基于CA認證的網(wǎng)絡終端安全監(jiān)管

鄭彬

（山東大學網(wǎng)絡信息安全研究所 山東省濟南市 250000）

網(wǎng)絡技術在日益普及的今天，帶給了全球各國人民多樣的便利性，有生活方面的，有生產(chǎn)方面的，也有政府辦公方面的。網(wǎng)絡技術的普及造就了網(wǎng)絡安全問題的凸顯，尤其是科研和金融機構、政要部門等等，他們對于網(wǎng)絡安全問題的解決更加渴求。所以，加強網(wǎng)絡終端安全監(jiān)管是保證網(wǎng)絡安全的一種重要保障，也是現(xiàn)階段網(wǎng)絡安全監(jiān)管方面需要解決的頭等問題?；诖?，一種新型的網(wǎng)絡安全監(jiān)管技術——基于CA 認證的網(wǎng)絡終端安全監(jiān)管，便應運而生。

1 CA認證技術的含義及系統(tǒng)組成

1.1 CA認證技術的含義

CA 認證的主要任務是接受網(wǎng)絡用戶數(shù)字證書的申請后為用戶簽發(fā)和管理數(shù)字證書，從而實現(xiàn)認證用戶網(wǎng)絡身份的一種可靠安全的技術。

1.2 CA認證系統(tǒng)的組成

CA 認證系統(tǒng)主要由4 個部分組成：認證中心、注冊審核系統(tǒng)、數(shù)字證書查詢驗證服務系統(tǒng)、密鑰管理中心。

認證中心主要負責為用戶簽發(fā)和管理數(shù)字類證書。其內(nèi)容主要包含了：對于簽發(fā)的證書要負責做統(tǒng)一的存檔處理；證書到達使用期限之后需要及時的進行更新或者注銷，需要由專業(yè)的證書檢查驗證系統(tǒng)發(fā)表有關證書的處理結果。以供查詢證書的服務功能。用戶申請認證審核之后是需要注冊審核系統(tǒng)的詳細審核，然后將結果發(fā)送給認證中心，最后接收認證中心反饋過來的信息并傳遞給用戶。

數(shù)字證書查詢驗證服務系統(tǒng)，主要負責發(fā)布和更新認證中心簽發(fā)的證書以及證書撤銷列表，同時對數(shù)字證書和證書撤銷列表的目錄進行管理和控制。

密碼鑰匙的管理中心負責工作是關于生成密碼鑰匙、然后進行存儲、存檔、備份和復原工作，還要向認證中心供給簽發(fā)數(shù)字證書的時候需要用到的密碼鑰匙，還能夠結合一些安全技術封裝底層的密碼計算方法來為應用提供統(tǒng)一的接口。

2 針對于CA認證的網(wǎng)絡終端安全監(jiān)管系統(tǒng)做出的設計方案

2.1 對基礎系統(tǒng)功能的需求

為保障安全的內(nèi)網(wǎng)環(huán)境，最為行之有效的辦法是要對網(wǎng)絡終端的安全加以強有力的監(jiān)管，這樣就能起到防微杜漸的作用。終端狀態(tài)與行為的監(jiān)管是終端安全監(jiān)管的兩個主要方面。

對于以上觀念，這套系統(tǒng)的基礎功能需求通常包含以下幾點：

（1）身份認證。由于傳統(tǒng)密碼身份認證方式安全系數(shù)低，對政府有關機構和大型的企業(yè)已經(jīng)沒有辦法滿足其需求，所以就需要融合終端節(jié)點與終端身份信息認證，開創(chuàng)一種新的安全系數(shù)高的身份認證方式。

（2）終端節(jié)點接入發(fā)現(xiàn)。通過拓撲掃描等方式建立終端拓撲機構來收集相關節(jié)點信息，還需要對接入內(nèi)網(wǎng)的終端節(jié)點身份進行合法的判別，從而杜絕非法的網(wǎng)絡終端接入網(wǎng)絡。

（3）終端節(jié)點安全性檢查控制。判斷終端是否私接外網(wǎng)，是否被搭建為代理服務器或者NAT 服務器，一旦發(fā)現(xiàn)異常則及時報警。

（4）終端節(jié)點的行為監(jiān)控。通過分配權限來達到監(jiān)控終端主機的端口使用和進程運行的目的，一旦發(fā)現(xiàn)異常則立即報警。

（5）安全訪問控制策略模型的建立。除了以上功能需求外，還需要建立一種靈活有效且費用低的安全訪問控制策略模型。

2.2 系統(tǒng)的結構架設

2.2.1 系統(tǒng)工作模型

系統(tǒng)采取B/S 模式與C/S 模式二者結合的工作形式，為得到網(wǎng)絡狀況的即時反饋， B/S 模式提供的終端信息的查詢服務和終端異常報警的處理服務為管理員提供了便利。不過這種模式通常存在一些弊端，該模式由于安全設計等原因，導致它并不包含安全訪問控制策略下發(fā)與設計功能。C/S 模式則主要負責信息收集、安全訪問控制策略的下發(fā)與執(zhí)行和身份認證工作。

2.2.2 系統(tǒng)體系結構

系統(tǒng)體系結構為：PC、接入交換機、匯聚交換機、核心交換機、防火墻、服務器區(qū)（由數(shù)據(jù)存儲服務器、安全管理服務器、身份認證服務器、網(wǎng)絡掃描服務器組成）、出口路由、因特網(wǎng)、CA 認證中心、非法外聯(lián)探測服務器。

其中，數(shù)據(jù)存儲服務器主要負責安全管理策略和存儲終端信息。身份認證服務器主要負責終端主機和用戶的身份認證，以因特網(wǎng)與認證中心相連接的方式，使證書查詢驗證列表得以維護和更新。下發(fā)管理策略和客戶端配置，監(jiān)聽和處理相關報警信息是安全管理服務器的主要職責。網(wǎng)絡掃描服務器則負責掃描網(wǎng)絡拓撲結構。對于終端，主要是利用安全監(jiān)測組件，以及結合管理人員的相關安全訪問控制計劃，對代理服務器、NAT 服務器和非法外接等行為進行檢測，同時控制終端的端口和行為，一旦發(fā)現(xiàn)行為異常時，立即向服務器匯報終端主機的異常行為。

2.2.3 系統(tǒng)框架結構

系統(tǒng)依據(jù)管理方式，分為兩部分，即管理端和被管端。通過管理的端口，管理數(shù)據(jù)資料庫和服務器需要管理人員從主要控制界面登錄服務器來獲得網(wǎng)絡中各個站點相互連接的形式，對于網(wǎng)絡中一些不安全的信息進行解決和監(jiān)督，有些時候管理人員也可以用服務器來制定和下發(fā)系統(tǒng)安全訪問控制策略，以及更新證書查詢認證信息等。在被管理的端口中，使用者可以用一種有USB 接口的硬件設備進行客戶端的登陸，想要進入網(wǎng)絡必須得到服務器管理端口的同意才行，其中的過程就是軟件的代理商把自己所知道的信息在終端口證實身份之后發(fā)送到服務器。然后使用者在終端口操作網(wǎng)絡的時候，有一些違規(guī)的地方是通過代理軟件的應用服務層進行檢查的，然后再通過簡單的網(wǎng)絡管理協(xié)議入口實行上報。

2.3 系統(tǒng)功能模塊的設計

2.3.1 終端身份認證模塊

首先是對終端用戶進行身份認證。該過程主要是利用CA 的認證方式進行操作。對于終端合法用戶而言，每一個人都會有數(shù)字證書，在這個證書上會有該名用戶的姓名、住址以及電話等個人資料，在對終端用戶進行身份認證時正是根據(jù)這些資料完成的。另外，因為該認證系統(tǒng)采用的數(shù)字證書通常由權威的CA 中心簽署和發(fā)放，因此所使用的數(shù)字證書具有較高的安全性，避免出現(xiàn)偽造問題；同時，該數(shù)字證書一般由USBKEY 進行保存，因此攜帶也十分方便。關于終端用戶的認證過程，主要是通過系統(tǒng)將終端用戶數(shù)字證書上的信息傳送到認證服務器中，然后該認證服務器會對終端用戶所攜帶的數(shù)字證書合法性以及有效性進行全面驗證，如果驗證結果符合，則終端用戶可進行訪問；如果驗證結果不符，則終端用戶無法進行訪問。

最后是對終端主機進行身份認證。該過程主要是利用終端主機的特征碼進行操作。特征碼通常由硬盤序列號、MAC 地址和CPU名稱等組成，依據(jù)MD5 散列生成法創(chuàng)造一組不重復的字符串來作為終端節(jié)點的一種標識。然后再通過標識與用戶身份是否匹配、是否存在于數(shù)據(jù)庫中來判斷用戶是否合法，如果用戶不合法則不讓其接入內(nèi)網(wǎng)。在設計終端身份認證的方案時，管理員可以自主設置以下內(nèi)容：在對USBKEY 進行檢測時是否應該設置時間間隔；關于終端用戶和終端主機之間的對應方法，不僅可以采取一對多的方法，同時也能夠采取一對一的方法。此外，關于用戶與主機之間的合法匹配問題，主要是在用戶第一次登陸以后完成的，相關管理人員會在用戶第一次登陸之后將信息進行儲存，如果需要更新則由管理員進行更改。用戶身份認證架構中的身份認證模塊應當通過因特網(wǎng)連接CA 認證中心，以實現(xiàn)對證書查詢驗證列表的更新和維護。

2.3.2 終端安全監(jiān)測模塊

關于該模板，其主要是為了對終端用戶的行為進行全面檢測，主要結構形式為：開始、用戶接入網(wǎng)絡、設備和終端報警、用戶行為是否違規(guī)、分析違規(guī)詳情、報警。其中，當終端用戶接入到網(wǎng)絡中之后，對其進行分析時的報警系統(tǒng)主要有兩部分組成，一個是終端所接交換機端口的報警，另一個則為終端報警系統(tǒng)。首先，該報警系統(tǒng)會根據(jù)終端需求將沒有使用過的設備端口屏蔽掉；之后會為終端找到適合接入設備的端口。一旦終端端口的報警系統(tǒng)與終端報警系統(tǒng)吻合，則可以將其設為合法終端，并可以進行合法接入；如果終端為合法終端，但是所使用的接入網(wǎng)絡的端口與之不符，則不可將其設為合法終端；如果設備端口出現(xiàn)報警，但是終端并沒有報警，則表明設備端口合法，但是終端并不合法。不管是以上哪一種情況，相關管理人員在進行處理時都應該依據(jù)實際情況進行，保證非法終端內(nèi)接問題被有效控制。如果終端有新用戶要接入到網(wǎng)絡中，相關管理人員需要再開設一個與新用戶符合的設備端口，同時在新用戶登陸之后還需做好綁定工作。此外，終端安全監(jiān)測模塊從實現(xiàn)角度上來說，包括內(nèi)核取得模塊和應用層模塊，如圖1 所示。

確保終端組件在主機運行時沒有因主、客觀等因素退出，才能保證終端安全監(jiān)測模塊的有效性。一方面，需要由守護程序?qū)︱?qū)動程序進行及時監(jiān)測，主要檢測其是否能夠進行正常運行，一旦驅(qū)動程序未進行正常運行，守護程序就會將信息上報給TRAP7，并由相關管理人員對其進行有效處理；另一方面，系統(tǒng)中的守護程序，也就是用戶所用程序?qū)〞r向系統(tǒng)服務器發(fā)出在線TRAP12，一旦用戶在線過程中沒有發(fā)出或者長時間沒有發(fā)出TRAP12，那么就說明守護程序可能出現(xiàn)異常退出行為，這時就需要相關管理人員對用戶的實際運用情況進行全面調(diào)查，并根據(jù)調(diào)查結果采取有效措施對問題進行處理。

2.3.3 安全訪問控制模塊

該部分模塊主要是對用戶組進行合理分類，并根據(jù)分類后的結果為其開放相應權限；另外，該模塊也具有對報警信息進行有效處理的作用。

首先，在對用戶組進行合理分類以及開放相應權限的過程中，需要由兩部分應用系統(tǒng)完成，即用戶端應用系統(tǒng)以及管理端應用系統(tǒng)。分組策略制定的過程中，管理員可以自主設置分組，同時也可以根據(jù)部分以及職位的特點對用戶進行有效分組。因此，就需要用戶將個人信息存在USBKEY 中，比如用戶的部分以及職位等，從而在對用戶進行身份認證時能夠及時、準確的獲取。管理員應當為所有的合法用戶進行分組，分組完成后賦予各組相應的權限，同時需要將這些內(nèi)容存放到數(shù)據(jù)庫中，從而使得后續(xù)管理更加方便快捷。當用戶利用USBKEY 進行接入的過程中，系統(tǒng)將會根據(jù)之前分類的組別將其傳送到系統(tǒng)相應組中，并對該名接入用戶的個人信息以及使用權限進行讀取，依此將安全訪問控制策略發(fā)送給該用戶；而終端組件則可以通過對這種下發(fā)的安全訪問控制策略進行用戶行為的監(jiān)控，以實現(xiàn)控制用戶行為的目標。另外，安全訪問控制模塊還可以對用戶接入內(nèi)網(wǎng)后的非法行為進行監(jiān)控。用戶使用USBKEY接入內(nèi)網(wǎng)認證完身份后，可以獲得自身所在的分類組別以及相應的應用權限，這時終端安全檢測組件就可以根據(jù)以上信息對用戶的使用行為進行實時監(jiān)控，一旦發(fā)現(xiàn)用戶存在不法行為等，終端安全檢測組件就會向管理端傳遞警報信息，并且會對用戶行為進行記錄。相關管理人員就可以根據(jù)警報信息以及系統(tǒng)中的記錄信息做出正確處理。

圖1：用戶模式與內(nèi)核態(tài)

其次，對報警信息進行監(jiān)聽以及處理，關于信令監(jiān)聽處理單元而言，其主要是負責監(jiān)聽管理員下發(fā)的命令并做出對應的處理。開啟設備端口是為了加入新用戶，關閉設備端口主要是為了避免非法用戶接入。關于相關管理人員對接入用戶下發(fā)的命令內(nèi)容，主要是策略以及錯誤提示等。而報警監(jiān)聽處理這個單元是負責對監(jiān)聽設備與終端的TRAP 報警信息做出預警處理后，并將其上報到人機交互模板中。而對于處理方式而言，不但能夠由相關管理人員對其進行實時有效處理，同時也能夠根據(jù)事先制定好的策略進行及時、準確的處理，從而做到具體問題具體分析。

3 結束語

總之，隨著網(wǎng)絡科技的不斷進步，推動著網(wǎng)絡技術的不斷發(fā)展，我國的網(wǎng)絡普及范圍也越來越廣，從生活到生產(chǎn)、從農(nóng)業(yè)到工業(yè)、從居民到企事業(yè)單位，無一不體現(xiàn)著網(wǎng)絡應用的廣泛性。網(wǎng)絡在給我們生活和辦公帶來便利的同時，自身的安全問題愈發(fā)凸顯，如果不對網(wǎng)絡安全問題采取行之有效的措施加以控制，造成的嚴重后果不堪設想?，F(xiàn)階段由于網(wǎng)絡技術的縱深化發(fā)展，一些傳統(tǒng)的安全管理技術已經(jīng)跟不上時代的要求。作為網(wǎng)絡安全監(jiān)管方面的工作人員，必須具備了解和應用新型網(wǎng)絡安全監(jiān)管技術的能力，尤其是基于CA 認證的網(wǎng)絡終端安全監(jiān)管這種新型監(jiān)管技術，不僅要了解該技術的系統(tǒng)組成，還要懂得如何架設這種新型監(jiān)管技術系統(tǒng)，確保對網(wǎng)絡終端安全的有效監(jiān)管。