張國柱

（天津日報社，天津 300211）

網(wǎng)絡(luò)安全指的是確保網(wǎng)絡(luò)中數(shù)據(jù)信息的安全，同時保證網(wǎng)絡(luò)設(shè)備、軟件程序和系統(tǒng)數(shù)據(jù)得到有效保護，避免受到外部入侵者的惡意攻擊和重要數(shù)據(jù)信息的泄漏、竊取等，保證整個網(wǎng)絡(luò)系統(tǒng)始終穩(wěn)定運行，可以提供7*24小時不間斷服務(wù)。從廣義層面上來說，網(wǎng)絡(luò)安全領(lǐng)域范圍十分寬闊，包括數(shù)據(jù)信息的準(zhǔn)確性、完整性、可用性和真實性，以及相關(guān)網(wǎng)絡(luò)技術(shù)理論等。網(wǎng)絡(luò)安全不僅包括網(wǎng)絡(luò)安全技術(shù)，同時涵蓋了網(wǎng)絡(luò)安全管理等理論知識，二者相互補充。網(wǎng)絡(luò)安全技術(shù)的研究目的是為了防止外部非法入侵者的惡意攻擊，網(wǎng)絡(luò)管理注重的是人為因素的管理。如何確保網(wǎng)絡(luò)中數(shù)據(jù)信息的安全，提高網(wǎng)絡(luò)系統(tǒng)運行的安全性和可靠性，是目前網(wǎng)絡(luò)安全研究領(lǐng)域重點考慮的問題。本文介紹了可信網(wǎng)絡(luò)基本概念，分析了可信網(wǎng)絡(luò)的接入認(rèn)證方法，提出了基于可信網(wǎng)絡(luò)的新型接入認(rèn)證模型構(gòu)建方案，闡述了該安全模型的體系架構(gòu)和基于802.lx的可信網(wǎng)絡(luò)接入認(rèn)證過程[1]。

1 可信網(wǎng)絡(luò)的概念

目前，國際網(wǎng)絡(luò)安全研究領(lǐng)域?qū)τ凇翱尚啪W(wǎng)絡(luò)”給出了代表性較強的解釋：ISO/IEC15408網(wǎng)絡(luò)安全測評認(rèn)證標(biāo)準(zhǔn)提出，可信網(wǎng)絡(luò)指的是一個可信的組件、操作或過程在任意操作條件下是可預(yù)測的，并可以有效地抵御網(wǎng)絡(luò)病毒和物理干擾的影響和破壞；比爾蓋茨認(rèn)為，可信計算是一種可以在任何環(huán)境下隨時獲取安全可靠的數(shù)據(jù)，同時包括網(wǎng)絡(luò)用戶對計算機網(wǎng)絡(luò)操作的信任程度的計算；Algridas等人認(rèn)為可信網(wǎng)絡(luò)指的是網(wǎng)絡(luò)系統(tǒng)提供的應(yīng)用服務(wù)是完全可信任的，系統(tǒng)可以應(yīng)付服務(wù)失敗和頻繁出錯的問題[2-4]。

國內(nèi)對于可信網(wǎng)絡(luò)的理論研究也比較深入，很多專家學(xué)者對可信網(wǎng)絡(luò)的架構(gòu)模式提出可信網(wǎng)絡(luò)應(yīng)該具備的3種典型特征：

（1）可信網(wǎng)絡(luò)中的操作行為和結(jié)果是可以預(yù)測的。

（2）可信網(wǎng)絡(luò)中的操作行為是可評估的，對異常行為可以有效控制。

（3）可信網(wǎng)絡(luò)服務(wù)是安全、可靠、穩(wěn)定的。

可信網(wǎng)絡(luò)架構(gòu)指的是將網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全子系統(tǒng)進行有效整合和統(tǒng)一管理，結(jié)合可信網(wǎng)絡(luò)的接入認(rèn)證控制機制、網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)、數(shù)據(jù)信息安全傳輸技術(shù)等，真正提高整個網(wǎng)絡(luò)的安全防護能力，構(gòu)建良好的可信網(wǎng)絡(luò)安全體系[5]。

2 可信網(wǎng)絡(luò)接入認(rèn)證技術(shù)

2.1 VPN接入認(rèn)證技術(shù)

為了確保企業(yè)公司員工可以與企業(yè)總部進行實時數(shù)據(jù)信息的交換和共享，企業(yè)需要從網(wǎng)絡(luò)服務(wù)商租用相關(guān)服務(wù)。由于公共網(wǎng)絡(luò)容易遭到外部非法入侵者的攻擊，包括堵塞網(wǎng)絡(luò)、拒絕服務(wù)和竊取機密等，因此必須引入VPN技術(shù)，即虛擬局域網(wǎng)技術(shù)來解決網(wǎng)絡(luò)安全威脅問題。VPN技術(shù)是利用公共網(wǎng)絡(luò)創(chuàng)建屬于企業(yè)內(nèi)部的私人網(wǎng)絡(luò)，同時通過網(wǎng)絡(luò)安全傳輸機制等來確保數(shù)據(jù)信息的安全性、完整性、可用性以及嚴(yán)格的網(wǎng)絡(luò)訪問控制，建立一個基于邏輯層面的私有網(wǎng)絡(luò)。VPN技術(shù)具有成本低廉、實時共享、安全可靠和擴展性強等特征，是一個有效的技術(shù)手段，通過公共網(wǎng)絡(luò)來實現(xiàn)私有數(shù)據(jù)信息的交換與共享。

2.2 802.lx接入認(rèn)證技術(shù)

IEEE802.lx是基于網(wǎng)絡(luò)端口的用戶訪問控制協(xié)議，IEEE802.lx包括3個組成部分，分別為客戶端系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。

客戶端系統(tǒng)是指用戶終端系統(tǒng)，一般情況下要配置客戶端軟件，網(wǎng)絡(luò)用戶啟動客戶端軟件之后，可以發(fā)起基于802.lx網(wǎng)絡(luò)控制協(xié)議的接入認(rèn)證過程。為了確保網(wǎng)絡(luò)端口的可用性，客戶端系統(tǒng)必須支持EAPOL基于局域網(wǎng)的擴展認(rèn)證協(xié)議。

認(rèn)證系統(tǒng)是指可以支持802.lx網(wǎng)絡(luò)控制協(xié)議的網(wǎng)絡(luò)設(shè)備，通常情況下，認(rèn)證系統(tǒng)始終運行于NAS之上，為網(wǎng)絡(luò)用戶提供認(rèn)證接入服務(wù)。認(rèn)證系統(tǒng)包括受控端口和非受控端口2個邏輯端口：受控端口只能確保在接入認(rèn)證可以通過的情況下打開，作為網(wǎng)絡(luò)數(shù)據(jù)的傳輸載體提供相關(guān)服務(wù)；非受控端口保持網(wǎng)絡(luò)的雙向連通，以此來傳遞EAPOL協(xié)議幀，其作為網(wǎng)絡(luò)用戶認(rèn)證信息的載體，要保證客戶端能成功發(fā)出和接受接入認(rèn)證。PAE作為網(wǎng)絡(luò)端口的網(wǎng)絡(luò)實體，分為客戶端系統(tǒng)PAE和認(rèn)證系統(tǒng)PAE：客戶端系統(tǒng)PAE始終位于客戶端，負(fù)責(zé)處理認(rèn)證系統(tǒng)請求建立相互信任關(guān)系的信息；認(rèn)證系統(tǒng)PAE負(fù)責(zé)與客戶端進行通信，將客戶端接收的數(shù)據(jù)信息發(fā)送給認(rèn)證服務(wù)器，最終完成接入認(rèn)證服務(wù)。

認(rèn)證服務(wù)器一般采用RADIUS協(xié)議認(rèn)證機制，認(rèn)證服務(wù)器負(fù)責(zé)對認(rèn)證系統(tǒng)客戶端發(fā)送的數(shù)據(jù)信息進行驗證。

2.3 WAPI接入認(rèn)證技術(shù)

WAPI接入認(rèn)證安全機制是由WAI和WPI 2個部分共同組成，WAI負(fù)責(zé)實現(xiàn)對網(wǎng)絡(luò)用戶身份的鑒別，WPI負(fù)責(zé)實現(xiàn)對傳輸數(shù)據(jù)信息的加密。本文只對WAI進行介紹。

WAI主要包括3個部分，即：STA站點、AP接入點和ASU鑒別服務(wù)單元。

（1）STA站點：包括了無線MAC地址和PHY接口等網(wǎng)絡(luò)設(shè)備，包括無線移動終端、個人筆記本電腦等。

（2）AP接入點：AP接入點同樣具備了站點的功能，通過無線媒體為站點提供分布式網(wǎng)絡(luò)訪問服務(wù)。

（3）ASU鑒別服務(wù)單元：ASU鑒別服務(wù)單元是可信任的第三方，負(fù)責(zé)發(fā)放證書、驗證證書和吊銷證書等服務(wù)。

3 新型接入認(rèn)證模型的構(gòu)建

本研究提出的基于可信網(wǎng)絡(luò)的新型接入認(rèn)證模型主要包括4個實體，分別是AR接入請求者、PEP策略執(zhí)行者、PDP策略決策者和PSP策略服務(wù)提供者，如圖1所示。同時，基于可信網(wǎng)絡(luò)的新型接入認(rèn)證模型中還包含了一個隔離網(wǎng)絡(luò)，對不合格的網(wǎng)絡(luò)接入請求者進行修復(fù)[6]。

圖1中，AR接入請求者主要是網(wǎng)絡(luò)設(shè)備對需要接入的網(wǎng)絡(luò)發(fā)起請求，包括筆記本電腦、智能手機和PAD掌上電腦等移動終端設(shè)備；PEP策略執(zhí)行者主要是對網(wǎng)絡(luò)起到安全保護作用的中間屏障，包括VPN網(wǎng)關(guān)、防火墻系統(tǒng)等，PEP策略執(zhí)行者負(fù)責(zé)接收和執(zhí)行PDP策略決策者發(fā)來的命令，可以設(shè)置為4個網(wǎng)絡(luò)端口，分別是授權(quán)端口、非授權(quán)端口、可信端口和受限端口；PDP策略決策者指的是Radius等認(rèn)證服務(wù)器，按照本地安全策略和服務(wù)策略為AP提供網(wǎng)絡(luò)訪問接入控制服務(wù)，策略決策包括允許、禁止和隔離3種情況；PSP策略服務(wù)提供者屬于可信任的第三方，可以為PDP策略決策者提供相應(yīng)策略，幫助AR接入請求者和PDP策略決策者進行用戶身份確認(rèn)，同時對AR證書和PDP證書進行驗證；隔離網(wǎng)絡(luò)也成為修復(fù)網(wǎng)絡(luò)，通過提供隔離的網(wǎng)絡(luò)環(huán)境對沒有通過可信網(wǎng)絡(luò)接入認(rèn)證的請求者進行修復(fù)，包括可信證書修復(fù)、可信系統(tǒng)補丁修復(fù)和可信防病毒軟件修復(fù)等，當(dāng)修復(fù)完成后可以再次提出請求接入到網(wǎng)絡(luò)中。

圖1 基于可信網(wǎng)絡(luò)的新型接入認(rèn)證模型示意圖

基于可信網(wǎng)絡(luò)的新型接入認(rèn)證模型中的網(wǎng)絡(luò)實體指的是邏輯實體，每個實體可作為一個獨立的軟件程序或設(shè)備，還可以作為一套操作系統(tǒng)，多個不同的邏輯實體可以在不同網(wǎng)絡(luò)設(shè)備上實現(xiàn)，或者根據(jù)實際需求在同一個設(shè)備上實現(xiàn)[7]。

4 可信網(wǎng)絡(luò)接入認(rèn)證體系架構(gòu)與應(yīng)用的實現(xiàn)

4.1 基于可信網(wǎng)絡(luò)新型接入認(rèn)證架構(gòu)

在本文提出的基于可信網(wǎng)絡(luò)新型接入認(rèn)證架構(gòu)中，共包含3個邏輯層次：網(wǎng)絡(luò)接入層、可信屬性評估層和可信屬性度量層。網(wǎng)絡(luò)接入層負(fù)責(zé)對傳統(tǒng)網(wǎng)絡(luò)接入技術(shù)給予支持，包括802.1x接入技術(shù)、VPN接入技術(shù)和WAPI接入技術(shù)等；可信屬性評估層主要功能是對提出訪問請求的網(wǎng)絡(luò)實體進行評估；可信屬性度量層主要是對提出訪問請求的用戶及其相關(guān)可信信息進行收集和驗證。圖2給出了基于可信網(wǎng)絡(luò)新型接入認(rèn)證架構(gòu)示意圖。

由圖2可知，AR實體負(fù)責(zé)實現(xiàn)與傳統(tǒng)網(wǎng)絡(luò)的連接，網(wǎng)絡(luò)接入請求部分位于網(wǎng)絡(luò)接入層，負(fù)責(zé)發(fā)出網(wǎng)絡(luò)訪問、請求并建立網(wǎng)絡(luò)連接，如由VPN客戶端提出請求建立一個隧道等；在同一個AR實體中可以包含多個不同的NAR，用以建立不同的網(wǎng)絡(luò)連接；可信屬性收集部分主要負(fù)責(zé)對本系統(tǒng)的硬件設(shè)備、軟件設(shè)備和操作系統(tǒng)的可信屬性值進行測量；可信代理客戶端部分負(fù)責(zé)對可信屬性收集部分匯總的信息進行統(tǒng)一管理，同時將匯總的信息發(fā)送到代理服務(wù)器中。一般情況下，可信屬性值都是哈希值，包括從系統(tǒng)啟動到結(jié)束過程的可信屬性值。

圖2 基于可信網(wǎng)絡(luò)新型接入認(rèn)證架構(gòu)示意圖

體系中的PDP實體包括3個部分，即網(wǎng)絡(luò)接入授權(quán)部分、可信屬性驗證部分和可信代理服務(wù)器部分。網(wǎng)絡(luò)接入授權(quán)部分可以對策略服務(wù)提供者進行咨詢，以此來判斷AR實體的可信屬性評估結(jié)果是否滿足本地安全策略，對AR實體的接入行為作出正確判斷；可信屬性驗證部分主要是按照策略服務(wù)者提供的策略，對發(fā)出接入請求的用戶可信屬性值進行驗證，并將驗證結(jié)果反饋到代理服務(wù)器；可信代理服務(wù)器主要負(fù)責(zé)管理可信代理客戶端的數(shù)據(jù)通信，匯總驗證結(jié)果后形成一個網(wǎng)絡(luò)訪問結(jié)果，將授權(quán)發(fā)送給訪問請求者。

4.2 基于802.lx的可信網(wǎng)絡(luò)接入認(rèn)證過程

基于802.1x的可信網(wǎng)絡(luò)接入認(rèn)證過程示意圖如圖3所示。

圖3 基于802.1x的可信網(wǎng)絡(luò)接入認(rèn)證過程示意圖

圖中信息0即：在驗證可信屬性握手協(xié)議之前，由可信代理客戶端分別配置一個可信屬性收集部分組件，再啟動可信屬性收集部分組件。同時，要確保分配到客戶端的可信屬性收集組件的網(wǎng)絡(luò)連接狀態(tài)不會被破壞。信息1即：當(dāng)網(wǎng)絡(luò)連接發(fā)出請求時，需要在網(wǎng)絡(luò)層由網(wǎng)絡(luò)接入請求部分重新啟動一個網(wǎng)絡(luò)連接請求。

5 結(jié)束語

隨著社會信息化建設(shè)的深入推進和信息技術(shù)水平的持續(xù)提高，網(wǎng)絡(luò)安全事件頻繁發(fā)生，包括網(wǎng)絡(luò)病毒、黑客入侵和非法攻擊等安全問題，都導(dǎo)致了網(wǎng)絡(luò)可信度的不斷降低。由此，建立安全、穩(wěn)定、可靠的可信網(wǎng)絡(luò)環(huán)境勢在必行。本文將可信網(wǎng)絡(luò)接入技術(shù)與安全評估技術(shù)有機結(jié)合，提出了基于可信網(wǎng)絡(luò)的新型接入認(rèn)證模型的構(gòu)建方案，不但可以支持應(yīng)用廣泛的802.1x接入技術(shù)、VPN接入技術(shù)，同時還能支持我國自主研發(fā)的WAPI接入技術(shù)，對于促進我國網(wǎng)絡(luò)安全建設(shè)具有一定理論參考意義。

［1］張祖昶，王誠.P2P網(wǎng)絡(luò)的信任評估安全模型研究［J］.計算機技術(shù)與發(fā)展，2014（1）：32-34.

［2］楊家興.復(fù)雜網(wǎng)絡(luò)安全態(tài)勢評估模型仿真分析［J］.計算機仿真，2013（8）：289-292.

［3］劉婷婷.網(wǎng)絡(luò)安全的隨機模型方法與評價技術(shù)［J］.計算機光盤軟件與應(yīng)用，2013（16）：144-146.

［4］何永明.基于KNN-SVM的網(wǎng)絡(luò)安全態(tài)勢評估模型［J］.計算機工程與應(yīng)用，2013（9）：81-84.

［5］胡昌軍.雙隱層BP神經(jīng)網(wǎng)絡(luò)模型在區(qū)域水安全評價中的應(yīng)用［J］.水資源與水工程學(xué)報，2013（3）：196-200.

［6］黃小龍.基于混沌序列動態(tài)加密的網(wǎng)絡(luò)密碼安全模型［J］.計算機應(yīng)用與軟件，2013（7）：209-212.

［7］關(guān)德君.物流信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)模型分析［J］.黑龍江科技信息，2013（13）：54.