基于802.1x 訪問控制技術的信息安全等級保護研究

◆林川

（海南正邦信息科技有限公司 海南 570100）

信息安全等級保護工作的核心是對信息等級的劃分，指在對信息等級進行標準規劃后，按照標準對信息資源庫進行建設、管控、監督等行為。綜合計算機技術對信息的等級劃分標準，可將信息安全等級劃分為：計算機終端用戶對信息的自我保護行為；計算機系統對信息的審核性保護行為、標記性保護行為、結構性保護行為以及安全驗證保護性維護等行為[1]。信息在網絡存儲過程中被劃分為多個等級，初級信息等級為用戶個人信息，而針對此方面進行等級保護研究的目的在于對保護目標的明確化描述。在網絡安全中，要實現上述提出的相關要求，需要將控制訪問作為前提條件，在終端計算機防火墻、計算機交換路由等設備的支撐下分段控制網絡。此方面研究一直是有關計算機研究單位的關注重點，尤其在信息化技術協同發展的社會背景下，多元化信息的公開性更為顯著，因此，如何在這一趨勢下有效保護隱私信息，顯得尤為重要?；诖耍疚囊M802.1x 訪問控制技術，提出一種針對網絡信息安全的保護方法，以期通過本文設計的方法，實現對網絡中隱蔽性信息提供有效的保護，解決信息失竊、信息被盜用、信息失真等問題。

1 信息安全等級保護方法研究

1.1 劃分信息安全等級

為確保安全保護信息安全等級，應在方法設計工作前劃分信息安全等級。劃分過程中，可將網絡中數據鏈路層作為劃分的依據，以《信息安全技術》文件作為標準[2]，將信息劃分為用戶自主保護等級、系統審核保護等級、信息標記保護等級、信息結構保護等級以及安全認證保護等級五種類型。根據數據安全等級要素，明確信息安全等級與信息安全要素之間的對應關系[3]。

在此基礎上，考慮到鏈路層數據是保障數據安全的基礎性配置，因此可在設計信息安全等級保護方法的過程中，將安全要素作為依據，從下述對保護方法展開設計。

1.2 基于802.1x 訪問控制構建信息安全訪問協議

在明確信息安全等級劃分及其依據的基礎上，引進802.1x 訪問控制技術設計信息安全訪問協議[4]。在此過程中應先明確上文提出的協議屬于802.11x 協議的延伸。協議中包括對數據鏈路的驗證內容，即可通過對用戶身份的驗證，控制用戶的信息檢索行為。在驗證用戶身份信息過程中，可將交換機作為控制訪問的端口，交換機可支持在未經權限訪問條件下，做到與未經過LAN 的互聯網拒絕連接[5]。在獲取用戶信息的初步訪問權限后，802.1x 在防火墻驗證無病毒攜帶后，即可驗證用戶身份。802.1x 認證體系中共涉及終端客戶訪問端、身份認證端、服務器認證端三個方面的內容。綜合上述分析，基于802.1x訪問控制技術設計信息安全訪問結構，如圖1 所示。

圖1 基于802.1x 訪問控制構建信息安全訪問結構

如上述圖1 所示，基于802.1x 訪問控制技術的信息安全訪問結構中，訪問機制屬于虛擬端信息連接口，即交換機在物理端口層面分析，可將其劃分為信息控制與信息不受控制兩個端口。但提出的訪問設計理念當下仍屬于物理劃分方式，在上述提出的支撐設備中尚且不支持此種劃分方式。因此，在實際應用中，可按照上述結構，將不受控制端的端口保持一種雙向連通狀態，在每一條通信通道上，均可以對其賦予一條信息邏輯訪問通道。增設的邏輯訪問通道受802.1x 訪問控制技術的控制，即未通過驗證的用戶對其沒有訪問權限。在構建信息安全訪問結構過程中，802.1x 訪問協議僅允許EAPoL（/互聯網信息訪問協議）的數據通過端口。當受控端被打開后，網絡交換數據得以順利通過，據此可認為在構建信息安全訪問協議過程中，802.1x訪問控制技術的應用是很有作用的。

1.3 基于802.1x 協議認證的信息安全等級保護

利用上述設計的信息安全訪問協議，本章將遵循基于802.1x 協議的認證，以802.1x 協議端口邏輯作為支撐，根據交換機策略參數，對其進行安全等級保護。

當客戶端（/終端計算機用戶）在操作網絡信息的過程中，可通過交換機設備，向EAPoL-Start 發送一個數據報文，當報文內容通過信息安全的驗證后，802.1x 訪問控制協議可被接入。同時，交換機將向客戶端（/終端計算機用戶）發送一個EAPoL-Request/ldentity 數據報文，獲取客戶端操作用戶的身份認證信息，并且持續對數據報文進行封裝處理，將傳輸的信息發送給認證端服務器。當服務器接收到一個報文數據后，服務器將產生一個EAPoL-Access（成功）的認證反饋，反之將產生一個EAPoL-Fall（失?。┑恼J證反饋。

當完成對用戶身份的有效反饋后，計算機將持續追蹤用戶對信息的操作行為，并實時向交換機反饋計算機信息等級。在實時反饋的過程中，只有認證成功的數據才能被用戶所調用，否則便認為用戶對信息沒有訪問權限。綜上所述，通過使用不同的認證方式認證用戶身份信息，從而實現對信息安全等級保護方法的設計。

2 對比實驗

為進一步驗證該方法在實際應用中的性能和效果，下面將通過實際應用對比基于802.1x 訪問控制技術的信息安全等級保護方法與傳統保護方法應用下的各類數據，完成對比實驗設計。

對比實驗中本文選擇將某企業網絡通信環境作為實驗環境，該環境整體通過TensorFlow2.7 型號框架支撐，通信網絡通信環境當中的信號編譯器采用bazel2.6.6 型號編譯器。為確保對比實驗的客觀性，本文將兩種保護方法均設置在上述相同的網絡通信環境當中，并分別利用兩種保護方法對信息進行安全等級保護。

同時，為保證實驗結果與實際運行需求相符，在網絡通信環境當中引入Intel（V）Xeon（C）CPUF2-4575 v4@6.4GHz，32GB 內存，并同時提供兩組TITAN X，128 位操作系統。在確保網絡信息環境中用戶正常通信的條件下，將信息的數據量設置為1200 幀，在正常通信過程中，分別使用兩種保護方法對信息進行保護。

分別記錄兩種保護方法下的信息和容量，即信息損失數量。將實驗結果進行記錄，并繪制成如表1 所示的實驗結果對比表。

表1 兩種保護方法實驗結果對比表

表1 中和容量的數值越大，則說明信息的傳輸環境越不穩定，分配的噪聲越大，信息中數據的損失量越多，反之，和容量的數值越小，則說明信息的傳輸環境越穩定，分配的噪聲越小，信息中數據的損失量越少。由表1 中的數據可以看出，本文保護方法的和容量隨信息數據量的增加而增長，但從整體來看，其明顯低于傳統保護方法的和容量。因此，通過對比實驗組證明，本文提出的基于802.1x 訪問控制技術的信息安全等級保護方法在實際應用中能夠有效提高信息的安全性，為信息通信和傳輸提供安全保障。

3 結束語

本文提出的基于802.1x訪問控制技術的信息安全等級保護方法，在完成設計后，通過設計對比實驗的方式對方法進行驗證，證明本文設計的方法在實際應用中對信息實現的等級安全保護效果更為顯著，具有更高的社會應用價值，為信息的通信和傳輸提供更高程度的保障。