網絡接入的智能控制技術

吳申強

摘 要：近年來網絡應用已深入到各行業(yè)業(yè)的工作中。除了商業(yè)機構，科研院校等廣泛使用網絡之外，也在政府機關，軍隊，武警等涉密機構也得到普及。但網絡給人們的日常辦公帶來了極大的便利的同時，也帶來了信息安全隱患。

關鍵詞：SDN 網絡安全 接入策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）05（c）-0149-02

排除隱患的首道工作，是要管理好接入需求，確保授權用戶對網絡資源進行正確的訪問。特別在對信息安全較敏感的行業(yè)，對內網的接入安全提出更高要求。利用當前成熟的SDN等技術，可以很好的解決這些問題。

1 網絡接入權限控制現(xiàn)狀

1.1 接入權限概念

網絡接入不僅指空間的接入，也是邏輯上的接入。接入權限策略即要保證網絡不被外部非法入侵，保護信息安全與完整。同時還要保證網內用戶的正常訪問與隔離，確保提供應有的服務質量。

常見的非法訪問存在三種入侵模型：

外部入侵：外網通過非法手段滲透訪問；

內網非法訪問：內網用戶通過異常手段訪問未被授權的資源；

破解：內網用戶非法獲取權限，并利用該權限來非法訪問與逃避審計。

因此，對接入策略的基本要求：阻止非法用戶進入系統(tǒng)；允許合法用戶在正常審計下授權訪問與使用受控資源；杜絕越權行為。

1.2 網絡接入權限的原理

接入權限控制的核心是：用戶的識別，認證與授權：

識別：識別用戶標識。主要依據(jù)網絡MAC/IP地址或用戶ID作為識別標識。

認證：根據(jù)系統(tǒng)預配置好的安全策略進行權限的檢查。屏蔽未知接入。

授權：依據(jù)身份認證的匹配的結果，給接入分配相應的訪問權限。

2 接入權限現(xiàn)狀的問題

當前接入策略存在許多不如意的地方。特別是涉密網的個性化需求，現(xiàn)有的接入策略機制已經難以滿足。

2.1 網絡接入權限現(xiàn)狀

常見的接入控制方法主要有Web認證，802.1x及應用層認證。這些認證方式對接入行為的控制粒度有差異：Web認證主要面向公眾無線場景，通過彈出網頁進行認證后授權接入。特點是認證速度快，不需安裝客戶端。1x認證是一個基于端口的網絡存取控制標準，為網絡提供點對點式的安全接入，主要用于一般辦公網絡接入的控制。應用層認證要求接入設備安裝客戶端軟件，由該客戶端與服務端交互完成認證并提供監(jiān)控用戶的上網行為，審計與回溯的能力。

除了上述幾種常見的之外，還有如PPPOE等相對少見的方式，對環(huán)境及人員要求較高，不具普適性。

2.2 現(xiàn)有接入控制方式的不足

web認證：過程需彈出認證頁面，要求特定終端。會話過期重新認證會影響用戶體驗。

802.1x認證：要在設備上事先安裝客戶端軟件。并且服務器預配置的接入信息需要隨著人員變化而手工調整。

應用層認證：需要在安裝客戶端軟件。此外它還承擔監(jiān)控與審計等工作，設備硬件資源消耗大。

此外，對于進一步的安全要求，如五要素綁定（時間，接入位置等），策略隨行，空閑網口IP管理等需求，現(xiàn)有的網絡技術無法實現(xiàn)。

3 智能控制相關技術

為達到更好的接入策略效果，我們需要充分利用新技術。如SDN及OpenFlow協(xié)議。

3.1 SDN

SDN即軟件定義網絡（Software Defined Networking），由控制器與網絡設備兩部分組成。它將網絡的控制平面與數(shù)據(jù)轉發(fā)平面解耦，通過集中的軟件控制器進行可編程化平臺，統(tǒng)一控制底層硬件，來實現(xiàn)對網絡資源靈活的高效按需調配。在SDN網絡中，底層設備只負責數(shù)據(jù)轉發(fā)，而原來控制工作則單獨抽象出一個集中的控制面，負責適配個性化的業(yè)務需求進行集中控制。因此我們可以將用戶接入的權限管控的方式及策略上收。并通過SDN的智能管理算法，實現(xiàn)對網絡接入權限的智能管控的目的。

3.2 OpenFlow

OpenFlow是由斯坦福大學的Nick McKeown教授在2008年4月首先提出的。它提出的控制轉發(fā)分離架構，允許不動網對網絡進行編程而實現(xiàn)新型的協(xié)議與拓撲。它通過網絡設備維護一個FlowTable且只照FlowTable轉發(fā)，該表本身的生成，維護，下發(fā)完全由SDN控制器來完成。

4 智能接入控制解決方案

智能是指網絡策略的下發(fā)及調整都自動完成，不需人工干預。且接入的過程及數(shù)據(jù)都納入有效監(jiān)控及審計。主要應用于以下三個場景中。

4.1 資源按需服務

除了需要傳統(tǒng)的識別授權之外，還有場景要求依據(jù)用戶位置，時間等差異，分配不同的訪問權限。當前在政務、軍工等涉密要求高的行業(yè)的網絡場景中有需求。

SDN方案：當有終端接入網絡時，網絡設備通過識別接入端發(fā)送的免費ARP等信息送到SDN控制器。控制器系統(tǒng)通過該標識，端口位置及時間等信息來匹配策略，進行網絡放行或報文丟棄的動作。讓未知的接入需求能被及時屏蔽。

4.2 策略隨行

信息管理工作繁瑣，重復率高。每條人員入職離職，崗位變動都會給網絡策略帶來11至15條的配置。若頻繁存在人員進出，出差，組織架構調整將帶來巨大的工作量。

通過SDN控制器，在頻繁人員策略調整的情況下，不再需要去目的子網配相關策略，人員的身份信息都已在控制器綁定，無論從內網的任何地方接入，信息都會發(fā)送到旁掛于集中網關或分布式網關邊的控制器來匹配策略，從而達到策略跟隨的目的。能確保整網的接入安全，并通過IP綁定惟一人員來審計與監(jiān)控接入行為。此方案在中大企業(yè)中有成功案例。

4.3 閑置網口及IP管理

除了信息管理之外，日常運維還包括IP，網口的統(tǒng)一管理。在安全級別高的網絡中，一般不使用DHCP，而由靜態(tài)IP與用戶綁定的方式管理。但也仍然會出現(xiàn)閑置網口及IP被私接網絡，私自配IP等不受控的情況發(fā)生，也給內網的信息安全帶來隱患。

對此，我們也通這SDN的方式來解決。當有設備接入網絡時，由控制器來判斷接入IP與MAC地址與接入網口是否與預置的信息相同，若判斷為異常接入，則直接丟棄，使得私接網口及私設IP的行為直接屏蔽，來確保閑置網口及IP地址能有效管理，徹底消除私接網絡的隱患。

此方案當前在金融，軍工等行業(yè)有應用。由于這網絡安全敏感，辦公環(huán)境大，管理資源多，對網絡接入的要求及行業(yè)有明確規(guī)范的行業(yè)，能夠有效地安全管理。

5 網絡權限控制的發(fā)展趨勢

網絡安全的智能方案仍有許多不足之處，也是未來網絡技術尋找突破的場景。

物聯(lián)網發(fā)展使萬物互聯(lián)成為趨勢，海量的接入需求要統(tǒng)一管理。如何快速的將大量信息整合成便于分析的大數(shù)據(jù)；如何快速有效地管理接入需求，并能進行差異化管理。

網絡對于普通用戶而言是一個黑盒，數(shù)據(jù)如何走動，何處存在擁塞，對用戶來說還是不可知的，沒有有效的防控手段。

對網絡的攻擊手段是多種多樣的?，F(xiàn)有的接入控制手段，只能防范已知的攻擊行為。未來要通過大數(shù)據(jù)的分析主動學習，提前預判。

日益增長的網絡安全威脅對網絡技術提出了更高的挑戰(zhàn)，也推動了網絡技術的發(fā)展，特別是隨著NFV，VxLAN等技術的成熟，如何將這些新技術快速應用在現(xiàn)有網絡中，有效解決問題和隱患，形成一套有效的解決方案，才能快速的形成生產力工具。這是當前網絡工作者們的首要任務。

參考文獻

[1] ONF. OpenFlow Switch Specification Version 1.3.1[S].2012.

[2] 鄒劍鋒.基于OpenFlow的SDN組網技術研究[D].北京郵電大學，2014.

[3] 王文東，胡延楠.軟件定義網絡，正在進行的網絡變革[J].ZTETECHNOLOGYJOURNAL，2013.