界認(rèn)證機(jī)之間進(jìn)行相互認(rèn)證并分發(fā)團(tuán)體密鑰(對(duì)稱(chēng)密鑰)，為后續(xù)局域網(wǎng)終端認(rèn)證信息的同步作準(zhǔn)備.

4) 終端接入邊界認(rèn)證機(jī)，邊界認(rèn)證機(jī)監(jiān)測(cè)到MAC地址后，向管理控制服務(wù)器查詢(xún)認(rèn)證信息，并使用該終端公鑰與終端通過(guò)SM2算法進(jìn)行認(rèn)證報(bào)文的加解密交互，完成認(rèn)證過(guò)程；認(rèn)證成功后，邊界認(rèn)證機(jī)打開(kāi)網(wǎng)絡(luò)通路，允許終端通信；終端首次認(rèn)證成功后，邊界認(rèn)證機(jī)對(duì)終端進(jìn)行周期認(rèn)證.

5) 終端認(rèn)證后，邊界認(rèn)證機(jī)會(huì)向管理控制服務(wù)器申請(qǐng)?jiān)诰€終端的訪問(wèn)控制策略，接收到管理控制服務(wù)器下發(fā)的策略后，在本邊界認(rèn)證機(jī)執(zhí)行的在本地生效執(zhí)行，需下達(dá)給終端的轉(zhuǎn)發(fā)到終端，由認(rèn)證客戶(hù)端執(zhí)行.

4.4 管理控制服務(wù)器

ASN架構(gòu)的核心部件管理控制服務(wù)器是網(wǎng)絡(luò)集中式資產(chǎn)、認(rèn)證、策略和審計(jì)一體化中央管控核心，作為企業(yè)級(jí)集中統(tǒng)一的網(wǎng)絡(luò)安全智慧大腦，作為網(wǎng)絡(luò)資源管理和控制、網(wǎng)絡(luò)安全策略管理平臺(tái)集中管理所有接入到網(wǎng)絡(luò)的IT資產(chǎn)，統(tǒng)一對(duì)接入資產(chǎn)進(jìn)行認(rèn)證與準(zhǔn)入控制，統(tǒng)一動(dòng)態(tài)配置安全策略，集中管理訪問(wèn)日志，同時(shí)是傳統(tǒng)安全能力的集成匯接平臺(tái).

管理控制服務(wù)器主要功能如圖7所示:

圖7 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)管理控制服務(wù)器功能

管理控制服務(wù)器具體功能如下：

1) 對(duì)邊界認(rèn)證機(jī)、第三方平臺(tái)/系統(tǒng)進(jìn)行注冊(cè)認(rèn)證，并對(duì)邊界認(rèn)證機(jī)資產(chǎn)進(jìn)行管理；

2) 邊界認(rèn)證機(jī)注冊(cè)認(rèn)證成功后，向邊界認(rèn)證機(jī)下發(fā)MCL策略，為后續(xù)終端認(rèn)證使用；

3) 終端認(rèn)證過(guò)程中，響應(yīng)邊界認(rèn)證機(jī)對(duì)終端認(rèn)證的查詢(xún)信息，接收邊界認(rèn)證機(jī)發(fā)送的終端認(rèn)證結(jié)果信息，對(duì)終端的上線離線情況實(shí)時(shí)感知監(jiān)控；

4) 在管理控制服務(wù)器上管理全部接入設(shè)備的身份信息，管理、編輯和維護(hù)預(yù)置精細(xì)化的安全策略，為邊界認(rèn)證機(jī)提供認(rèn)證支持；

5) 通過(guò)開(kāi)放集成協(xié)議與接口與第三方系統(tǒng)/平臺(tái)進(jìn)行安全策略的交互，通過(guò)統(tǒng)一的策略?xún)?yōu)化算法將來(lái)自第三方安全平臺(tái)的安全信息轉(zhuǎn)化為邊界認(rèn)證機(jī)可執(zhí)行的策略格式，依據(jù)上線終端的情況，向?qū)?yīng)的邊界認(rèn)證機(jī)或終端快速部署安全策略.

5 總 結(jié)

主動(dòng)網(wǎng)絡(luò)安全架構(gòu)增強(qiáng)了網(wǎng)絡(luò)安全防護(hù)的有效性，提高了網(wǎng)絡(luò)安全融合能力，從實(shí)質(zhì)上提高了安全策略和資源控制的統(tǒng)一性、靈活性和便捷性，解決了傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的問(wèn)題，包括：入網(wǎng)設(shè)備嚴(yán)格徹底認(rèn)證；資產(chǎn)管理的準(zhǔn)確性和真實(shí)性；設(shè)備標(biāo)識(shí)唯一，安全分析追溯唯一鎖定；集成傳統(tǒng)安全應(yīng)用安全能力和智慧，聯(lián)動(dòng)安全設(shè)備和應(yīng)用；形成全面、統(tǒng)一、精簡(jiǎn)的安全策略；安全策略部署的動(dòng)態(tài)主動(dòng)和高效自動(dòng)化；實(shí)現(xiàn)網(wǎng)絡(luò)安全主動(dòng)協(xié)同防護(hù)，提高安全防護(hù)效率效果.

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)使網(wǎng)絡(luò)內(nèi)生安全能力，結(jié)構(gòu)協(xié)調(diào)、功能耦合、相互配套，像人體內(nèi)在免疫系統(tǒng)一樣，可隨敵而動(dòng)、隨變而應(yīng)，主動(dòng)動(dòng)態(tài)地進(jìn)行協(xié)同防御，顯著提高安全防護(hù)管理和技術(shù)水平.