网络接入安全控制研究(通用8篇)
网络接入安全控制研究 篇1
1 网络安全的接入技术
网络系统与用户的接入部分, 较容易受到安全攻击, 部分攻击者研发的病毒、木马, 专门在接入地点处寻找突破口, 增加接入技术安全防护的压力。网络接入技术的运行受到极大的安全威胁, 降低网络系统的运行能力, 但是用户对网络系统的需求量越来越大, 必须通过安全控制的方式, 保障接入技术的安全性, 确保用户接入网络系统时, 具备足够安全的技术处理[1]。分析比较常用的网络安全接入技术, 如下:
(1) TNC技术
TNC技术主要以可信主机为基础, 通过可信任的主机, 提供安全的接入服务, 保障用户与网络系统处于高度安全的状态。TNC技术能够检测用户是否为正常接入, 排除接入过程中的不安全因素, 利用安全协议控制用户访问, 确保网络系统的安全性[2]。TNC技术安全接入的流程为: (1) 网络访问:规划网络连接的安全位置, 实行技术性的接入, 按照由访问到执行的过程, 进行授权接入, 提高接入技术的安全能力, 杜绝入侵信息; (2) 完整评估:此流程主要是发挥策略评估的优势, 保障网络接入技术的系统性, 构建安全的访问环境; (3) 完整测量:此过程为用户安全接入网络的最终步骤, 全面收集接入信息, 做好配置、验证的工作, 加强核心控制的能力。
(2) 光纤接入技术
光纤的传输速度比较高, 可以作为接入网络的传输介质, 支持用户的宽带业务。光纤在宽带接入中比较常见, 也是最主要的接入方式, 受到传统接入的影响, 光纤接入技术并没有实现完全普及, 但是其仍旧是较为理想的接入技术, 在安全方面享有优质的评价。
2 构建网络安全接入技术的平台
用户接入不同类型的网络, 都需要安全接入技术的连接, 为提高安全技术的控制能力, 需为其提供安全的接入平台, 既可以高效维护网络安全接入技术, 又可以保障用户安全接入各种类型的服务网络, 严格禁止信息泄露、攻击等问题。
网络安全接入技术平台的构建过程如: (1) 设计注册系统, 监测接入技术的对象是否符合安全标准, 提供数据型的平台服务, 用户在注册接入的过程中即可完成认证, 只有符合安全条件的用户, 才能进入接入网络设置的安全防护区域, 如果用户认证不成功, 只能挡在防护区域的外围, 无法正常接入网络; (2) 配置模块, 配置是安全接入平台的管理模块, 利用配置功能分析接入技术的安全性质, 一旦发现威胁项目, 立即执行隔离处理, 排除潜在的威胁隐患, 提高安全接入网络的配置优势; (3) 设备监督模块, 有效监督接入用户设备的运行状态, 防止病毒入侵, 安全接入平台的此项模块, 具有防火墙的功能, 通过安全策略, 实时监督异常情况, 以免用户程序受到威胁攻击; (4) 业务管理模块, 用户接入网络后, 进行一系列的业务操作, 该模块主要以业务管理为主, 优化业务运营的空间, 防止出现不良的因素, 干扰网络安全; (5) 验证模块, 根据安全接入技术的验证规则, 检验接入用户的身份; (6) 通信检测, 维护通信过程, 防止通信内容被恶意篡改; (7) 终端管理, 安全接入平台设计内, 具有终端管理的程序, 约束用户接入的流程, 促使其严格按照终端管理的流程执行安全服务。
3 分析 4G 无线网络安全接入技术
4G无线网络在用户群体中, 具有较高的接入量。4G无线网络安全的接入技术, 以DDMP理论为基础, 在安全协议的基础上, 通过演绎、逻辑的方式, 形成一种新型的接入逻辑, 促使其在用户接入4G网络时, 能够享受到极其安全的环境[3]。针对4G无线网络安全接入技术中的演绎和逻辑进行分析, 体现接入技术的安全价值。
(1) 演绎方式
演绎方式的核心是集合, 其在4G网络安全接入技术中, 发挥明显的应用价值。演绎集合的安全保障可以分为两类, 即:构件集合和操作集合。
第一, 构件集合。利用协议构成安全接入的基础, 构件集合中的每个协议动作, 基本都是建立在私钥的约束下, 随机生成构件集合, 只能在密钥的作用下, 才能匹配出信息内容, 构件集合可以分为三个安全区域, 如: (1) 签名区域, 存有单向认证的集合方式, 通过X→Y:m与机制, 完成整个签名的过程, m是随机选择的条件, X代表签名的发起者, 具有证书, 能够操控响应者Y, 确保签名验证发生在安全的环境中; (2) 加密区域, 代表接入技术的应答过程, 通过 X→Y:m 与机制, 构成加密条件, 整个过程最主要的是体现接入技术加密与解密的过程, 保护接入环境; (3) 交换区域:经过签名与加密, X在m随机作用下, 得出I并计算出了结果i, Y得出R和r, 整个构件集合中为内部计算, 不会产生任何向外发送的数据, 证明接入技术中的构件集合非常安全。
第二, 操作集合。其演绎的过程为整合→求值→转换。整合是按照接入技术的安全协议, 保障输入序列与构件保持同步状态, 采用序列代替的方式, 将操作集合整合成新的协议[4]。求值过程中不用改变原本的基础构造, 但是可以通过添加消息, 提高接入技术的安全性, 求值属于随机的过程, 具有协议转换的优势, 求值中最常用的安全保护手段是公密钥, 只有在随机假定条件成功的前提下, 才能实现安全接入, 增加入侵解析的难度, 提高4G接入技术的安全度;适当变换协议步骤, 即可完成求值转换, 促使入侵者无法解析接入技术。
(2) 逻辑方式
4G网络安全接入技术中的逻辑方式, 用于确保协议安全, 提高接入技术的属性安全度。逻辑是一次证明演绎的过程, 提供准确的证明方式, 保障接入技术处于安全的环境中。逻辑方式中的动作较为明显, 根据动作属性, 逻辑推理出协议的未来运行, 维持原有协议的安全状态, 避免接入技术的安全属性受到攻击。目前, 4G网络安全接入技术中采用了断言方法, 用于满足逻辑方式的需求, 明确代表接入程序前后的变化过程, 后期为保障逻辑方法的安全价值, 适度加入密码学, 构成逻辑方法中的要素, 安全描述接入状态。
4 Wi MAX 无线网络安全接入技术
Wi MAX无线网络是城域网的基础, 拓宽互联网接入的地域。由于Wi MAX具有开放标准的特性, 所以其在安全接入方面也需要高效率的技术支持。Wi MAX的接入技术, 可以通过安全机制完成, 提供安全的接入空间。
Wi MAX无线网络安全接入技术大致可以分为五个步骤, 如: (1) 认证, 利用安全鉴定的方法, 识别用户的身份, 保障用户能够安全接入Wi MAX无线网络, 协议是验证用户身份的有效途径, 通过不规则的消息、定义, 防止接口入侵; (2) 加密技术, 为接入技术提供加密环境, 在加解密的过程中, 管控接入技术的应用, 密钥对应着唯一的公钥, 在特定加密技术的作用下, 完善整个安全接入的过程, 形成保密的环境, 增加解密的难度; (3) 数据管理, 用户接入Wi MAX时需要安全的数据支持, 主动提取接入技术中的安全信息, 融合认证过程与加密技术, 保障数据管理的完整性, 进而提高安全度; (4) 防御维护, 主要利用签名技术, 强化Wi MAX接入技术的安全性, 辅助接入技术的安全维护; (5) 隐藏身份, 用户接入Wi MAX时, 可以采用隐藏的身份, 避免被攻击者跟踪或解析, 实现长期的加密接入, 保持接入技术的安全能力。
目前, Wi MAX无线网络安全接入技术, 采用IEEE802.1机制, 规范了接入技术的接口, 安全定义接入网络的用户[5]。该机制具有明显的安全性, 其中MAC中含有安全策略, 服务于用户、基站两者, 通过认证到加密的过程, 区分安全保护的模块, 再提供安全映射, 保障Wi MAX接入技术的安全价值。
5 结束语
网络安全接入技术虽然呈现多样化的发展, 但是其在安全方面仍旧具备相同的标准, 多项技术投入应用的过程中都需要遵循控制要求, 在规范的状态下实现安全接入, 避免影响用户与网络的连接状态。网络接入技术中的安全问题, 已经成为网络行业中比较重视的问题, 越来越多的开发商提高对安全接入的重视度, 在开发接入技术的同时, 做好安全防护的工作, 维护网络接入的安全发展。
参考文献
[1]丁涛.基于虚拟化应用的安全接入的研究[D].华北电力大学, 2013 (25) :34-36.
[2]孙涛.试论接入控制技术在内部网络中的实际应用[J].才智, 2013 (33) :16-18.
网络接入安全控制研究 篇2
【关键词】移动办公 安全接入 隧道交换
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2013)01—0160-01
1 引言
随着信息化时代的来临,信息系统已成为日常工作的基础手段,发挥了越来越重要的作用,而移动办公能使用户随时随地处理工作,极大地提高工作的便利性和处理效率,与此同时移动办公网络的安全性、兼容性也成为一种急迫的需求。
隧道交换技术可以使不同的服务提供商、不同安全域的网络之间实现安全的隧道联系,将目的地址相同的隧道聚合,实现隧道复用,减少隧道维护开销,在保证安全性的同时最大限度的增加移动接人的灵活性。所谓隧道交换就是采用点安全隧道交换模块一点的通信方式实现传统的点到点的隧道通信方式,在两条不同的安全隧道之间交换数据,实现安全隧道的延伸和转发。本文首先分析移动办公网络在安全方面的需求,然后引入隧道交换技术,提出了一种高效的安全接入机制,可以有效提高移动办公网络的安全性、兼容性和部署的灵活性。
2 移动办公网络的安全需求
移动办公就是需要使用移动终端设备,通过相对不安全的信道,通常是Internet网络,接入单位内部网络,以实现随时随地可以办公的目的,但是近年来来自网络的安全威胁越来越大,因而移动办公网络必须至少满足如下的一些安全需求:数据交换需求:保证信息公开服务的准确性与实时性。安全性需求:保证外网服务与内部网络不混杂,杜绝安全性隐患。保密性需求:在数据交换的过程中,必须保证数据传输通道的安全,对数据进行加密,以防止数据被窃取导致的严重后果。可控性需求:保证数据格式统一,不含任何病毒木马。可管理性需求:网络安全设备要能够统一进行管理,可以及时方便掌控整个网络的运行情况。
3 基于隧道交换的移动办公网络安全接入机制
3.1 隧道交换技术
按照隧道交换完成的功能,也就是隧道交换的目的可以分为两类:内外网之间交换和外网两条隧道之间的交换。前者实现内外网之间的隧道交换,类似于隧道中继,使隧道得以向内网延伸,可以进一步保证内网传输数据的安全性和完整性,使得隧道可以终止在网络的任意位置,使得安全隧道的构建更加方便灵活,极大地提高系统得扩展性,能够将数据引导到不同的子网,实现数据流调度。后者实现外网的两条隧道之间进行隧道交换,类似于路由转发。这种方式可以使没有直接隧道互联的实体,借助与双方都有隧道关系的第三方实体实现互联,即可以以较小的隧道开销实现全联通,使不同服务商、不同的安全域之间建立安全通道。
3.2 隧道交换方式
所谓交换方式是指在隧道交换阶段,交换设备采用何种方式处理数据包,实现交换。不管何种处理,交换设备都必须记录需要交换的两个实体的一一对应关系及双方的相关信息,大致可以分为两种隧道交换方式:加解密方式和IP封装方式。在加解密模式下,交换实体均要和隧道交换设备建立安全隧道,隧道交换记录内网地址之间的交换关系以及与保护它们的安全实体之间的安全隧道信息。在IP封装方式中,隧道协商过程可以是在实际通信双方之间直接协商,当然也可以认为协商数据是“透明”的通过隧道交换转发来完成的,也就是说,隧道交换并不解密数据包,进一步确保数据在安全传输途中不会出现安全隐含,这种方式可以实现隧道的嵌套,可以有效提高产品部署的灵活性和可扩展性,本文采用后一种方法但也兼容第一种方式。
3.3 基于隧道交换的安全接入
基于隧道交换的移动办公网络安全接入机制可以支持所有类型的移动办公需求,本文以典型的三种应用为例来论述该机制的原理。
(1)移动用户通过互联网接入内部网络
这里移动用户可以是笔记本、手机等各种移动终端,通过事先安装的隧道交换模块,经过必要的认证与密钥协商之后,与内部网络或主机建立安全隧道,分配内部网络地址,之后这个移动用户就可以像在内部固定地点登陆内部网络一样,自由的处理各种工作,而安全隧道的交换对于用户完全透明,这是由于隧道交换对其进行了必要的封装,存在外部和内部两个IP头部,并对内部地址进行加密、完整性保护,只有到达内部网络经过解密后才能看到内部地址信息。
(2)分支机构通过互联网接入内部网络
分支机构通过互联网接入内部网络的情况与移动用户类似,其不同之处主要在于,分支机构中可能存在多个用户同时在异地接入位于总部的内部网络,这时就需要隧道交换模块建立隧道交换表,分别登记来自同一分支机构的不同用户,并分别设置安全策略、访问权限。这里需要明确的是,分支机构接入内部网络,也只有一个安全隧道,只执行一次加解密和完整性保护运算,并不会增加系统开销,不同用户的区分是由隧道交换来完成的。
(3)多个移动用户通过互联网以及内部网络实现互联
移动办公不仅需要随时随地接入网络,有时也需要多个移动用户之间可以随时随地安全的沟通,比如同时出差的两个单位领导之间,这时二者直接通信由于受到移动设备的限制,比如手机,无法安装复杂的安全模块(如加解密模块等),这时就可以通过隧道交换,即每个移动用户分别与内部网络建立联系,由内部网络执行隧道交换,以实现它们之间的间接连接。这样做还有一个好处,每个移动用户仅仅需要掌握一个安全通信方式,而不必要掌握与每一个可能的移动用户的安全通信方式,大大降低了存储和计算开销,尤其适合计算、存储能力受到限制的移动设备。
4 结束语
本文分析了移动办公网络的安全需求,引入了安全隧道交换机制,给出了两种不同的隧道交换方式,提出了一种高效的安全接入机制,可以有效提高移动办公网络的安全性、兼容性和部署的灵活性。
参考文献
[1]陈娜,李之棠.层次交换式VPN体系结构的设计与研究.华中科技大学硕士学位论文,2004 5
[2]韩儒博,邬钧霆,徐孟春.虚拟专用网络及其隧道实现技术.微计算机信息,2005年14期,6-8页
[3]杜学绘.一种新的一体化移动安全接入体系结构.计算机工程.2007年13期
网络接入安全控制研究 篇3
随着信息化的发展,国网青海省电力公司信息内外网建设规模不断扩大,各业务系统获得大面积使用,网络需求趋于多样化、复杂化,内网信息安全问题日益突显。以往,信息安全通常通过物理防火墙、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion Detection System,IDS)等保证,但越来越多的数据显示信息安全问题往往源于企业内部的终端系统。在应对目前的网络安全风险和威胁时,不仅需要自顶向下的体系设计,还需要自底向上的手段来保证计算机终端及计算机网络的安全可信,以使网络处于可信的运行环境,方法包括在终端接入前对用户身份进行认证、对安全要求进行测量和评估、对终端可信状态进行审核,确保接入网络系统[1,2,3,4,5]的计算机终端安全可信。
文献[4]提出的网络接入控制(Network Access Control,NAC)技术可以为未受信任的管理终端提供身份和应用准入控制,通过这一技术可以在最大程度上确保企业不受外部的未知威胁影响。NAC提出后经历了十几年的发展,网络接入控制技术的发展也随着计算机网络技术的发展得到不断完善,从最初的第一代ARP(Address Resolution Protocol)准入控制技术开始,逐渐发展了DHCP Enforcer、802.1x、EOU、Gateway Enforcer等多种形式的网络接入控制技术,且技术始终随着使用者的网络环境、应用环境在不断发生变化。为了适应不同的场景需求,网络接入控制技术需要在不同的网络环境、应用环境以及业务环境的基础上营造信息系统的可信环境空间,将来自企业内部的不稳定因素在一定程度上降低到最低。
1 网络接入控制系统建设思路和要求
1)入网规范流程化,系统统一性强。网络接入控制系统采用终端注册——身份认证识别——安全合规检查——非受信隔离/受信入网的标准管理规范,当网络出现扩容、改造时,不同部署模式的使用不会影响用户终端的入网习惯。尤其需要指出的是,采用标准的入网规范可以从根本上解决终端身份的可信认证、终端用户的可信认证和终端安全层面的可信认证等方面的问题,杜绝来自内部的信息泄密。
2)提醒智能化,系统易用性强。网络接入控制系统在终端注册、身份识别认证、安全合规性检查、非受信隔离以及受信入网各个环节都提供了智能化提示,帮助终端用户在准入认证不通过时确定原因,同时通过入网智能化提示普及了终端信息安全知识,让终端使用者认识到终端安全的重要性,从而养成良好的终端使用习惯。
3)基于角色实现入网控制,系统控制力强。网络接入控制系统通过基于角色的入网控制将所有用户分为企业内部员工和来宾用户,同时为不同的角色指定了不同的访问区域。系统对入网合规性检查不合格的用户进行了安全隔离,从而实现角色权限的区分管理、企业内部员工和来宾用户权限的定制以及非受信终端的安全修复和隔离。
4)来宾用户实现自助入网,系统操作性强。网络接入控制系统对来宾用户提供了便捷的入网方式,来宾用户只需提供自己的身份信息以及接待人员的信息便可以快捷地接入网络;另外,系统可以针对不同的需求制定不同的来宾用户信息填写要求以及来宾用户访问控制权限,以避免未知的安全隐患。来宾用户可以通过自助查询等方式获取上网密码和接入网络;同时,系统管理员可以根据来宾的性质有针对性地对来宾用户上网权限的时间周期进行限制,实现来宾用户入网可控、能控、在控的管理要求。
2 网络接入控制系统实施方案
网络接入控制系统分为终端管理系统和硬件网关2个部分,其中硬件网关设备是网络接入控制系统的核心部件,负责对终端的策略执行结果进行评估并根据评估结果匹配相应准入策略。终端管理系统则负责提供EDP Agent注册接口,逐级扫描终端PC,记录未注册Agent终端的IP和MAC,并将注册情况存储并同步到网络接入控制系统的硬件网关设备中。
在本方案中,硬件网关部署在青海电力网络核心交换处,通过将各分公司和直属单位的网络流量进行镜像并将镜像流量发送至硬件网关来对用户终端进行接入控制。
目前网络接入控制系统的部署模式有策略路由准入控制模式、旁路干扰准入控制模式、透明网桥准入控制模式3种。考虑到青海电力网络的复杂性及安全性,在本次设计中采用旁路干扰准入控制模式。
相对于策略路由准入控制模式及透明网桥准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性,它采用流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流。它是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,旁路干扰准入控制模式系统拓扑如图1所示。
3 网络接入控制系统功能
3.1 合规性检查
合规性检查是计算机终端入网的凭据,不合规的终端接入网络可能给网络带来极大的安全威胁(例如病毒恶意传播、木马攻击导致企业机密泄露),不安全的策略配置也会导致对黑客入侵缺乏有效的抵抗能力。针对以上问题,网络接入控制系统从终端安全加固做起,对终端可能存在的安全风险进行评估并根据评估结果对终端进行安全隔离,同时对存在的风险进行修复和加固。
1)杀毒软件检查。对终端安装杀毒软件的情况进行检查并评估,支持“要求安装”和“不要求安装”2种模式。
2)系统资源共享。对终端是否存在共享资源进行检查,支持“允许”和“禁止”2种模式。
3)系统漏洞检查。对终端系统的漏洞情况进行检查,支持“允许”和“不允许”2种模式。
4)IE主页检查。对IE的主页配置进行检查,支持“允许修改”主页和“不允许修改”主页2种模式。
5)Guest来宾账户检查。对终端系统guest来宾账户的启用情况进行检查,支持“允许”和“禁止”2种模式。
6)远程桌面检查。对远程桌面启用情况进行检查,支持“允许”和“禁止”2种模式。
7)启动项检查。对系统的进程启动情况进行检查,支持“必须启动项”和“禁止启动项”2种设定,并可自行设定启动项的进程列表。
3.2 安全隔离
网络接入控制系统遵循终端注册——身份认证识别——安全合规检查——非受信隔离/受信入网的标准控制流程。对于未通过安全检查的终端,可以采用安全隔离手段将终端进行隔离,被隔离的终端只能访问指定的安全控制域,避免因不安全的终端接入网络而带入未知风险。
3.3 来宾入网管理
外来访客由于办公需要可能需要临时接入网络,系统对外来访客进行临时授权时,为了安全,需要控制外来访客的访问权限。网络接入控制系统针对外来访客的入网需求制定了整套上网流程,支持访客上网码的在线自助申请、管理员的在线授权以及访客认证等功能[6,7,8]。
1)在线申请上网码。访客只要将自己的姓名、联系方式、所属公司、接待人等基本信息提交给网络管理员便可以申请上网码。
2)上网码授权。管理员接收到访客发起的上网请求后,在后台对请求进行授权,根据访客属性划分安全域、控制上网码的生命周期以及确定是否启用和分配上网码。
3)访客认证。访客认证支持自动分配上网码和手动分配上网码2种功能模式。如果选择自动分配上网码模式,访客提交申请信息,自动身份认证通过后便接入网络;如果选择手动分配上网码模式,访客提交申请后,需要等待管理员确认并分配上网权限后再向接待人索取上网码,或者经管理员确认后手动查询上网码,访客提交上网码后才能接入网络。
3.4 用户及角色管理
在企业内部信息系统中,不同部门或者不同用户经常会分配不同的管理或者访问控制权限,不同的管理和访问权限统一由按角色进行划分。网络接入控制系统针对信息系统设置了部门、用户、角色等用户层次结构,通过将部门、用户及角色有机结合起来,同时将角色与安检规范、安全域进行联动,实现不同部门不同用户具有不同的访问权限和规范。
3.5 安全域控制
安全域主要用来控制不同用户不同角色的访问控制域,例如来宾用户不允许访问企业关键业务服务器、企业员工不能访问互联网等,安全域控制采用IP机制,支持IP地址、IP段以及IP范围设置。
3.6 资产管理
网络接入控制系统针对终端的资产管理包含硬件资产管理、软件资产管理以及资产变更报警管理。
1)硬件资产管理自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。为了便于管理,网络管理人员还可以根据需要自行对搜集到的硬件信息进行标注。
2)软件资产管理自动发现并识别计算机终端已安装的所有软件信息(名称、版本、安装时间、发现时间等),将相关数据入库,以供管理员在Web控制台查询。它还自动收集安装在每台计算机上的操作系统信息,包括安装的操作系统种类、版本号以及当前的补丁情况。
3)软、硬件设备信息变更管理。对设备未注册、注册程序被卸载、硬件设备变化(如硬件更改、IP地址变更、USB设备接入)等情况进行报警。
4 结语
网络接入控制系统在用户终端方面防止对企业信息系统资源的非授权访问,保证应用系统可抵御恶意人员、病毒、恶意代码等造成的攻击与破坏,确保了企业信息系统的安全稳定运行;同时,通过确保企业业务数据生成、存储、传输和使用过程的安全保证了业务数据的安全,满足国家电网公司等级保护中所要求的系统安全和物理安全的防护要求,实现了企业信息安全的可控、能控、在控。
参考文献
[1]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):89-94.ZHOU Chao,ZHOU Cheng,DING Chen-lu.Computer network terminal access control technology[J].Computer System Application,2011,20(1):89-94.
[2]戴明星,陈正奎.网络准入控制技术的应用研究[J].信息网络安全,2011(8):41-43.DAI Ming-xing,CHEN Zheng-kui.Research and usage of admission control for network[J].Netinfo Security,2011(8):41-43.
[3]李兴国,雷若寒.利用准入控制实现校园网的安全管理[J].微计算机信息,2008(12):47-48,53.LI Xing-guo,LEI Ruo-han.Realize the security management o f c a m p u s n e t w o r k w i t h t h e u s a g e o f a c c e s s c o n t r o l[J].Microcomputer Information,2008(12):47-48,53.
[4]谭罗生.交换机端口安全特性助力网络接入控制[J].金融科技时代,2011(7):62-63.
[5]杨铭,周矛欣,许秀文.浅谈网络探针接入控制技术[J].中国管理信息化,2010,13(15):82-83.YANG Ming,ZHOU Mao-xin,XU Xiu-wen.Analysis on the network probe access control technology[J].Chinese Management Informatization,2010,13(15):82-83.
[6]马之力,张驯,崔阿军,等.电网企业网络准入体系设计与应用[J].电力信息与通信技术,2015,13(5):126-130.MA Zhi-li,ZHANG Xun,CUI A-jun,et al.Design and application of power grid enterprise network access system[J].Electric Power Information and Communication Technology,2015,13(5):126-130.
[7]刘世栋,李炳林,王瑶.智能电力IMS网络架构及实现技术研究[J].电力信息与通信技术,2015,13(11):25-30.LIU Shi-dong,LI Bing-lin,WANG Yao.Research on architecture and implementation technologies of intelligent electric IMS network[J].Electric Power Information and Communication Technology,2015,13(11):25-30.
网络接入安全控制研究 篇4
随着我国信息化建设的不断推进,安全稳定的信息网络发挥着越来越重要的作用。无线网络(Wireless Network)是采用无线通信技术实现的网络,具有简单快捷、低成本、高速率、高灵活性等特点,极大地方便了终端接入。但无线网络的所有数据都在空气中传输,其传输信道无法隔离和切割,受到电磁干扰、无线窃听、 非法接入等问题的困扰,成为涉密无线网络安全的制约瓶颈。
本文首先论述了无线网络面临的安全威胁,然后对现有技术及研究成果进行概述,然后针对这些威胁提出涉密无线网络的安全建设目标,最后设计了涉密无线网络的安全接入体系结构。
1涉密无线网络面临的安全威胁
由于其信道的开放性,无线网络在安全性上的缺陷是显而易见的,很容易遭受外界非法接入、无线干扰、无线窃听等网络攻击。总体来说,无线网络面临的安全威胁主要有以下几个方面。
(1)非法接入。包含两个方面,一是非法用户连接无线接入设备,前提是该用户破解了接入设备的身份认证;二是非法接入设备通过伪装诱骗用户连接,在用户不知情的情况下收集用户信息,执行钓鱼攻击。
(2)信道窃听。由于信道的开放性以及无线设备的严重同质化,攻击者只需要一台无线接收设备就可以很容易地扫描到无线信号,并利用无线抓包工具抓取数据包进而寻求破解,用户甚至无法检测自己发送和接收的数据是否曾被截获,也难以探测窃听者的存在。
(3)无线干扰。现有无线传输是利用红外或射频技术实现, 工作频率范围有限,攻击者可以架设无线发送设备,在无线网络的工作频段发送大量无用信号实施干扰,使正常设备无法使用。
(4)异构移动设备引发的安全问题。现在移动终端类型越来越多,使得网络越发复杂,难以实施统一有效的管理措施,进而对网络安全造成一定冲击。
总之,信道的开放性是无线网络安全的根本缺陷,与其优点是互斥的,无法彻底消除,只能利用其它手段加以弥补。
2现有技术及研究成果
防范网络攻击的根本方法在于修补网络本身脆弱性,提高攻击防范能力。围绕无线网络的安全性改进,科学家进行了大量的研究。
(1)SSID隐藏技术。SSID(Service Set Identifier)是无线局域网的唯一标识符,用于区分不同的网络。通过SSID隐藏技术,可取消SSID广播,攻击者就不能直接获取此网络的相关必要信息。但现有技术通过简单扫描就可以发现隐藏的SSID,此技术的有效性已大大降低。
(2)无线加密技术。802.11标准描述了WLAN和WMAN的MAC层和物理层的规范,并引入了WEP(Wired Equivalent Privacy)加密技术,但密码分析专家现已发现WEP存在严重弱点;WPA(Wi-Fi Protected Access)技术是WEP的改进型,是802.11i完备之前的过渡方案安全性已有较大提高;WPA2是WPA的升级版,它实现了802.11i的全部规范,其安全性大大增强,从2006年3月起,WPA2已成为企业的强制性标准。
(3)身份认证技术。802.1x协议是基于Client/Server的访问控制和认证协议,它可以限制未经授权的用户、设备接入网络; EAP是扩展验证协议,它提供了强大的身份验证机制和动态密钥分发功能,同时还提供进行双向身份验证的一种方式。两种技术相结合,具有简洁高效、安全可靠、灵活方便、低成本、易管理的特点,成为当前流行的身份认证技术。
(4)IPsec技术。IPsec(Internet Protocol Security)是网络安全的长期方向,通过端对端的安全性来防止来自内外网的攻击。IPsec拥有不可否认性、完整性、认证等安全特性。
3涉密无线网络安全建设目标
涉密无线网络主要应用于国家政府机关、企业内部、野外作业等场景,对数据保密性、时效性、完整性、可靠性的要求非常高,总的来说,主要有以下几个方面。
(1)高健壮性。即在复杂恶劣环境或设备遭到不可抗力催毁的情况下,保证网络服务不间断。目前采用蜂窝式ad-hoc组网方式可较好地解决这方面问题。
(2)抗干扰。复杂电磁环境下,无线网络的通信受到很大干扰,无线通信必须具备强大的抗干扰、反干扰能力。
(3)高保密。安全保密是涉密网络建设的首要原则,采用必要的安全措施防止失密、泄密,是无线网络建设的首要目标。
(4)高可靠。涉密网络上传输的数据必须是可靠的、完整的,若存在虚假信息、非法信息,将严重影响用户判断,造成重大损失。
4涉密无线网络安全接入体系结构
安全可靠的网络系统需要结合网络架构、安防手段、安防策略等多方面综合设计,下面从涉密无线网络的安全建设目标入手,分别从这三个方面讲述安全无线网络结构的设计。
4.1网络架构
网络架构设计如图1所示,无线终端通过无线发射点(AP) 接入网络,网络配置内外防火墙、入侵检测、认证服务器、加解密网关等安防设备,从结构上看,外部无线设备要访问内部服务, 需要经过AP认证、认证服务器认证、加解密、入侵检测、外防火墙、内防火墙等六道防线,确保内部数据的稳定安全。
4.2安防手段
(1)无线AP接入。无线AP需专门定制,具备体积小、重量轻、易携带、防摔防水等功能。开启隐藏SSID,尽可能减少网络暴露的风险;采用跳频、扩频等无线技术,抵抗一定规模的无线干扰;部署多个AP设备,使用ad-hoc方式组网,具备一定抗催毁能力;采用WPA2加密技术,设置足够长的密码,减少用户非法接入风险。
(2)802.11i认证。802.11i标准在物理层与链路层定义了数据加密及双向认证等功能,可识别非法终端及非法AP,极大地提高了系统安全性,有效防止了非法终端接入、非法AP钓鱼等网络攻击。
(3)端对端加解密。由于身份认证及数据传输使用同样的通道,存在一定的安全隐患,因此引入加解密网关,对内网进出的数据进行二次加密。加解密网关采用非对称加密算法,此加解密网关在网络层之上、传输层之下实现了数据的加解密传递,有效防止了非法窃听、非法劫持等网络攻击。
(4)入侵检测、防火墙、访问控制列表、防病毒系统、补丁分发系统等常规防护手段。入侵检测系统用于检测异常流量,配合防火墙联动,可有效预防大规格DDo S攻击;防火墙内外配置严格的检测措施,有效防止大部分非法网络攻击;防病毒系统和补丁分发系统能够极大地提高网络系统本身的健壮性,预防病毒、木马等攻击。
4.3安防策略
(1)异构计算机接入平台。异构计算机接入是防止大规模网络入侵、病毒攻击的有效手段。系统漏洞与系统版本是密切相关的,即同一系统的同一版本往往具有相同的漏洞,如果网络中大量存在同构(即同一版本系统)计算机系统,攻击者如果攻陷一台此类系统,就可以继续攻击同构的所有系统;反之,在采用异构系统的情况下,攻击者即便攻陷了一台计算机,也难以寻找更多具有同样漏洞的计算机。
(2)采用自主研发设备。自主研发设备从研发、生产、装备、 使用等过程上都相对可靠,一是不存在故意设置的后门,二是采用了符合涉密条件的安全性更高的技术,三是技术服务保障更到位。
(3)安全审计。安全审计是指由专业审计人员对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价,便于及时发现异常和做出应对。
5结语
网络接入安全控制研究 篇5
随着校园网络应用的增加,校园网络信息将越来越多,利用网络进行授课,将越来越被人们看好。课堂教学有一个教学次序问题,网络教学更要有一个好的管理方法,网络教学过程中有一个非常重要的问题往往被忽视,就是校园网络的安全接入问题。VPN接入就是一种基于安全的远程接入,VPN-Virtual Private Network(虚拟专网)指的是在公用网络上建立专用网络的技术。具体来说虚拟网就是利用一台专用的设备,将本在两地的用户,通过虚拟电路联接起来,两地用户之间,没有传统专网所需的端到端的物理链路,而是通过在公用网络服务商的网络平台构建起来的逻辑网络,用户数据在逻辑链路中传输。
因为通过公用网来建立的VPN链路是一个逻辑线路,并非是物理链路,这样可以节省大量的通信费用,而不必投入太多的人力和物力去安装和维护;用户只利用学校提供的网络资源,对于其他的安全设置、网络管理变化可由自己管理,在校园内部也可以自己建立VPN。
从校外登录到VPN服务器上的用户可以直接访问校内部网络资源,而校内的有很多的资源并非能够公开访问,因此,VPN系统要建立相的策略对用户的权限进行严格界定,同时对登陆的用户进行强制身份验证,只有通过验证的用户才能有权限访问内部资源。
2 在校园网中VPN的接入方式
常用的VPN有Client-LAN(Access)型、LAN-LAN型,下面介绍一下在网络的实现方式:
2.1 Client-LAN(Access)型
Access VPN能够提供对校园内部网或外部网的远程访问。Access VPN能使校外用户随时、随地根据用户的需求访问校园网资源。也可以使在国外讲学的教师,利用VPN远程将自已的教学内容安全地上载到学校的服务器中,打破了地理、时间的限制。校外教师及学生通过拨号线路连接到学校的NAS服务器上,经过NAS服务器身份认证后,通过公网跟学校内部的VPN网关之间建立一个隧道,利用这个隧道对数据进行加密传输,通过建立RADIUS服务器可对登录者进行验证和授权,保证连接的安全。
2.1.1 Client-LAN(Access)型的实现方式
Client-LAN型的VPN有两种方式:校外用户的客户机驱动连接或通过网络接入到校内的服务器(NAS)驱动的连接。
2.1.1. 1 客户驱动的连接
使用客户驱动的连接,校外用户可以从他们的客户端开始,通过ISP运营商的公共网络,到校园网络中的VPN网关建立一条加密的IP隧道。这条隧道起始于校外用户的计算机,终结于校园网内的VPN网关。
2.1.1. 2 网络接入服务器(NAS)驱动的连接
NAS驱动的链接,校外用户首先拨号到学校的拨号服务器NAS。NAS在对这个用户进行身份验证时,得知此用户是一个从校外拨号进来的VPN用户,然后NAS就为其建立一条安全的、加密的隧道来连接到校园网络的VPN网关。这条隧道起始于NAS,终结于校园网内的VPN网关。利用由NAS驱动的体系结构,校园管理者对用户的身份进行验证,使他们能够初步接入到校园网络中;然而,校园网络管理者仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。
2.2 LAN-LAN(Intranet VPN和Extranet VPN)型
如果要进行校园内部各分支机构的互连或者分校之间的互连,使用LAN-LAN VPN是很好的方式。越来越多的大学都有不止一个校区,若校区之间较远可采取的方式就是租用专线。但是如果利用VPN技术就可以利用公网的线路,在公网上组建一个大较大的范围内的LAN-LAN VPN。通过利用Internet的线路建立相应的专用的隧道、通过加密等VPN技术保证信息在整个LAN-LAN-VPN上安全可靠地传输。LAN-LAN VPN通过一个使用专用的网络设备来连接校园总部、分校区之间的互联互通。同时学校的各个分校园之间拥有与专用网络的相同政策,包括安全、服务质量(Qo S)、可管理性和可靠性。
LAN-LAN VPN主要使用的是IPSec协议,通过IPSec协议的封装来为校外用户建立一条加密传输数据的隧道。Intranet VPN主要用于一个校园内部互连使用,Extranet VPN主要用于校园和校园的合作者互连使用。适用于不同的学校之间的教学共享。
具体实现时,有如下几种方式:
2.2.1 VLAN方式
这种方式严格上不能算作VPN。
这种方式仅仅适合在一个较小的范围内使用,通过在局域网交换机上划分VLAN将客户的多个LAN连接起来,使得这些用户是在同一个VLAN中,同时每个LAN通过市内的宽带网主干提供高速的通信。
优点:在现有的网络上,不需要增加设备即可工作,而且能提供高带宽的通道。
缺点:只能在小范围内使用。
2.2.2 MPLS VPN方式
当一个学校存在有多个校区时,可以通过使用支持MPLS的网络设备,来构建校大规模的VPN。这种方式是目前学校实现大规模VPN最好的方式,但对设备有一些要求如:要求在校园区的主干设备上支持MPLS并开通,而且在主干的边界上使用支持MPLS VPN的设备。
2.2.3 IPSec VPN方式
常见的实现LAN-LAN VPN的方式。这是一种利用IPSec协议在Interneth上的不安全IP传输通道上,为用户通过设置VPN网关,建立一个加密的通道,可以将多个地方的LAN连接起来,数据在传输过程中进行加密,保证相关的安全性。
3 结论
利用在教学服务器的前端建立一个VPN的网络,将私有的网络与公有的网络分隔开来,用户的认证可以建立在本地的网关上,也可以建立在标准的RADIUS服务器中,而这些服务器对外是不可见的,对用户进行权限的划分,使不同的用户具有不同的权限,这样可以有效地保护好教学服务器免受非法用户的攻击,保证合法用户享受应有的权限,保证正常教学的进行。我校目前已开通VPN接入,利用这种接入方式,能够使住在校处的教职工或出差的老师,在外一样能够访问到校内的私有资源,能够将自已的授课内容,通过网络安全地上载到学校教学服务器中,也可以远程解答学生在网上提出的问题,而不受学校防火墙的限制。具体使用方法可在学校主页中获得。
参考文献
网络接入安全控制研究 篇6
本文针对当前LTE网络到WLAN网络切换过程中的安全接入问题进行了分析,并在此基础上提出了一种LTE–WLAN安全接入改进方案,并对方案的安全性进行了理论分析,证明了方案在LTE网络到WLAN异构网络接入方面可以满足用户对个人隐私保护及数据安全方面的要求。
1 LTE-WLAN网络接入的安全缺陷分析
3GPP提出了LTE-WLAN网络接入系统的网络切换方案。当UE切换到WLAN时的接入方式如下:
1)首先e PDG对申请切换接入的UE进行鉴权。
2)同时,UE对所要接入的APN进行鉴权。
3)并且在UE和e PDG之间通过IKEv2鉴权流程建立IPSec隧道。
4)整个鉴权完成后,e PDG和P-GW之间将执行代理绑定更新流程,从而建立起两者之间数据传输所用的PMIPv6隧道。
5)整个过程完成后,在UE与P-GW之间建立了默认承载,UE通过WLAN连接到EPC,可以实现数据的收发。6P-GWLTE
6)最后,由P-GW触发LTE侧的资源释放流程。
通过上述接入流程分析,我们不难发现:由于在中,的位置管理是由负责的,当切换出管理的跟踪区域时,将通过跟踪区域更新流程来完成切换后UE的位置管理。在WLAN中,可以将UE的路由注册视为用户位置管理,是通过关联机制实现的,即UE在WLAN-AP上进行注册。在3GPP LTE-WLAN网络切换机制中,由于WLAN与LTE的接入网E-UTRAN互不相关,LTE与WLAN的结合程度是松耦合的,因此当UE从LTE接入到WLAN时,UE需要与WLAN-AP进行关联,即完成路由信息的注册;至此,切换后的UE完全脱离了MME的管理,所以LTE系统将无法得知目前UE所处的位置。综上所述,当UE完成LTE-WLAN网络切换接入后无法实现用户位置的实时管理,也就不支持实现无丢包切换的PDCP序列号机制,从而无法保证用户个人隐私及信息安全。
2 一种 LTE-WLAN 安全接入改进方案
本节针对前面提出的当前LTE网络到WLAN网络切换过程中的安全接入问题,提出了一种LTE-WLAN安全接入改进方案,改进的安全接入方案的流程如图1所示。
1)由LTE网络端发起切换的源LTE-e NB向UE发送测量控制。
2)UE按照测量要求完成测量后,将测量结果上报。
3)源e NB端做好网络切换准备。
4)源e NB向目标Virtual-e NB发送切换请求。
5)目标Virtual-e NB收到切换请求消息后,将执行接入控制。
6)Virtual-e NB完成接入控制后,向源e NB发送切换请求确认消息。
7)e NB将RRC切换命令消息给UE,通知UE立即执行切换。
8)UE收到切换命令消息后,从LTE服务小区去附着。同时,源e NB传送缓存的及发送中的包到虚拟e NB。
9)UE将自身同步到WLAN中,并执行WLAN的鉴权和关联过程。
10)最后,UE将向Virtual-e NB发送RRC连接重配完成消息。
11)确认切换完成后,Virtual-e NB将向MME发送路径切换请求。
12)MME收到路径切换请求后,将向S-GW发送更新用户面请求消息。
13)收到更新用户面请求后,S-GW将UE的下行路径更新为新的参数。
14)S-GW向MME发送用户面更新响应。15MME Virtual-e NB
15)MME收到响应后,将向Virtual-e NB发送路径切换确认消息。
16)路径切换完成后,Virtual-e NB向发起切换的源e NB发送UE上下文释放消息。17LTE-e NB
17)源LTE-e NB完成资源释放,切换接入过程结束。
3 方案安全性分析
改进的认证方案主要由四个部分组成:1测量和上报;2切换准备阶段;3切换执行阶段;4切换完成阶段。
该方案的网络切换认证、授权过程是对原接入方案的一种改进,使得LTE - WLAN网关可以像e NB一样通过S1接口连接到LTE网络中的MME和S-GW,即WLAN通过该网关和LTE网络的S1接口紧耦合到了LTE的核心网;另外,在该网关引入对LTEX2接口的支持,使其能够紧耦合到LTE接入网E-UTRAN中。这种LTE-WLAN的紧耦合切换接入方式,加上对LTE信令的有效支持,从而将LTE E-UTRAN内部切换机制引入了WLAN。同时,此种异构切换方式下的WLAN服务区域类似于LTE小区,对其赋予跟踪区域标识后,也就将LTE的用户位置实时管理机制引入了WLAN。
4 结束语
网络接入安全控制研究 篇7
Internet的迅速发展不仅使社会经济结构和人们的生活方式发生了巨大的变化,同时也开辟了网络控制机器人研究的新方向。把机器人接入网络,使网络拥有能够对环境进行操作的终端执行能力,可以极大地拓展网络和机器人的应用范围。
网控机器人的研究思想是把网络和机器人技术融合起来,从系统的角度来进行研究开发。通过计算机网络的发展来扩展机器人控制系统的多样性,使机器人的控制系统与网络中的其他成员(通过网络互连的其他智能设备)进行交互和协作,从而使信息和数据的获取与共享以及与人的交互界面都将随之改变。机器人将可以越来越多的享受网络资源,利用网络的方便,使机器人成为网络的一员,这就可以突破距离的限制,真正实现跨区域、跨空间的远程控制。网络也可以借以机器人的特点来扩展它的外在延展性。
如今各国科学家在基于Internet的机器人控制进行了广泛的研究。但是每一种控制系统都针对特定机器人设计,系统功能相对单调,扩展性弱。本文以实现一种网络机器人控制系统可以接入不同类型的机器人为目标,开展异构机器人动态接入网络控制系统的研究[1~3]。
1 系统动态接入异构机器人的实现
1.1 异构机器人接入的瓶颈
为了实现针对不同类型的机器人都可以方便的接入系统,不能应用传统的单应用程序控制单个机器人的设计方式,必须采用一种新的设计方式进行系统设计,给不同机器人接入提供便捷的接口。
系统接入不同机器人的设计瓶颈在于:
1)各种机器人的行为虽然具有相似性,但每一种机器人行为的具体实现都是不同的。
2)机器人控制的状态数据和命令数据的差异性。
3)机器人网络传输数据的差异性。
由此可见,要想实现系统对不同机器人的动态载入,这几个技术必须得以解决。
1.2 解决途径
解决多机器人动态载入的方法有如下几个方面:
1)以机器人作为基本对象进行建立机器人的数据和行为模型,把机器人的一些共有的行为特征抽象出来,作为基本机器人对象的行为。
2)基本机器人对象建立完成以后,考虑到不同机器人行为实现的具体差异,采用的是对象的继承和多态的设计思想。不同的机器人对象特征在子类中体现差异。不同机器人的行为在子类中得到具体的实现。
3)不同机器人的状态数据和命令数据的差异性,采用C++模板的技术。设计对象模型时,不涉及到具体的数据类型,只有在动态载入的时候才涉及到机器人数据类型。
通过上面的3种设计思想,可以设计出每一种类型的机器人具体行为实现和数据结构的实现,建立每个机器人的类库,系统在设计时,采用基本的机器人类作为下位机进行实现,这样在运行时动态载入需要接入系统的机器人类库,就可以使本系统方便的对机器人进行控制。下面详细的介绍机器人网络控制系统中多机器人动态载入的设计和实现。
1.3 实现
1.3.1机器人模型基类的实现
本系统采用的技术面向对象的编程思想加上通用编程技术,在程序设计中把机器人作为一个对象,封装了机器人的操作行为和机器人的数据状态。这种实现方式不同于过程性编程,它的重点不是实现任务的过程,而是在概念上对对象的数据和行为进行设计,对象模型的建立是整个程序设计的关键,是系统稳定运行的前提,采用面向对象的设计方式,可以有效、方便的对系统进行功能扩展。
机器人基类的设计是实现不同机器人动态载入的基础和关键,它是否具有高度的抽象性和行为的完备性,决定了是否可以设计出有效的代替机器人的基类模型,实现机器人动态载入。
机器人行为抽象可以简单的分为:初始化机器人、得到机器人状态信息、定点行走、执行任务、停止任务、暂停任务、继续执行和删除任务等等。如下所示:
其中,这些定义的都是机器人共有的动作行为,不同机器人具有的特殊的行为可以在继承类里进行实现。
1.3.2实现不同机器人动态载入
继承技术可以扩展和修改原有基类的行为,所有待接入的机器人类都具有相同的特征,因此可以从机器人基类(BaseRobot)中继承这些公有的行为特征,然后根据本身特征进行相应的扩展和具体的实现,下面是一个具体机器人Motoman的类模型,它包括了机器人共有的行为方法,和自己特有的行为。以继承的方式来达到不同机器人类模型的公有和特有的属性。
继承实现的是不同机器人类模型的建立,而多态技术实现的是机器人共同的行为特征的具体的不同实现,例如:移动机器人前进一步采用的是空间坐标,而工业机器人前进采用的可以是关节坐标。我们在基类BaseRobot和具体机器人MotomanRobot中都是用StartStep()方法来实现,但是不同机器人实际的实现代码可以是不同的。利用多态技术,可以实现机器人具有统一接口,但具体行为实现可以不同,因此网络控制系统就可以调用统一的接口函数,在运行时进行动态载入机器人进行特有的行为。
1.3.3解决机器人状态数据差异
机器人种类不同,它本身的状态信息就会不同,状态信息的数据结构就会不同。实现不同的机器人接入必须解决和机器人数据通讯的问题。C++中的模块技术是很好的解决方案。
传统的和机器人用接口函数进行数据交换时,必须定义好数据格式,例如,移动机器人的状态信息可以是:
由此可以,我们在定义机器人具体的方法时,必须正确的使用状态数据结构,使用相应的机器人类模型来调用机器人的方法。
本系统在继承和多态的技术上,使用模板的技术,这样,可以在定义机器人类时采用通用的数据定义格式,而在具体的机器人载入时采把相应的机器人数据结构进行动态载入,实现统一的机器人接口方法。
例如:
如此,各个机器人在方法的接口就实现了统一,方便了不同机器人的调用。在实际调用的时候才实现具体数据类型的载入。
例如:
BaseRobot(MOVESTATUSINFORMATION)*move Robot=new MoveRobot(MOVESTATUSINF-ORMATION);
BaseRobot(MOTOMANSTATUSINFSINFxT-ION)*motomanRobot=new MotomanRobot(MOTOMANSTATUSINFORMATION);move Robot是机器人基类的指针,它的数据类
move Robot是机器人基类的指针,它的数据类型是移动机器人的数据类型,它指向了移动机器人(MoveRobot)的具体实现。
motoman Robot是机器人基类的指针,它的数据类型是Motoman工业机器人的数据类型,它指向了Motoamn机器人(MotomanRobot)的具体实现。
2 总结
在机器人行为实现设计过程中,采用C++的继承机制和多态特性,建立了每一种机器人模型的行为类库,利用模板的特性,创建了机器人行为的统一接口,解决了异构机器人状态数据和命令数据的格式不一致对系统接入异构机器人的影响。在系统的运行中,可以动态的载入异构机器人的行为类库的DLL文件,从而实现系统动态载入机器人的功能。异构机器人接入技术的研究对基于网络的机器人系统具有很重要的意义,对于分布式机器人技术、群体机器人协调等方面都具有重大影响。
参考文献
[1]刘轶,范宜洋,张晗.一种跨平台的机器人网络远程控制系统[J].计算机工程,2004(10):70-72.
[2]朱徐华.网络环境下移动机器人的建模与控制方法研究[D].南京理工大学.2006.
基于SDN的无线网络接入控制 篇8
随着互联网的快速发展,网络用户的数量增长迅猛,特别是移动智能终端用户,如何管理移动终端成为管理员必须要考虑的问题。 传统网络采用垂直分层结构,将控制逻辑和数据转发耦合到交换机、路由器等网络设备中。 这些网络设备都是封闭的,其中的网络协议和专利为设备商所特有,因此科研人员和网络管理人员很难实验和部署新型网络协议和应用。 对于大规模的网络管理,传统网络已经显现出它的不足。 为了解决现有TCP/IP体系架构所面临的问题, 世界各国的科研工作者都在积极开展未来互联网的研究, 软件定义网络(Software Defined Network , SDN[1]) 就是在这种技术背景下产生的。
SDN这种新型网络架构将传统TCP / IP体系网络分为数据平面和控制平面,数据平面只负责底层数据的转发, 控制层面来决策数据转发。 控制器开放北向接口NBI , 使得一些新型网络应用能迅速部署。 控制器和SDN交换机之间通过安全通道相连, 并按照Open Flow[2]协议规则来管理和配置交换机。 Open Flow协议最初是由斯坦福大学的Nick Mc Keown教授[2]提出, 开放网络基金会ONF对基于Open Flow的无线SDN进行了详细介绍, 并发布了相关白皮书文档[3]。 本文就是基于控制层面的北向API接口, 实现了一种基于MAC地址的访问控制策略, 并将该应用部署到实验室网络中, 通过实验验证了可行性和实用性。
1 传统网络的无线接入管理
1 . 1 WEP接入认证
WEP是802 . 11b中定义的一种加密方式, 目的是为WLAN提供和有线网络LAN同级别的安全性。 由于WLAN是基于无线电磁波的传输, 没有固定封闭的传输媒介,无法提供端到端的安全传输,因此更容易被入侵,现在已经基本被淘汰。
1 . 2 WPA接入认证
WPA有WPA和WPA2 两个标准, 是为了解决WEP的弱点而产生的, 现在已替代了WEP加密。 WPA-PSK采用TKIP加密方式,密匙越长越安全。 WPA2 是增强型版本,新增了AES加密方式,WPA2-PSK则支持TKIP和AES两种加密方式, 是现有的加密方式中相对最安全的一种。
1 . 3 WEB认证方式
WEB认证是一种应用层接入管理方式, 在这种方式中, 管理员创建一个开放模式的无线接入点, 用户接入后访问网络时, 被强制重定向到指定的认证网页, 要求输入正确的账号和密码才能继续访问网络。 即使是同一个用户, 在每次断开连接后, 这种接入认证方式需要再次输入账户名和密码,因此不是很便捷。
1 . 4 MAC - ACL接入控制
MAC - ACL直接利用MAC地址认证控制接入, 这种接入方式也需要接入服务器(例如Radius),用来判断MAC地址是否合法。 此种方法必须预先知道哪些MAC地址是合法的,由于每一个终端的MAC地址唯一,可以用分级权限访问实现。
2 基于SDN的无线MAC地址访问控制
上述接入认证方式各有优劣, 如WEP和WPA加密认证算法方式已被证明存在漏洞,常用于家庭个人Wi Fi网络;WEB接入认证虽然安全, 但是每次输入密码会影响使用的便捷;MAC-ACL虽然可以自动认证,但是首次获得合法MAC地址的过程较为麻烦。 而且,目前多数网络设备的转发功能和认证功能在一起,随着用户规模的增加,管理的开销成为影响网络性能的重要因素。 本文主要探索高效安全的无线网络接入管理方式。
2 . 1 采用SDN架构的无线接入网
SDN将网络的控制逻辑和数据转发分开, 形成应用层、控制层和基础设施层三个层次,如图1 所示。
应用层: 包含各种网络应用程序, 实现交换机的数据转发、负载均衡、流量控制和防火墙等功能。 控制器开放北向接口,用户可以开发并部署自己的应用。 本文所提出的MAC地址访问控制就是北向接口的应用。
控制层:控制逻辑,即控制器。 控制器的网络控制功能主要包括南向接口协议Open Flow、 链路发现、 拓扑管理、策略定制和下发流表等。 控制器南向接口与SDN交换设备相连,控制器通过交换设备上报的信息进行统一的监控和管理。 控制器根据应用层程序执行相应策略,而策略定制和下发流表则是控制器利用南向接口的下行通道对网络设备实施统一控制。
基础设施层:主要由一些网络设备组成,如Open Flow交换机,无线Open Flow接入点。 这些网络设备接控制器的南向接口, 控制器与设备之间通过安全通道连接,采用Open Flow协议通信。 控制器通过在Open Flow交换机中产生流表控制数据的转发。
2 . 2 MAC地址接入控制算法设计
由于SDN的灵活性和开放性,很多科研人员积极将SDN架构引入到无线接入网中。 Nick Mc Keown教授提出的Open Roads[4], 采用SDN架构来管理Wi Fi和Wi MAX。Soft RAN[5]提出了软件定义无线接入网架构,用控制器来管理无线资源。 但这些无线SDN网络架构都未提及网络的安全性, 本文从安全防护角度, 研究实现了基于MAC地址的自动访问控制策略, 下面介绍具体算法。
MAC接入控制算法:白名单模式
控制器和Open Flow交换机连接并运行时,首先要进行的工作是链路发现。 控制器通过定时的发送包含LLDP数据包的Packet_out消息给与其相连的Open Flow交换机, 交换机收到消息后立即发往到所有端口, 并根据交换机反馈回来的Packet_in消息获取交换机信息。因而LLDP数据包是一种广播包, 不需要通过控制器下发流表来决定转发。 通过链路发现后,控制器可以学习到全局网络拓扑结构, 配置管理相应的下发流表, 控制数据的转发。
在MAC地址访问控制程序中,定义了packet_in_handler ( ) 、 add_flow ( ) 和drop_flow ( ) 三个函数。 packet_in_handler ( ) 函数用来对发送进来的数据包进行处理, 首先判断目的地址dst是否在交换机中,若在,则匹配相应的流表, 完成转发; 若不在, 则设置为OFPP_FLOOD, 这是泛洪转发逻辑端口,泛洪转发不产生流表。 判断完目的地址后,再来看源地址src。 从数据包pkt中提取src,用send ( src ) 将源地址送往MAC认证服务器, 并将其与白名单中的MAC地址列表匹配。 如果src在白名单中,则可以断定用户是合法用户, 此时向控制器返回FLAG1,控制器收到FLAG1 标识后, 通过add_flow ( ) 生成转发流表,转发动作actions=output 。 如果源地址不在白名单中,则向控制器返回FLAG2, 控制器收到FLAG2 后, 直接产生丢弃流表,转发动作actions=drop 。 这样Open Flow交换机中就有了用户端口到外网端口的转发规则。 同理,从外网端口送来数据包时,src地址就是外网端口的MAC地址, 同上述情况一样, 先查找流表, 若没有匹配成功,则送往控制器, 控制器对于从外网端口送来的数据包,直接产生转发流表。
因此, 只有白名单用户在访问外网时, 才产生从用户端口到外网端口的转发流表,其他非法用户则产生丢弃流表, 这样就可通过白名单上的MAC地址控制用户网络接入。
2 . 3 MAC地址认证服务器
MAC地址认证服务器的工作流程如图2 。
MAC地址认证服务器的功能主要是接收控制器送来的src地址, 并与白名单对比, 判断该src地址是否为合法用户。 然后将返回结果送给控制器,让控制器产生相应的流表。
3 实验验证
通过在实验室部署无线SDN网络来测试算法应用程序的正确性,搭建的网络如图3。
实验所用设备有:2 台电脑, 无线Open Flow交换机,笔记本和支持Wi Fi的智能手机。 其中一台电脑作为控制器, 控制器为Ryu, 安装在Ubuntu 12.04 LTS桌面版系统上。 另一台作为MAC地址认证服务器,提供认证登录和提取MAC地址功能。 无线Open Flow交换机是采用市场上的家用路由器TP-Link 841n无线路由器, 在运行部分添加了Open Flow模块的Open Wrt系统,创建一个Wi Fi热点, 使该WLAN端口也支持Open Flow 。
用户连接到无线热点后, 首次连接访问外网时, 将该用户重定向到MAC地址认证服务器。 此时用户端会跳转至Web登录界面,要求输入用户名和密码。 登录成功后,用户的MAC地址被存储到白名单上,用户再次请求访问外网时,MAC认证服务器可以通知控制器产生相应的转发流表, 这样通过认证的用户就可以访问外网。 当用户断开后,下一次再连接无线网络时,由于它的MAC地址已经存储在白名单中, MAC地址认证服务器会直接通知控制器产生相应的转发流表。 用户再次连接上网时,可以不用输入账号和密码而直接访问外网。
为了测试该MAC地址访问控制功能, 用户A是笔记本,用户B是支持Wi Fi的手机。 打开无线网络,连接无线Open Flow接入点。 用户A正确输入了账号和密码,完成认证,MAC地址被加入到白名单。
在本系统中, 由于用户A完成登录认证, 所以MAC地址被存储在MAC地址认证服务器的表单中(即白名单用户), 而用户B没有登录认证, 属于非法用户, 所以用户A可以正常访问外网,而用户B无法直接访问外网。
经过如上测试步骤之后,Open Flow交换机产生转发流表。 图4 为dpctl指令查看的流表,省去了部分非关键字段, 从Open Flow所产生的转发流表中选择4 条具有代表性的流表规则。 下面,结合图4 中的流表规则来说明本文所提算法的合理性和正确性。
用户A的MAC地址为74:86:7a:48:2b:23 ,B的MAC地址为70:72:3c:d5:c4:36 ,外网的MAC地址为28:c6:8e:c6 : 37 : c0 。 其中, actions为空就是丢弃数据包行为。
控制器下发了4 条流表,port 1 连接外网,port 4 为无线Open Flow端口。 用户A和用户B都连在无线端口上。 用户A—Internet,Internet— 用户A,用户B—Internet,Internet — 用户B 。 用户A完成登录认证, 其MAC地址就存储到白名单中, 控制器下发对其到Internet的正常转发行为流表。 而用户B没有通过认证,MAC地址不在其中,对其向外网转发的数据包下发丢弃流表。 这样就可以通过流表规则控制无线用户对网络的访问。
4 结论
基于无线SDN的MAC地址访问控制, 可以在传统加密方式基础上增加一道有力的安全防护,而这样做的代价仅仅是控制器上的一个应用程序,无需再买其他的专用设备,节省了成本开销。 本文提出了无线网络接入认证方法, 白名单用户首次认证成功后, 立即产生转发流表, 而其他非法用户则产生丢弃流表, 阻止其访问外网,该方法切实可靠。
摘要:传统网络架构封闭、僵化,很难部署新型网络协议和应用。软件定义网络SDN将数据转发层面和控制层面分离,并开放了网络的可编程接口,通过控制器来管理终端的接入和数据转发,提高了灵活性和可控性。提出了一种采用MAC地址的访问控制策略,使网络接入更加安全与便捷,并部署在现实网络中,用实验证明了该策略的可行性和可靠性。
关键词:软件定义网络,OpenFlow,MAC地址,接入认证
参考文献
[1]SDN Architecture[OL].https://www.opennetworking.org/images/stories/downloads/sdn-resources/technical-reports/SDN-architecture-overview-1.0.pdf.
[2]MCKEOWN N,ANDERSON T,BALAKRISHNAN H,et al.Open Flow:enabling innovation in campus networks[J].ACM SIGCOMM Computer Communication Review,2008,38(2):69-74.
[3]ONF Solution Brief.Open Flow-Enabled Mobile and Wireless Networks.September 2013.http://www.opennetworking.org.
[4]YAP K K,KOBAYASHI M,SHERWOOD R,et al.OpenRoads:Empowering research in mobile networks[J].ACM SIGCOMM Computer Communication Review,2010,40(1):125-126.