云計算下的網絡安全接入方式研究

陳強

（新疆醫科大學 網絡中心，新疆 烏魯木齊 830011）

云計算下的網絡安全接入方式研究

陳強

（新疆醫科大學 網絡中心，新疆 烏魯木齊 830011）

云計算在當下發展極為迅速，而云計算下的安全問題也一直備受關注，重要性也更為突出。網絡攻擊手段與防護措施一直都在以循環螺旋的模式發展，幾乎所有的云計算業務都不可能脫離嚴密的安全策略而獨立存在。文章從云計算的業務模型入題，剖析當前環境下網絡安全面臨的新挑戰，說明安全對云計算的重要性，進而闡述云計算的網絡準入安全建設方式如何實現安全的網絡接入保障。

云計算；網絡安全；網絡準入

一、引言

云計算（Cloud Computing）是基于互聯網的相關服務的增加、使用和交付模式，通常涉及通過互聯網來提供動態易擴展且經常是虛擬化的資源。云計算強調資源請求與資源調度的分離，實際處理請求的后臺系統與發出請求的最終用戶之間是一種松耦合關系。在這種情況下，安全對于云計算服務的重要性是顯而易見的。在企業用戶眼里，云計算的靈活性、高性價比、高可靠性都有著無可比擬的優勢，但如果在安全性上不過關，那么沒有一個企業級用戶會將自己的內部數據托管到一個存在泄密風險的平臺上。

從IaaS到PaaS、SaaS，云計算服務包含的內容越來越多，用戶能夠接觸到的底層信息卻越來越少。由于缺少基礎架構的細節信息，用戶會對接入云服務的過程提出更高的安全要求，如果云服務提供商無法滿足這些標準，可能直接導致失去用戶?？梢?，完善的安全機制是云服務能夠落地的前提條件，云計算的任何一個環節對安全防護都提出了相當高的要求。

與安全的重要性相對應的是相關領域發展的滯后。云計算的安全機制是一個非常龐大的課題，幾乎沒有機構或廠家能夠從上到下一手包攬所有細節，因此業界也缺乏一個統一的思路來指導安全建設，加上云計算產業本身也處于一個高速發展的階段，遠遠沒有定型，大家對云計算安全架構的意見也就更加發散。

目前為止，在云計算安全方面最有影響力的組織是CSA（Cloud Security Alliance——云計算安全聯盟）。CSA成立于2009年，是一個致力于推動云計算安全最佳實踐的公開組織，CSA的最高目標是提出一套最優的云計算安全建設指導方案。

網絡安全是整體安全的一部分，對于云服務來說，網絡是輸送服務的途徑，因此對網絡的保障非常重要。CSA明確提出了云服務的挑戰很大一部分來自于 “怎樣安全地從云中存取數據”，在這種情況下，數據傳輸隧道的建立和防護是必不可少的。而VPN通道可以用來保護數據的私密性，即使這些數據在公網上傳輸。

除了對網絡傳輸管道本身的保護，對網絡資源的獲取也是云服務安全的重要內容。其中用戶身份驗證就是最為關鍵的一部分。授權的用戶身份是云計算安全的基礎，如果非法用戶獲得了訪問數據中心資源和設備的權限，那么所有的安全保障措施都岌岌可危?；诖耍梢詫碗s的網絡安全策略劃分為準入和加密兩個維度。本文將主要圍繞準入展開云計算下網絡安全接入方式的研究，并介紹不同的準入方式進行對比。

二、網絡準入的技術分類

隨著云計算的不斷深入，越來越多的企業業務系統由傳統的C/S架構向B/S架構遷移，以往訪問后臺數據需要安裝專用軟件，IT部門控制客戶端軟件的許可發放，就能夠大致控制訪問用戶的范圍。而在B/S架構中，用戶只需要一個Web瀏覽器即可登錄系統。

另一方面，智能手機、平板電腦和WiFi的流行推動了BYOD（Bring Your Own Device——攜帶自己的設備辦公）的興起。越來越多的人開始在辦公場所使用自己的無線移動設備進行公司的業務系統訪問，這對數據安全造成了嚴重威脅。于是，對網絡的準入控制被重新提上IT部門日程，只有合法的用戶才能夠介入網絡。

控制用戶接入網絡的技術伴隨網絡本身的誕生和發展已經衍生出多個派別，每種方式都有自己的特點和使用場景，很難說哪種方式在技術實現和最終效果上技高一籌，取得絕對的領先地位。在當下的實際環境中，常見的認證準入方式包括二層準入、三層準入、客戶端準入三種。

目前大部分網絡利用DHCP協議為用戶接入設備進行IP地址的分發。二層準入就是用戶在獲得三層IP地址之前必須通過的認證，用戶在接入網絡之初，需要通過二層連接進行認證數據交互，以確保接入身份的合法性。

二層準入的代表實現方式就是802.1x。802.1x協議是基于C/S的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口，認證通過以后，正常的數據可以順利地通過以太網端口。802.1x的認證流程可以歸納為以下四步。

（1）端口初始化。作為認證設備的接入交換機探測到有一個客戶端連接到一個端口后，會馬上把這個端口置于“未授權”狀態，處于“未授權”狀態的端口除了802.1x報文不會轉發其他任何流量。

（2）EAP初始化。交換機會定時向一個二層廣播地址發出EAP請求信令，開啟了802.1x的終端設備在連接上交換機后會保持偵聽發往這個二層地址的信號，如果偵測到則回復一個包含自己ID的EAP應答。交換機收到后會通知后臺認證服務器。

（3）EAP協商。由于EAP按照實現方式不同分為好幾類，所以在開始用戶身份認證之前需要協商一個雙方都支持的EAP類型來進行后續的流程。

（4）用戶身份驗證。用戶身份信息經由交換機發往認證服務器，根據認證服務器的判斷結果，交換機反饋認證成功或者失敗的報文。如果成功則交換機端口開放，用戶獲得訪問網絡的權限，如果失敗則無法進行網絡訪問。

二層準入所有的流程都在二層環境下完成，客戶端與交換機之間不會進行IP層面的信令交互。經過多年的發展，802.1x+RADIUS的實現方式已經發展成為一個功能非常強大的準入方案。

二層準入的最大優勢就是成熟，市場接受程度很高。不管認證方式還是認證服務器都能找到多家產品支持。802.1x主要具有以下三個特點：①完全公開的架構：802.1x的每一個部分均有相應的國際標準，便于企業用戶自由選擇軟硬件，不受制于特定廠家。②成熟的技術標準：802.1x是一項非常成熟的技術，已經部署在成千上萬的園區網中。幾乎每一臺交換機和每一臺終端設備都支持802.1x，用戶的部署風險和成本大幅降低。③完善的認證和授權機制：802.1x支持密碼驗證、單點登錄、支持所有主流服務器，可以滿足大部分用戶的需要。

隨著無線終端的推廣和普及，802.1x在某些方面漸漸顯得力不從心，三層準入方式就在這種環境下應運而生。三層準入即Web認證，認證過程通過一個Web頁面完成。配置了Web認證的交換機在做三層準入認證時大致分為以下幾個步驟。

（1）交換機端口進入有限接入狀態。進行Web認證的接入交換機不會完全屏蔽端口，相反會將這個端口放入一個可以轉發數據的vLan。但僅能實現一些基本的數據轉發服務，如DHCP、DNS等。

（2）客戶端觸發認證流程。當交換機端口進入有限轉發的狀態后就可以正式對客戶端設備進行驗證了。由客戶端設備網卡向DHCP請求IP地址，或發送ARP報文時交換機會將設備記錄入冊并開啟一Web計時器。

（3）用戶身份認證?？蛻舳嗽O備獲得IP地址后，用戶通過瀏覽器自動發起HTTP請求，交換機截取請求并重定向到預先設置好的認證頁面上，通過用戶名、密碼等信息的輸入最終確定認證是否成功。

近年來Web認證的發展非常迅速，特別是在無線等環境下得到了大規模的部署。相較于二層準入，三層準入具備輕便、簡單的優勢，主要有零客戶端、使用簡單、安全性較弱、不支持單點登錄、不支持機器認證等特點。

除了二、三層準入認證之外，還有一種認證方式就是客戶端認證。客戶端認證表現方式非常多樣，涉及廠家產品也較多。絕大部分產品還會集合終端安全管理等功能，一方面從操作系統接受802.1x的認證流程，一方面對操作系統做健康檢查。

客戶端準入認證的功能最為全面，并且安全性最高。但最大問題在于實現方式的不統一，各廠家從實現原理到界面都千差萬別。由于沒有公開標準，導致兼容性及平臺過度均有問題，此外部署復雜、維護工作量大也是其主要問題。

三、結論

企業網的準入是一項非常特殊的技術，最終用戶的體驗決定一個項目的成敗。每種準入認證方式均有其優缺點，在云計算的大環境下，我們更應該根據實際需要做出相應的選擇。但針對完美的網絡準入方案，我們希望其具備可延續性、高可用性、靈活性、整合性等特點。

[1]徐立冰.騰云——云計算和大數據時代網絡技術揭秘[M].北京：人民郵電出版社，2013.

（編輯：魯利瑞）

TP309

：A

：1673-8454（2015）04-0075-02