基于微分段與組標記的安全校園網的設計

段紅秀，湯銘

（南京傳媒學院，江蘇南京，210000）

0 引言

傳統校園網絡覆蓋校園辦公區域、教學區域、學生宿舍和公共場所等，接入方式包括有線和無線接入，給學校科研、教學、管理、服務等各項活動提供了極大便利，成為學校重要的信息基礎設施、互聯網研究平臺和人才培養基地，為學校發展及專業建設提供了重要支撐。

隨著互聯網應用的全面普及和向局域網的滲透，現在公用網絡與專用網絡邊界已變得日益模糊。無邊界網絡的開放網絡帶來了網絡上新的安全需求，使用校園網的角色眾多，教師、學生、輔導員、職工、臨時用戶等都需要訪問校園網絡，訪問設備多樣，臺式機、筆記本電腦、電話、無線訪問點和打印機也需要對用戶進行控制訪問。在現有的安全解決方案中，定義不同區域的策略授權需要根據各個獨立區域特性進行。如圖1中需要有專門用于LAN連接的安全策略服務器，用于WLAN接入的安全策略服務器，和使用VPN訪問的安全策略服務器等。這種解決方案無法提供和管理一致性訪問策略，另外訪問需經過不同機制的認證和控制篩選，用戶的訪問效率較低。

圖1 傳統安全解決方案示意圖

1 國內外研究現狀

隨著校園網絡建設的加快,當前校園網絡安全工作越來越重要,校園網用戶的管理和網絡設備的運維逐漸朝著高效化、智能化、精細化的方向發展。隨著校園網用戶的增多，校園網規模不斷擴大，日常運維中常見以下問題：①需要獲取用戶類型、接入位置、接入方式等信息，以便對網絡流量進行設置和優化；②網絡設備在運行中出現在線用戶不一致問題；③校園網賬號開放移動端和PC端登錄，用戶賬號存在外借情況；④輔導員老師需要根據學生近期網絡使用情況，了解學生的狀態。為有效解決上述問題，洪劍珂提出了基于認證系統接口的校園網用戶管理系統，孔令峰提出了校園網定時控制互聯網訪問的方法，李長青等提出了校園網的網絡資源精確分配策略。

2 安全校園網設計

使用微分段與組標記技術為多角色的校園網絡提供一種安全解決方案，該方案通過建立可信任的網絡設備域來建立安全網絡。域中的每個設備都由其對等方進行身份驗證。使用加密、消息完整性檢查和數據路徑重放保護機制的組合來保護域內設備之間鏈路上的通信。

該解決方案使用在身份驗證期間獲得的設備和用戶憑證，在數據包進入網絡時按安全組(SGs)對其進行分類。這種信息包分類是通過在進入校園網絡時標記信息包來維護的，以便能夠被正確地識別，并在數據路徑上應用安全和其他策略標準。這個標記稱為安全組標記(SGT)，它允許網絡通過使端點設備在SGT上操作來過濾流量，從而強制執行訪問控制策略。該方案的關鍵技術有以下幾項。

■2.1 微分段和安全組標記SGT

微分段技術是把IT環境劃分為可控制的分區，幫助采用者安全地隔離工作負載，使網絡保護更加細化，從而直接解決了未經授權的橫向移動攻擊的難題。安全組是共享訪問控制策略的用戶，端點設備和資源的分組。隨著新用戶和設備添加到安全設備域，身份驗證服務器會將這些新實體分配給適當的安全組。安全設備域為每個安全組分配一個唯一的16位微分段和安全組編號，其范圍在安全設備域中是全局的。交換機中的安全組數量僅限于經過身份驗證的網絡實體的數量。設備通過身份驗證后，安全設備域會使用包含設備安全組編號的安全組標記（SGT）標記源自該設備的任何數據包。數據包在安全設備域標頭內的整個網絡中攜帶此SGT。 SGT是一個單一標簽，用于確定整個企業中源的特權。

■2.2 軟件包組

在微分段和組標記技術中，核心工作是開發智能分配和管理安全組標記（SGT）的相關軟件包組。對于來訪設備，根據自動算法進行身份驗證和標記分配，將各設備的安全組標記自動寫入三層設備中，再使用相關工具軟件包寫入二層交換設備，并檢測網絡的流量，優化訪問控制策略等功能。微分段及組標記技術主要包含三個軟件包：

①身份驗證及標簽智能化分配軟件包：該軟件包實現來訪設備的身份驗證注冊，使用圖形化界面進行身份的分配，如賬戶密碼等信息，再將賬戶信息自動分組，每個組分配安全組標記（SGT），通過組標記的源和目標的組標記，使用矩陣進行匹配服務。

②智能管理安全組標記算法：根據自動算法將所有的組標記以標簽形式打入到三層設備中，交換設備根據運行的分配及接受協議，準確接收組標記。

③基于二層交換設備的虛擬交換機工具軟件包，在接收到組標記后，自動將該標簽標記到二層設備的數據包幀里。

由于基于開源平臺開發，以上三個核心軟件包均分別開放了API接口，可以方便的作為組件嵌入到其他系統中。

■2.3 安全組訪問控制列表SGACL策略

使用安全組訪問控制列表（SGACL），用戶可以根據用戶和目標資源的安全組分配來控制用戶可以執行的操作。 安全設備域內的策略實施由權限矩陣表示，其中一個軸上的源安全組編號和另一個軸上的目標安全組編號。 矩陣體內的每個單元格都可以包含SGACL的有序列表，該列表指定應該應用于源自源安全組并發往目標安全組的數據包的權限。圖2顯示了具有三個已定義用戶角色和一個已定義目標資源的簡單域的安全設備域權限矩陣示例。 三個SGACL策略根據用戶的角色控制對目標服務器的訪問。通過將網絡中的用戶和設備分配給安全組并在安全組之間應用訪問控制，安全設備域可在網絡中實現基于角色的獨立于拓撲的訪問控制。

圖2 簡單的安全設備域權限矩陣

■2.4 入口標記和出口執行

安全設備域訪問控制使用入口標記和出口實施來實現。在安全設備域的入口點，來自源的流量標記有包含源實體的安全組編號的SGT。SGT隨著域中的流量一起傳播。在安全設備域的出口點，出口設備使用源SGT和目標實體的安全組編號（目標SG或DGT）來確定要從SGACL策略矩陣應用哪個訪問策略。

■2.5 獲取數據包SGT的策略

策略獲取期間獲取源SGT - 在安全設備域身份驗證階段之后，網絡設備從身份驗證服務器獲取策略信息，該信息指示對等設備是否可信。如果對等設備不受信任，則認證服務器還可以提供SGT以應用于來自對等設備的所有分組。

如果數據包來自可信對等設備，則數據包攜帶SGT，故可從數據包中獲取源SGT，這適用于不是安全設備域中第一個用于數據包的網絡設備的網絡設備。在某些情況下，管理員也可以手動配置策略，以根據其源IP地址確定數據包的SGT。

■2.6 確定目標安全組

安全設備域域中的出口網絡設備確定用于應用SGACL的目標組（DGT）。網絡設備使用與確定源安全組相同的方法確定數據包的目標安全組，但從數據包標簽獲取組編號除外。目標安全組編號不包含在數據包標記中。在某些情況下，入口設備或其他非出口設備可能具有目的地組信息。在這些情況下，SGACL可能應用于這些設備而不是出口設備。

3 技術方案

■3.1 身份驗證

該方案的身份驗證過程中的每個參與者分為三種角色：未經身份驗證的設備、身份驗證服務器、身份驗證者。當請求者和身份驗證者之間的鏈接首次出現時，步驟如下:

(1)身份驗證服務器對請求者進行身份驗證，身份驗證者充當中介。在兩個對等點(請求者和身份驗證者)之間執行相互身份驗證。

(2)根據請求者的身份信息，身份驗證服務器向每個鏈接的對等點提供授權策略，如安全組分配和ACL。身份驗證服務器向彼此提供每個對等點的標識，然后每個對等點對該鏈接應用適當的策略。

(3)當鏈接的兩端都支持加密時，請求者和身份驗證者就建立安全關聯(SA)所需的參數進行協商。

這三個步驟完成后，認證者將鏈接的狀態從未授權(阻止)狀態更改為授權狀態，請求者就成為思科安全設備域的成員。

■3.2 安全設備域的建立

安全設備域使用入口標記和出口過濾功能以可擴展的方式實施訪問控制策略。進入域的數據包用包含源設備分配的安全組號的安全組標簽（SGT）進行標記。為了應用安全性和其他策略標準，此數據包分類沿安全設備域內的數據路徑進行維護。數據路徑上的最終安全設備（端點或網絡出口點）基于安全設備域源設備的安全組和最終安全設備的安全組來實施訪問控制策略。與基于網絡地址的傳統訪問控制列表不同，安全設備域訪問控制策略是一種基于角色的訪問控制列表（RBACL），稱為安全組訪問控制列表（SGACL）。

圖3顯示了安全設備域的示例。在此示例中，幾個網絡設備和一個端點設備位于安全設備域內。一臺端點設備和一臺聯網設備不在域中，因為它們不是支持該域的設備，或者因為它們被拒絕訪問，因此限定相關服務。

圖3 安全設備域

安全設備域是一整套系統，它是“無邊界網絡”整體方案的一個重要組成部分，它滲透到了無邊界網絡的各個主要部分。該系統主要包括三個產品組件：基礎架構、策略和端點。

該方案中的基礎架構組件是它的硬件，主要選取企業網絡架構中常用的交換設備，可以通過與網絡用戶進行交互進行身份驗證和授權。在這些交換機上支持靈活的身份驗證方法，其中包括IEEE 802.1X、Web和MAC身份驗證，所有這些方法都是通過每個交換機端口的單個配置進行控制的，用戶可以根據不同的接入方式靈活選擇相應的身份驗證方法。交換機還可以使用用戶身份信息來標記每個數據包，為每個數據包設置微分段IP和安全組標記，以便在網絡中的任何位置部署進一步的控制。除了硬件基礎架構外，相應軟件包組可用于集中式網絡身份識別和訪問控制。

■3.3 網絡接入控制平臺

該方案中另一個重點就是采用軟件定義網絡的理念完成網絡接入控制管理平臺，即為一組軟件包。在微分段和組標記技術中，核心工作是開發智能分配和管理安全組標記（SGT）的相關軟件包組。對于來訪設備，根據自動算法進行身份驗證和標記分配，將各設備的安全組標記自動寫入三層設備中，再使用相關工具軟件包寫入二層交換設備，并檢測網絡的流量，優化訪問控制策略等功能。微分段及組標記技術主要包含三個軟件包：①身份驗證及標簽智能化分配軟件包：該軟件包實現來訪設備的身份驗證注冊，使用圖形化界面進行身份的分配，如賬戶密碼等信息，再將賬戶信息自動分組，每個組分配安全組標記，通過組標記的源和目標的組標記，使用矩陣進行匹配服務；②智能管理安全組標記算法：根據自動算法將所有的組標記以標簽形式打入到三層設備中，交換設備根據運行的分配及接受協議，準確接收組標記；③基于二層交換設備的虛擬交換機工具軟件包，在接收到組標記后，自動將該標簽標記到二層設備的數據包幀里。由于基于開源平臺開發，以上三個核心軟件包均分別開放了API接口，可以方便的作為組件嵌入到其他系統中。該軟件包組提供了一個基于規則的策略模型和可視化管理界面。

4 結論

基于微分段與組標記的安全校園網設計方案為多角色的校園網絡提供一種安全解決方案，該方案通過建立可信任的網絡設備域來建立安全網絡，可建立適用于所有用戶的可見性和控制，還可發現和監控支持IP的設備，從而全面地保護網絡以及對關鍵業務資源的訪問。它的主要創新點包括：基于策略的訪問控制、身份感知網絡以及網絡中的數據保密性和完整性保護。創新點包括但基于策略的訪問控制、身份感知網絡、智能分配和管理安全組標記（SGT）軟件包組、數據保密性和完整性。