基于微分段與組標記的安全校園網(wǎng)的設(shè)計

段紅秀，湯銘

（南京傳媒學(xué)院，江蘇南京，210000）

0 引言

傳統(tǒng)校園網(wǎng)絡(luò)覆蓋校園辦公區(qū)域、教學(xué)區(qū)域、學(xué)生宿舍和公共場所等，接入方式包括有線和無線接入，給學(xué)校科研、教學(xué)、管理、服務(wù)等各項活動提供了極大便利，成為學(xué)校重要的信息基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)研究平臺和人才培養(yǎng)基地，為學(xué)校發(fā)展及專業(yè)建設(shè)提供了重要支撐。

隨著互聯(lián)網(wǎng)應(yīng)用的全面普及和向局域網(wǎng)的滲透，現(xiàn)在公用網(wǎng)絡(luò)與專用網(wǎng)絡(luò)邊界已變得日益模糊。無邊界網(wǎng)絡(luò)的開放網(wǎng)絡(luò)帶來了網(wǎng)絡(luò)上新的安全需求，使用校園網(wǎng)的角色眾多，教師、學(xué)生、輔導(dǎo)員、職工、臨時用戶等都需要訪問校園網(wǎng)絡(luò)，訪問設(shè)備多樣，臺式機、筆記本電腦、電話、無線訪問點和打印機也需要對用戶進行控制訪問。在現(xiàn)有的安全解決方案中，定義不同區(qū)域的策略授權(quán)需要根據(jù)各個獨立區(qū)域特性進行。如圖1中需要有專門用于LAN連接的安全策略服務(wù)器，用于WLAN接入的安全策略服務(wù)器，和使用VPN訪問的安全策略服務(wù)器等。這種解決方案無法提供和管理一致性訪問策略，另外訪問需經(jīng)過不同機制的認證和控制篩選，用戶的訪問效率較低。

圖1 傳統(tǒng)安全解決方案示意圖

1 國內(nèi)外研究現(xiàn)狀

隨著校園網(wǎng)絡(luò)建設(shè)的加快,當前校園網(wǎng)絡(luò)安全工作越來越重要,校園網(wǎng)用戶的管理和網(wǎng)絡(luò)設(shè)備的運維逐漸朝著高效化、智能化、精細化的方向發(fā)展。隨著校園網(wǎng)用戶的增多，校園網(wǎng)規(guī)模不斷擴大，日常運維中常見以下問題：①需要獲取用戶類型、接入位置、接入方式等信息，以便對網(wǎng)絡(luò)流量進行設(shè)置和優(yōu)化；②網(wǎng)絡(luò)設(shè)備在運行中出現(xiàn)在線用戶不一致問題；③校園網(wǎng)賬號開放移動端和PC端登錄，用戶賬號存在外借情況；④輔導(dǎo)員老師需要根據(jù)學(xué)生近期網(wǎng)絡(luò)使用情況，了解學(xué)生的狀態(tài)。為有效解決上述問題，洪劍珂提出了基于認證系統(tǒng)接口的校園網(wǎng)用戶管理系統(tǒng)，孔令峰提出了校園網(wǎng)定時控制互聯(lián)網(wǎng)訪問的方法，李長青等提出了校園網(wǎng)的網(wǎng)絡(luò)資源精確分配策略。

2 安全校園網(wǎng)設(shè)計

使用微分段與組標記技術(shù)為多角色的校園網(wǎng)絡(luò)提供一種安全解決方案，該方案通過建立可信任的網(wǎng)絡(luò)設(shè)備域來建立安全網(wǎng)絡(luò)。域中的每個設(shè)備都由其對等方進行身份驗證。使用加密、消息完整性檢查和數(shù)據(jù)路徑重放保護機制的組合來保護域內(nèi)設(shè)備之間鏈路上的通信。

該解決方案使用在身份驗證期間獲得的設(shè)備和用戶憑證，在數(shù)據(jù)包進入網(wǎng)絡(luò)時按安全組(SGs)對其進行分類。這種信息包分類是通過在進入校園網(wǎng)絡(luò)時標記信息包來維護的，以便能夠被正確地識別，并在數(shù)據(jù)路徑上應(yīng)用安全和其他策略標準。這個標記稱為安全組標記(SGT)，它允許網(wǎng)絡(luò)通過使端點設(shè)備在SGT上操作來過濾流量，從而強制執(zhí)行訪問控制策略。該方案的關(guān)鍵技術(shù)有以下幾項。

■2.1 微分段和安全組標記SGT

微分段技術(shù)是把IT環(huán)境劃分為可控制的分區(qū)，幫助采用者安全地隔離工作負載，使網(wǎng)絡(luò)保護更加細化，從而直接解決了未經(jīng)授權(quán)的橫向移動攻擊的難題。安全組是共享訪問控制策略的用戶，端點設(shè)備和資源的分組。隨著新用戶和設(shè)備添加到安全設(shè)備域，身份驗證服務(wù)器會將這些新實體分配給適當?shù)陌踩M。安全設(shè)備域為每個安全組分配一個唯一的16位微分段和安全組編號，其范圍在安全設(shè)備域中是全局的。交換機中的安全組數(shù)量僅限于經(jīng)過身份驗證的網(wǎng)絡(luò)實體的數(shù)量。設(shè)備通過身份驗證后，安全設(shè)備域會使用包含設(shè)備安全組編號的安全組標記（SGT）標記源自該設(shè)備的任何數(shù)據(jù)包。數(shù)據(jù)包在安全設(shè)備域標頭內(nèi)的整個網(wǎng)絡(luò)中攜帶此SGT。 SGT是一個單一標簽，用于確定整個企業(yè)中源的特權(quán)。

■2.2 軟件包組

在微分段和組標記技術(shù)中，核心工作是開發(fā)智能分配和管理安全組標記（SGT）的相關(guān)軟件包組。對于來訪設(shè)備，根據(jù)自動算法進行身份驗證和標記分配，將各設(shè)備的安全組標記自動寫入三層設(shè)備中，再使用相關(guān)工具軟件包寫入二層交換設(shè)備，并檢測網(wǎng)絡(luò)的流量，優(yōu)化訪問控制策略等功能。微分段及組標記技術(shù)主要包含三個軟件包：

①身份驗證及標簽智能化分配軟件包：該軟件包實現(xiàn)來訪設(shè)備的身份驗證注冊，使用圖形化界面進行身份的分配，如賬戶密碼等信息，再將賬戶信息自動分組，每個組分配安全組標記（SGT），通過組標記的源和目標的組標記，使用矩陣進行匹配服務(wù)。

②智能管理安全組標記算法：根據(jù)自動算法將所有的組標記以標簽形式打入到三層設(shè)備中，交換設(shè)備根據(jù)運行的分配及接受協(xié)議，準確接收組標記。

③基于二層交換設(shè)備的虛擬交換機工具軟件包，在接收到組標記后，自動將該標簽標記到二層設(shè)備的數(shù)據(jù)包幀里。

由于基于開源平臺開發(fā)，以上三個核心軟件包均分別開放了API接口，可以方便的作為組件嵌入到其他系統(tǒng)中。

■2.3 安全組訪問控制列表SGACL策略

使用安全組訪問控制列表（SGACL），用戶可以根據(jù)用戶和目標資源的安全組分配來控制用戶可以執(zhí)行的操作。 安全設(shè)備域內(nèi)的策略實施由權(quán)限矩陣表示，其中一個軸上的源安全組編號和另一個軸上的目標安全組編號。 矩陣體內(nèi)的每個單元格都可以包含SGACL的有序列表，該列表指定應(yīng)該應(yīng)用于源自源安全組并發(fā)往目標安全組的數(shù)據(jù)包的權(quán)限。圖2顯示了具有三個已定義用戶角色和一個已定義目標資源的簡單域的安全設(shè)備域權(quán)限矩陣示例。 三個SGACL策略根據(jù)用戶的角色控制對目標服務(wù)器的訪問。通過將網(wǎng)絡(luò)中的用戶和設(shè)備分配給安全組并在安全組之間應(yīng)用訪問控制，安全設(shè)備域可在網(wǎng)絡(luò)中實現(xiàn)基于角色的獨立于拓撲的訪問控制。

圖2 簡單的安全設(shè)備域權(quán)限矩陣

■2.4 入口標記和出口執(zhí)行

安全設(shè)備域訪問控制使用入口標記和出口實施來實現(xiàn)。在安全設(shè)備域的入口點，來自源的流量標記有包含源實體的安全組編號的SGT。SGT隨著域中的流量一起傳播。在安全設(shè)備域的出口點，出口設(shè)備使用源SGT和目標實體的安全組編號（目標SG或DGT）來確定要從SGACL策略矩陣應(yīng)用哪個訪問策略。

■2.5 獲取數(shù)據(jù)包SGT的策略

策略獲取期間獲取源SGT - 在安全設(shè)備域身份驗證階段之后，網(wǎng)絡(luò)設(shè)備從身份驗證服務(wù)器獲取策略信息，該信息指示對等設(shè)備是否可信。如果對等設(shè)備不受信任，則認證服務(wù)器還可以提供SGT以應(yīng)用于來自對等設(shè)備的所有分組。

如果數(shù)據(jù)包來自可信對等設(shè)備，則數(shù)據(jù)包攜帶SGT，故可從數(shù)據(jù)包中獲取源SGT，這適用于不是安全設(shè)備域中第一個用于數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)設(shè)備。在某些情況下，管理員也可以手動配置策略，以根據(jù)其源IP地址確定數(shù)據(jù)包的SGT。

■2.6 確定目標安全組

安全設(shè)備域域中的出口網(wǎng)絡(luò)設(shè)備確定用于應(yīng)用SGACL的目標組（DGT）。網(wǎng)絡(luò)設(shè)備使用與確定源安全組相同的方法確定數(shù)據(jù)包的目標安全組，但從數(shù)據(jù)包標簽獲取組編號除外。目標安全組編號不包含在數(shù)據(jù)包標記中。在某些情況下，入口設(shè)備或其他非出口設(shè)備可能具有目的地組信息。在這些情況下，SGACL可能應(yīng)用于這些設(shè)備而不是出口設(shè)備。

3 技術(shù)方案

■3.1 身份驗證

該方案的身份驗證過程中的每個參與者分為三種角色：未經(jīng)身份驗證的設(shè)備、身份驗證服務(wù)器、身份驗證者。當請求者和身份驗證者之間的鏈接首次出現(xiàn)時，步驟如下:

(1)身份驗證服務(wù)器對請求者進行身份驗證，身份驗證者充當中介。在兩個對等點(請求者和身份驗證者)之間執(zhí)行相互身份驗證。

(2)根據(jù)請求者的身份信息，身份驗證服務(wù)器向每個鏈接的對等點提供授權(quán)策略，如安全組分配和ACL。身份驗證服務(wù)器向彼此提供每個對等點的標識，然后每個對等點對該鏈接應(yīng)用適當?shù)牟呗浴?/p>

(3)當鏈接的兩端都支持加密時，請求者和身份驗證者就建立安全關(guān)聯(lián)(SA)所需的參數(shù)進行協(xié)商。

這三個步驟完成后，認證者將鏈接的狀態(tài)從未授權(quán)(阻止)狀態(tài)更改為授權(quán)狀態(tài)，請求者就成為思科安全設(shè)備域的成員。

■3.2 安全設(shè)備域的建立

安全設(shè)備域使用入口標記和出口過濾功能以可擴展的方式實施訪問控制策略。進入域的數(shù)據(jù)包用包含源設(shè)備分配的安全組號的安全組標簽（SGT）進行標記。為了應(yīng)用安全性和其他策略標準，此數(shù)據(jù)包分類沿安全設(shè)備域內(nèi)的數(shù)據(jù)路徑進行維護。數(shù)據(jù)路徑上的最終安全設(shè)備（端點或網(wǎng)絡(luò)出口點）基于安全設(shè)備域源設(shè)備的安全組和最終安全設(shè)備的安全組來實施訪問控制策略。與基于網(wǎng)絡(luò)地址的傳統(tǒng)訪問控制列表不同，安全設(shè)備域訪問控制策略是一種基于角色的訪問控制列表（RBACL），稱為安全組訪問控制列表（SGACL）。

圖3顯示了安全設(shè)備域的示例。在此示例中，幾個網(wǎng)絡(luò)設(shè)備和一個端點設(shè)備位于安全設(shè)備域內(nèi)。一臺端點設(shè)備和一臺聯(lián)網(wǎng)設(shè)備不在域中，因為它們不是支持該域的設(shè)備，或者因為它們被拒絕訪問，因此限定相關(guān)服務(wù)。

圖3 安全設(shè)備域

安全設(shè)備域是一整套系統(tǒng)，它是“無邊界網(wǎng)絡(luò)”整體方案的一個重要組成部分，它滲透到了無邊界網(wǎng)絡(luò)的各個主要部分。該系統(tǒng)主要包括三個產(chǎn)品組件：基礎(chǔ)架構(gòu)、策略和端點。

該方案中的基礎(chǔ)架構(gòu)組件是它的硬件，主要選取企業(yè)網(wǎng)絡(luò)架構(gòu)中常用的交換設(shè)備，可以通過與網(wǎng)絡(luò)用戶進行交互進行身份驗證和授權(quán)。在這些交換機上支持靈活的身份驗證方法，其中包括IEEE 802.1X、Web和MAC身份驗證，所有這些方法都是通過每個交換機端口的單個配置進行控制的，用戶可以根據(jù)不同的接入方式靈活選擇相應(yīng)的身份驗證方法。交換機還可以使用用戶身份信息來標記每個數(shù)據(jù)包，為每個數(shù)據(jù)包設(shè)置微分段IP和安全組標記，以便在網(wǎng)絡(luò)中的任何位置部署進一步的控制。除了硬件基礎(chǔ)架構(gòu)外，相應(yīng)軟件包組可用于集中式網(wǎng)絡(luò)身份識別和訪問控制。

■3.3 網(wǎng)絡(luò)接入控制平臺

該方案中另一個重點就是采用軟件定義網(wǎng)絡(luò)的理念完成網(wǎng)絡(luò)接入控制管理平臺，即為一組軟件包。在微分段和組標記技術(shù)中，核心工作是開發(fā)智能分配和管理安全組標記（SGT）的相關(guān)軟件包組。對于來訪設(shè)備，根據(jù)自動算法進行身份驗證和標記分配，將各設(shè)備的安全組標記自動寫入三層設(shè)備中，再使用相關(guān)工具軟件包寫入二層交換設(shè)備，并檢測網(wǎng)絡(luò)的流量，優(yōu)化訪問控制策略等功能。微分段及組標記技術(shù)主要包含三個軟件包：①身份驗證及標簽智能化分配軟件包：該軟件包實現(xiàn)來訪設(shè)備的身份驗證注冊，使用圖形化界面進行身份的分配，如賬戶密碼等信息，再將賬戶信息自動分組，每個組分配安全組標記，通過組標記的源和目標的組標記，使用矩陣進行匹配服務(wù)；②智能管理安全組標記算法：根據(jù)自動算法將所有的組標記以標簽形式打入到三層設(shè)備中，交換設(shè)備根據(jù)運行的分配及接受協(xié)議，準確接收組標記；③基于二層交換設(shè)備的虛擬交換機工具軟件包，在接收到組標記后，自動將該標簽標記到二層設(shè)備的數(shù)據(jù)包幀里。由于基于開源平臺開發(fā)，以上三個核心軟件包均分別開放了API接口，可以方便的作為組件嵌入到其他系統(tǒng)中。該軟件包組提供了一個基于規(guī)則的策略模型和可視化管理界面。

4 結(jié)論

基于微分段與組標記的安全校園網(wǎng)設(shè)計方案為多角色的校園網(wǎng)絡(luò)提供一種安全解決方案，該方案通過建立可信任的網(wǎng)絡(luò)設(shè)備域來建立安全網(wǎng)絡(luò)，可建立適用于所有用戶的可見性和控制，還可發(fā)現(xiàn)和監(jiān)控支持IP的設(shè)備，從而全面地保護網(wǎng)絡(luò)以及對關(guān)鍵業(yè)務(wù)資源的訪問。它的主要創(chuàng)新點包括：基于策略的訪問控制、身份感知網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的數(shù)據(jù)保密性和完整性保護。創(chuàng)新點包括但基于策略的訪問控制、身份感知網(wǎng)絡(luò)、智能分配和管理安全組標記（SGT）軟件包組、數(shù)據(jù)保密性和完整性。