H3C無(wú)線智能終端識(shí)別技術(shù)助力高校網(wǎng)絡(luò)安全

一、智能終端識(shí)別技術(shù)的產(chǎn)生

隨著高校無(wú)線網(wǎng)絡(luò)的逐步建設(shè)，覆蓋范圍以及使用人群的擴(kuò)大，無(wú)線不再僅僅是一種簡(jiǎn)單的接入方式，其核心應(yīng)該是可以隨時(shí)隨地使用任何設(shè)備，不論是自己的還是學(xué)校提供的設(shè)備接入校園網(wǎng)絡(luò)。這必將帶給學(xué)校網(wǎng)絡(luò)“四多”的變化：

*更多的設(shè)備需要連接到網(wǎng)絡(luò)；

*多種網(wǎng)絡(luò)類型，包括有線、WiFi、VPN等；

*多種設(shè)備類型；

*多種操作系統(tǒng)。

上述變化不僅導(dǎo)致個(gè)人和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)界限變得模糊，同時(shí)由于語(yǔ)音、視頻、遠(yuǎn)程協(xié)作、多媒體文檔或頁(yè)面等應(yīng)用在學(xué)校的日益豐富，加上移動(dòng)接入的需求，要求網(wǎng)絡(luò)資源的分布能夠動(dòng)態(tài)調(diào)整。但與之相比，網(wǎng)絡(luò)安全問(wèn)題卻是學(xué)校網(wǎng)絡(luò)管理者難題，網(wǎng)絡(luò)管理者需要考慮如何能解決以下的問(wèn)題：

*能夠掌控哪些用戶、使用何種設(shè)備、在什么地方允許接入網(wǎng)絡(luò)；

*能夠根據(jù)用戶、設(shè)備、地方、環(huán)境等因素實(shí)現(xiàn)不同的授權(quán)，其中環(huán)境是指用設(shè)備上硬件、反病毒、操作系統(tǒng)等因素；

*能夠基于應(yīng)用實(shí)現(xiàn)授權(quán),例如，上課時(shí)間只允許PC訪問(wèn)校園網(wǎng)內(nèi)部；

*能夠保持網(wǎng)絡(luò)一致性，即整個(gè)網(wǎng)絡(luò)各個(gè)部分實(shí)施的安全策略是一致的、集中的，而不是獨(dú)自實(shí)施自己的安全策略，從而造成安全漏洞；

*能夠?yàn)閬G失的數(shù)據(jù)采取措施。

這些問(wèn)題的解決關(guān)鍵在于必須能夠分辨到網(wǎng)絡(luò)中的每一個(gè)元素，而做到這點(diǎn)的前提就是對(duì)設(shè)備和應(yīng)用的識(shí)別。

二、終端智能識(shí)別

學(xué)校在部署大規(guī)模的無(wú)線網(wǎng)絡(luò)方案，在考慮安全問(wèn)題的同時(shí)以下幾個(gè)功能必不可少：

*注冊(cè)：自帶設(shè)備的首次連接和自注冊(cè)；

*識(shí)別：自帶設(shè)備的識(shí)別；

*認(rèn)證：能夠針對(duì)不同用戶、設(shè)備類型采用不同的認(rèn)證方式；

*授權(quán)：基于用戶、設(shè)備類型、接入時(shí)間、接入地點(diǎn)、設(shè)備環(huán)境的授權(quán)；

*監(jiān)控：網(wǎng)絡(luò)中所有自帶設(shè)備的狀態(tài)、接入時(shí)長(zhǎng)等要素的實(shí)時(shí)監(jiān)控。

其中，對(duì)自帶設(shè)備的類型識(shí)別，是實(shí)施安全、可管理無(wú)線校園網(wǎng)的關(guān)鍵

目前，終端類型多種多樣，包括便攜式電腦、筆記本電腦、掌上電腦、智能手機(jī)、電子閱讀器、IP電子相機(jī)等等，網(wǎng)絡(luò)管理員可以有選擇地允許其中部分類型甚至是一些品牌的設(shè)備進(jìn)入學(xué)校網(wǎng)絡(luò)。通過(guò)識(shí)別終端的設(shè)備類型，管理員可以為不同的設(shè)備推送不同的終端軟件，設(shè)置不同的認(rèn)證方式，或者在Web認(rèn)證方式下推送適合某種終端類型的頁(yè)面，也可以限制其訪問(wèn)網(wǎng)絡(luò)中的敏感數(shù)據(jù)，或者限制的應(yīng)用類型等等。

對(duì)終端類型的識(shí)別，目前主要通過(guò)MAC地址的OUI、DHCP的選項(xiàng)，Web訪問(wèn)請(qǐng)求中的User-agent字段等信息中提取特征字段來(lái)進(jìn)行。一般采取專門的設(shè)備或軟件系統(tǒng)，從而方便整個(gè)網(wǎng)絡(luò)實(shí)施一致的識(shí)別措施，根據(jù)終端類型采取相應(yīng)的安全策略，也允許管理員能夠根據(jù)終端的不斷發(fā)展，制定新的終端類型識(shí)別方法。H3C是通過(guò)iMC軟件系統(tǒng)來(lái)進(jìn)行終端智能識(shí)別的。圖1是H3C iMC系統(tǒng)中已定義的智能終端識(shí)別模板。

圖2 H3C基于無(wú)線接入場(chǎng)景的策略授權(quán)

三、基于場(chǎng)景的策略授權(quán)

智能終端的發(fā)展催生了其上的應(yīng)用層出不窮，我們勢(shì)必要隨時(shí)隨地使用終端訪問(wèn)網(wǎng)絡(luò)。管理員不僅需要能夠控制用戶所訪問(wèn)的目的網(wǎng)絡(luò)，還需要進(jìn)一步限制終端使用的場(chǎng)景。傳統(tǒng)網(wǎng)絡(luò)利用ACL五元組來(lái)實(shí)現(xiàn)對(duì)接入用戶訪問(wèn)范圍的授權(quán)。然而，要實(shí)現(xiàn)更加精細(xì)化的授權(quán)，ACL這種方式在一些情況下不能更為細(xì)致的區(qū)分各種場(chǎng)景。對(duì)于這種情況，必須精確管理用戶的接入時(shí)間、地點(diǎn)、位置等多種元素，才能精細(xì)的管理，采取相應(yīng)的策略。如圖2，學(xué)校在大規(guī)模無(wú)線部署后常常有這樣的疑問(wèn)，如何以有限的資源（網(wǎng)絡(luò)、帶寬等）讓學(xué)生能得到更好的體驗(yàn)，如何能平衡學(xué)生學(xué)習(xí)、娛樂(lè)的關(guān)系使之在特定的時(shí)間地點(diǎn)能更好的體驗(yàn)無(wú)線網(wǎng)絡(luò)帶來(lái)的便捷。例如學(xué)校要求學(xué)生在上課時(shí)間只允許使用自帶的PC訪問(wèn)校內(nèi)，而禁止手持終端訪問(wèn)無(wú)線網(wǎng)絡(luò)以便學(xué)生能專注于學(xué)習(xí)、科研，更合理的使用無(wú)線網(wǎng)絡(luò)。而下課時(shí)間則可以讓學(xué)生使用任何終端（手機(jī)、PC等）訪問(wèn)校內(nèi)和校外資源，盡情的體驗(yàn)無(wú)線帶來(lái)的方便快捷。

四、結(jié)束語(yǔ)

隨著智能終端的發(fā)展，校園無(wú)線網(wǎng)絡(luò)必須適時(shí)應(yīng)變，考慮如何與復(fù)雜多樣的智能終端進(jìn)行融合。在融合過(guò)程中，傳統(tǒng)網(wǎng)絡(luò)中基于用戶角色的認(rèn)證和授權(quán)已經(jīng)不能滿足網(wǎng)絡(luò)安全的需要，需要實(shí)現(xiàn)基于用戶、設(shè)備類型、接入時(shí)間、接入地點(diǎn)、設(shè)備環(huán)境的認(rèn)證和授權(quán)，從而使得設(shè)備類型識(shí)別成為網(wǎng)絡(luò)必不可少的功能部件之一。同樣，對(duì)每個(gè)用戶、每個(gè)設(shè)備的應(yīng)用識(shí)別，讓每個(gè)用戶的網(wǎng)絡(luò)活動(dòng)處于被授權(quán)、記錄之下，是最新校園無(wú)線方案更為詳盡的安全需求，也是實(shí)施更為細(xì)致的QoS策略，更詳盡地監(jiān)控網(wǎng)絡(luò)性能的需要。以此為契機(jī)，推動(dòng)網(wǎng)絡(luò)業(yè)務(wù)更為豐富化，更詳細(xì)的應(yīng)用識(shí)別或環(huán)境識(shí)別將成為高校無(wú)線網(wǎng)絡(luò)的下一步需求。