主動安全網(wǎng)絡(luò)架構(gòu)設(shè)計

劉建兵 王振欣 石永杰

1(北京北信源軟件股份有限公司 北京 100195) 2(中國石油西北銷售公司 蘭州 730060)

上一篇文章[1]追溯了網(wǎng)絡(luò)安全問題的根源來自于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的缺陷，并基于社會控制原理類比分析了網(wǎng)絡(luò)安全和社會安全，發(fā)現(xiàn)傳統(tǒng)局域網(wǎng)架構(gòu)缺少社會控制3個要素，將社會控制3要素映射成網(wǎng)絡(luò)控制3要素，并將其融入網(wǎng)絡(luò)架構(gòu)，讓網(wǎng)絡(luò)內(nèi)生安全能力成為網(wǎng)絡(luò)架構(gòu)的進化方向，基于這種技術(shù)路徑改進傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，設(shè)計新的網(wǎng)絡(luò)架構(gòu)，以提升網(wǎng)絡(luò)的安全能力.網(wǎng)絡(luò)和安全的一體化、網(wǎng)絡(luò)內(nèi)生安全能力，將在全域共識安全策略、安全策略統(tǒng)一管控、接入邊界管控、接入設(shè)備身份認證、全網(wǎng)資產(chǎn)管理、整合安全管理資源等方面獲得新特性，為安全管理提供全新技術(shù)手段，提供解決網(wǎng)絡(luò)安全問題的新思路.本文將承接這一思路，構(gòu)建主動安全網(wǎng)絡(luò)架構(gòu)，敘述新架構(gòu)構(gòu)成，將密碼學(xué)技術(shù)應(yīng)用于新架構(gòu)之中，以及社會控制3要素如何融入傳統(tǒng)架構(gòu)、傳統(tǒng)架構(gòu)到新結(jié)構(gòu)轉(zhuǎn)換等.

1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的組成及要素

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)(如圖1所示)是將網(wǎng)絡(luò)定位成信息通路，作為信息通路承載各種業(yè)務(wù)應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)本身沒有安全功能和能力；信息系統(tǒng)安全能力需要旁路或外掛的安全應(yīng)用提供支撐；旁路或外掛的安全功能分散[2]，安全管控不集中，安全功能協(xié)同聯(lián)動少，難以達到預(yù)期的安全防護效果.為了應(yīng)對不斷演化的威脅和攻擊，需要傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進行結(jié)構(gòu)進化，使得網(wǎng)絡(luò)架構(gòu)本身內(nèi)生安全能力[3]，并在全面兼容集成傳統(tǒng)安全應(yīng)用能力基礎(chǔ)上實現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一管控，實現(xiàn)網(wǎng)絡(luò)安全的主動協(xié)同防御[4]，以有效應(yīng)對不斷變化的威脅和攻擊.

圖1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖

1.1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的組成

源于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的信息通路定位，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計上主要考慮了業(yè)務(wù)應(yīng)用的通信需求，在網(wǎng)絡(luò)安全方面考慮很少.

局域網(wǎng)設(shè)計可以采用環(huán)形、星型、網(wǎng)狀等多種物理拓撲結(jié)構(gòu)，但在邏輯上遵循“分層網(wǎng)絡(luò)設(shè)計模型”，該模型已經(jīng)成為網(wǎng)絡(luò)設(shè)計的事實標準，該模型在邏輯上將局域網(wǎng)分為“核心層”“匯聚層”和“接入層”3個層級[5]，大型復(fù)雜網(wǎng)絡(luò)都是以該模型為參照通過多模塊組合形成的，針對業(yè)務(wù)、管理、運維等需求，一般以模塊化的思想設(shè)計網(wǎng)絡(luò)架構(gòu)，在模塊設(shè)計上，每個模塊進行分層設(shè)計，采用2層或者3層架構(gòu)[6].

核心層是一個高速的交換式骨干，開放最短路徑優(yōu)先協(xié)議(OSPF)，這一層不對數(shù)據(jù)包/幀進行任何的處理，以提高包交換的速度.核心層的主要功能是在網(wǎng)絡(luò)的各個匯聚層設(shè)備之間提供高速的連接.匯聚層是核心層和接入層之間的分界點.它能幫助定義和區(qū)分核心層.匯聚層的功能是對網(wǎng)絡(luò)的邊界進行定義.對數(shù)據(jù)包/幀的處理應(yīng)該在這一層完成.可以將匯聚層匯總為提供基于策略連接的層.數(shù)據(jù)包的處理、過濾、路由總結(jié)、路由過濾、路由重新分配、VLAN間路由選擇、策略路由和安全策略是匯聚層的一些主要功能.接入層是本地終端用戶被許可接入網(wǎng)絡(luò)的點.該層除了完成高密度用戶接入功能外，也可以使用訪問列表或者過濾器來滿足特定用戶的需要.在接入層中，交換機被稱為邊緣設(shè)備，2層交換機在接入層中起非常重要的作用.

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，核心層功能和安全完全無關(guān)，只在匯聚層和接入層可以實施部分簡單靜態(tài)安全策略[7]，實質(zhì)上這2層的安全策略是面向網(wǎng)段的以IP地址為根據(jù)的策略，因其沒有對IP地址使用者的驗證能力，導(dǎo)致安全策略是靜態(tài)的、粗線條的、非智能的，難以應(yīng)對IP地址變換、接入位置變換等情況，不得不以補丁式、外掛式的其他安全設(shè)備來彌補安全策略的要求.

1.2 網(wǎng)絡(luò)架構(gòu)及安全要素

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)無法提供更高級的安全能力，網(wǎng)絡(luò)應(yīng)用的安全要求不得不由其他的安全技術(shù)和產(chǎn)品來彌補.基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，隨著安全需求的增加逐步形成了當前的網(wǎng)絡(luò)安全架構(gòu)[8]，各色網(wǎng)絡(luò)安全設(shè)備悉數(shù)登場，防火墻、入侵檢測、入侵防御、DDOS防護、身份認證、防病毒、掃描器、補丁分發(fā)、終端管理等不一而足.這些安全要素極大地豐富了網(wǎng)絡(luò)安全技術(shù)家族，從不同的層面和角度提供適應(yīng)不同安全需求的功能，五花八門，目不暇接.

2 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)對安全的處理

2.1 安全處理方式

構(gòu)建于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)上的信息系統(tǒng)，其天然的開放性造成這樣的事實，即無論是否是信息系統(tǒng)的相關(guān)者，都天然擁有訪問信息系統(tǒng)的基本條件，也就是網(wǎng)絡(luò)訪問的可達性，而隨后產(chǎn)生的系統(tǒng)安全問題再采取補救措施來解決.這好比曾經(jīng)出現(xiàn)過的不檢票的電影院，不管有票無票都可以先進來，是否允許觀影，再通過查票清除無票者，其有效性、效率比之檢票入場的方式必然是低下的.如此明顯的反制方式長期存在于屬于高科技信息安全領(lǐng)域是難以理解和具有諷刺意味的.

為了應(yīng)對信息系統(tǒng)安全問題，保護網(wǎng)內(nèi)資源，在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)上以外掛、旁路和補丁方式附加了多種安全設(shè)備，包括防火墻、入侵檢測、流量審計、身份認證、行為管理、邊界準入、終端管理、補丁管理等，如圖2所示.

圖2 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)安全防護示意圖

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)在安全防護方面采取的主要措施如下：

1) 互聯(lián)網(wǎng)出口旁路部署抗拒絕服務(wù)器攻擊設(shè)備，引流檢測攻擊并回注；

2) 互聯(lián)網(wǎng)出口部署防火墻，進行分區(qū)的安全防護和防病毒、URL、垃圾郵件、文件、內(nèi)容等方面的安全檢測防護；

3) 核心交換機旁路或外掛入侵檢測、行為管理、流量審計等安全應(yīng)用，從不同角度進行安全威脅攻擊的檢測和防護；

4) 管理區(qū)部署安全管理應(yīng)用，包括統(tǒng)一運維管理、入網(wǎng)資產(chǎn)管理等；

5) 數(shù)據(jù)中心部署安全應(yīng)用，為入網(wǎng)終端提供病毒防護、補丁分發(fā)、認證準入等安全服務(wù)；

6) 終端安裝客戶端軟件，與服務(wù)器配合，實現(xiàn)防病毒、補丁分發(fā)、認證準入等安全機制.

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)通過部署在多個位置的安全應(yīng)用，實現(xiàn)網(wǎng)絡(luò)安全防護[9].安全應(yīng)用除了防火墻部署在網(wǎng)絡(luò)通路的主路徑上，其他的安全防護設(shè)備都是旁路或者外掛部署；部署管理區(qū)的安全管理系統(tǒng)對各種安全設(shè)備進行統(tǒng)一運維管理；數(shù)據(jù)中心部署的安全應(yīng)用與安裝在終端的客戶端軟件交互，實現(xiàn)終端安全認證、補丁分發(fā)和準入.這些附加在網(wǎng)絡(luò)架構(gòu)上的安全功能試圖彌補網(wǎng)絡(luò)架構(gòu)的安全缺陷，但是這些安全措施都是從不同的角度、不同的側(cè)面解決細分的具體安全問題，本身缺乏整體性，相互之間缺乏協(xié)同性，名為各司其職，實為各自為政，特別是在多廠商的情況下，多個安全產(chǎn)品標準不一，難以集成和協(xié)同，統(tǒng)一管理困難，實際效果事倍功半，這就是傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下對安全問題的處理方式和現(xiàn)狀.

2.2 安全防護的問題

在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下信息系統(tǒng)安全防護方式為旁路和外掛的安全設(shè)備、系統(tǒng)和應(yīng)用各自部署，分別檢測，安全防護能力分散、安全管控不集中，安全功能協(xié)同聯(lián)動少，導(dǎo)致安全防護達不到預(yù)期效果，帶來了影響安全防護效果的重要問題：

1) 安全認證不嚴格、不徹底.現(xiàn)有認證方式，終端在未認證前，已經(jīng)可以穿過網(wǎng)絡(luò)訪問數(shù)據(jù)中心的安全應(yīng)用，若安全應(yīng)用被攻陷，攻擊者實質(zhì)上已經(jīng)滲透進了內(nèi)網(wǎng).

2) 現(xiàn)有的終端認證方式中，用戶、設(shè)備、賬號存在多對多的映射關(guān)系，網(wǎng)絡(luò)安全分析追溯時難以唯一定位鎖定設(shè)備，影響安全攻擊鏈的分析與追溯[10].

3) 現(xiàn)有安全設(shè)備、安全應(yīng)用各自為政，功能未相互配套，安全能力未形成統(tǒng)一安全智慧，各安全設(shè)備和應(yīng)用無法相互聯(lián)動配合，未形成實質(zhì)的協(xié)同防御體系[11].

4) 網(wǎng)絡(luò)安全策略離散紙面化，未形成策略的統(tǒng)一制定、管理和執(zhí)行控制中心，安全防護未在統(tǒng)一安全策略下如章如法地有序進行，導(dǎo)致安全防護效果不佳、安全響應(yīng)效率不高.

綜合來看，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)對安全的處理方式、安全防護不徹底，技術(shù)上未充分整合集成各種安全技術(shù)的安全能力；管理上未形成安全資源、安全策略的統(tǒng)一管控中心，安全防護的主動性、協(xié)同性無法提高，安全防護效率效果與實際安全防護需求有明顯差距.

3 主動安全網(wǎng)絡(luò)架構(gòu)的組成

3.1 架構(gòu)組成

提供全局的、整體的、網(wǎng)絡(luò)安全一體化的安全能力，集成附加安全產(chǎn)品的安全能力是提高信息網(wǎng)絡(luò)整體安全能力的關(guān)鍵，是主動安全網(wǎng)絡(luò)架構(gòu)的設(shè)計目標.

主動安全網(wǎng)絡(luò)架構(gòu)組成如圖3所示.

圖3 主動安全網(wǎng)絡(luò)架構(gòu)組成

主動安全網(wǎng)絡(luò)架構(gòu)通過接入層邊界認證機的內(nèi)嵌認證技術(shù)[12]，在網(wǎng)絡(luò)邊緣建立全網(wǎng)接入設(shè)備的嚴格認證準入機制，實現(xiàn)全局性的身份驗證和網(wǎng)絡(luò)安全一體化能力；通過在網(wǎng)絡(luò)架構(gòu)上增加管控中心統(tǒng)一管控網(wǎng)絡(luò)準入和訪問策略，實現(xiàn)訪問策略根據(jù)接入設(shè)備身份動態(tài)部署到邊界認證機，實現(xiàn)全網(wǎng)訪問控制的全局統(tǒng)一一體化管理，并開放集成協(xié)議，為附加安全系統(tǒng)提供集成架構(gòu).

3.2 總體結(jié)構(gòu)

主動安全網(wǎng)絡(luò)架構(gòu)采用密碼技術(shù)作為安全能力的基礎(chǔ)支撐，通過數(shù)據(jù)中心的IPK(identity public key)密鑰平臺，引入國密技術(shù)，全面支撐主動安全網(wǎng)絡(luò)架構(gòu)整體運行.

主動安全網(wǎng)絡(luò)架構(gòu)包括認證客戶端、邊界認證機、管理控制服務(wù)器、IPK密鑰平臺，以及緊密集成的傳統(tǒng)安全服務(wù)，如圖4所示.邊界認證機是在接入交換機中內(nèi)嵌了認證、準入和安全訪問控制能力的新型網(wǎng)絡(luò)安全設(shè)備，是網(wǎng)絡(luò)安全架構(gòu)的認證、準入和安全策略執(zhí)行部件.管理控制服務(wù)器是統(tǒng)一管控中心，是集成全網(wǎng)安全智慧、對網(wǎng)絡(luò)資源、安全策略統(tǒng)一管控的操作管理部件，二者在架構(gòu)中起至關(guān)重要作用.

圖4 主動安全網(wǎng)絡(luò)架構(gòu)總體結(jié)構(gòu)

終端接入網(wǎng)絡(luò)邊界認證機，通過安裝在終端上的認證客戶端軟件與邊界認證機進行認證報文的交互，完成并維持接入設(shè)備的認證狀態(tài).

邊界認證機內(nèi)嵌安全認證功能，與管理控制服務(wù)器進行認證信息和安全策略等消息的交互.

管理控制服務(wù)器與邊界認證機進行認證報文和安全策略等信息的交互，進行資產(chǎn)管理、安全策略管理、安全控制管理，并充分集成融合與其他安全應(yīng)用(如防病毒、流量分析等)的安全能力.

IPK密鑰平臺對ASN(active security network)架構(gòu)提供密鑰支撐，以設(shè)備MAC為物理特征標識生成設(shè)備的唯一組合標識CID(combination ID)，通過密鑰種子與CID計算生成設(shè)備公私鑰，通過密鑰支撐整個架構(gòu)安全運行.

3.3 安全特性

主動安全網(wǎng)絡(luò)架構(gòu)作為一種新型主動安全網(wǎng)絡(luò)架構(gòu)，關(guān)注認證Authentication、資產(chǎn)Asset、訪問控制Access、審計Audit這4個關(guān)鍵要素，以訪問控制策略為核心，以態(tài)勢感知為信息綜合，兼顧IT管理的眾多要素，包括防病毒、終端管理的全部內(nèi)容，并兼容掃描探測、流量分析等安全防護內(nèi)容.

相對于傳統(tǒng)的4A的訪問端和認證端2層認證架構(gòu)[13]，ASN將認證和準入能力建構(gòu)在網(wǎng)絡(luò)接入層，使得網(wǎng)絡(luò)直接參與到認證過程中來，在身份認證的基礎(chǔ)上動態(tài)部署網(wǎng)絡(luò)訪問控制策略，實現(xiàn)的是訪問端、接入層和認證控制端的3層架構(gòu)，將認證和管理控制分離，在網(wǎng)絡(luò)邊緣完成認證、準入和訪問策略控制功能，在管理控制端完成數(shù)據(jù)管理和審計管理；依托網(wǎng)絡(luò)邊界實現(xiàn)了分布式架構(gòu).由于ASN將網(wǎng)絡(luò)接入層納入整體安全架構(gòu)，和網(wǎng)絡(luò)融為一體，因此ASN架構(gòu)成為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的一部分，而不是4A架構(gòu)的安全應(yīng)用.此外，ASN的管理控制中心提供開放的集成協(xié)議，提供對傳統(tǒng)安全產(chǎn)品的集成能力.如此，ASN從更深的層面應(yīng)對網(wǎng)絡(luò)安全，將網(wǎng)絡(luò)安全能力回歸網(wǎng)絡(luò)，改變補丁式、外掛式的安全解決方式，可以取得更全面更便捷更高效更直接的安全效果.

采用ASN架構(gòu)可以獲得如下的安全新特性：

1) 全網(wǎng)統(tǒng)一的認證和準入.得益于ASN架構(gòu)接入層的安全控制能力，可以完成對所有接入設(shè)備(包括臺式機、筆記本等通用電腦，平板、手機等移動設(shè)備，打印機、攝像頭等啞終端)的身份認證和準入，對于PC類擁有通用操作系統(tǒng)的接入端，ASN可以提供基于國密算法的接入認證；啞終端設(shè)備在移植認證協(xié)議后也可以實現(xiàn)基于國密算法的接入認證，不支持ASN協(xié)議的設(shè)備可以采用基于MAC地址的認證方式.

2) 訪問控制策略應(yīng)用的新特性.ASN與分布式的網(wǎng)絡(luò)接入層相融合，動態(tài)定位訪問端接入位置，主動實時部署安全策略，實現(xiàn)了安全策略的動態(tài)主動移動性和訪問對象的跟隨性，改變了傳統(tǒng)訪問控制策略靜態(tài)部署，使安全策略隨著訪問端身份移動，訪問到哪里策略到哪里.

3) 容忍訪問者安全缺陷.安全策略的動態(tài)主動性和移動跟隨性，直接帶來了對接入設(shè)備的安全缺陷，提供實時保護能力，對于配置缺陷和安全漏洞，缺少補丁，存在惡意代碼網(wǎng)絡(luò)攻擊行為等接入設(shè)備缺陷，預(yù)置的安全策略在接入的瞬間即提供保護作用，可以有效阻止網(wǎng)絡(luò)和接入設(shè)備之間雙向的漏洞利用和攻擊.

4) 綜合發(fā)揮其他安全能力的作用.通過充分集成融合其他安全應(yīng)用的安全智慧和能力，以其提供的問題線索快速形成有效的訪問控制規(guī)則，快速部署到網(wǎng)絡(luò)邊界，使其他安全能力成為ASN的耳目，達到有效阻止不安全或不合規(guī)網(wǎng)絡(luò)行為的目的，ASN將全部安全能力融合為有機整體，更充分發(fā)揮整體作用.

ASN架構(gòu)賦予網(wǎng)絡(luò)天然的網(wǎng)絡(luò)安全能力，讓原本和網(wǎng)絡(luò)分離的安全能力回歸網(wǎng)絡(luò)，改變補丁式、外掛式的安全解決方案，安全沉入網(wǎng)絡(luò)底層，成為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的有機組成部分，實現(xiàn)網(wǎng)絡(luò)和安全一體化、通信和安全一體化.新架構(gòu)增加集中式資產(chǎn)、認證、策略和審計一體化中央管控核心，作為網(wǎng)絡(luò)安全的智慧大腦，統(tǒng)一協(xié)同網(wǎng)絡(luò)安全管理和技術(shù)工作，實現(xiàn)網(wǎng)絡(luò)安全主動協(xié)同防御.

4 主動安全網(wǎng)絡(luò)架構(gòu)的功能

4.1 IPK密鑰平臺

IPK標識公鑰體系屬于非對稱的公鑰密碼體系，基于成熟的標識公鑰密碼技術(shù)，實現(xiàn)了標識與密鑰的關(guān)聯(lián)[14].標識公鑰體系中不需要第三方數(shù)字證書，是將網(wǎng)絡(luò)中設(shè)備、終端或系統(tǒng)的唯一標識CID作為計算密鑰對的因子，通過密鑰種子與因子進行數(shù)學(xué)計算生成設(shè)備對應(yīng)公私鑰，是方便靈活、低成本、高強度的新型密鑰系統(tǒng).

IPK密鑰平臺為所有需要接入網(wǎng)絡(luò)的設(shè)備(不能安裝認證客戶端的終端除外)生成公鑰和私鑰.平臺以通用計算機類終端、邊界認證機、第三方安全系統(tǒng)/平臺、管理控制服務(wù)器的MAC生成的CID為因子，通過密鑰種子與CID進行數(shù)學(xué)計算生成各自對應(yīng)的公鑰和私鑰，為架構(gòu)運行提供全面的密鑰支撐.

邊界認證機、第三方平臺/系統(tǒng)到管理控制服務(wù)器的認證過程、終端到邊界認證機認證都通過國產(chǎn)SM2[15]算法，采用對應(yīng)的公私鑰進行認證報文的加解密完成整個認證過程；邊界認證機、第三方平臺/系統(tǒng)到管理控制服務(wù)器注冊認證后，生成分組密鑰(對稱密鑰)，用SM4[16]算法進行業(yè)務(wù)數(shù)據(jù)的加解密保護.同一局域網(wǎng)的邊界認證及通過國產(chǎn)SM2算法，采用對應(yīng)的公私鑰進行團體密鑰的加密傳輸[17]，采用SM4算法和團體密鑰實現(xiàn)業(yè)務(wù)數(shù)據(jù)加密傳輸，如圖5所示.

圖5 主動安全網(wǎng)絡(luò)架構(gòu)密鑰支撐

4.2 認證客戶端

主動安全網(wǎng)絡(luò)架構(gòu)下，對于通用計算機類終端，安裝認證客戶端軟件.認證客戶端軟件支持Window，Linux等操作系統(tǒng).認證客戶端主要功能如下：

認證客戶端軟件導(dǎo)入了終端計算機私鑰，通過私鑰對邊界認證機發(fā)送的加密認證報文進行解密，并將解密后信息發(fā)送給邊界認證機，完成認證過程.

終端上線認證成功后，管理控制服務(wù)器中預(yù)置的安全策略下達至邊界認證機，終端上的安全策略由邊界認證機轉(zhuǎn)發(fā)至終端，實現(xiàn)終端網(wǎng)絡(luò)行為訪問控制.

4.3 邊界認證機

ASN采用分布式邊緣計算架構(gòu)，以邊界認證機代替接入交換機.邊界認證機內(nèi)嵌認證(embedded authenitication server, EAS)與接入終端交互進行終端的認證和準入；邊界認證機內(nèi)嵌安全通信模塊，用來完成與管理控制服務(wù)器的安全交互，包括邊界認證機注冊、認證、終端認證信息查詢、終端信息上報、安全策略接收轉(zhuǎn)發(fā)和執(zhí)行等功能.

邊界認證機主要功能如圖6所示:

圖6 主動安全網(wǎng)絡(luò)架構(gòu)邊界認證機功能

1) 邊界認證機到管理控制服務(wù)器上注冊認證，利用標識公鑰機制生成的公私鑰進行認證報文的加解密，以完成認證過程.

2) 邊界認證機注冊認證成功后，如果管理控制服務(wù)器上存在MAC黑名單，則會下發(fā)到邊界認證機，用以后續(xù)禁止相關(guān)終端認證.

3) 邊界認證機在管理控制服務(wù)器注冊認證成功后，同一局域網(wǎng)的邊界認證機之間進行相互認證并分發(fā)團體密鑰(對稱密鑰)，為后續(xù)局域網(wǎng)終端認證信息的同步作準備.

4) 終端接入邊界認證機，邊界認證機監(jiān)測到MAC地址后，向管理控制服務(wù)器查詢認證信息，并使用該終端公鑰與終端通過SM2算法進行認證報文的加解密交互，完成認證過程；認證成功后，邊界認證機打開網(wǎng)絡(luò)通路，允許終端通信；終端首次認證成功后，邊界認證機對終端進行周期認證.

5) 終端認證后，邊界認證機會向管理控制服務(wù)器申請在線終端的訪問控制策略，接收到管理控制服務(wù)器下發(fā)的策略后，在本邊界認證機執(zhí)行的在本地生效執(zhí)行，需下達給終端的轉(zhuǎn)發(fā)到終端，由認證客戶端執(zhí)行.

4.4 管理控制服務(wù)器

ASN架構(gòu)的核心部件管理控制服務(wù)器是網(wǎng)絡(luò)集中式資產(chǎn)、認證、策略和審計一體化中央管控核心，作為企業(yè)級集中統(tǒng)一的網(wǎng)絡(luò)安全智慧大腦，作為網(wǎng)絡(luò)資源管理和控制、網(wǎng)絡(luò)安全策略管理平臺集中管理所有接入到網(wǎng)絡(luò)的IT資產(chǎn)，統(tǒng)一對接入資產(chǎn)進行認證與準入控制，統(tǒng)一動態(tài)配置安全策略，集中管理訪問日志，同時是傳統(tǒng)安全能力的集成匯接平臺.

管理控制服務(wù)器主要功能如圖7所示:

圖7 主動安全網(wǎng)絡(luò)架構(gòu)管理控制服務(wù)器功能

管理控制服務(wù)器具體功能如下：

1) 對邊界認證機、第三方平臺/系統(tǒng)進行注冊認證，并對邊界認證機資產(chǎn)進行管理；

2) 邊界認證機注冊認證成功后，向邊界認證機下發(fā)MCL策略，為后續(xù)終端認證使用；

3) 終端認證過程中，響應(yīng)邊界認證機對終端認證的查詢信息，接收邊界認證機發(fā)送的終端認證結(jié)果信息，對終端的上線離線情況實時感知監(jiān)控；

4) 在管理控制服務(wù)器上管理全部接入設(shè)備的身份信息，管理、編輯和維護預(yù)置精細化的安全策略，為邊界認證機提供認證支持；

5) 通過開放集成協(xié)議與接口與第三方系統(tǒng)/平臺進行安全策略的交互，通過統(tǒng)一的策略優(yōu)化算法將來自第三方安全平臺的安全信息轉(zhuǎn)化為邊界認證機可執(zhí)行的策略格式，依據(jù)上線終端的情況，向?qū)?yīng)的邊界認證機或終端快速部署安全策略.

5 總 結(jié)

主動網(wǎng)絡(luò)安全架構(gòu)增強了網(wǎng)絡(luò)安全防護的有效性，提高了網(wǎng)絡(luò)安全融合能力，從實質(zhì)上提高了安全策略和資源控制的統(tǒng)一性、靈活性和便捷性，解決了傳統(tǒng)網(wǎng)絡(luò)安全防護的問題，包括：入網(wǎng)設(shè)備嚴格徹底認證；資產(chǎn)管理的準確性和真實性；設(shè)備標識唯一，安全分析追溯唯一鎖定；集成傳統(tǒng)安全應(yīng)用安全能力和智慧，聯(lián)動安全設(shè)備和應(yīng)用；形成全面、統(tǒng)一、精簡的安全策略；安全策略部署的動態(tài)主動和高效自動化；實現(xiàn)網(wǎng)絡(luò)安全主動協(xié)同防護，提高安全防護效率效果.

主動安全網(wǎng)絡(luò)架構(gòu)使網(wǎng)絡(luò)內(nèi)生安全能力，結(jié)構(gòu)協(xié)調(diào)、功能耦合、相互配套，像人體內(nèi)在免疫系統(tǒng)一樣，可隨敵而動、隨變而應(yīng)，主動動態(tài)地進行協(xié)同防御，顯著提高安全防護管理和技術(shù)水平.