基于微分段與組標(biāo)記的安全校園網(wǎng)的設(shè)計(jì)

段紅秀，湯銘

（南京傳媒學(xué)院，江蘇南京，210000）

0 引言

傳統(tǒng)校園網(wǎng)絡(luò)覆蓋校園辦公區(qū)域、教學(xué)區(qū)域、學(xué)生宿舍和公共場(chǎng)所等，接入方式包括有線和無(wú)線接入，給學(xué)校科研、教學(xué)、管理、服務(wù)等各項(xiàng)活動(dòng)提供了極大便利，成為學(xué)校重要的信息基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)研究平臺(tái)和人才培養(yǎng)基地，為學(xué)校發(fā)展及專業(yè)建設(shè)提供了重要支撐。

隨著互聯(lián)網(wǎng)應(yīng)用的全面普及和向局域網(wǎng)的滲透，現(xiàn)在公用網(wǎng)絡(luò)與專用網(wǎng)絡(luò)邊界已變得日益模糊。無(wú)邊界網(wǎng)絡(luò)的開放網(wǎng)絡(luò)帶來(lái)了網(wǎng)絡(luò)上新的安全需求，使用校園網(wǎng)的角色眾多，教師、學(xué)生、輔導(dǎo)員、職工、臨時(shí)用戶等都需要訪問(wèn)校園網(wǎng)絡(luò)，訪問(wèn)設(shè)備多樣，臺(tái)式機(jī)、筆記本電腦、電話、無(wú)線訪問(wèn)點(diǎn)和打印機(jī)也需要對(duì)用戶進(jìn)行控制訪問(wèn)。在現(xiàn)有的安全解決方案中，定義不同區(qū)域的策略授權(quán)需要根據(jù)各個(gè)獨(dú)立區(qū)域特性進(jìn)行。如圖1中需要有專門用于LAN連接的安全策略服務(wù)器，用于WLAN接入的安全策略服務(wù)器，和使用VPN訪問(wèn)的安全策略服務(wù)器等。這種解決方案無(wú)法提供和管理一致性訪問(wèn)策略，另外訪問(wèn)需經(jīng)過(guò)不同機(jī)制的認(rèn)證和控制篩選，用戶的訪問(wèn)效率較低。

圖1 傳統(tǒng)安全解決方案示意圖

1 國(guó)內(nèi)外研究現(xiàn)狀

隨著校園網(wǎng)絡(luò)建設(shè)的加快,當(dāng)前校園網(wǎng)絡(luò)安全工作越來(lái)越重要,校園網(wǎng)用戶的管理和網(wǎng)絡(luò)設(shè)備的運(yùn)維逐漸朝著高效化、智能化、精細(xì)化的方向發(fā)展。隨著校園網(wǎng)用戶的增多，校園網(wǎng)規(guī)模不斷擴(kuò)大，日常運(yùn)維中常見以下問(wèn)題：①需要獲取用戶類型、接入位置、接入方式等信息，以便對(duì)網(wǎng)絡(luò)流量進(jìn)行設(shè)置和優(yōu)化；②網(wǎng)絡(luò)設(shè)備在運(yùn)行中出現(xiàn)在線用戶不一致問(wèn)題；③校園網(wǎng)賬號(hào)開放移動(dòng)端和PC端登錄，用戶賬號(hào)存在外借情況；④輔導(dǎo)員老師需要根據(jù)學(xué)生近期網(wǎng)絡(luò)使用情況，了解學(xué)生的狀態(tài)。為有效解決上述問(wèn)題，洪劍珂提出了基于認(rèn)證系統(tǒng)接口的校園網(wǎng)用戶管理系統(tǒng)，孔令峰提出了校園網(wǎng)定時(shí)控制互聯(lián)網(wǎng)訪問(wèn)的方法，李長(zhǎng)青等提出了校園網(wǎng)的網(wǎng)絡(luò)資源精確分配策略。

2 安全校園網(wǎng)設(shè)計(jì)

使用微分段與組標(biāo)記技術(shù)為多角色的校園網(wǎng)絡(luò)提供一種安全解決方案，該方案通過(guò)建立可信任的網(wǎng)絡(luò)設(shè)備域來(lái)建立安全網(wǎng)絡(luò)。域中的每個(gè)設(shè)備都由其對(duì)等方進(jìn)行身份驗(yàn)證。使用加密、消息完整性檢查和數(shù)據(jù)路徑重放保護(hù)機(jī)制的組合來(lái)保護(hù)域內(nèi)設(shè)備之間鏈路上的通信。

該解決方案使用在身份驗(yàn)證期間獲得的設(shè)備和用戶憑證，在數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)時(shí)按安全組(SGs)對(duì)其進(jìn)行分類。這種信息包分類是通過(guò)在進(jìn)入校園網(wǎng)絡(luò)時(shí)標(biāo)記信息包來(lái)維護(hù)的，以便能夠被正確地識(shí)別，并在數(shù)據(jù)路徑上應(yīng)用安全和其他策略標(biāo)準(zhǔn)。這個(gè)標(biāo)記稱為安全組標(biāo)記(SGT)，它允許網(wǎng)絡(luò)通過(guò)使端點(diǎn)設(shè)備在SGT上操作來(lái)過(guò)濾流量，從而強(qiáng)制執(zhí)行訪問(wèn)控制策略。該方案的關(guān)鍵技術(shù)有以下幾項(xiàng)。

■2.1 微分段和安全組標(biāo)記SGT

微分段技術(shù)是把IT環(huán)境劃分為可控制的分區(qū)，幫助采用者安全地隔離工作負(fù)載，使網(wǎng)絡(luò)保護(hù)更加細(xì)化，從而直接解決了未經(jīng)授權(quán)的橫向移動(dòng)攻擊的難題。安全組是共享訪問(wèn)控制策略的用戶，端點(diǎn)設(shè)備和資源的分組。隨著新用戶和設(shè)備添加到安全設(shè)備域，身份驗(yàn)證服務(wù)器會(huì)將這些新實(shí)體分配給適當(dāng)?shù)陌踩M。安全設(shè)備域?yàn)槊總€(gè)安全組分配一個(gè)唯一的16位微分段和安全組編號(hào)，其范圍在安全設(shè)備域中是全局的。交換機(jī)中的安全組數(shù)量?jī)H限于經(jīng)過(guò)身份驗(yàn)證的網(wǎng)絡(luò)實(shí)體的數(shù)量。設(shè)備通過(guò)身份驗(yàn)證后，安全設(shè)備域會(huì)使用包含設(shè)備安全組編號(hào)的安全組標(biāo)記（SGT）標(biāo)記源自該設(shè)備的任何數(shù)據(jù)包。數(shù)據(jù)包在安全設(shè)備域標(biāo)頭內(nèi)的整個(gè)網(wǎng)絡(luò)中攜帶此SGT。 SGT是一個(gè)單一標(biāo)簽，用于確定整個(gè)企業(yè)中源的特權(quán)。

■2.2 軟件包組

在微分段和組標(biāo)記技術(shù)中，核心工作是開發(fā)智能分配和管理安全組標(biāo)記（SGT）的相關(guān)軟件包組。對(duì)于來(lái)訪設(shè)備，根據(jù)自動(dòng)算法進(jìn)行身份驗(yàn)證和標(biāo)記分配，將各設(shè)備的安全組標(biāo)記自動(dòng)寫入三層設(shè)備中，再使用相關(guān)工具軟件包寫入二層交換設(shè)備，并檢測(cè)網(wǎng)絡(luò)的流量，優(yōu)化訪問(wèn)控制策略等功能。微分段及組標(biāo)記技術(shù)主要包含三個(gè)軟件包：

①身份驗(yàn)證及標(biāo)簽智能化分配軟件包：該軟件包實(shí)現(xiàn)來(lái)訪設(shè)備的身份驗(yàn)證注冊(cè)，使用圖形化界面進(jìn)行身份的分配，如賬戶密碼等信息，再將賬戶信息自動(dòng)分組，每個(gè)組分配安全組標(biāo)記（SGT），通過(guò)組標(biāo)記的源和目標(biāo)的組標(biāo)記，使用矩陣進(jìn)行匹配服務(wù)。

②智能管理安全組標(biāo)記算法：根據(jù)自動(dòng)算法將所有的組標(biāo)記以標(biāo)簽形式打入到三層設(shè)備中，交換設(shè)備根據(jù)運(yùn)行的分配及接受協(xié)議，準(zhǔn)確接收組標(biāo)記。

③基于二層交換設(shè)備的虛擬交換機(jī)工具軟件包，在接收到組標(biāo)記后，自動(dòng)將該標(biāo)簽標(biāo)記到二層設(shè)備的數(shù)據(jù)包幀里。

由于基于開源平臺(tái)開發(fā)，以上三個(gè)核心軟件包均分別開放了API接口，可以方便的作為組件嵌入到其他系統(tǒng)中。

■2.3 安全組訪問(wèn)控制列表SGACL策略

使用安全組訪問(wèn)控制列表（SGACL），用戶可以根據(jù)用戶和目標(biāo)資源的安全組分配來(lái)控制用戶可以執(zhí)行的操作。 安全設(shè)備域內(nèi)的策略實(shí)施由權(quán)限矩陣表示，其中一個(gè)軸上的源安全組編號(hào)和另一個(gè)軸上的目標(biāo)安全組編號(hào)。 矩陣體內(nèi)的每個(gè)單元格都可以包含SGACL的有序列表，該列表指定應(yīng)該應(yīng)用于源自源安全組并發(fā)往目標(biāo)安全組的數(shù)據(jù)包的權(quán)限。圖2顯示了具有三個(gè)已定義用戶角色和一個(gè)已定義目標(biāo)資源的簡(jiǎn)單域的安全設(shè)備域權(quán)限矩陣示例。 三個(gè)SGACL策略根據(jù)用戶的角色控制對(duì)目標(biāo)服務(wù)器的訪問(wèn)。通過(guò)將網(wǎng)絡(luò)中的用戶和設(shè)備分配給安全組并在安全組之間應(yīng)用訪問(wèn)控制，安全設(shè)備域可在網(wǎng)絡(luò)中實(shí)現(xiàn)基于角色的獨(dú)立于拓?fù)涞脑L問(wèn)控制。

圖2 簡(jiǎn)單的安全設(shè)備域權(quán)限矩陣

■2.4 入口標(biāo)記和出口執(zhí)行

安全設(shè)備域訪問(wèn)控制使用入口標(biāo)記和出口實(shí)施來(lái)實(shí)現(xiàn)。在安全設(shè)備域的入口點(diǎn)，來(lái)自源的流量標(biāo)記有包含源實(shí)體的安全組編號(hào)的SGT。SGT隨著域中的流量一起傳播。在安全設(shè)備域的出口點(diǎn)，出口設(shè)備使用源SGT和目標(biāo)實(shí)體的安全組編號(hào)（目標(biāo)SG或DGT）來(lái)確定要從SGACL策略矩陣應(yīng)用哪個(gè)訪問(wèn)策略。

■2.5 獲取數(shù)據(jù)包SGT的策略

策略獲取期間獲取源SGT - 在安全設(shè)備域身份驗(yàn)證階段之后，網(wǎng)絡(luò)設(shè)備從身份驗(yàn)證服務(wù)器獲取策略信息，該信息指示對(duì)等設(shè)備是否可信。如果對(duì)等設(shè)備不受信任，則認(rèn)證服務(wù)器還可以提供SGT以應(yīng)用于來(lái)自對(duì)等設(shè)備的所有分組。

如果數(shù)據(jù)包來(lái)自可信對(duì)等設(shè)備，則數(shù)據(jù)包攜帶SGT，故可從數(shù)據(jù)包中獲取源SGT，這適用于不是安全設(shè)備域中第一個(gè)用于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)設(shè)備。在某些情況下，管理員也可以手動(dòng)配置策略，以根據(jù)其源IP地址確定數(shù)據(jù)包的SGT。

■2.6 確定目標(biāo)安全組

安全設(shè)備域域中的出口網(wǎng)絡(luò)設(shè)備確定用于應(yīng)用SGACL的目標(biāo)組（DGT）。網(wǎng)絡(luò)設(shè)備使用與確定源安全組相同的方法確定數(shù)據(jù)包的目標(biāo)安全組，但從數(shù)據(jù)包標(biāo)簽獲取組編號(hào)除外。目標(biāo)安全組編號(hào)不包含在數(shù)據(jù)包標(biāo)記中。在某些情況下，入口設(shè)備或其他非出口設(shè)備可能具有目的地組信息。在這些情況下，SGACL可能應(yīng)用于這些設(shè)備而不是出口設(shè)備。

3 技術(shù)方案

■3.1 身份驗(yàn)證

該方案的身份驗(yàn)證過(guò)程中的每個(gè)參與者分為三種角色：未經(jīng)身份驗(yàn)證的設(shè)備、身份驗(yàn)證服務(wù)器、身份驗(yàn)證者。當(dāng)請(qǐng)求者和身份驗(yàn)證者之間的鏈接首次出現(xiàn)時(shí)，步驟如下:

(1)身份驗(yàn)證服務(wù)器對(duì)請(qǐng)求者進(jìn)行身份驗(yàn)證，身份驗(yàn)證者充當(dāng)中介。在兩個(gè)對(duì)等點(diǎn)(請(qǐng)求者和身份驗(yàn)證者)之間執(zhí)行相互身份驗(yàn)證。

(2)根據(jù)請(qǐng)求者的身份信息，身份驗(yàn)證服務(wù)器向每個(gè)鏈接的對(duì)等點(diǎn)提供授權(quán)策略，如安全組分配和ACL。身份驗(yàn)證服務(wù)器向彼此提供每個(gè)對(duì)等點(diǎn)的標(biāo)識(shí)，然后每個(gè)對(duì)等點(diǎn)對(duì)該鏈接應(yīng)用適當(dāng)?shù)牟呗浴?/p>

(3)當(dāng)鏈接的兩端都支持加密時(shí)，請(qǐng)求者和身份驗(yàn)證者就建立安全關(guān)聯(lián)(SA)所需的參數(shù)進(jìn)行協(xié)商。

這三個(gè)步驟完成后，認(rèn)證者將鏈接的狀態(tài)從未授權(quán)(阻止)狀態(tài)更改為授權(quán)狀態(tài)，請(qǐng)求者就成為思科安全設(shè)備域的成員。

■3.2 安全設(shè)備域的建立

安全設(shè)備域使用入口標(biāo)記和出口過(guò)濾功能以可擴(kuò)展的方式實(shí)施訪問(wèn)控制策略。進(jìn)入域的數(shù)據(jù)包用包含源設(shè)備分配的安全組號(hào)的安全組標(biāo)簽（SGT）進(jìn)行標(biāo)記。為了應(yīng)用安全性和其他策略標(biāo)準(zhǔn)，此數(shù)據(jù)包分類沿安全設(shè)備域內(nèi)的數(shù)據(jù)路徑進(jìn)行維護(hù)。數(shù)據(jù)路徑上的最終安全設(shè)備（端點(diǎn)或網(wǎng)絡(luò)出口點(diǎn)）基于安全設(shè)備域源設(shè)備的安全組和最終安全設(shè)備的安全組來(lái)實(shí)施訪問(wèn)控制策略。與基于網(wǎng)絡(luò)地址的傳統(tǒng)訪問(wèn)控制列表不同，安全設(shè)備域訪問(wèn)控制策略是一種基于角色的訪問(wèn)控制列表（RBACL），稱為安全組訪問(wèn)控制列表（SGACL）。

圖3顯示了安全設(shè)備域的示例。在此示例中，幾個(gè)網(wǎng)絡(luò)設(shè)備和一個(gè)端點(diǎn)設(shè)備位于安全設(shè)備域內(nèi)。一臺(tái)端點(diǎn)設(shè)備和一臺(tái)聯(lián)網(wǎng)設(shè)備不在域中，因?yàn)樗鼈儾皇侵С衷撚虻脑O(shè)備，或者因?yàn)樗鼈儽痪芙^訪問(wèn)，因此限定相關(guān)服務(wù)。

圖3 安全設(shè)備域

安全設(shè)備域是一整套系統(tǒng)，它是“無(wú)邊界網(wǎng)絡(luò)”整體方案的一個(gè)重要組成部分，它滲透到了無(wú)邊界網(wǎng)絡(luò)的各個(gè)主要部分。該系統(tǒng)主要包括三個(gè)產(chǎn)品組件：基礎(chǔ)架構(gòu)、策略和端點(diǎn)。

該方案中的基礎(chǔ)架構(gòu)組件是它的硬件，主要選取企業(yè)網(wǎng)絡(luò)架構(gòu)中常用的交換設(shè)備，可以通過(guò)與網(wǎng)絡(luò)用戶進(jìn)行交互進(jìn)行身份驗(yàn)證和授權(quán)。在這些交換機(jī)上支持靈活的身份驗(yàn)證方法，其中包括IEEE 802.1X、Web和MAC身份驗(yàn)證，所有這些方法都是通過(guò)每個(gè)交換機(jī)端口的單個(gè)配置進(jìn)行控制的，用戶可以根據(jù)不同的接入方式靈活選擇相應(yīng)的身份驗(yàn)證方法。交換機(jī)還可以使用用戶身份信息來(lái)標(biāo)記每個(gè)數(shù)據(jù)包，為每個(gè)數(shù)據(jù)包設(shè)置微分段IP和安全組標(biāo)記，以便在網(wǎng)絡(luò)中的任何位置部署進(jìn)一步的控制。除了硬件基礎(chǔ)架構(gòu)外，相應(yīng)軟件包組可用于集中式網(wǎng)絡(luò)身份識(shí)別和訪問(wèn)控制。

■3.3 網(wǎng)絡(luò)接入控制平臺(tái)

該方案中另一個(gè)重點(diǎn)就是采用軟件定義網(wǎng)絡(luò)的理念完成網(wǎng)絡(luò)接入控制管理平臺(tái)，即為一組軟件包。在微分段和組標(biāo)記技術(shù)中，核心工作是開發(fā)智能分配和管理安全組標(biāo)記（SGT）的相關(guān)軟件包組。對(duì)于來(lái)訪設(shè)備，根據(jù)自動(dòng)算法進(jìn)行身份驗(yàn)證和標(biāo)記分配，將各設(shè)備的安全組標(biāo)記自動(dòng)寫入三層設(shè)備中，再使用相關(guān)工具軟件包寫入二層交換設(shè)備，并檢測(cè)網(wǎng)絡(luò)的流量，優(yōu)化訪問(wèn)控制策略等功能。微分段及組標(biāo)記技術(shù)主要包含三個(gè)軟件包：①身份驗(yàn)證及標(biāo)簽智能化分配軟件包：該軟件包實(shí)現(xiàn)來(lái)訪設(shè)備的身份驗(yàn)證注冊(cè)，使用圖形化界面進(jìn)行身份的分配，如賬戶密碼等信息，再將賬戶信息自動(dòng)分組，每個(gè)組分配安全組標(biāo)記，通過(guò)組標(biāo)記的源和目標(biāo)的組標(biāo)記，使用矩陣進(jìn)行匹配服務(wù)；②智能管理安全組標(biāo)記算法：根據(jù)自動(dòng)算法將所有的組標(biāo)記以標(biāo)簽形式打入到三層設(shè)備中，交換設(shè)備根據(jù)運(yùn)行的分配及接受協(xié)議，準(zhǔn)確接收組標(biāo)記；③基于二層交換設(shè)備的虛擬交換機(jī)工具軟件包，在接收到組標(biāo)記后，自動(dòng)將該標(biāo)簽標(biāo)記到二層設(shè)備的數(shù)據(jù)包幀里。由于基于開源平臺(tái)開發(fā)，以上三個(gè)核心軟件包均分別開放了API接口，可以方便的作為組件嵌入到其他系統(tǒng)中。該軟件包組提供了一個(gè)基于規(guī)則的策略模型和可視化管理界面。

4 結(jié)論

基于微分段與組標(biāo)記的安全校園網(wǎng)設(shè)計(jì)方案為多角色的校園網(wǎng)絡(luò)提供一種安全解決方案，該方案通過(guò)建立可信任的網(wǎng)絡(luò)設(shè)備域來(lái)建立安全網(wǎng)絡(luò)，可建立適用于所有用戶的可見性和控制，還可發(fā)現(xiàn)和監(jiān)控支持IP的設(shè)備，從而全面地保護(hù)網(wǎng)絡(luò)以及對(duì)關(guān)鍵業(yè)務(wù)資源的訪問(wèn)。它的主要?jiǎng)?chuàng)新點(diǎn)包括：基于策略的訪問(wèn)控制、身份感知網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的數(shù)據(jù)保密性和完整性保護(hù)。創(chuàng)新點(diǎn)包括但基于策略的訪問(wèn)控制、身份感知網(wǎng)絡(luò)、智能分配和管理安全組標(biāo)記（SGT）軟件包組、數(shù)據(jù)保密性和完整性。