基于BYOD網(wǎng)絡(luò)安全的身份關(guān)聯(lián)接入機制

韓強

摘? 要：為了實現(xiàn)和保障BYOD安全接入網(wǎng)絡(luò)，采用目前較為流行的動態(tài)口令身份認證方式，由網(wǎng)絡(luò)管理員設(shè)置程序算法來實現(xiàn)軟件動態(tài)口令的方法。首先用戶身份中隨機生成的賬戶和密碼，實現(xiàn)動態(tài)口令認證，接著檢測接入BYOD授權(quán)設(shè)備，實現(xiàn)一種身份關(guān)聯(lián)的接入機制，從而提高網(wǎng)絡(luò)安全使用的功能。

關(guān)鍵詞：身份關(guān)聯(lián);BYOD;網(wǎng)絡(luò)安全;接入機制;賬號管理;安全檢測

中圖分類號：TP393.08? ? ? ?文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）16-0017-02

Abstract： In order to realize and guarantee BYOD's secure access to the network， this paper uses the popular dynamic password authentication method at present， and uses the network administrator to set program algorithm to realize the software dynamic password. Firstly， account and password generated randomly in user identity are used to realize dynamic password authentication. Then， access to BYOD authorization device is detected， and an identity-related access mechanism is realized， so as to improve the function of network security.

Keywords： identity association; BYOD; network security; access mechanism; account management; security detection

引言

當前隨著 BYOD（Bring Your Own Device）的出現(xiàn)，單位中各部門員工可以利用手機設(shè)備在任何地點，任何時間訪問資源、處理業(yè)務(wù)[1]。同時BYOD得益于智能終端網(wǎng)絡(luò)功能的日益強大以及5G網(wǎng)絡(luò)的逐步完善，BYOD網(wǎng)絡(luò)的迅速普及已遍及人們生活、娛樂、工作等各方面[2]。這是新時代辦公的一種潮流，也給工作帶來新體驗。然而若設(shè)備中攜帶病毒，即一旦接入公司網(wǎng)絡(luò)便可能攻擊網(wǎng)絡(luò)系統(tǒng)[3]。有關(guān)數(shù)據(jù)顯示，隨著 BYOD網(wǎng)絡(luò)不斷的發(fā)展，不成熟的 IT 策略正在將各種各樣的敏感信息置于風險之中。因此我們需要一套完整安全網(wǎng)絡(luò)機制，來解決移動設(shè)備接入的安全管理。

身份認證，也稱身份驗證，身份確認通常采用“用戶名+口令”的方式來接入網(wǎng)絡(luò)。但是非法用戶通過字典或窮舉方法侵入、也可通過數(shù)據(jù)包偵聽或分析協(xié)議以及口令重放等方式接入[4]。此方式存在安全隱患，若物理證件丟盜，則信息泄露。綜上所述，本文提出一種身份關(guān)聯(lián)方式接入網(wǎng)絡(luò)，其實也是一種動態(tài)口令認證方式，只需程序代碼設(shè)置，不需添加任何物理器件，實現(xiàn)操作方便，網(wǎng)絡(luò)安全性高。

1 設(shè)計方案

網(wǎng)絡(luò)安全注重從源頭抓起，針對每一個上網(wǎng)者來講，網(wǎng)絡(luò)管理員對其設(shè)置身份關(guān)聯(lián)，給網(wǎng)絡(luò)中每一位員工分配單獨的賬號及密碼，他們每次接入網(wǎng)絡(luò)，必須使用該賬號和密碼（當然賬號與密碼也可以設(shè)置），這樣針對外來訪客BYOD設(shè)備來講，接入后若想訪問內(nèi)網(wǎng)或外網(wǎng)，必須通過身份關(guān)聯(lián)接入（即與該接待員工關(guān)聯(lián)到一起），從而達到可追蹤，可多方控制的管理效果。這時網(wǎng)絡(luò)管理者通過SDN監(jiān)控來訪者的網(wǎng)絡(luò)行為，所有行為都記錄于數(shù)據(jù)庫中，若發(fā)現(xiàn)異常行為，網(wǎng)絡(luò)管理者可采取限制或防御策略，實現(xiàn)接入安全，具體方案如圖1所示。

2 接入模塊設(shè)計

網(wǎng)絡(luò)安全接入機制關(guān)鍵點是保證外來BYOD設(shè)備安全接入網(wǎng)絡(luò)，因此在整個網(wǎng)絡(luò)接入設(shè)計中必須對接入者的身份進行安全認證，這就要設(shè)計接入模塊管理認證登錄過程。不管是共有設(shè)備登錄，還是私有設(shè)備登錄，都必須進行登錄方式的判斷，如驗證密碼，同時記錄他們的登錄信息、操作記錄，包括賬號密碼的加密或解密行為等，所有網(wǎng)絡(luò)行為都必須記錄在數(shù)據(jù)庫模塊中，包括賬號密碼數(shù)據(jù)庫、主機信息數(shù)據(jù)庫、操作記錄數(shù)據(jù)庫等，具體的身份關(guān)聯(lián)接入設(shè)計模塊如圖2所示。

3 機制實現(xiàn)

網(wǎng)絡(luò)使用者（單位職員或來訪者）的請求會被轉(zhuǎn)發(fā)到內(nèi)網(wǎng)SDN，從而實現(xiàn)關(guān)聯(lián)身份認證，身份認證內(nèi)容包括用戶身份的申請認證、生成賬戶、登錄認證、操作日志、行為審計等。為了實現(xiàn)這一系列的安全檢測，把網(wǎng)絡(luò)中本職員接入認證信息稱作主賬號，把訪者BYOD接入網(wǎng)絡(luò)的認證信息為授權(quán)賬號，同時為了方便管理，把主賬號和授權(quán)賬號統(tǒng)一規(guī)定采用不同的位數(shù)，例如主賬號規(guī)定是8位的字符串，授權(quán)賬號規(guī)定是18位制。下面分別介紹這兩種賬號具體的實現(xiàn)生成機制。

3.1 主賬號的生成機制

網(wǎng)絡(luò)中的主賬戶是網(wǎng)絡(luò)管理員按照生成規(guī)則自動分配的，要求每一位職員分配賬戶名和初始密碼必須是唯一的，職員通過其賬戶名及初始密碼登錄到內(nèi)網(wǎng)后再進行賬戶密碼的自行修改，那么主賬戶的生成機制是該網(wǎng)絡(luò)管理員的操作首要任務(wù)，其生成流程如圖3所示。

3.2 生成授權(quán)賬戶

授權(quán)賬號生成規(guī)則是根據(jù)主賬戶的信息來生成的，其賬號生成流程如圖4所示，首先獲取與其關(guān)聯(lián)的主賬戶的信息（賬號與密碼），生成訪問時間的10位數(shù)字，表示時間數(shù)字按秒數(shù)表示，接著隨機產(chǎn)生8位的隨機數(shù)（1到18的隨機數(shù)），然后取出對應(yīng)18位中的8位索引值，加上10位訪問時間數(shù)字共生成18位賬號，這樣的信息包括訪問時間數(shù)字、職員賬號、授權(quán)賬號，從而實現(xiàn)網(wǎng)絡(luò)安全機制。

3.3 身份關(guān)聯(lián)接入判斷

當網(wǎng)絡(luò)系統(tǒng)接收到接入請求時，系統(tǒng)會判斷其的認證方式，根據(jù)賬號的不同進行安全接入認證。當然認證判斷的依據(jù)主要是接入賬號的信息，如上面所說的8位主賬戶、18位授權(quán)賬號。如果賬戶是8位，則直接接入網(wǎng)絡(luò)，反之，則通過身份關(guān)聯(lián)接入網(wǎng)絡(luò)。身份關(guān)聯(lián)接入首先檢測職員的信息，通過之后再檢測BYOD授權(quán)賬號信息，也就是說對于外來BYOD接入設(shè)備來說，接入網(wǎng)絡(luò)賬號、密碼由職員控制，申請授權(quán)于該設(shè)備才登錄接入。用戶使用時必須與其的賬戶密碼關(guān)聯(lián)許可才能接入網(wǎng)絡(luò)。從而實現(xiàn)授權(quán)設(shè)備接入網(wǎng)絡(luò)時，檢測驗證主賬戶的合法性以及授權(quán)BYOD設(shè)備的合法性。若兩者都合法，該授權(quán)賬號有效，該設(shè)備才能成功接入網(wǎng)絡(luò)，否則接入失敗。

3.4 安全管理分析

身份關(guān)聯(lián)接入的安全性體現(xiàn)在于授權(quán)權(quán)限和接入權(quán)限，網(wǎng)絡(luò)管理員通過設(shè)備管理功能顯示出接入設(shè)備的詳細信息、職員用戶、來訪者、BYOD設(shè)備接入網(wǎng)絡(luò)的信息，包括接入IP地址、接入時間、離開時間等，也可以監(jiān)控到接入網(wǎng)絡(luò)后使用資源情況：CPU的使用率、內(nèi)存使用率、IO 使用率、帶寬使用率。若出現(xiàn)導常接入，如不能接入的稱為黑名單、直接接入的稱為白名單，網(wǎng)絡(luò)管理員可對其進入編輯、刪除等操作。

4 結(jié)束語

身份關(guān)聯(lián)接入網(wǎng)絡(luò)，主要實現(xiàn)了外來訪客和BYOD設(shè)備接入網(wǎng)絡(luò)時，必須同時判斷檢驗職員主賬戶與其所授權(quán)賬戶，兩者同時符合才能安全接入，若有其中一個不符合條件，則接入失敗，這就給企業(yè)的網(wǎng)絡(luò)安全提供了雙重保障，這樣不僅有效地控制外來設(shè)備以及來訪者安全接入網(wǎng)絡(luò)，而且還能方便準確地對接入用戶的操作進行追蹤審計。

參考文獻：

[1]陳林.支持軟件定義網(wǎng)絡(luò)的網(wǎng)關(guān)安全接入技術(shù)研究與實現(xiàn)[D].成都：電子科技大學，2018：14-29.

[2]黃壽孟.基于超網(wǎng)絡(luò)模型的混合教學知識傳播研究[J].信息與電腦：理論版，2019（5）：37-39.

[3]黃壽孟.基于Flex的數(shù)據(jù)通信技術(shù)研究與應(yīng)用[J].中國現(xiàn)代教育裝備，2016（17）：12-15.

[4]曲大鵬，吳松林，何俊，等.針對BYOD的網(wǎng)絡(luò)入口邊界安全研究[J].計算機應(yīng)用研究，2018（9）：2785-2788.