基于用戶群的園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認證策略

黃 嶺，劉 巍

（工程兵指揮學院 教育技術(shù)中心,江蘇 徐州 221004）

基于用戶群的園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認證策略

黃 嶺，劉 巍

（工程兵指揮學院 教育技術(shù)中心,江蘇 徐州 221004）

通過對園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認證現(xiàn)狀的簡述，提出了基于用戶群的網(wǎng)絡(luò)接入控制和認證策略，分析其組成因素和實施的原則以及其優(yōu)點。

用戶群；網(wǎng)絡(luò)接入控制；認證策略；園區(qū)網(wǎng)

一、網(wǎng)絡(luò)接入控制和認證現(xiàn)狀

現(xiàn)有的網(wǎng)絡(luò)接入控制技術(shù)手段主要是：靜態(tài)IP+MAC綁定、IEEE802.1x以及思科的NAC框架體系。對于終端的接入認證主要采用的是Web/Portal認證以及IEEE802.1x+Radius認證的方式。這些接入控制和認證技術(shù)，存在著各自的優(yōu)點與不足。

在園區(qū)網(wǎng)管理方式中，大多數(shù)對網(wǎng)絡(luò)接入控制和認證方法的選擇較為單一，在最大化技術(shù)手段的長處的同時，也將技術(shù)手段的不足進行了無形的放大，例如802.1x+Radius認證的方式在園區(qū)網(wǎng)中得到廣泛的應(yīng)用，但是Radius認證服務(wù)器在無形中成為一個單點故障，一旦認證服務(wù)器出現(xiàn)故障無法正常響應(yīng)認證請求，則需要手工去除所有接入層交換機端口的802.1x的配置選項，工作量大并且影響園區(qū)網(wǎng)中某些重要終端的工作使用；Web/Portal認證容易部署，方便用戶的使用，但是在無法確保二層安全的前提下，直接使用七層技術(shù)進行認證顯得不夠可靠。是否可以將多種接入控制和認證手段綜合起來使用，發(fā)揮各自的優(yōu)勢，以適應(yīng)園區(qū)網(wǎng)復雜的應(yīng)用環(huán)境，成為一個值得討論研究的問題。

二、基于用戶群的網(wǎng)絡(luò)接入控制和認證策略

所謂園區(qū)網(wǎng)用戶群是指為了便于進行網(wǎng)絡(luò)管理而人為地對所有用戶進行的邏輯劃分，在特定的網(wǎng)絡(luò)環(huán)境中可能與用戶的隸屬關(guān)系、工作的地理位置有一定程度的相同，但就更一般的網(wǎng)絡(luò)環(huán)境而言，它與傳統(tǒng)的用戶分組是不同的，它的定義和分類主要是基于圖1中的因素。

1.用戶的主要網(wǎng)絡(luò)行為

用戶的主要網(wǎng)絡(luò)行為是指用戶終端的功能角色對網(wǎng)絡(luò)狀態(tài)的需求性質(zhì)。持續(xù)性的，如學校與科研機構(gòu)的一些專業(yè)專用的服務(wù)器或其他設(shè)備，這些用戶終端需要不斷地發(fā)送或接收數(shù)據(jù)，保持相關(guān)服務(wù)的持續(xù)可利用性。間斷性的，如大部分的園區(qū)網(wǎng)辦公終端，普通的用戶終端，教學使用的終端等，此類用戶終端只是在用戶需要使用網(wǎng)絡(luò)時才會對網(wǎng)絡(luò)產(chǎn)生需求，一般使用的時間相對集中。

對于網(wǎng)絡(luò)有持續(xù)性需求的用戶終端，由于IEEE802.1x需要部署客戶端程序進行人為控制的認證，并且基于安全的因素考慮，IEEE802.1x的認證會開啟定時的重認證，在無人值守的情況下可能會使網(wǎng)絡(luò)端口無法經(jīng)過認證而處于關(guān)閉的狀態(tài)，不宜采用IEEE802.1x的接入控制。對于此類終端用戶的網(wǎng)絡(luò)接入控制可以采用傳統(tǒng)的靜態(tài)IP+MAC的綁定方式，如需要進一步考慮安全因素，可以結(jié)合VLAN的劃分和開啟接入層交換機端口的安全特性來防止用戶篡改合法IP和MAC地址。而終端的認證可以使用Web/Portal方式，在二層安全的前提下，直接使用七層來進行認證也是合理可行的。

對于間斷性網(wǎng)絡(luò)需求的用戶終端，如果對于安全因素考慮比較重大，則可以采用IEEE802.1x的接入控制方式，配合Radius的認證。如果安全因素比重較小，則可以使用靜態(tài)的IP+MAC的綁定方式，結(jié)合Web/Portal的認證方式。

2.用戶的流動性

用戶的流動性是指網(wǎng)絡(luò)接入?yún)^(qū)域內(nèi)終端使用者變動或終端變動的頻率程度。流動性大的區(qū)域，如參加短期培訓學習或者會議的用戶終端，特別是園區(qū)網(wǎng)中的學生群體，其特點是使用者固定，但是終端更換可能很頻繁。流動性小的區(qū)域，如園區(qū)網(wǎng)的辦公終端，教學使用終端等。

對于流動性大的區(qū)域的網(wǎng)絡(luò)接入控制，出于安全考慮以及非法接入的可能性，應(yīng)該使用IEEE802.1x控制接入端口的狀態(tài)，結(jié)合Radius進行身份認證，同時可以根據(jù)實際情況需要對網(wǎng)絡(luò)接入的用戶身份、用戶網(wǎng)絡(luò)參數(shù)、交換機信息進行選擇性的綁定，從而對用戶或終端的流動性進行限制。而對于流動性小的區(qū)域，可以沿用靜態(tài)的綁定方式，使用Web/Portal認證方式，也可以選擇IEEE802.1x進行接入控制，但是不適合做基于Radius的認證綁定，在流動性小的區(qū)域中，教室使用的公共教學機器屬于使用人變動頻率快、終端不變的特殊情況，如果做認證綁定則使用者發(fā)生變化時需要進行解綁操作，增加網(wǎng)絡(luò)管理維護的工作量。

3.用戶的計算機網(wǎng)絡(luò)知識層次

用戶對計算機技術(shù)以及網(wǎng)絡(luò)技術(shù)應(yīng)用的了解認識程度也決定了網(wǎng)絡(luò)接入控制和認證的策略。用戶的知識層次高，則意味著可能對網(wǎng)絡(luò)的使用不僅僅是應(yīng)用層面的，對網(wǎng)絡(luò)的結(jié)構(gòu)、數(shù)據(jù)傳輸、安全設(shè)置等都有一定的了解和認識，此類用戶可能會改變使用終端的網(wǎng)絡(luò)參數(shù)，也可能對網(wǎng)絡(luò)的安全策略進行挑戰(zhàn)，對一些攻擊或不良軟件的使用也更為靈活熟練。知識層次低的用戶對網(wǎng)絡(luò)的使用一般僅限于對網(wǎng)絡(luò)的應(yīng)用，也就是基于網(wǎng)絡(luò)的各種應(yīng)用程序，對于網(wǎng)絡(luò)參數(shù)的設(shè)定不會做出改變，不會對網(wǎng)絡(luò)底層的策略、設(shè)置進行修改。

如果完全依據(jù)用戶的計算機網(wǎng)絡(luò)知識層次來進行用戶群的劃分，也缺乏合理的考量，需要建立對知識層次高的用戶群的社會道德和法律認知度的模型，思科以及其他一些著名的網(wǎng)絡(luò)方案提供商在考慮網(wǎng)絡(luò)構(gòu)建的安全性時都將用戶對社會道德的責任感和對法律的認知度作為一個重要的網(wǎng)絡(luò)安全評估因素，通過該模型對用戶群的安全等級及管理策略進行評估。

對于計算機網(wǎng)絡(luò)知識層次較高的用戶群，要分析其權(quán)限可以控制的有價值的重要資源，其擁有的重要資源，對其存在的潛在利益關(guān)系進行假定性分析，確定其安全的等級，進而選擇合適的網(wǎng)絡(luò)接入控制方法，對于安全等級較低的用戶群，可使用IEEE802.1x+Radius的控制認證手段，對接入的端口進行嚴格的控制，同時利用管理軟件對相關(guān)接入的網(wǎng)絡(luò)參數(shù)如IP地址、MAC地址、交換機端口和用戶賬戶進行綁定。而安全等級評估較高的用戶，說明其沒有潛在的利益關(guān)系，同時所掌握或控制的重要資源有限，可以采用較為方便的靜態(tài)分配地址、靜態(tài)綁定、Web/Portal認證的方式。

而知識層次較低的用戶群，根據(jù)對其進行評估而進行接入控制與認證的選擇。如果其安全等級較高，則為方便其使用，可以采用靜態(tài)綁定，Web/Portal認證的方式，為防止他人非法接入獲取資源，還需要對接入的交換機開啟端口安全特性。若安全等級評估較低，則也需要對其實施較為嚴格的控制和認證策略。

在實際實施基于用戶群的網(wǎng)絡(luò)接入控制和認證策略時，不能只是獨立考慮圖1中的某個因素，每個劃分的用戶群的屬性都可能跨越多個因素，需要進行科學的用戶群劃分，才能將網(wǎng)絡(luò)管理的策略優(yōu)勢最大化。

三、基于用戶群的網(wǎng)絡(luò)接入控制和認證策略的優(yōu)點

1.減輕安全設(shè)備的壓力，分流認證流量，防止單點故障的出現(xiàn)

Web/Portal認證需要通過防火墻來進行觸發(fā)認證行為，單一的Web/Portal認證對于大型的園區(qū)網(wǎng)而言，可能會增加防火墻等安全設(shè)備的壓力，而純粹的Radius認證又過于依賴認證服務(wù)器的狀態(tài)，基于IEEE802.1x的Radius認證一旦失去了認證服務(wù)器的支持，則所有的網(wǎng)絡(luò)接入端口將全部處于關(guān)閉的狀態(tài)，重新恢復的工作量將非常大。多種策略的部署可以有效地防止單點故障造成整個網(wǎng)絡(luò)無法使用的現(xiàn)象出現(xiàn)。

2.機制靈活，降低網(wǎng)絡(luò)管理的難度與繁雜度

在同一網(wǎng)絡(luò)環(huán)境中部署不同接入控制和認證策略，看似將網(wǎng)絡(luò)管理維護的復雜度增加了，但是在實際操作過程中，由于各種接入控制與認證策略分流了網(wǎng)絡(luò)故障同時發(fā)生的情況，所以也在一定程度上減輕了網(wǎng)絡(luò)管理工作的繁雜度。

3.科學合理，側(cè)重網(wǎng)絡(luò)管理的主動性

通過科學地對用戶進行群的劃分，可以主動面對網(wǎng)絡(luò)管理中存在的一些問題，將部分問題解決在萌芽狀態(tài)，變網(wǎng)絡(luò)管理的被動性為主動性，提高網(wǎng)絡(luò)管理的質(zhì)量。

四、結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)的安全問題越來越突出，基于用戶群的網(wǎng)絡(luò)接入和認證策略只是局限于網(wǎng)絡(luò)安全底層的一種管理方式，對于更高層的網(wǎng)絡(luò)安全問題，可以結(jié)合其他網(wǎng)絡(luò)安全設(shè)備以及網(wǎng)絡(luò)應(yīng)用，從而形成一種基于用戶群的網(wǎng)絡(luò)安全防護體系，提高園區(qū)網(wǎng)的安全防護等級。

（編輯：金冉）

TP393.1

文章編號：1673-8454（2010）21-0023-02