云計算下的網(wǎng)絡(luò)安全接入方式研究

陳強

摘 要：云計算在當下發(fā)展極為迅速，而云計算下的安全問題也一直備受關(guān)注，重要性也更為突出。網(wǎng)絡(luò)攻擊手段與防護措施一直都在以循環(huán)螺旋的模式發(fā)展，幾乎所有的云計算業(yè)務(wù)都不可能脫離嚴密的安全策略而獨立存在。文章從云計算的業(yè)務(wù)模型入題，剖析當前環(huán)境下網(wǎng)絡(luò)安全面臨的新挑戰(zhàn)，說明安全對云計算的重要性，進而闡述云計算的網(wǎng)絡(luò)準入安全建設(shè)方式如何實現(xiàn)安全的網(wǎng)絡(luò)接入保障。

關(guān)鍵詞：云計算;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)準入

中圖分類號：TP309 ? ? ? ? ? ?文獻標志碼：A ? ? ? ? ?文章編號：1673-8454（2015）04-0075-02

一、引言

云計算（Cloud Computing）是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經(jīng)常是虛擬化的資源。云計算強調(diào)資源請求與資源調(diào)度的分離，實際處理請求的后臺系統(tǒng)與發(fā)出請求的最終用戶之間是一種松耦合關(guān)系。在這種情況下，安全對于云計算服務(wù)的重要性是顯而易見的。在企業(yè)用戶眼里，云計算的靈活性、高性價比、高可靠性都有著無可比擬的優(yōu)勢，但如果在安全性上不過關(guān)，那么沒有一個企業(yè)級用戶會將自己的內(nèi)部數(shù)據(jù)托管到一個存在泄密風(fēng)險的平臺上。

從IaaS到PaaS、SaaS，云計算服務(wù)包含的內(nèi)容越來越多，用戶能夠接觸到的底層信息卻越來越少。由于缺少基礎(chǔ)架構(gòu)的細節(jié)信息，用戶會對接入云服務(wù)的過程提出更高的安全要求，如果云服務(wù)提供商無法滿足這些標準，可能直接導(dǎo)致失去用戶?？梢?，完善的安全機制是云服務(wù)能夠落地的前提條件，云計算的任何一個環(huán)節(jié)對安全防護都提出了相當高的要求。

與安全的重要性相對應(yīng)的是相關(guān)領(lǐng)域發(fā)展的滯后。云計算的安全機制是一個非常龐大的課題，幾乎沒有機構(gòu)或廠家能夠從上到下一手包攬所有細節(jié)，因此業(yè)界也缺乏一個統(tǒng)一的思路來指導(dǎo)安全建設(shè)，加上云計算產(chǎn)業(yè)本身也處于一個高速發(fā)展的階段，遠遠沒有定型，大家對云計算安全架構(gòu)的意見也就更加發(fā)散。

目前為止，在云計算安全方面最有影響力的組織是CSA（Cloud Security Alliance——云計算安全聯(lián)盟）。CSA成立于2009年，是一個致力于推動云計算安全最佳實踐的公開組織，CSA的最高目標是提出一套最優(yōu)的云計算安全建設(shè)指導(dǎo)方案。

網(wǎng)絡(luò)安全是整體安全的一部分，對于云服務(wù)來說，網(wǎng)絡(luò)是輸送服務(wù)的途徑，因此對網(wǎng)絡(luò)的保障非常重要。CSA明確提出了云服務(wù)的挑戰(zhàn)很大一部分來自于“怎樣安全地從云中存取數(shù)據(jù)”，在這種情況下，數(shù)據(jù)傳輸隧道的建立和防護是必不可少的。而VPN通道可以用來保護數(shù)據(jù)的私密性，即使這些數(shù)據(jù)在公網(wǎng)上傳輸。

除了對網(wǎng)絡(luò)傳輸管道本身的保護，對網(wǎng)絡(luò)資源的獲取也是云服務(wù)安全的重要內(nèi)容。其中用戶身份驗證就是最為關(guān)鍵的一部分。授權(quán)的用戶身份是云計算安全的基礎(chǔ)，如果非法用戶獲得了訪問數(shù)據(jù)中心資源和設(shè)備的權(quán)限，那么所有的安全保障措施都岌岌可危?；诖?，可以將復(fù)雜的網(wǎng)絡(luò)安全策略劃分為準入和加密兩個維度。本文將主要圍繞準入展開云計算下網(wǎng)絡(luò)安全接入方式的研究，并介紹不同的準入方式進行對比。

二、網(wǎng)絡(luò)準入的技術(shù)分類

隨著云計算的不斷深入，越來越多的企業(yè)業(yè)務(wù)系統(tǒng)由傳統(tǒng)的C/S架構(gòu)向B/S架構(gòu)遷移，以往訪問后臺數(shù)據(jù)需要安裝專用軟件，IT部門控制客戶端軟件的許可發(fā)放，就能夠大致控制訪問用戶的范圍。而在B/S架構(gòu)中，用戶只需要一個Web瀏覽器即可登錄系統(tǒng)。

另一方面，智能手機、平板電腦和WiFi的流行推動了BYOD（Bring Your Own Device——攜帶自己的設(shè)備辦公）的興起。越來越多的人開始在辦公場所使用自己的無線移動設(shè)備進行公司的業(yè)務(wù)系統(tǒng)訪問，這對數(shù)據(jù)安全造成了嚴重威脅。于是，對網(wǎng)絡(luò)的準入控制被重新提上IT部門日程，只有合法的用戶才能夠介入網(wǎng)絡(luò)。

控制用戶接入網(wǎng)絡(luò)的技術(shù)伴隨網(wǎng)絡(luò)本身的誕生和發(fā)展已經(jīng)衍生出多個派別，每種方式都有自己的特點和使用場景，很難說哪種方式在技術(shù)實現(xiàn)和最終效果上技高一籌，取得絕對的領(lǐng)先地位。在當下的實際環(huán)境中，常見的認證準入方式包括二層準入、三層準入、客戶端準入三種。

1.二層準入

目前大部分網(wǎng)絡(luò)利用DHCP協(xié)議為用戶接入設(shè)備進行IP地址的分發(fā)。二層準入就是用戶在獲得三層IP地址之前必須通過的認證，用戶在接入網(wǎng)絡(luò)之初，需要通過二層連接進行認證數(shù)據(jù)交互，以確保接入身份的合法性。

二層準入的代表實現(xiàn)方式就是802.1x。802.1x協(xié)議是基于C/S的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口，認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。802.1x的認證流程可以歸納為以下四步。

（1）端口初始化。作為認證設(shè)備的接入交換機探測到有一個客戶端連接到一個端口后，會馬上把這個端口置于“未授權(quán)”狀態(tài)，處于“未授權(quán)”狀態(tài)的端口除了802.1x報文不會轉(zhuǎn)發(fā)其他任何流量。

（2）EAP初始化。交換機會定時向一個二層廣播地址發(fā)出EAP請求信令，開啟了802.1x的終端設(shè)備在連接上交換機后會保持偵聽發(fā)往這個二層地址的信號，如果偵測到則回復(fù)一個包含自己ID的EAP應(yīng)答。交換機收到后會通知后臺認證服務(wù)器。

（3）EAP協(xié)商。由于EAP按照實現(xiàn)方式不同分為好幾類，所以在開始用戶身份認證之前需要協(xié)商一個雙方都支持的EAP類型來進行后續(xù)的流程。

（4）用戶身份驗證。用戶身份信息經(jīng)由交換機發(fā)往認證服務(wù)器，根據(jù)認證服務(wù)器的判斷結(jié)果，交換機反饋認證成功或者失敗的報文。如果成功則交換機端口開放，用戶獲得訪問網(wǎng)絡(luò)的權(quán)限，如果失敗則無法進行網(wǎng)絡(luò)訪問。

二層準入所有的流程都在二層環(huán)境下完成，客戶端與交換機之間不會進行IP層面的信令交互。經(jīng)過多年的發(fā)展，802.1x+RADIUS的實現(xiàn)方式已經(jīng)發(fā)展成為一個功能非常強大的準入方案。

二層準入的最大優(yōu)勢就是成熟，市場接受程度很高。不管認證方式還是認證服務(wù)器都能找到多家產(chǎn)品支持。802.1x主要具有以下三個特點：①完全公開的架構(gòu)：802.1x的每一個部分均有相應(yīng)的國際標準，便于企業(yè)用戶自由選擇軟硬件，不受制于特定廠家。②成熟的技術(shù)標準：802.1x是一項非常成熟的技術(shù)，已經(jīng)部署在成千上萬的園區(qū)網(wǎng)中。幾乎每一臺交換機和每一臺終端設(shè)備都支持802.1x，用戶的部署風(fēng)險和成本大幅降低。③完善的認證和授權(quán)機制：802.1x支持密碼驗證、單點登錄、支持所有主流服務(wù)器，可以滿足大部分用戶的需要。

2.三層準入

隨著無線終端的推廣和普及，802.1x在某些方面漸漸顯得力不從心，三層準入方式就在這種環(huán)境下應(yīng)運而生。三層準入即Web認證，認證過程通過一個Web頁面完成。配置了Web認證的交換機在做三層準入認證時大致分為以下幾個步驟。

（1）交換機端口進入有限接入狀態(tài)。進行Web認證的接入交換機不會完全屏蔽端口，相反會將這個端口放入一個可以轉(zhuǎn)發(fā)數(shù)據(jù)的vLan。但僅能實現(xiàn)一些基本的數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)，如DHCP、DNS等。

（2）客戶端觸發(fā)認證流程。當交換機端口進入有限轉(zhuǎn)發(fā)的狀態(tài)后就可以正式對客戶端設(shè)備進行驗證了。由客戶端設(shè)備網(wǎng)卡向DHCP請求IP地址，或發(fā)送ARP報文時交換機會將設(shè)備記錄入冊并開啟一Web計時器。

（3）用戶身份認證?？蛻舳嗽O(shè)備獲得IP地址后，用戶通過瀏覽器自動發(fā)起HTTP請求，交換機截取請求并重定向到預(yù)先設(shè)置好的認證頁面上，通過用戶名、密碼等信息的輸入最終確定認證是否成功。

近年來Web認證的發(fā)展非常迅速，特別是在無線等環(huán)境下得到了大規(guī)模的部署。相較于二層準入，三層準入具備輕便、簡單的優(yōu)勢，主要有零客戶端、使用簡單、安全性較弱、不支持單點登錄、不支持機器認證等特點。

3.客戶端準入及其特點

除了二、三層準入認證之外，還有一種認證方式就是客戶端認證?？蛻舳苏J證表現(xiàn)方式非常多樣，涉及廠家產(chǎn)品也較多。絕大部分產(chǎn)品還會集合終端安全管理等功能，一方面從操作系統(tǒng)接受802.1x的認證流程，一方面對操作系統(tǒng)做健康檢查。

客戶端準入認證的功能最為全面，并且安全性最高。但最大問題在于實現(xiàn)方式的不統(tǒng)一，各廠家從實現(xiàn)原理到界面都千差萬別。由于沒有公開標準，導(dǎo)致兼容性及平臺過度均有問題，此外部署復(fù)雜、維護工作量大也是其主要問題。

三、結(jié)論

企業(yè)網(wǎng)的準入是一項非常特殊的技術(shù)，最終用戶的體驗決定一個項目的成敗。每種準入認證方式均有其優(yōu)缺點，在云計算的大環(huán)境下，我們更應(yīng)該根據(jù)實際需要做出相應(yīng)的選擇。但針對完美的網(wǎng)絡(luò)準入方案，我們希望其具備可延續(xù)性、高可用性、靈活性、整合性等特點。

參考文獻：

[1]徐立冰.騰云——云計算和大數(shù)據(jù)時代網(wǎng)絡(luò)技術(shù)揭秘[M].北京：人民郵電出版社，2013.（編輯：魯利瑞）