網絡接入的智能控制技術

吳申強

摘 要：近年來網絡應用已深入到各行業業的工作中。除了商業機構，科研院校等廣泛使用網絡之外，也在政府機關，軍隊，武警等涉密機構也得到普及。但網絡給人們的日常辦公帶來了極大的便利的同時，也帶來了信息安全隱患。

關鍵詞：SDN 網絡安全 接入策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）05（c）-0149-02

排除隱患的首道工作，是要管理好接入需求，確保授權用戶對網絡資源進行正確的訪問。特別在對信息安全較敏感的行業，對內網的接入安全提出更高要求。利用當前成熟的SDN等技術，可以很好的解決這些問題。

1 網絡接入權限控制現狀

1.1 接入權限概念

網絡接入不僅指空間的接入，也是邏輯上的接入。接入權限策略即要保證網絡不被外部非法入侵，保護信息安全與完整。同時還要保證網內用戶的正常訪問與隔離，確保提供應有的服務質量。

常見的非法訪問存在三種入侵模型：

外部入侵：外網通過非法手段滲透訪問；

內網非法訪問：內網用戶通過異常手段訪問未被授權的資源；

破解：內網用戶非法獲取權限，并利用該權限來非法訪問與逃避審計。

因此，對接入策略的基本要求：阻止非法用戶進入系統；允許合法用戶在正常審計下授權訪問與使用受控資源；杜絕越權行為。

1.2 網絡接入權限的原理

接入權限控制的核心是：用戶的識別，認證與授權：

識別：識別用戶標識。主要依據網絡MAC/IP地址或用戶ID作為識別標識。

認證：根據系統預配置好的安全策略進行權限的檢查。屏蔽未知接入。

授權：依據身份認證的匹配的結果，給接入分配相應的訪問權限。

2 接入權限現狀的問題

當前接入策略存在許多不如意的地方。特別是涉密網的個性化需求，現有的接入策略機制已經難以滿足。

2.1 網絡接入權限現狀

常見的接入控制方法主要有Web認證，802.1x及應用層認證。這些認證方式對接入行為的控制粒度有差異：Web認證主要面向公眾無線場景，通過彈出網頁進行認證后授權接入。特點是認證速度快，不需安裝客戶端。1x認證是一個基于端口的網絡存取控制標準，為網絡提供點對點式的安全接入，主要用于一般辦公網絡接入的控制。應用層認證要求接入設備安裝客戶端軟件，由該客戶端與服務端交互完成認證并提供監控用戶的上網行為，審計與回溯的能力。

除了上述幾種常見的之外，還有如PPPOE等相對少見的方式，對環境及人員要求較高，不具普適性。

2.2 現有接入控制方式的不足

web認證：過程需彈出認證頁面，要求特定終端。會話過期重新認證會影響用戶體驗。

802.1x認證：要在設備上事先安裝客戶端軟件。并且服務器預配置的接入信息需要隨著人員變化而手工調整。

應用層認證：需要在安裝客戶端軟件。此外它還承擔監控與審計等工作，設備硬件資源消耗大。

此外，對于進一步的安全要求，如五要素綁定（時間，接入位置等），策略隨行，空閑網口IP管理等需求，現有的網絡技術無法實現。

3 智能控制相關技術

為達到更好的接入策略效果，我們需要充分利用新技術。如SDN及OpenFlow協議。

3.1 SDN

SDN即軟件定義網絡（Software Defined Networking），由控制器與網絡設備兩部分組成。它將網絡的控制平面與數據轉發平面解耦，通過集中的軟件控制器進行可編程化平臺，統一控制底層硬件，來實現對網絡資源靈活的高效按需調配。在SDN網絡中，底層設備只負責數據轉發，而原來控制工作則單獨抽象出一個集中的控制面，負責適配個性化的業務需求進行集中控制。因此我們可以將用戶接入的權限管控的方式及策略上收。并通過SDN的智能管理算法，實現對網絡接入權限的智能管控的目的。

3.2 OpenFlow

OpenFlow是由斯坦福大學的Nick McKeown教授在2008年4月首先提出的。它提出的控制轉發分離架構，允許不動網對網絡進行編程而實現新型的協議與拓撲。它通過網絡設備維護一個FlowTable且只照FlowTable轉發，該表本身的生成，維護，下發完全由SDN控制器來完成。

4 智能接入控制解決方案

智能是指網絡策略的下發及調整都自動完成，不需人工干預。且接入的過程及數據都納入有效監控及審計。主要應用于以下三個場景中。

4.1 資源按需服務

除了需要傳統的識別授權之外，還有場景要求依據用戶位置，時間等差異，分配不同的訪問權限。當前在政務、軍工等涉密要求高的行業的網絡場景中有需求。

SDN方案：當有終端接入網絡時，網絡設備通過識別接入端發送的免費ARP等信息送到SDN控制器。控制器系統通過該標識，端口位置及時間等信息來匹配策略，進行網絡放行或報文丟棄的動作。讓未知的接入需求能被及時屏蔽。

4.2 策略隨行

信息管理工作繁瑣，重復率高。每條人員入職離職，崗位變動都會給網絡策略帶來11至15條的配置。若頻繁存在人員進出，出差，組織架構調整將帶來巨大的工作量。

通過SDN控制器，在頻繁人員策略調整的情況下，不再需要去目的子網配相關策略，人員的身份信息都已在控制器綁定，無論從內網的任何地方接入，信息都會發送到旁掛于集中網關或分布式網關邊的控制器來匹配策略，從而達到策略跟隨的目的。能確保整網的接入安全，并通過IP綁定惟一人員來審計與監控接入行為。此方案在中大企業中有成功案例。

4.3 閑置網口及IP管理

除了信息管理之外，日常運維還包括IP，網口的統一管理。在安全級別高的網絡中，一般不使用DHCP，而由靜態IP與用戶綁定的方式管理。但也仍然會出現閑置網口及IP被私接網絡，私自配IP等不受控的情況發生，也給內網的信息安全帶來隱患。

對此，我們也通這SDN的方式來解決。當有設備接入網絡時，由控制器來判斷接入IP與MAC地址與接入網口是否與預置的信息相同，若判斷為異常接入，則直接丟棄，使得私接網口及私設IP的行為直接屏蔽，來確保閑置網口及IP地址能有效管理，徹底消除私接網絡的隱患。

此方案當前在金融，軍工等行業有應用。由于這網絡安全敏感，辦公環境大，管理資源多，對網絡接入的要求及行業有明確規范的行業，能夠有效地安全管理。

5 網絡權限控制的發展趨勢

網絡安全的智能方案仍有許多不足之處，也是未來網絡技術尋找突破的場景。

物聯網發展使萬物互聯成為趨勢，海量的接入需求要統一管理。如何快速的將大量信息整合成便于分析的大數據；如何快速有效地管理接入需求，并能進行差異化管理。

網絡對于普通用戶而言是一個黑盒，數據如何走動，何處存在擁塞，對用戶來說還是不可知的，沒有有效的防控手段。

對網絡的攻擊手段是多種多樣的。現有的接入控制手段，只能防范已知的攻擊行為。未來要通過大數據的分析主動學習，提前預判。

日益增長的網絡安全威脅對網絡技術提出了更高的挑戰，也推動了網絡技術的發展，特別是隨著NFV，VxLAN等技術的成熟，如何將這些新技術快速應用在現有網絡中，有效解決問題和隱患，形成一套有效的解決方案，才能快速的形成生產力工具。這是當前網絡工作者們的首要任務。

參考文獻

[1] ONF. OpenFlow Switch Specification Version 1.3.1[S].2012.

[2] 鄒劍鋒.基于OpenFlow的SDN組網技術研究[D].北京郵電大學，2014.

[3] 王文東，胡延楠.軟件定義網絡，正在進行的網絡變革[J].ZTETECHNOLOGYJOURNAL，2013.