基于BYOD網絡安全的身份關聯接入機制

韓強

摘? 要：為了實現和保障BYOD安全接入網絡，采用目前較為流行的動態口令身份認證方式，由網絡管理員設置程序算法來實現軟件動態口令的方法。首先用戶身份中隨機生成的賬戶和密碼，實現動態口令認證，接著檢測接入BYOD授權設備，實現一種身份關聯的接入機制，從而提高網絡安全使用的功能。

關鍵詞：身份關聯;BYOD;網絡安全;接入機制;賬號管理;安全檢測

中圖分類號：TP393.08? ? ? ?文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）16-0017-02

Abstract： In order to realize and guarantee BYOD's secure access to the network， this paper uses the popular dynamic password authentication method at present， and uses the network administrator to set program algorithm to realize the software dynamic password. Firstly， account and password generated randomly in user identity are used to realize dynamic password authentication. Then， access to BYOD authorization device is detected， and an identity-related access mechanism is realized， so as to improve the function of network security.

Keywords： identity association; BYOD; network security; access mechanism; account management; security detection

引言

當前隨著 BYOD（Bring Your Own Device）的出現，單位中各部門員工可以利用手機設備在任何地點，任何時間訪問資源、處理業務[1]。同時BYOD得益于智能終端網絡功能的日益強大以及5G網絡的逐步完善，BYOD網絡的迅速普及已遍及人們生活、娛樂、工作等各方面[2]。這是新時代辦公的一種潮流，也給工作帶來新體驗。然而若設備中攜帶病毒，即一旦接入公司網絡便可能攻擊網絡系統[3]。有關數據顯示，隨著 BYOD網絡不斷的發展，不成熟的 IT 策略正在將各種各樣的敏感信息置于風險之中。因此我們需要一套完整安全網絡機制，來解決移動設備接入的安全管理。

身份認證，也稱身份驗證，身份確認通常采用“用戶名+口令”的方式來接入網絡。但是非法用戶通過字典或窮舉方法侵入、也可通過數據包偵聽或分析協議以及口令重放等方式接入[4]。此方式存在安全隱患，若物理證件丟盜，則信息泄露。綜上所述，本文提出一種身份關聯方式接入網絡，其實也是一種動態口令認證方式，只需程序代碼設置，不需添加任何物理器件，實現操作方便，網絡安全性高。

1 設計方案

網絡安全注重從源頭抓起，針對每一個上網者來講，網絡管理員對其設置身份關聯，給網絡中每一位員工分配單獨的賬號及密碼，他們每次接入網絡，必須使用該賬號和密碼（當然賬號與密碼也可以設置），這樣針對外來訪客BYOD設備來講，接入后若想訪問內網或外網，必須通過身份關聯接入（即與該接待員工關聯到一起），從而達到可追蹤，可多方控制的管理效果。這時網絡管理者通過SDN監控來訪者的網絡行為，所有行為都記錄于數據庫中，若發現異常行為，網絡管理者可采取限制或防御策略，實現接入安全，具體方案如圖1所示。

2 接入模塊設計

網絡安全接入機制關鍵點是保證外來BYOD設備安全接入網絡，因此在整個網絡接入設計中必須對接入者的身份進行安全認證，這就要設計接入模塊管理認證登錄過程。不管是共有設備登錄，還是私有設備登錄，都必須進行登錄方式的判斷，如驗證密碼，同時記錄他們的登錄信息、操作記錄，包括賬號密碼的加密或解密行為等，所有網絡行為都必須記錄在數據庫模塊中，包括賬號密碼數據庫、主機信息數據庫、操作記錄數據庫等，具體的身份關聯接入設計模塊如圖2所示。

3 機制實現

網絡使用者（單位職員或來訪者）的請求會被轉發到內網SDN，從而實現關聯身份認證，身份認證內容包括用戶身份的申請認證、生成賬戶、登錄認證、操作日志、行為審計等。為了實現這一系列的安全檢測，把網絡中本職員接入認證信息稱作主賬號，把訪者BYOD接入網絡的認證信息為授權賬號，同時為了方便管理，把主賬號和授權賬號統一規定采用不同的位數，例如主賬號規定是8位的字符串，授權賬號規定是18位制。下面分別介紹這兩種賬號具體的實現生成機制。

3.1 主賬號的生成機制

網絡中的主賬戶是網絡管理員按照生成規則自動分配的，要求每一位職員分配賬戶名和初始密碼必須是唯一的，職員通過其賬戶名及初始密碼登錄到內網后再進行賬戶密碼的自行修改，那么主賬戶的生成機制是該網絡管理員的操作首要任務，其生成流程如圖3所示。

3.2 生成授權賬戶

授權賬號生成規則是根據主賬戶的信息來生成的，其賬號生成流程如圖4所示，首先獲取與其關聯的主賬戶的信息（賬號與密碼），生成訪問時間的10位數字，表示時間數字按秒數表示，接著隨機產生8位的隨機數（1到18的隨機數），然后取出對應18位中的8位索引值，加上10位訪問時間數字共生成18位賬號，這樣的信息包括訪問時間數字、職員賬號、授權賬號，從而實現網絡安全機制。

3.3 身份關聯接入判斷

當網絡系統接收到接入請求時，系統會判斷其的認證方式，根據賬號的不同進行安全接入認證。當然認證判斷的依據主要是接入賬號的信息，如上面所說的8位主賬戶、18位授權賬號。如果賬戶是8位，則直接接入網絡，反之，則通過身份關聯接入網絡。身份關聯接入首先檢測職員的信息，通過之后再檢測BYOD授權賬號信息，也就是說對于外來BYOD接入設備來說，接入網絡賬號、密碼由職員控制，申請授權于該設備才登錄接入。用戶使用時必須與其的賬戶密碼關聯許可才能接入網絡。從而實現授權設備接入網絡時，檢測驗證主賬戶的合法性以及授權BYOD設備的合法性。若兩者都合法，該授權賬號有效，該設備才能成功接入網絡，否則接入失敗。

3.4 安全管理分析

身份關聯接入的安全性體現在于授權權限和接入權限，網絡管理員通過設備管理功能顯示出接入設備的詳細信息、職員用戶、來訪者、BYOD設備接入網絡的信息，包括接入IP地址、接入時間、離開時間等，也可以監控到接入網絡后使用資源情況：CPU的使用率、內存使用率、IO 使用率、帶寬使用率。若出現導常接入，如不能接入的稱為黑名單、直接接入的稱為白名單，網絡管理員可對其進入編輯、刪除等操作。

4 結束語

身份關聯接入網絡，主要實現了外來訪客和BYOD設備接入網絡時，必須同時判斷檢驗職員主賬戶與其所授權賬戶，兩者同時符合才能安全接入，若有其中一個不符合條件，則接入失敗，這就給企業的網絡安全提供了雙重保障，這樣不僅有效地控制外來設備以及來訪者安全接入網絡，而且還能方便準確地對接入用戶的操作進行追蹤審計。

參考文獻：

[1]陳林.支持軟件定義網絡的網關安全接入技術研究與實現[D].成都：電子科技大學，2018：14-29.

[2]黃壽孟.基于超網絡模型的混合教學知識傳播研究[J].信息與電腦：理論版，2019（5）：37-39.

[3]黃壽孟.基于Flex的數據通信技術研究與應用[J].中國現代教育裝備，2016（17）：12-15.

[4]曲大鵬，吳松林，何俊，等.針對BYOD的網絡入口邊界安全研究[J].計算機應用研究，2018（9）：2785-2788.