可信網絡訪問控制技術及系統

黎澤良，佘 健，劉高錦

（邁普通信技術股份有限公司 成都610041）

1 引言

隨著網絡技術的迅猛發展，網絡已經滲透到社會生活的各個方面。網絡給我們帶來便捷高效的信息交互的同時，也帶來了一系列安全和管理上的新問題。由于網絡的開放性，致使網絡中的身份識別、攻擊源查找困難，諸如病毒、木馬、入侵、IP欺騙、DNS欺騙、虛假身份和有害信息等層出不窮，嚴重威脅著網絡穩定運行和可持續發展。

如何構建一個安全可信的網絡，越來越成為人們關注的焦點。因此，各種入侵檢測、網絡隔離、訪問控制和病毒防范的網絡安全技術也隨之蓬勃發展起來。然而，據統計數據表明，網絡安全威脅的60%來自網絡內部，也就是網絡內部的終端結構和操作系統的不安全所引起的，僅僅關注來自外部威脅的防火墻、入侵檢測系統等傳統安全措施，對來自內部的威脅顯得無能為力。因此，如何確保網絡內部的安全已經越來越受到人們的重視，成為網絡安全領域中的一個應用和實踐的熱點。

2 可信網絡訪問控制模型

要構建一個安全可信的網絡環境，必須從信息安全的源頭著手，內外共防來構造安全的可信網絡連接環境。可信計算組織（trusted network group）下屬可信網絡連接小組發布了可信網絡連接（trusted network connect，TNC）規范，該規范提出了一個開放的網絡連接體系結構，通過提供一致的安全服務體系結構來為網絡提供安全性保障。

TNC規范描述了可信網絡連接的3部分執行主體：訪問請求者（終端）、策略執行點和策略決策點。TNC規范的主要思想是：在訪問請求者訪問網絡之前，策略決策點對終端的身份進行識別，同時對其安全性、完整性狀態進行檢測并與系統的安全策略進行比較。如果滿足安全策略要求，策略執行點則允許終端接入網絡；如果不滿足要求，則拒絕或是對該終端進行隔離。

TNC規范從網絡準入和終端安全要求的角度出發，保證了接入用戶的安全性、可信性，從一定程度上減少了來自內網的安全威脅。但TNC規范有一定的局限性，其只關注了網絡準入和終端接入前的安全，而未關注終端接入后的安全性和網絡行為、安全審計，從而在網絡安全建設中留下了安全隱患。

依據TNC規范的可信網絡連接框架概念，結合各種現有網絡安全管理技術和多年網絡安全應用實踐，我們將TNC框架分解和擴展為可信網絡訪問 （trusted network access，TNA）控制模型，如圖 1所示。

圖1 可信網絡訪問控制模型

·安全準入管理實現TNC可信網絡連接框架中的終端身份識別和終端安全檢查，保證合法和符合安全條件的終端接入網絡。目前可用于終端身份驗證的技術包括 IEEE 802.1x、EAPOU、PPPoE、Portal協議等。

·網絡行為管理擴展TNC可信網絡連接框架中安全檢測管理，對終端接入網絡后的行為進行分級授權，對不同的終端和角色準許訪問不同網絡資源，運行不同網絡應用的權限，同時可對不同終端分配不同的網絡帶寬資源等。

· 網絡安全審計實現終端接入網絡后的安全監測，發現網絡不安全因素。網絡安全審計可對用戶的接入行為、接入后的網絡行為、終端操作行為進行審計，發現非法網絡接入和非法網絡行為，提高網絡安全性。

TNA模型全面覆蓋了終端安全水平檢查、網絡準入控制、網絡行為控制、網絡安全審計等網絡訪問各環節，可以歸納為 “誰在什么條件下可以接入網絡”、“接入網絡后可以干些什么”、“接入網絡后真正干了些什么”3個重要方面，是更全面的網絡訪問安全控制方式。

3 可信網絡訪問控制系統

基于以上描述的可信網絡訪問控制模型，我們在對IEEE 802.1x等多種技術的基礎上進行擴展，設計并實現了可信網絡訪問控制系統。該系統完全滿足可信網絡連接規范，并從網絡安全建設的角度，大大加強了網絡的安全性。

該系統主要包括RADIUS認證服務器、策略服務器、安全補丁服務器、接入設備（策略執行點），接入終端等。可信網絡訪問控制系統實現用戶準入控制原理如圖2所示。

圖2 典型可信網絡訪問控制示意

其主要流程主要如下。

·接入終端和接入設備協同完成IEEE 802.1x標準認證過程，實現用戶名和密碼驗證，完成接入終端身份識別。

·IEEE 802.1x認證通過后，接入終端向策略服務器請求安全檢查規則，執行終端安全檢查，確保接入終端安全，消除接入終端安全隱患。

·接入終端安全檢查通過后，接入設備將應用該接入終端對應角色安全策略，授予終端用戶訪問網絡工作區相關內容的權限，同時對用戶網絡行為進行分級、控制，確保不同用戶享有不同網絡訪問權限和資源。

·接入終端被準入網絡后，系統將記錄該接入終端的網絡行為、終端操作行為，以對接入終端進行安全審計。

·終端用戶在身份識別、終端安全檢查未通過時，接入設備將授予終端用戶訪問隔離區相關內容權限，確保用戶可以進行軟件補丁升級、防病毒軟件安裝或升級、其他安全修復資源獲取等。

3.1 IEEE 802.1x認證擴展

依據IEEE 802.1x規范的認證過程，可以看出標準EAPOL僅僅從用戶名和密碼角度對用戶的安全進行了限制，簡單地使用標準協議，容易造成如中間人攻擊、拒絕服務攻擊、IP地址偽造、會話劫持等安全隱患，無法滿足網絡安全準入控制的需求。

圖3 擴展后的認證過程

為此，我們在可信網絡訪問控制系統中，對用戶認證過程進行擴展，對接入的用戶不僅僅進行用戶名和密碼認證，同時對終端安全進行檢查，終端安全檢查通過后，才認為終端合法并接入網絡。

因此，使用IEEE 802.1x協議進行網絡安全準入系統建設就必須對其進行相關擴展，具體實施方式是通過擴展EAPOL來實現的，如圖3所示。

在IEEE 802.1x擴展認證整個實施過程中，主要參與的角色有4個，分別是接入終端（即用戶PC）、接入設備（認證點）、策略服務器 （向安全終端下發安全策略）、RADIUS服務器（對終端進行身份驗證）。

具體擴展認證過程如下：

（1）接入設備利用標準EAPOL協議對接入終端進行認證，如果成功，則會收到RADIUS服務器回送的成功消息；

（2）接入設備收到認證成功消息后，會通知接入終端策略服務器的信息（策略服務器的IP地址、端口等），并在一個固定的時間內，打開通向策略服務器的數據通路。

（3）接入終端收到了策略服務器的通知信息后，會通過加密通道連接策略服務器（例如SSL），請求安全檢查規則；

（4）策略服務器將安全檢查規則下發到接入終端本地，接入終端的安全計算模塊進行終端安全檢查；

（5）接入終端將計算出的安全檢查結果通知給接入設備；

（6）接入設備根據安全檢查結果，決定是否繼續打開或關閉數據通道，并對接入終端應用安全策略，控制網絡行為。

（7）接入設備通知接入終端最終請求認證結果，完成IEEE 802.1x擴展認證過程。

3.2 終端安全檢查

終端安全檢查主要實現用戶側的安全，通過交互處理和系統聯動，保證接入用戶均為安全的用戶，從而把隱患擋在網絡之外；終端安全檢查包括終端補丁管理、防病毒軟件管理、進程與服務管理、端口管理。

（1）補丁管理

當終端接入網絡時，自動對終端用戶系統進行安全性檢查，如果用戶系統沒有安裝規定的補丁，則該用戶被定向到補丁服務器，當更新完成相應補丁后，才能接入網絡。

（2）防病毒軟件的自動安裝和升級

當終端接入網絡時，自動對終端用戶系統進行安全檢查，如果被檢測到沒有安裝防病毒軟件或者病毒庫不是最新的，提示其安裝或升級，否則不許上網，或隔離至隔離區讓用戶自行做出修復選擇。如果用戶雖然安裝了殺毒軟件，但是沒有運行，則用戶必須啟動后，才能接入網絡。

（3）對終端的其他管理

還可以對上網終端的所有軟件程序進行管理（包括安裝、運行、升級、卸載等行為）以及用戶行為管理和監控等。當終端用戶接入網絡時，自動對用戶系統進行安全性檢查，如果用戶系統安裝、運行了違禁軟件，則用戶必須卸載、停用相應軟件后，才能接入網絡。

3.3 基于角色的網絡行為管理

終端用戶被準入網絡后，可信網絡訪問控制系統將對用戶網絡行為進行管理。依據基于角色的權限控制模型（RBAC）的基本思想，系統根據終端用戶的不同職能劃分為角色，同時為角色授予不同的網絡行為權限，終端用戶通過所屬的角色，間接地獲得訪問網絡資源和對系統資源進行操作的許可。這里所說的網絡資源，通常包括了網絡范圍、網絡上的服務、網絡帶寬資源以及QoS保證能力等。

系統控制終端用戶網絡行為主要執行步驟如下。

（1）接入設備向策略服務器獲取接入終端角色信息。

（2）接入設備從本地（緩存）或策略服務器獲取角色對應的權限信息，具體包括用戶可訪問地址、端口，可使用的協議，接入資源控制信息等。

（3）接入設備將獲取的權限信息應用于該接入終端，控制終端用戶所能進行的網絡行為。

基于角色的網絡行為管理，提高了系統對終端用戶授權的靈活性，同時也提高了對接入后用戶的網絡行為管理，加強了對網絡核心資源的保護，更有效地利用網絡帶寬等，更能有效保證企業關鍵業務運行。

3.4 網絡行為安全審計

可信網絡訪問控制系統為進一步提高網絡安全，做到接入終端行為可控、可管、可查的目的，當終端用戶準入網絡后，系統將自動對用戶的網絡行為、終端操作行為記錄并審計，對可疑的網絡行為、終端操作行為自動報警，及時排除安全隱患。

系統主要審計內容包括：

· 實現終端用戶上網訪問行為的審計；

· 實現終端用戶訪問網絡資源的審計；

· 實現終端用戶對文件的操作行為審計；

· 實現終端用戶對外設的操作行為審計；

· 完成終端用戶即時通信行為的審計。

可信網絡訪問控制系統為自動完成終端行為、網絡行為審計并報警，從事件的授權、事件發生的頻度、禁止發生的事件、已知的病毒事件等幾個維度出發，設計并實現了系統自動審計報警系統，由此可以較好地發現潛在安全隱患，提高可信網絡安全。

4 結束語

如果把網絡看成是一個虛擬的大社區，網絡安全準入控制就是這個社區的門禁系統、監測系統，維護著網絡信息的安全。隨著未來的網絡的發展，網絡承載的業務應用對安全的要求也會越來越高，網絡與安全技術的融合是一個必然趨勢，網絡安全準入控制技術也向智能化、一體化多系統聯動的方向發展，未來相當長的一個時期內，都將成為網絡安全技術的一個熱點。

1 Trusted Computing Group(TCG).Trusted network connect TNC architecture for interoperability specification, version1.3,reversion 6,2008

2 IEEE Std 802.1x-2001.IEEE standard for local and metropolitan area networks-port-based network access control

3 Trusted Computing Group(TCG).Trusted network connect TNC IF-PEP:protocol binding for RADIUS,specification version1.1,reversion 0.7,2007

4 Trusted Computing Group(TCG).TCG trusted network connect TNC architecture for interoperability specification(version 1.0),2005

5 Trusted Computing Group(TCG).TCG trusted network connect open standards for integrity-based network access control,2007

6 Trusted Computing Group(TCG).TCG specification architecture overview,revision 1.2,April 2004