准入控制技术论文

准入控制技术论文（精选7篇）

准入控制技术论文 篇1

0 引言

近20 年来,信息网络技术发展迅速,在各行各业得到了广泛应用,不仅提高了工作效率,而且方便了日常生活,在推动社会进步和国民经济发展等方面发挥着极为重要的作用。但与此同时,也带来了诸多的信息网络安全问题和压力[1,2]。防火墙、防毒墙、流量清洗系统、Web应用防火墙、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion Detection System,IDS)等安全防护设备应运而生,在网络边界构筑了一道道安全防线,起到了一定的防御作用。但是,网络安全威胁不仅仅局限于外部攻击,内部不安全因素的危害性更大。内部不安全因素的最大威胁是终端行为不可控、安全状态不达标、网络接入不规范,接入的终端及其行为不可信、不安全,没有从源头上进行安全防控。因此,网络准入技术成为安全研究的热点,并在网络安全中发挥了主动防御的作用,通过阻挡非法终端和违规应用,保证网络的整体防护和完整性,降低网络安全的脆弱性,进而大大减少网络的可攻击面。

然而,在实际应用中,现有的网络准入技术由于商业考虑或技术壁垒,各自有所偏重[3,4]。同时,网络攻击技术不断更新,手段愈加复杂,安全形势对准入技术提出了更高的要求。事实上,综合以往关于网络安全问题的研究,在完善和提升网络准入控制主动防御技术的同时,在其中融入被动防御技术,能够很好地满足整个网络的安全需求,这也是下一代网络准入控制技术要解决的问题[2,5]。

1 主要问题分析

近年来,网络攻击呈现智能化、系统化、综合化的趋势,新的攻击方式不断涌现,下一代网络准入控制技术应重点关注并解决以下几方面的问题。

1.1 终端信息的全面收集

研究表明,大部分组织和单位通常只了解网络中80% 的设备,且这些设备中约50% 都存在安全或配置问题,现代网络中设备、连接、用户、应用和行为的多样性更加剧了这种复杂性。要在多样化的网络环境中保证网络安全,首先要尽可能多地收集终端信息,全面、准确地掌握在网设备和终端的基本配置、运行状况、异常情况等信息,对网络安全问题及早做出准确判断并进行安全响应至关重要。

1.2 终端大数据的互操作

随着网络攻击方式的隐蔽性越来越强,网络安全态势和异常行为的判定愈加需要将诸多安全因素进行关联。利用丰富的终端信息进行大数据构建,并与网络中各类安全平台进行互操作,是安全判定计算和安全趋势响应的基础。

1.3 在防御高级持续性威胁攻击方面发挥作用

高级持续性威胁(Advanced Persistent Threat,APT)具有高度的隐蔽性[5,6],传统的基于特征库的防护手段很难发现其攻击行为,且其具有潜伏性和持续性,威胁巨大。然而,APT攻击并非不可防御,通过对终端漏洞进行控制、对网络中的异常行为进行监视以及与周边安全设备进行互操作,构筑一套纵深防御的安全体系,可有效降低APT攻击的风险。

2 下一代准入关键技术

2.1 终端信息收集技术

早期的网络准入技术通过客户端收集终端信息,但受客户端与平台之间兼容性等问题的影响,信息收集不全面。通过主动发现和被动发现技术,可以不依赖客户端即可实现现有网络准入技术的许多功能。

2.1.1 被动发现技术

将端口镜像技术(Mirror或Span)应用于下一代网络准入中,通过捕获网络中进出的所有流量,能够发现流量中的设备信息和各种异常行为,尤其是来自内网的终端信息。

2.1.2 主动发现技术

被动的镜像技术并不能发现设备的所有属性,因此下一代网络准入还需要主动向网络中的周边设备进行查询,以获取更多信息。

1)二、三层网络信息发现。通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)及地址解析协议(Address Resolution Protocol,ARP),监测并获取设备的数据链路层和网络层信息。

2)第四层和高层网络信息发现。将网络连接端扫描软件(Network Mapper,NMap)应用于下一代网络准入控制,用于探测网络层、传输层甚至是应用层的数据。

3)用户、组织结构及高级属性发现。 通过向网络中的认证服务器(包括活动目录(Active Directory,AD)、轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)、远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)等)主动发起查询请求,可获取必要的应用信息,包括用户和设备信息。

4)安全及网络环境数据发现。向网络设备发起查询,包括防火墙、路由器、交换机、VPN等,通过Syslog、SNMP等接口获取终端设备的实时安全数据和网络环境信息。

2.2 终端大数据构建与互操作技术

关于终端大数据的构建,至少应覆盖以下信息。1物理层信息:包括交换机、VLAN、物理端口、802.1x、设备的共享端口和物理位置等信息;2设备信息:包括IP地址、MAC地址、主机名、设备类型(PC、移动设备、打印机、无线路由、其他附加属性等);3操作系统信息:包括操作系统类型、防病毒软件的更新状态、未打补丁的漏洞、开放的服务、内存中的进程等;4应用程序信息:包括应用程序、版本号、注册表信息、文件信息等;5用户信息:包括用户名、用户组、认证状态、Email地址、角色、部门等;6设备行为信息:包括网络策略、恶意行为以及各种即时行为特征等;7状态信息:包括时间、物理位置、属性、变更情况等。

构建的终端大数据的分享应该是双向的,即实现与以下技术手段/ 工具的互操作。1网络设备:包括交换机、路由器、防火墙、VPN、无线AP、打印机等;2网络服务:包括AD域、LDAP、域名系统(Domain Name System,DNS)、DHCP、RADIUS等;3 终端:包括Windows、Mac、Linux/UNIX、移动设备、虚拟设备等;4终端管理技术:包括补丁管理系统、移动设备管理(Mobile Device Management,MDM)等;5终端防护技术:包括防病毒技术、数据防泄露技术、主机IPS、加密产品等;6安全管理平台:包括安全信息和事件管理(Security Information and Event Management,SIEM)、漏洞评估、IDS/IPS、APT防御产品等。

2.3 缓解APT攻击技术

现今的黑客和网络犯罪明显呈现组织化、专业化的趋势,同时具有明确的目标和针对性。通过构建纵深安全防御体系,能够有效降低APT等攻击的风险[4,6]。

2.3.1 通过漏洞控制减少攻击范围

预先减少可能遭受攻击的范围是缓解APT攻击的有效办法,下一代网络准入控制技术能有效地发现违规终端或网络中的未知系统,可实现以下功能:

1)对违规行为进行告警;

2)把违规终端或漏洞终端从网络中隔离;

3)直接修复或通过第三方系统修复网络中的漏洞及错误的安全配置;

4)确保主机防护软件的安装、更新、正确配置以及正常运行。

当网络中出现未知设备时,网络准入控制系统能够对其进行准确定位。另外,通过网络准入控制提高各种设备和系统的安全水平,有助于减少可被攻击的覆盖面,从而降低总体的安全风险。

2.3.2 监测可疑的网络行为

通常,攻击者一旦攻破某台终端,就会利用这台终端进行扩展攻击。通过对终端异常网络行为进行监测(包括监测非正常端口扫描行为和通过非标准端口进行数据通信的行为),能够及时发现各种异常的大流量操作[4],甚至可利用下一代网络准入控制技术设定“虚拟蜜罐”,提供给服务或应用系统来诱捕非授权的网络探测行为。被恶意软件感染的终端往往会主动攻击“虚拟蜜罐”,此时攻击行为将被捕捉,并触发网络准入控制及时响应事件,如记录、报警甚至隔离等。2.3.3 与网络中的安全架构联合起来实现纵深防御

近10 年来,SIEM平台之外的大部分工具和控制手段(如网络运维平台、安全资产管理平台、安全风险管理平台等)都采用了独立的方法或手段对网络安全进行分割,容易造成各自为政的局面。安全管理现状如图1 所示。

通过对终端信息进行大数据构建处理,下一代网络准入控制技术能够将终端信息和网络环境信息分享给网络中的其他设备或安全系统。同时,多平台的互操作性又保证了网络准入控制系统收到来自这些系统的消息后,可以迅速触发相关策略,对威胁进行缓解或阻止。这样,下一代网络准入控制就成为SIEM之外的另一种网络安全中心。网络安全管理蓝图如图2 所示。

通过与众多的第三方工具共享终端信息、网络环境信息以及实时的威胁事件信息,可以很好地实现纵深防御。例如,下一代网络准入控制系统和下一代防火墙、Web防火墙、APT防护平台协作,可达到以下效果:

1)终端环境共享:上述安全系统都缺少对网络中终端状况的了解,包括终端身份、终端配置信息和安全状态,而下一代网络准入控制系统则可以共享这些信息;

2)风险控制:在大部分情况下,攻击或数据泄漏可能只会引发报警而得不到有效处理,将风险数据传入到下一代网络准入控制系统,可以直接阻断终端或封闭特殊端口,从而保存入侵证据并控制风险。

3 下一代网络准入技术优势分析

随着移动设备和智能终端的广泛应用,网络边界不断延伸,访问与操作已变得极其复杂,虚拟化、软件定义架构不断打破传统技术的限制。因此,在传统手段下能够得到充分管理的、完全安全的端点正逐渐减少。当内部用户和访客、远程和本地、有线和无线、虚拟和实物、PC和移动端、授权访问和非法访问并存时,利用传统方式控制网络安全的难度和工作量呈几何级增加。

而下一代网络准入控制技术可利用或开发更先进的技术来顺应网络、终端环境的发展,包括提出更具有适应性的技术架构、更具广度的大数据计算、更具开放性的对外接口等,并在APT攻击中起到关键的桥梁作用。现有网络准入控制技术与下一代网络准入控制技术对比见表1 所列。

4 结语

下一代网络准入控制技术应实现实时发现、分类和评估用户、设备以及应用,并匹配入网前和入网后的策略,与其他网络设备、安全设备、管理平台等共享所有入网端点的大数据信息,并为这些设备提供精确的网络环境信息,帮助它们做出判断和反应。同时,从外部源获取有用信息,并依此进行有效防御,如对终端进行网络强制和修复,以及通知其他系统进行防御等。

下一代网络准入控制技术并不是万能的,但其能够提供实时的网络可视化和应对多种新IT风险的控制手段,同时能够保证不对网络架构或已有安全资产构成影响,具有很好的应用前景。

摘要：现有网络准入技术由于商业考虑或技术壁垒,各自有所偏重,不能很好地满足安全形势发展变化的需求。为解决该问题,文章提出在下一代网络准入控制技术中融入被动防御技术,通过分析下一代准入技术应重点关注和解决的问题,深入研究终端信息收集、终端大数据构建与互操作、缓解APT攻击等下一代准入关键技术。结果表明,在下一代网络准入控制技术中融入被动防御技术能够全面地收集网络及终端信息,进而构建纵深安全防御体系。与现有准入技术相比,下一代准入控制技术具有广泛支持第三方平台、风险控制、缓解APT攻击等诸多优势。

关键词：下一代网络准入,终端信息收集,大数据,缓解APT攻击

准入控制技术论文 篇2

1 网络准入控制技术介绍

1.1 EAPOL与EAPOU准入控制技术

EAP是Extensible Authentication Protocol的缩写, EAP最初是用作为PPP的扩展认证协议, 使PPP的认证更具安全性。EAP与802.1x的结合就是EAPOL (EAP Over LAN) , 或者称为EAP over 802.1x。EAPOL最初使用来进行局域网内身份认证的工具, 随着2000年爆发的蠕虫病毒, 其便开始用作电脑安全状态的认证, 即在进行身份认证的同时, 对终端电脑的安全状态进行检测。

EAPOU是Cisco NAC技术的第一个实现版本, 最早是在2003年在Cisco的路由器上实现, 后来在Cisco的3层交换机上也实现了EAPOU。EAPOL是在网络的接入层进行准入控制, 而EAPOU通过在网络的汇聚层或核心层进行准入控制, 不仅可以确保终端计算机上的网络安全, 而且可以有效地对当前系统的安全状态进行识别。EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时, 汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内, 在EAP认证的内容中, 身份认证其实并不重要, 重要的是安全状态认证。如果安全状态不符合企业策略, 汇聚层EAPOU设备将从策略服务器上下载ACL, 限制不安全的客户端的网络访问, 并对其进行修复。

1.2 两种网络准入控制技术的对比

EAPOL主要实现的是对网络接入层的准入控制, 由于802.1x协议被网络厂商广泛支持, 所以EAPOL是支持范围最广的网络准入技术, 因为控制点接入交换机, 最接近终端电脑, 可以对不符合策略的电脑做到最严格的准入控制, 但正因为这样, 使得EAPOL的配置管理也较为复杂, 特别是在规模较大的网络中部署起来就更为困难。如图1所示。

EAPOU对网络的准入控制主要集中在其核心层和汇聚层, 只要在汇聚层或核心层进行部署控制, 即能做到对终端的全面控制, 因为控制点在汇聚层, 而不是接入层, 离终端越远, 控制力越弱。如果终端不受管理, 即使其不符合安全策略, 它只是不能访问汇聚层以后的网络, 而可以照常访问其所在的接入层的网络, 所以控制强制性不如EAPOL。但与EAPOL相比, EAPOU对网络接入设备的要求较低, 主要原因为:EAPOU准入控制的覆盖面积较大, 且在汇聚层或核心层的设备大都少于接入层设备, 所以部署起来要相对容易些。如图2所示。

2 EAPOU网络准入控制技术的应用

2.1 选择依据

在大中型网络中, 一般存在网络接入层设备多、设备厂商多、部分设备不支持802.1x及HUB接入、VPN接入、Wirelesss接入等情况, 若采用802.1x部署方式会导致配置管理复杂、部署难度大、802.1x准入的动态VLAN切换影响网络性能、无法做到全网终端的准入控制等问题, 因此不建议采用EAPOL部署方式。EAPOU网络准入控制技术应用的选择依据便是其自身的技术原理。当网络准入控制在运行时, 需要由网络接入设备发出控制消息并向主机设备申请委托书, 随后, AAA (验证、授权、记账) 服务器的信任代理便同入网计算机的信任代理建立起较为安全的EAP (身份验证) 对话。对话开始后, 入网计算机的信任代理便开始对AAA服务器进行入网核查。最后, 经由信任代理与相关网络设备传递的委托书便可以经由控制服务器接收后进行相应的认证与授权。

2.2 EAPOU准入控制技术的部署方案及应用成效

以cisco公司的网络准入控制产品作为技术实现的主要设备, 展开企业网络准入技术方案的部署, 具体步骤如下:

(1) 准入控制网络设备的运行。运行包括交换机、安全设备、路由器和无线接入点等准入控制设备, 并通过相应软件将其功能增强后集成到网络控制平台中;

(2) 执行基于RADIUS (远程接入协议) 的AAA服务器, 利用cisco公司的ACS (自动控制系统) 确定网络接入权限的相关决策点;

(3) 可信代理的部署。利用cisco公司研发的CTA (IDE的技术规范族) 通过多种方式部署可信代理, 即使CTA作为独立代理, 直接从cisco公司分发, 与此同时, 进行思科安全自动活动软件 (cisco securityagent) 的分发;

(4) 安全代理的部署。将思科安全自动活动软件接入入网计算机, 使其防止蠕虫和计算机病毒, 进而为NAC提供热修复与操作系统补丁的相关信息;

(5) 利用Cisco Works VMS对CSA认证进行批量部署, 并利用Cisco security MARs实现NAC与其他安全设备的管理部署。

此套EAPOU准入控制技术部署方案的实施有效增强的企业网络系统的安全性, 通过对核心层与汇聚层网络安全状态的准入控制, 提高了企业网络系统的抗病毒能力与抗干扰能力, 从整体上保护了企业信息安全。

图3为EAPOU网络准入控制部署框架, 其中左半部分为内网示意图, 右半部分为外网示意图。由图可知, 内网CAS (查询网站) 部署设计的模式为外带真是网关模式, 由于核心交换机和汇聚交换机的连接方式为路由连接, 且系统终端与CAS之间的连接为三层连接, 因此, 在进行部署时, 需要分别在核心交换机与汇聚交换机上做出相应的策略路由认证, 使系统将认证VLAN的流量导入CAS中的非信任接口。而外网CAS的部署模式主要以OOB REAL-IP GW为主, 且由于在部署过程中, 其终端同CAS之间的连接为二层连接, 因此, 不需要系统进行策略路由认证。

3 结论

本文以EAPOU网络准入控制技术作为研究对象, 通过对比其与EAPOL的相关特点, 对EAPOU准入控制技术的部署方案进行了详细研究。可见, 未来加强对EAPOU网络准入控制技术的研究与应用力度, 对于和谐、安全网络环境的建设具有重要的历史作用和现实意义。

摘要：本文对基于网络的EAPOL和EAPOU准入控制技术进行了介绍, 并对这两种网络准入控制技术进行了对比, 给出了在大中型网络中EAPOU网络准入控制技术的应用选择依据。就EAPOU网络准入控制技术的应用, 提出了详细的应用部署方案, 并对应用成效进行了阐述。

关键词：EAPOU,EAPOL,网络准入控制技术

参考文献

[1]常润梅, 孟利青.企业终端准入控制与数据防泄密安全应用[J].电信工程技术与标准化, 2013, 03 (12) :76-80.

[2]李琰.企业网络终端准入控制解决方案[J].数字技术与应用, 2013, 06 (09) :15.

准入控制技术论文 篇3

重庆市电力公司教培中心学员培训计算机房已经使用多年, 但是存在着不少安全问题, 主要表现为:外来终端不难接入内网, 这样就会使一些已经感染了未知或新型病毒欺骗病毒的终端, 使内网受到病毒感染, 直接威胁网络的安全运行。在培训学员时, 没有注意让学员严格按照相关的规定对指定的防病毒软件、桌面安全管理等安全软件进行卸载, 在安装和运行游戏软件、网络视频工具等其他可能存在安全隐患的软件时也缺少相关的必要指导。内网多使用的是以U盘为代表的移动存储设备, 这样就不难导致病毒的侵袭或者是木马传播、泄露内部重要数据和文件;同时U盘的广泛使用也为机房组织考试增加了管理难度。随着网络技术的不断发展, 特别是无线网络互联技术的飞快发展, 使Internet的联入摆脱了地域的限制, 现在内、外网在一定程度上实现了互通, 一些不合法外联事件也逐渐的增多了, 这给企业核心业务系统的稳定安全运行造成了很大的影响。接入内网的终端, 在未授权的情况下就可连接其内部重要服务器, 这样给合法用户的访问带来不同程度影响的同时, 还可能成为来自内部或外部的非法人员, 以此为跳板, 攻击其内部关键业务系统……

经过一番认真的调查和仔细的研究, 我们发现现有多于80%的安全事故是在内网条件下出现的, 在整个网络安全管理中, 在内网的管理上还是很欠缺的。

1 内网终端合规管理实施终端准入控制

经过研究发信, 强制内网终端合规准入控制机制的建立, 从终端系统启动一直到终端之间互访的安全接入实施有效地控制, 从而实现对终端整个过程的管理与控制, 还能够对终端安全状态做好实时的监控, 并能够进行修复, 给内网建立“终端安检系统”, 这样, 不管是终端用户有意的还是无意的不按照内网合规管理方案操作, 这一管理系统就会自动开启违规处理, 对这些不按照相关规定进行操作的终端做出不同程度的处理, 如提示、警告、自动修复或者是对终端进行安全隔离, 但是违规终端会很好的保护网络资源, 更好的完成内网合规管理。

从上面的分析中, 我们制定了几种内网终端合规管理解决方案的原则: (1) 终端接入内网后, 从网络边界、业务应用系统到其他客户端做好控制。 (2) 终端接入内网后, 要对其强制执行内网合规管理策略。 (3) 监控终端的全过程、动态的合规状态, 如果出现终端违规现象, 就会对违规行为进行提示、警告、自动修复甚至对终端实施安全隔离。

2 能够实现合规管理无盲区, 不妥协

构筑多层准入的内网终端合规管理系统

基于以上原则, 我们广泛了解现在内网终端安全管理市场, 考察了多家国内外专业安全厂商, 深入了解和测试了多款这些厂家所提供的成熟和稳定的内网终端安全管理产品, 最终决定跟国内著名的安全公司“启明星辰”合作, 发展好内网终端计算机的综合信息中心, 在合规管理平台的运行上不断创新, 作为教培中心培训机房的内网终端合规管理系统承载平台, 这样就使得教培中心培训机房拥有了全新的多层准入内网安全管理体系架构。

在多层准入控制的帮助下, 我们能够实现以下准入控制流程:终端层→网络层→应用层 (包括客户端准入、网络准入和应用准入等) 。

2.1 如果终端想借助交换机接入内网

管理服务器可以跟接入层和汇聚层网络设备联动, 控制那些想要连入内网的终端网络准入, 不仅会对其进行严格的身份验证, 还要进行合理的合规检查, 我们要做到的是只允许合法的和安全的终端接入内网。那些违规的或者是不合法的终端, 系统会自动将其划入修复区甚至是隔离。详见下图:

2.2 当接入网络的终端试图访问内网服务器或关键业务系统时

在内网安全风险管理与审计系统中, 需要有一个特有准入控制组件—策略网关, 把它安装在企业网的重要服务器或者是关键业务系统上, 这样就能够保障有效地控制终端应用层的准入, 一旦出现不受控的终端或者是不合规的终端, 就无法访问该服务器或业务系统。

应用准入与网络准入的主要区别: (1) 在数据中心的服务器区就可实现应用准入, 不涉及网络环境, 如果出现与网络准入条件不相符合的情况, 或者是由于内网终端合规管理的现实情况, 在网络准入控制方面可以不必太严格, 此时使用应用准入控制就可以, 不必进行终端合规准入控制。 (2) 应用准入具有自动重定向功能, 一旦发现未受控终端, 以及不合规终端, 系统就会出现相关的提示, 通知其被拦截的消息, 并告知其原因。而且在提示页面中还能够设置合规管理客户端下载链接, 这样在很大程度上使系统维护人员的工作量变少了, 使用户的满意程度不断提高, 使他们更乐于接受, 进而实现了内网合规的最佳效果。

2.3 当两个终端相互之间进行访问时

来访的终端会受到合规受控的终端的客户端准入控制, 同时还要接受合规检查, 只有合规安全的终端才能进行访问, 如果是不合规的终端或者是不合法的终端都将无法访问, 这样当那些感染了蠕虫病毒的非受控终端想要对合规终端进行病毒感染时, 就可以将其及时的切断。

3 全面进入内网终端合规管理

教培中心培训机房首先完成构建混合准入控制体系, 然后充分考虑到内网终端合规管理以及内网安全等级保护的要求, 编辑和下发了一些终端合规安全管理策略, 通过对这些策略的认真执行, 使内网终端的安全保护能力得到显著提高, 而且由于非安全终端造成的很多内网安全问题也减少了很多, 此外, 不仅仅是教培中心培训学员网络安全防护等级提高了, 而且信息安全管理水平也有了明显的改善。

4 总结

教培中心培训学员机房通过部署内网安全风险管理与审计系统, 构建多种准入控制手段混合共存的内网终端合规准入管理体系, 更好地实施内网终端合规管理规范, 在信息安全系统投资中收到最好的效益。

参考文献

[1]孙强, 陈伟, 王东红著.信息安全管理:全球最佳实务与实施指南.北京:清华大学出版社, 2004.

[2]启明星辰编著.UTM (统一威胁管理) 技术概论.北京:电子工业出版社.

准入控制技术论文 篇4

1 部署所需相关技术

基于身份认证的准入控制是一种对局域网访问安全性的解决方法,由于学校采用的是域控制的管理,因此本部署设计主要包含了802.1X、AAA、PKI、域控制等技术的综合应用。

1.1 802.1X技术

802.1X技术旨在用认证方式解决并提供基于端口的访问控制,它主要有3部分组成:请求者、认证者、认证服务器。

请求者:请求访问网络的设备即客户端。

认证者:网络登录点设备。

认证服务器:对请求者执行认证的设备。

请求者与认证者之间运行的EAP协议,在以太网上的EAP称作为EAPOL,它是一种802.1X中的协议且承载了EAP协议,而EAP数据包内包含的是具体的认证信息。EAP提供了一种认证手段,它的常用类型包括:EAP-MD5、EAP-TLS、PEAP等。

1.2 AAA技术

AAA技术在网络准入控制中的起到了重要的作用,为了验证请求者的合法性,这个认证的任务是有认证服务器完成的,而认证服务器一般是AAA服务器,主要用来指导管理员以统一的方式设置三个独立的安全功能。AAA服务主要是指:认证、授权、审计。

认证:负责在用户访问网络或网络服务以前,对用户进行认证。

授权:为远程访问控制提供网络服务,包括一次性授权,或者基于每个用户账户列表或用户组为每个服务进行授权。

审计:主要是对记录用户对各种网络服务的使用情况提供计费、查账、报告。

1.3 PKI技术

PKI是一系列基于公钥密码学之上,用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。该技术中的核心就是数字证书,它是由一个可信的CA颁发的,包含用户信息、用户公钥信息、以及身份验证机构数字签名数据。它可以认证持有者真实的身份。每一个申请者CA会给每一个用户分配一个唯一的名称并签发一个包含用户名称和公钥的证书。

2 部署设计的思路与解决方法

基于身份的准入控制部署是建立在802.1X、AAA、PKI技术之上的,结合该高校的网络拓扑以及实际的管理要求,部署前必须满足以下几个要求:

第一,该部署是基于802.1X技术的应用,那么要求硬件和软件设备能够支持802.1X,由于学校里的交换机都是思科2960系列的,完全支持802.1X技术,客户端系统都为Windows XP,默认带有802.1X客户端,其也支持该技术。

第二,为了能够将请求者的认证信息得以认证,部署中需架设AAA服务器,结合校园网的交换机都是思科设备,于是部署中使用了ACS作为AAA服务器。

第三,在802.1X技术中用来验证的身份信息都被封装在EAP中,而EAP的认证方式有多种,本部署采用PEAP的认证方式,而PEAP又涉及到服务器证书的认证,于是采用Windows 2003自带的证书服务进行搭建,由它来进行数字证书的申请颁发等过程。

综上所述,部署所需的硬件和软件条件已经满足,图1是在该高校拓扑图上进行简化后的部署设计图。

该部署设计最终达到的效果是:终端用户开机后只要通过输入域账户密码便能接入校园网,且又提供账户和机器的安全与合法性。

为了达到最终效果,以下是技术上的难点及解决方法:

第一,由于已加入域的用户必须在登录的时候能够访问域服务器才能够登录进系统,然而,默认情况下端口的状态是处于未授权状态的,端口是只接收EAP相关的控制帧,对于数据平面的数据是不允许通过的,这就导致了客户机无法连接到域而无法进入系统。因此如何使得用户能够一次性登录到域是十分关键的,而采用基于机器账号与域账户认证相结合的方法来解决此问题。

第二,由于用于认证账户的主要是ACS服务器和域服务器,前者掌管的是网络接入所使用的合法性,后者是用于针对接入的用户在域中的合法性,因此如何使得2个数据库合2为1双方使用一个数据库是要解决的问题,而ACS可以通过本地映射外部数据库的方式解决此问题。

第三,由于采用的是PEAP的方法进行身份验证,此方法又是基于证书的。因此如何部署证书服务器以及受信任的根证书的颁发是个繁琐的过程,通过域的组策略使用自动的证书颁发可以解决该问题。

第四,由于涉及到机器认证以及域账户的认证过程,因此在VLAN的规划中也必须考虑到的是机器认证后和所对应的用户认证后的VLAN授权问题以及DHCP服务器、域控制器、数字证书颁发机构的VLAN规划。具体规划如表1。

下面介绍该部署是如何对计算机账户和用户账户进行认证和授权的:

当加入域的计算机开机至欢迎界面后,由于交换机使用了802.1X的基于端口访问的认证,默认端口处于未授权状态,因此通过EAP与ACS进行机器账户的认证。

机器账户认证通过后,交换机将该端口授权打开,同时ACS服务器将该端口授权到与域服务器同一VLAN 110中,并且DHCP服务器会自动分配一个VLAN 110的IP地址,此时便能与域服务器通信了,然后使用域的用户名和密码登陆,用户账户通过了域服务器认证后进入系统,此时机器账户将自动注销,端口又处于未授权状态,此时计算机再次通过在PEAP的认证方式下将域用户名和密码进行认证,认证通过后由ACS服务器根据预先定义好的授权策略授权该计算机至VLAN 10中及自动获得该VLAN的IP地址从而接入校园网,用户账户具体验证过程如图2。

整个认证过程中,所有与ACS服务器通信的密码都是在客户机与服务器在PEAP方法所建立的TLS通道中进行验证的,因此整个验证过程十分安全的,保障了机器和用户账户的安全性,并且可以针对不同的用户名通过ACS实现动态VLAN的效果。

3 部署设计的测试结果与分析

通过在交换机上开启802.1X技术以及客户端XP系统开启802.1X身份验证后,计算机登录后在AAA服务器上的日志信息如图3。

图3中的日志中一共包含了3个过程:

框1的这个过程是开机至欢迎界面,计算机名字为jsj的机器账户由交换机将认证信息传递至认证服务器,并且通过了机器认证的合法性,当前处于机器账户运行下。

框2的这个过程是用户通过输入域的账户和密码登录后进入了XP系统,于是自动将机器账户注销,且XP系统的网络连接要求进行用户账户的认证,用户名为jsj的账户通过了验证后,所以当前运行状态为jsj用户账户。

框3的这个过程是当用户账户注销后,此时再次进入欢迎界面而交换机的端口由于用户账户注销后又是处于非授权状态要求进行802.1X认证,于是计算机再次将机器账号通过交换机传送到认证服务器进行认证通过后又处于计算机账户为jsj的状态下。

4 结论

基于身份的校园准入控制部署设计通过实际的应用后发现大大地降低了因为非法计算机和用户的接入而导致的局域网攻击,有效地保护了校园局域网的安全,该部署针对企业网的部署规划也有一定的参考价值。

摘要：随着网络技术的迅速发展,高校的校园网的安全性受到了严重的威胁。多数的局域网攻击都来自于校园网内部非法计算机与人员的接入,因此如何有效地进行准入控制的部署成为了解决内部攻击的首要任务。该部署设计以上海师范大学天华学院为背景,通过将域控制、802.1X、AAA等技术相结合的方式对计算机、用户的身份进行有效地认证,最终达到杜绝非法接入从而保护内网的安全。

关键词：身份认证,网络安全,802.1X,数字证书,AAA

参考文献

[1]童子方,李亦杰.基于802.1X协议解决校园网安全的探索[J].网络安全技术与应用,2011(1).

[2]陈莹.校园网安全问题及防范策略[J].信息安全与技术,2011(7).

[3](美)Cisco公司.信达工作室译.Cisco IOS网络安全[M].北京:人民邮电出版社,2001.

[4]齐铁.高校内网信息安全研究[J].赤峰学院学报:自然科学版,2011(4).

[5]钟永全.高校网络安全初探[J].计算机光盘软件与应用,2011(11).

[6](美)Eric Vyncke.LAN Switch Security[M].cisicopress.com,2010.

[7]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009(7).

准入控制技术论文 篇5

人民银行系统建设和运维的安全规范体系已经基本形成, 但分支机构在安全规范的具体实施上仍存在不足, 表明分支机构内部管理仍有待进一步加强。一是项目建设前期安全规划不够。开发人员在项目建设周期中更多地考虑系统的功能及性能元素, 而容易轻视或忽略安全元素, 安全策略规划不完整容易导致系统上线后风险积聚和爆发。二是对运维管理的安全控制少度不足。例如变更管理缺少对变更的安全评估, 变更过程靠人员自觉控制, 无有效的技术手段实施监督审计;问题管理意识不足, 限于所面临的事件孤岛中, 深入剖析问题消除安全隐患的能力有待提升。三是缺乏全面而具体的实施细则或者操作指南, 将现有的安全规范具体有效落实到位。例如对各类节点的安全准入控制要求不明确、项目周期忽略有效的安全控制手段。

二、解决问题思路

为全面理解和解决企业IT基础架构中与安全有关的各种问题, IBM公司提出了企业信息安全框架。该白皮书提到了安全策略管理的相关观点, 安全策略主要包括信息安全流程和步骤, 目的是为了保证安全标准和指导方针的有效实施而制定的实施流程、指南与细则。安全流程和步骤是对信息安全标准与规范的解释与明细。安全策略以及相应的规范、规定、标准和流程应有明确的信息资产保护对象或保护对象类。

按照戴明环的工作思路, 应将安全策略按照信息安全管理的生命周期进行管理。从先后逻辑而言, 重点把握3个关键环节:安全规划、实施准入、安全运维。从管理范围而言, 应包括项目建设、网络、终端、系统等关键节点。具体工作应根据对计算机信息系统现状的风险分析结果, 确定安全策略的起点, 从而制定安全策略、标准和制度, 通过推行安全体系的执行和安全措施的实施, 有计划、分阶段的逐步建立安全体系。

三、具体工作建议

(一) 严把项目建设安全审核关口。

严格依照《中国人民银行信息系统建设安全指引 (试行) 》相关要求进行项目安全审查工作, 关注信息安全在系统建设的重要性, 明确安全人员的权责。其次, 建立对照审核机制。即梳理各阶段具体检查列表, 对照检查列表逐项检查落实, 进行合规性验证, 并同步输出阶段性安全成果记录。项目实施人员在每个阶段结束后要将安全成果文档和对照检查记录表一并提交安全人员评审, 并作为后续审计的文档记录加以归档。

(二) 实行网络、终端、服务器等全面安全准入控制。

安全准入的管理思路来源于终端接入控制, 在此基础上进而拓展到网络、系统等关键点, 可以保证安全策略得到强制实施, 减少安全事故。首先, 在两级数据中心架构下, 人民银行分支机构应对关键节点设置准入控制点, 对网络设备、客户终端、服务器进行全面接入控制。其次, 将各类安全准入流程标准化, 为关键系统、核心设备的准入定制审批流程, 拟定准入检测策略, 辅以检测用的技术工具, 按照预设的策略对接入节点的安全状态进行合规性检测, 拒绝不符合安全要求的节点, 不合格的节点需进行整改;检测成功的节点才允许运行, 确保可信、安全的节点接入生产网络。

(三) 运用各类安全策略实行精细化运维管理。

网络准入技术研究 篇6

当前面临的主要问题是IP地址冲突现象频繁发生, 干扰正常计算机联网。计算机入网没有有效管控措施, 计算机随意接入。为了确保局域网环境运行良好, 有必要对IP地址资源进行科学管理, 对未授权计算机和非法制造IP地址冲突的行为进行限制, 本文深入分析问题产生的原因, 从技术角度, 提出对上述问题的解决方法。

2. IP冲突原因分析与防治技术

I P地址冲突的解决方法有很多, 局域网中发生IP地址冲突, 不仅是简单的技术问题, 还是网络管理员必须要认真面对的管理问题。在分析故障存在的基础上, 笔者结合实践经验与教训, 从技术层面提出IP地址冲突的解决办法, 为网络管理员提供一套可行的管理策略。

2.1 IP冲突原因

一是重新安装操作系统, 并且随意设置上网参数, 无意中造成IP地址冲突。

二是局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运行, 制造IP地址冲突故障现象, 造成整个局域网无法正常工作。

三是一些权限受限用户想获得特殊的访问权限, 冒用合法IP地址进行网络连接, 从而访问局域网的授权IP资源。

第一种情况发生频率较低, 归为特殊情况。第二种情况发生频率也较低, 但危害性最大。第三种情况发生频率最高, 行为发生人多为内部员工。

2.2 限制访问网络连接属性

用户可以修改本地主机的I P地址, 为了屏蔽修改功能, 可以通过修改本地系统组策略以禁止访问网络连接属性。具体操作方法是:单击“开始”、“运行”命令, 在弹出的系统运行框中敲入“gpedit.msc”命令, 打开系统的组策略编辑界面, 依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”等节点选项;之后用鼠标双击该节点选项下面的“禁止访问L A N连接组件的属性”, 打开目标组策略的属性设置窗口, 选中其中的“已启用”选项, 然后单击“确定”按钮。这样, 用户就不能随意打开T C P/I P属性设置窗口修改本地主机的I P地址, 此方法适合对特殊网络设备的保护。

2.3 IP-MAC地址绑定

在相同的局域网网段中, 二层网络寻址不是根据主机IP地址而是根据主机物理地址来进行的, 而在不同网段之间通信时才会根据主机的IP地址进行网络寻址, 所以作为局域网网关的三层交换设备上通常保存有IP-MAC地址映射表, 通过手工修改固化IPMAC地址映射表表项, 达到限制IP更改造成的地址冲突, 从而限制非法更改IP地址行为, 防止造成网络运行不稳定现象发生。ARP绑定操作:telnet或console登陆三层交换机, 输入命令“arp static IP地址MAC地址”然后回车, 保存配置即可。

3. 内部入网控制

身份证起到证明身份的作用。比如去银行提取大量现金, 这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样。我们为了防止IP地址被盗用, 就通过上面的方法, 简单的对MAC表使用静态表项, 而有时在一个VLAN内, 已使用的IP地址数量多, IP剩余资源量大, 虽然之前已经绑定了已使用的IP地址, 但是对陌生计算机并没有管控措施。

通过ARP绑定技术并不能达到理想的效果, 而MAC集中认证技术可以实现对入网计算机进行准入, 达到内部联网准入控制的目的。

3.1 MAC集中认证技术

MAC地址集中认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法。它是一种通用的交换机安全控制技术, 各个厂商设备都有支持的型号。它不需要用户安装任何客户端软件, 交换机在首次检测到用户的MAC地址以后, 即启动对该用户的认证操作。

计算机在接入网络前必须与交换机的MAC认证表比对, 如果认证表中没有此计算机对应的MAC地址, 则按认证失败处理, 不学习此端口下连的MAC地址, 从而达到未认证计算机无法转发数据包的目的, 控制其非授权入网行为的发生。

M A C集中认证与A R P绑定的区别是, MAC集中认证不需要知道对应设备的IP地址, 而是对MAC进行处理。本单位管理员通过网络认证台账, 即可认证本单位的联网设备身份, 对联网设备实行准入控制。

4. 入网控制管理规范, 补充VRV管理盲区

M A C集中认证、A R P绑定、VRV内网安全管理平台三者结合。通过基础认证台账 (从VRV获得) , 添加MAC认证用户, 建立本地认证用户信息, 绑定认证IP-MAC, 查询VRV未注册设备, 然后绑定未注册IP与黑洞MAC地址, 限制未注册已认证计算机。一段时间后, 通过认证, 但未注册VRV的用户, 反映无法联网的情况, 管理员通过查询台账, 绑定正确信息。帮助用户注册VRV客户端, 保证内网安全管理平台的用户完整性, 入网控制流程。

5. 应用效果

通过一段时间的试点运行, 已经起到很好的准入控制效果, 试点单位IP冲突和IP占用现象已不再发生, 未注册用户数零, 技术应用稳定性良好。

6. 结论

通过ARP绑定技术与MAC集中认证技术相结合, 补充VRV内网安全管理平台应用, 有效防止非法违规入网设备获取资源, 内网IP冲突得到有效控制。同时完善了内网管理系统VRV用户完整性, 更好地帮助企业管理者实施实名制终端行为审计和实名制行为管理。填补了VRV管理平台漏洞, 保障网络安全和数据平稳传输, 起到良好的应用效果。

参考文献

[1][美]赖利 (Riley, C.) 等著.ISCO网络核心技术解析[M].江魁等译.水利水电出版社, 2005

[2]H3C公司著, H3C配置手册[S].杭州:华三通信技术有限公司, 2009.6

[3]王群著.非常网管.网络安全[M].北京:人民邮电出版社, 2007.4

纯电动乘用车准入技术分析 篇7

常规的汽车检验项目一般是指汽车新产品上公告目录需满足的99项强制性检验项目。适用乘用车的主要常规检验标准如表1。纯电动乘用车的专项技术要求标准, 目前我国共制定了17项, 集中体现在电动汽车整车9项、车载能源6项、电机及其控制器方面2项, 具体标准如表2。另外, 还制订了10余项外围设施 (如充电桩、插头等) 标准。这些标准要求构成了我国目前纯电动乘用车市场准入的基本框架。

上述标准框架包括了纯电动乘用车安全、环保、节能及性能等方面的技术要求, 为电动车的准入起到了规范作用, 但因纯电动乘用车的特殊性以及新技术、新系统在电动车上的应用, 仍存在诸多不合理因素。主要体现在:

1 新技术在电动车上应用, 其检测标准空白

随着电动车的研发, 新技术、新系统的应用, 急需要新的标准规范变化了的准入要求。首先, 由于目前动力电池的密度低, 质量大, 为了保持电动汽车的续驶里程, 在电动车开发过程中, 取暖装置采用燃油供暖系统, 而本系统包括了油箱, 进排气、加热炉等核心部件, 目前广泛被采用的供暖系统关键部件组成如图1所示。在整车的布置上, 一般设计在机仓内通风窗前部, 该区域是热源、高压电密集的区域, 其安全已成为不可忽视的问题。而目前的检验要求还是空白。

在今年4月的北京国际汽车展上, 增程式电动车遍地开花, 已成为汽车商开发的主流产品, 它是以电动机为主, 发动机为辅工作的汽车。发动机的唯一作用是发电, 当车载电池电量消耗至最低临界限值时, 增程器将自动启动并为其继续提供电能, 以实现高达数百公里的续驶能力。增程式电动汽车的电池容量只需纯电动汽车的40%左右, 极大地降低了成本。而增程式汽车的技术条件、能耗转化、排放检验没有标准要求, 借用传统汽车的标准显然没有合理性。

2 传统汽车的常规性试验项目是否完全适用电动汽车, 急需要系统分析研究

表1常规性检验项目中带“*”号的部分以明显不适用纯电动乘用车的检验要求。

首先, 对于碰撞, GB11551-2003规定了正面碰撞产生的机械伤害和油液的泄漏情况, 但对碰撞后电安全以及有害物质泄漏没有要求。对于纯电动乘用车应明确动力蓄电池释放出的有害物质, 不能达到产生危险量的要求, 尤其是对乘员保护方面。

用传统车辆改装的纯电动乘用车往往因动力电池质量大, 使得整车质量增加。有研究表明, 正面碰撞48m/h速度与传统内燃机车56km/h的能量相当, 所以应特别明确碰撞试验期间, 动力蓄电池包、蓄电池或其他部件 (蓄电池模块、电解液) 不能由于碰撞而从车上甩出要求。

对于GB20072-2006汽车燃油箱后碰撞要求, 该标准是考核内燃机乘用车碰撞后燃油箱泄漏情况, 而对于纯电动乘用车则变成了对动力电池包碰撞要求, 以防止在碰撞或者翻滚时分离的电池组件或危险物飞出来, 伤害人员。

不论哪种碰撞, 都应对电动汽车碰撞中切断高压子系统电路的装置进行检验, 以免碰撞后高压电击伤害人员或引起燃烧。当与动力蓄电池连接的电路出现短路或超过车辆制造厂规定的过电流, 动力蓄电池的过电流装置应断开与蓄电池端子的连接;另外动力蓄电池的过电流断开装置还应能在包括车载储能装置故障的任何故障情况下工作。

对于上述提到的增程或具有燃油加热系统的电动车, 碰撞时还存在燃油泄漏容易被高压火花点燃的危险, 电源自动切断的功能、再充电储能系统的结构强度等等都是需要考虑修订的内容。

制动装置:GB21670-2008汽车制动性能, 没有对电动车辆加以说明。电动汽车的制动装置不同于常规车辆, 除了通常的制动器及其操纵装置组成外, 一般还有电磁制动装置, 它可以利用驱动电动机的控制电路实现电动机的发电运行, 使减速制动时的能量转换成对蓄电池充电的电流, 从而得到再生利用, 这一技术的应用有效地提高了整车能效的利用。但有研究表明再生性制动系统可能会滞后反应, 这会使实际路上行驶的后面车辆不知道这种滞后反应而导致安全事故, 再生性制动系统产生的减速度达到一定值时, 应使制动灯点亮。

车辆噪声:GB1495规定了内燃机乘用车加速行驶车外噪声的要求, 该标准是依据内燃机特性而制订的, 与由电机驱动的纯电动乘用车的加速噪声没有什么可比性。

除上述之外, 定置噪声、侧碰撞等等传统汽车标准用以检验纯电动乘用车也需要有针对性地修订。总之, 系统研究传统汽车标准的适用性, 充分考虑安全、节能、环保等因素, 补充完善和规范电动汽车相关的技术要求是十分必要的。

3 电动汽车专项标准, 急需完善

整车动力电池是以电池包的形式安装在车辆上, 在认证过程中, 仅对电池包的检验做出了要求, 而对分体电池及分体电池整合没有明确要求, 而不合理的分体电池整合往往使因车辆意外碰撞发生重大事故。

于7月1日开始实施的GB/T28382-2012《纯电动乘用车技术条件》标准, 提出了30分钟最高车速不低于80公里/小时、工况续驶里程大于80公里的基本要求, 可靠性行驶试验的总里程为15000km, 同时规定了电动汽车安全、质量分配、加速性能、爬坡性能、低温性能、可靠性等方面的技术指标。在现有电池发展水平下, 达到这一要求, 将会大大增加电动车的成本, 致使售价提高。美国及欧盟家国邻里车 (NEV) 的准入, 对不同用途的车辆实行不同标准的准入管理值得借鉴。中国地域辽阔, 需求层次多样, 即有高速又有低速电动车并存, 而不是所有纯电动乘用车一味达到同一较高标准要求, 才能达到真正节约能源的目的。

另外, 即将实施的GB/T28382-2012标准还明确了电动汽车行驶低速 (20km/h以下) 提示音的要求, 同时, 新发布的GB7258-2012将于9月份实施, 其中增加的电动车要求也需要贯彻, 对已经准入生产的车辆应及时跟踪检测确认, 以防范风险。

4 结语