（计算机应用技术专业论文）校园网可信运行保障系统中接入控制的设计与实现.pdf

摘要 摘要 “校园网可信运行保障系统接入控制研究 是北京市科委计划项目“校园网 可信运行保障系统研究”的子课题，它是基于可信网络架构思想提出的。校园网 可信运行是指通过对校园网中已有的可网管的联风设备、网络安全产品以及网络 管理子系统和网络安全子系统的有效整合和管理，在整个校园网的范围内实现对 异常网络事件的快速判定和响应，从而全面提高校园网的可用性和可控性。在开 放的网络环境下，校园网数据通信非常易遭受安全攻击，有甚者利用网络蠕虫病 毒导致整个网络瘫痪，而其中的不安全因素主要是由边缘不可控的客户端造成 的。 本文选用了8 0 2 1 x 协议作为可信网络接入层的实现技术手段，减轻了网络 封装开销，降低了建网成本，同时使得用户在使用网络设备享用网络服务时，必 须在接入点先通过认证，这样增强了对边缘客户端的控制力，增强了网络整体的 安全性。同时拓展了的8 0 2 1 x 客户端软件，除了实现最基本的认证功能外，还 可以对客户端进行操作系统校验、杀毒软件校验、客户端软件自身校验，以及异 常数据监控和信息上报功能，提高了整个系统的安全水平，充分发挥了客户端作 为网络中最底层设备的安全防护功能，体现了可信网络中利用所有网络设备进行 安全防护的思想。 本文共分为五个部分，分别介绍了可信网络和身份认证技术的发展状况， 8 0 2 1 x 协议的特点及与可信网络的结合策略，基于8 0 2 1 x 协议可信网络的网络 架构和组建模型，安全客户端的设计及实现，以及可信网络系统的测试。论文的 最后部分总结了校园网可信运行保障系统接入控制的优势和不足，并对未来的工 作进行了展望。 关键词可信网络；8 0 2 1 x ；安全客户端 a b s t r a c t a b s t r a c t “t h er e s e a r c hf o ra c c e s sc o n t r o io ft r u s t e da s s u r a n c es y s t e mi nc a m p u s i n t r a n e t ”i sas u b p r o j e c to fb e i j i n gt e c hc o m m i t t e e p r o g r a m m e 一- “t h e r e s e a r c hf o rt r u s t e da s s u r a n c es y s t e mi nc a m p u si n t r a n e t ”w h i c hi s d e v e l o p e db a s eo nt h e o r yo ff r a m e w o r ko ft r u s t e dn e t w o r k t h em o d eo f t r u s t e dn e t w o r ko p e r a t i o ni n c l u d e s e f f e c t i v e l yc o n t r o l a n di n t e g r a t i o no f e x i s t i n gi n t r a n e tm a n a g e m e n te q u i p m e n t ，n e t w o r ks e c u r i t yf a c i l i t y ，a n do t h e r s u b s y s t e m ，t op r o m p t l yd e t e c ta n dr e s p o n s et oa n ya b n o r m a le v e n t ，t h e r e f o r e e n h a n c et h eu s a b i l i t ya n ds t a b i l i t yo fc a m p u si n t r a n e t a p p a r e n t l y ，c a m p u s i n t r a n e ti sa ne n v i r o n m e n tt h a th a c k e r sm o s ta c t i v a t e d i nt h eo p e nn e t w o r k 。 d a t ac o m m u n i c a t i o ni sv u l n e r a b l e ，a n ds o m eo n ee v e nt r yt os h u td o w nt h e w h o l ei n t r a n e tw i t hw o r m c o n s e q u e n t l y 。c u r r e n tu n s e c u r ef a c t o ri sm o s t l y c a u s e db yt h o s eu n c o n t r o l l a b l ec l i e n t s i nt h i ss y s t e m ，w ec h o o s e8 0 2 1xp r o t o c o la st h ec o n n e c t e dl a y e ro ft r u s t e d n e t w o r k ，a n di tw i l ie l i m i n a t eb o t t l e n e c ki nt h en e t w o r k ，d e c r e a s i n gc o s to f i n t e r n ea n dh a r d w a r e b yi m p l e m e n t a t i o no fi e e e8 0 2 1 x 。u s e r sh a v et oc e r t i f y b e f o r ea c c e s st oi n t e r n e t 。c o n s e q u e n t l ye n h a n c et h ec o n t r o lo fc l i e n t 。a sw e l l a ss e c u r i t y i na d d i t i o n ，8 0 2 1xc l i e n ts o f t w a r ed e v e l o p e de ) ( t e n d e df u n c t i o n s ， t h ec l i e n tc a na l s oc h e c kf o ro p e r a t i n gs y s t e ma n da n t i v i r u ss o f t w a r ec h e c k ， c h e c kt h e i ro w nc l i e n ts o f t w a r e 。a sw e l ia sa b n o r m a id a t am o n i t o r i n ga n d r e p o r t i n gi n f o r m a t i o nf u n c t i o n s ，i m p r o v et h el e v e lo fs e c u r i t yt h r o u g h o u tt h e s y s t e m ，g i v ef u l lp l a yt ot h ec l i e n ta st h en e t w o r ke q u i p m e n ti nt h eb o s o mo f t h es e c u r i t y t h et h e s i sc o n t a i n s5c h a p t e r s ，r e s p e c t i v e l yi n t r o d u c e st h ed e v e l o p m e n to f t r u s t e dn e t w o r ka n di dc e r t i f i c a t i o nt e c h n o l o g y ，c o m b i n a t i o no f8 0 2 1 xp r o t o c o l a n dt r u s t e dn e t w o r k ，f r a m e w o r ka n dm o d e l i n gb a s e d8 0 2 1 xt r u s t e dn e t w o r k ， d e s i g na n di m p l e m e n t a t i o no fs e c u r i t yc l i e n t ，a n dt r u s t e dn e t w o r kt e s t t h e f i n a ic h a p t e rs u m m a r i e st h ep r o sa n dc o n so ft h er e s e a r c hf o ra c c e s sc o n t r o l o ft r u s t e da s s u r a n c es y s t e mi nc a m p u si n t r a n e t ，a n dp e r s p e c t i v ef o rf u t u r e p r o g r e s s k e yw o r d st r u s t e dn e t w o r k ；8 0 2 1x ：s e c u r i t yc l i e n t i i i 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：日期：2 珊，牛 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：丛垫导师签名：主：咝嗍出 第l 章绪论 1 1 研究背景和意义 第1 章绪论 随着高校信息化进程的推进，高校校园网的规模也越来越大，校园网上运行 的应用系统越来越多。而在校园网上进行正常的教学和学习、正常的信息交换和 学术交流的同时也存在着信息保密的问题。目前校园网络所面临的安全威胁来自 各个方面，在这种复杂的环境中，如何保证数据的安全、校园网的畅通、各类信 息的准确性和保密性，成为目前很多校园网建设急需解决的问题n h 羽。 而校园网可信运行保障系统是基于可信网络架构( t n a ，t r u s t e dn e t w o r k a r c h i t e c t u r e ) 来提出的h h 们。校园网可信运行保障系统把网络设备与网络安全 管理联系了起来。改变了在传统的网络安全解决方案中，网络安全管理主要是部 署安全设备，没有考虑网络设备自身在网络安全管理中作用的状况。 现有的校园网可信运行系统主要包含三个部分：提取用户行为、威胁评定、 自动策略生成并部署。整个系统是一个闭环的结构：当网络中出现安全威胁时， 行为提取部分会发现相关网络设备产生的一系列变化，进而这些变化会通过威胁 评定部分进行分析以便得出如何处理的建议，最后由策略自动生成并部署部分把 针对不同设备生成的相应策略，通过标准的方式发送给各个设备。现有系统的优 点是充分利用的各种网络设备可以对外公开提供的访问接口，采取模拟网络管理 人员手工操作的方式实现自动将大量网络设备运行状况进行收集；将各种网络设 备提供的不同结构的数据进行关联和分析，将一条条孤立的警告或状态信息变为 关联后的事件。而现有系统的缺点也很明显，主要是用户接入控制相关功能不完 善，网内用户身份认证的客户端的功能仅限于实现身份认证，对操作系统以及数 据流量等重要数据指标没有校验和监测，缺乏更有效的安全保障。系统结构不够 灵活。由于部署i d s 设备的费用昂贵，监测对异常数据的收集和威胁发现只有在 核心设备上才可以进行，造成对威胁响应的滞后甚至忽略。在继续遵循可信网络 架构的前提下，本文将主要从安全客户端的角度对系统进行改进。 1 2 可信运行保障系统的发展状况 目前可信网络系统架构主要为思科的n a c 架构，微软的n a p 架构，以及可 信计算组织的t n c 架构。 北京工业大学工学硕士学位论文 1 2 1c i s c on a c 架构 伽等等星。 。二荤嗣黜r 冒o 曼，+ _ i 蔷一鄹 善爷罾i 蓦囊墨 1 2 2m i c r o s o f tn a p 架构 微软公司基于目前引起网络瘫痪的大部分安全问题是由于接入计算机不安 全造成的，提出了“网络接入保护技术 ( n a p ，n e t w o r k a c c e s sp r o t e c t i o n ) 。微 软n a p 架构目前虽还尚未普遍，但已经有多达6 0 多家厂商支持，w i n d o w ss e r v e r 第1 章绪论 皇! 曼曼皇曼曼蔓曼曼皇曼皇曼曼鼍曼曼舅i n 一。一i n e e 。i i i i i i ii 曼 系统自a c t i v ed i r e c t o r y 架构以来，缺少良好的安全政策管理与政策执行能力， 而作为为微软下一代操作系统w i n d o w sv i s t a 和w i n d o w ss e r v e rl o n g h o i t i 设计的 新的操作系统组件叫a p 架构则要解决此问题。n a p 架构借助许多机制来执 行安全政策，像是利用i p s e c 主机认证、8 0 2 i x 、v p n 或d h c p 等，微软将把 n a p 架构开发成一套开放的安全架构标准【8 j 。 如图1 2 所示，n a p 架构可以在访问私有网络时提供系统平台健康校验。n a p 平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态，对不符 合健康策略需求的客户端限制其网络访问权限。 r m e d 酬o n t ”r 口w m - _ mk c 0 图1 2m i c r o s o f tn a p 架构 f i g u r e1 - 2m i c r o s o f tn a p s t r u c t u r e 该项技术的局限性在于：它是一种基于主机操作系统的技术，不含与网络设 备之间的相互通信和协同，因此对安全事件的处理和控制力度不够，对于来自底 层的网络感染起不到真正的防护作用。 1 2 3t n c 架构 国内网络安全界在2 0 0 4 年提出了“可信网络架构”的概念。所谓的可信网 络架构是一个通过对现有网络安全产品和网络安全子系统的有效整合和管理，并 结合可信网络的接入控制机制、网络内部信息的保护和信息加密传输机制，实现 全面提高网络整体安全防护能力的可信网络安全技术体系【9 j - 【1 1 】。该体系主要通过 有效整合、管理与监管网络安全资源，达到有效提升用户网络安全防御能力的目 的。其主要的局限性在于只强调网络安全资源的整合，忽略了网络连接设备在网 络安全控制和管理中发挥的重要作用。 t n c 架构的主要目的是通过提供一个由多种协议规范组成的框架来实现一 套多元的网络标准，它提供如下功能： 平台认证：用于验证网络访问请求者身份，以及平台的完整性状态。 终端策略授权：为终端的状态建立一个可信级别，例如：确认应用程序的存 北京工业大学工学硕士学位论文 在性、状态、升级情况，升级防病毒软件和i d s 的规则库的版本，终端 操作系统和应用程序的补丁级别等。从而使终端被给予一个可以登录网 络的权限策略从而获得在一定权限控制下的网络访问权。 访问策略：确认终端机器以及其用户的权限，并在其连接网络以前建立可 信级别，平衡已存在的标准、产品及技术。 评估、隔离及补救：确认不符合可信策略需求的终端机能被隔离在可信网 络之外，如果可能执行适合的补救措施。 1 2 4 可信架构分析 架构n a c 、n a p 和t n c 技术的目标和实现技术具有很大相似性。 首先，其目标都是保证主机的安全接入，即当p c 或笔记本接入本地网络时， 通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息 外，还验证终端是否符合管理员制定好的安全策略，如：操作系统补丁、病毒库 版本等信息。并各自制定了自己的隔离策略，通过接入设备( 防火墙、交换机、 路由器等) ，强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问 补丁服务器进行下载更新。在验证终端主机没有安全问题后，再允许其接入被保 护的网络。 其次，三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入 控制三个主要层次。n a c 分为：h o s t s a t t e m p t i n g n e t w o r k a c c e s s 、n e t w o r k a c c e s s d e v i c e 、p o l i c ed e c i s i o np o i n t s 三层；n a p 分为：n a p 客户端、n a p 服务器端、n a p 接入组件( d h c p 、v p n 、i p s e c 、8 0 2 。l x ) ；t n c 分为a r 、p e p 、p d p 三层。 同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。 n a c 由于是c i s c o 发布的，所以其构架中接入设备的位置占了很大的比例，或 者说n a c 自身就是围绕着思科的设备而设计的；n a p 则偏重在终端a g e n t 以及 接入服务p n 、d h c p 、8 0 2 1 x 、i p s e c 组件) ，这与微软自身的技术背景也有很 大的关联；而t n c 技术则重点放在与t p m 绑定的主机身份认证与主机完整性验 证，或者说t n c 的目的是给t c g 发布的t p m 提供一种应用支持1 1 2 1 1 1 3 】。 1 3 身份认证技术的发展现状与分析 安全身份认证是可信网络架构的基础，如果能够将用户身份认证与用户的接 入端口联系在一起，网络管理者将很容易地通过对指定端口的控制，允许合法用 户入网和拒绝非法用户的访问。目前局域网中比较流行的认证技术主要有： p p p o e 和w e b p o r t a l 以及8 0 2 1 x 协议。 第1 章绪论 1 3 1p p p o e ( p p po v e re t h e r n e t ) 此技术采用以太网报文封装p p p 报文的形式实现点到点的信息交流。由于i p 包和p p p 报文不兼容，必须有专门的设备终结p p p 报文并转换成i p 报文，这种 设备就是宽带远程接入服务器( b r a s b a n d w i d t hr e m o t e a c c e s ss e r v e r ) 1 1 4 】。用 户和宽带接入服务器之间采用以太网封装p p p 报文，其通信过程包括两个阶段， 即发现阶段和会话阶段。 优点 一p p p o e 采用地址集中分配方式，接入用户只有认证通过后才获得i p 地址， 因而其特点是地址利用率高，尤其适合目前大量散户接入的应用场合。 而且接入用户不需要在网卡上设置固定i p 地址、默认网关和域名服务 器，利用p p p 拨号软件即可上网。 不足 ， p p p o e 方式在整个通信过程都必须进行p p p o e 的封装，效率较低，随着 用户数量的大量增加对b r a s 设备的性能要求呈指数上升。 - 而且b r a s 设备的价格比较昂贵，除专门电信公司外，其它机构很难担 负数台设备的费用。 一 由于用户到接入设备问用的是点到点连接，对组播的实现造成了困难， 如果要在p p p o e 上实现组播，必须在接入网关b a s 上把组播流复制到 相应的p p p 连接上，加大了b a s 的负担。 1 3 2w e b p o r t a l 现在比较流行的一种认证方式，计算机启动时通过d h c p 动态得到i p 地址， 之后用户无论在浏览器里输入什么请求都会被b r a s 截获重定向到b r a s 自带 的w e bs e r v e r , w e bs e r v e r 返回给用户一个运营商要求认证的p o r t a l 页面，用户 输入账号和密码向w e bs e r v e r 提交认证请求，w e bs e r v e r 作为r a d i u s 1 5 】的 c l i e n t 端把认证信息传送到r a d i u ss e r v e r ，认证成功后用户的i p 地址被加入到 b r a s 的允许访问列表，此时用户可以上网。d h c p 租赁时间到期或者用户主动 访问b r a s 的页面请求注销时，b r a s 将用户的i p 地址从访问列表中删除，同 时生成一条计费信息传送给凡如i i u ss e r v e r 。 优点 一这种方式相对于p p p o e 不用特别附加的网络设备，不用安装客户端软件， 成本低廉。 不足 北京工业大学工学硕士学位论文 一w e b p o r t a l 方式属于应用层认证机制，而端口接入服务是数据链路层的 认证，用高层协议解决低层协议问题，势必带来一些问题，例如：i p 地 址争夺；非法用户认证前就已经接入l a n ，对网络安全构成威胁。 与p p p o e 相比较，w e b p o r t a l 的b r a s 必须保留一张允许访问列表，每 个用户数据包进来的时候都必须检查该访i 口- j y o 表，因此在大用户量接入 的时候可能成为瓶颈。 1 3 38 0 2 1 x 协议及其优势 i e e e8 0 2 1 x 是i e e e 为了解决基于端口的接入控制而定义的标准，8 0 2 1 x 在某些方面要优越于已有的认证机制，有关8 0 2 1 x 的详细内容将在下一章节介 绍。下面将i e e e 8 0 2 1 x 与其他认证技术做一简单比较，如表1 1 所示： 表1 - 18 0 2 1 x 与p p p o e 及w e b p o r t a l 认证技术的比较 t a b l e1 - 18 0 2 1 xa n dp p p o ea n dw e b p o r t a la u t h e n t i c a t i o nt e c h n o l o g yc o m p a r i s o n 认证技术 p p p o e台b p o r t a l8 0 2 i x 标准化程度 r f c 2 5 1 6 运营商定义i e e e 标准 i s o 层 数据链路层 应用层 数据链路层 封装开销大 小小 控制方式认证流和数据流统认证流和数据流分认证流和数据流分 离离 设备特殊要 b r a sw 如服务器具备8 0 2 1 x 的交换 求机 组播不支持支持支持 i p 地址分配认证后分配认证前分配认证后或者认证前 分配 终端软件需要不需要( 有i e 浏览需要 器即可) 计费以用户为粒度进行以用户为粒度进行以端口为粒度进行 计费 计费 计费；也实现对用户 信息的绑定。 总体而言，p p p o e 技术成熟、效率低、设备昂贵、对组播等新业务支持能力 差；w e b p o r t a l 可以实现较多的增值业务，同时可以很好的支持组播业务，但 w e b 认证目前没有统一的标准，其采用应用层协议解决链路层接入问题，存在很 大风险，导致很多网络安全隐患。相比之下8 0 2 1 x 存在以下优势： 第1 荦绪论 简洁高效：以太网技术内核，保持i p 网络无连接特性，去除冗余昂贵的多 业务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业务。 容易实现：可在普通二层或三层交换机上实现，网络综合造价成本低。 安全可靠：在二层网络上实现用户认证，结合m a c 、端口、用户名和密码 等，具有较高的安全性。 行业标准：i e e e 标准，微软操作系统x p 内置支持。 易于运营：控制流和业务流完全分离，易于实现多业务运营，统包月制等单 一收费制网络即可升级成运营级网络1 1 6 1 。 所以，研究并实现8 0 2 1 x 认证技术，有益于完善l a n 的认证机制和安全 机。带l i 。 ， 北京丁业大学工学硕士学位论文 第2 章8 0 2 1 x 协议与可信网络 2 1i e e e8 0 2 1x 的体系结构 8 0 2 1 x 源于i e e e8 0 2 1 1 无线以太网协议( e a p o w ) ，是i e e e 为了解决基 于端口的接入控制而定义的标准，被称为基于端口的访问控制协议( p o ab a s e d n e t w o r ka c c e s sc o n t r o lp r o t o c 0 1 ) 。i e e e 于2 0 01 年正式提出8 0 2 1 x 协议标准，也 算是一个新的认证协议了，所以支持他的客户机并不多，目前只有w i n d o w s x p 支持该协议。其他平台上如果要实现i e e e8 0 2 1 x 认证就需要自己开发客户端软 件。随着协议的发展于两年前开始逐渐成熟并得到应用。因为其特有的体系结构， 它在以太网中的引入解决了传统的p p p o e 和w e b p o r t a l 认证方式带来的部分问 题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本【1 7 】。 如图2 - 1 所示为i e e e8 0 2 1 x 的体系结构： r 春芦磊素磊一 ；+ 议证素磊。_ 诚厂_ 1f 谈面西。 器系统 客户端端口设备端认证系统端口 e a p ： 状态实体 服务实体 状态实体 认证服务器 - ；受控端口非受控端口 ；弋七端譬一i tm a c e n a b l e 一一一- r e a p o l ) l a n 图2 - 1 i e e e8 0 2 1 x 体系结构 f i g u r e ：2 - 1 i e e e8 0 2 1 xa r c h i t e c t u r e i e e e8 0 2 1 x 体系结构包括三个部分：客户端系统；认证系统( 能够终结 e a p o l 的智能交换机) ；认证服务器系统( r a d s 服务器) 。其中客户端系统 与认证系统之间采用e a p o l ( e a po v e rl a n ) 协议进行通信，而认证系统与认 证服务器系统之间采用e a p o r ( e a po v e rr a d i u s ) 协议进行通信【1 8 】。该协议 适用于接入设备与接入端口间点到点的连接方式，主要功能是限制未授权设备 ( 终端计算机) 通过以太网交换机的公共端口非法访问局域网。 i e e e8 0 2 1 x 体系结构的主要技术特点如下： 基于数据链路层的接入端口认证技术：i e e e8 0 2 1 x 协议是基于局域网数据 链路层的增强协议，实现简单，不需要利用网络层，因此i e e e8 0 2 1 x 的网 第2 苹8 0 2 1 x 协议与口 信i 网络 络环境可以建立在第2 层交换平台之上，对设备的整体性能要求不高，也可 以有效地降低建网成本，适用范围广。 认证流和用户业务数据流分离：i e e e8 0 2 1 x 的认证体系结构中将一个以太 网的物理端口划分为两个逻辑端口：“受控端口( c o n t r o l l e d p o r t ) ”和“非受 控端口( u n c o n t r o l l e dp o r t ) ，如图2 1 所示，从而可以实现用户业务数据流 与认证流的分离。 非受控端口始终处于可通信状态，用于传输认证信息；受控端口用于传送正 常的用户数据，但只有在该端口认证成功时，才能传输用户数据。非受控端口实 质上是i e e e8 0 2 1 x 协议为端口用户建立的逻辑认证通道，该逻辑通道对用户是 不可见的，因此，用户无法利用该逻辑通道使用网络资源。用户通过认证后，用 户业务流和认证流分离，后续用户数据流的传输即与无认证网络环境下相同，因 此，所有业务( 包括组播、广播) 的正常工作都不受认证方式限制。 2 2 可信网络架构及运行过程 2 2 1t n c 的基本架构及相关实体 可信接入与管理框架提供有效的可信接入与网络管理功能，并在接入后实施 对终端用户行为的管理和审计。可信接入与管理框架中有四种实体：接入请求方、 策略管理方、接入决策方、决策执行点，以及三个层次：网络接入层、平台验证 层和可信服务层。【1 9 】接入请求方提出接入可信网络的请求。接入决策方依据可信 网络访问策略，评估接入方提供的证书、口令等身份证明和系统安全状态，决定 是否允许接入请求方进入网络，并通过接入请求方的管理代理实现对它的监控。 决策执行点接收来自接入决策方的决定，具体实现对接入请求方的准许、拒绝或 隔离。策略管理方是区别于接入双方的第三方，它主要提供整个可信网络接入多 方面的安全策略，包括网络接入策略、平台验证策略和可信服务策略等。在接入 请求方进入网络之后，对行为实时地监控和审计。同时，在用户接入网络过程中， 也可以依据用户历史行为的管理，判定其接入是否被允许【2 0 【2 1 】。可信接入与管理 框架的基本框架如图2 2 所示： 北京工业大学工学硕士学位论文 接入请求方策略管理方接入决策方 图2 - 2 可信接入与管理框架 f i g u r e2 - 2 a c c e s sa n dc r e d i b l er e g u l a t o r yf r a m e w o r k 2 2 2 几个基本实体 接入请求方( t h e a c c e s sr e q u e s t o r ，简称a r ) ：功能为发出访问请求，收集平台 完整性可信信息，发送给策略决策者( p o l i c yd e c i s i o np o i n t ，简称p d p ) ，从而建 立网络连接。该实体包括以下组件：网络访问请求者( n e t w o r k a c c e s sr e q u e s t o r ， 简称n a p , ) 负责发出访问请求，建立网络连接。在一个a r 上可以有几个不同的 n a r ，来建立同网络的不同连接；t n c 客户( t n c c ) 负责汇总来自完整性测量 收集器( i n t e g r i t ym e a s u r e m e mc o l l e c t o ri n t e r f a c e ，简称i m c ) 的完整性测量信息， 同时测量和报告平台和i m c 自身的完整性信息；i m c 执行测量a r 的完整性 属性。在一个a r 上可以有多个不同的i m c 。 决策执行点( p o l i c ye n f o r c e m e mp o i n t 简称p e p ) ：该组件控制对被保护网络的 访问。p e p 咨询p d p 来决定访问是否应该被执行。 接入决策方( p o l i c yd e c i s i o np o i n t ，简称p d p ) ：功能为根据t n c 服务器( t n c s ) 的推荐和本地安全策略对a r 的访问请求进行决策判定，判定结果为允许禁止 隔离。该实体包括以下三个组件：网络访问授权( n a a ) 决定一个a r 的访问请 求是否被允许。n a a 可以咨询t n c s 来决定a r 的完整性状态是否同n a a 的 安全策略相一致，从而决定a r 的访问请求是否被允许；t n c 服务器( t n c s ) 负 责控制i m v 和i m c 之间的信息流动，汇总来自i m v 的访问决定，并形成一个 全局的访问决定，传递给n a a ；完整性测量鉴别器( i m v ) 负责对从i m c 接收 到的关于a r 的完整性测量值进行鉴别，并做出访问决定。 第2 章8 0 2 1 x 协议与可信网络 2 2 3 三个基本层次 网络接入层。本层负责网络的安全连接，兼容各种网络接入技术，包括三元 结构和对等鉴别访问控制方法、基于端口的访问控制( 8 0 2 1 x ) 、v p n 等机制。 本层实体包括接入请求部件、决策执行点和接入授权部件瞄】。这一层用于支持传 统的网络连接技术，如8 0 2 1 x ，v p n ，a a as e r v e r 等机制。在这一层里面有三个实 体：n a r 、p e p 和p d p 。 平台验证层。本层负责对接入请求方进行平台可信验证。验证请求部件收集 请求接入方的平台可信信息，通过验证请求部件和验证决策部件之间的可信验证 协议，完成对请求接入方的平台可信验证。根据预先定义的可信策略，接入决策 方对接入请求方可以进行单向的可信验证，也可以是接入决策方与接入请求方的 双向可信验证。 。 可信服务层。本层负责为接入终端用户提供可信的服务访问，从而实现资源 共享、协同工作等。服务访控部件依据服务策略部件制定和分发的安全策略，判 定服务请求部件发出的服务访问请求是否符合预定义策略，是否合法，从而实现 服务的访问控制，允许或禁止访问服务。 2 3 可信网络中的安全接入控制 安全对于网络的建设至关重要，现在局域网的不安全因素主要是由边缘不可 控的客户端造成的。因此加强安全客户端的安全性能是非常重要的。 2 3 1 身份认证过程中的异常主动上报机制 异常主动上报机制在很多杀毒软件和防火墙软件中都有包涵，甚至在一些企 业级别的软件中，也可以实现对主动上报的信息进行分析并制定相应策略的功 能。但是这些功能的工作前提都是要安装这些软件的程序，并且是属于应用层的 数据链接，对更低层次的数据异常难以处理，因此实际应用效果并不尽如人意。 而基于安全客户端的可信校园网络目前还没有完善的主动上报功能，这主要是因 为安全客户端的常见功能包涵身份认证，系统安全性校验，异常数据收集，流量 检测等等，把这些功能都包含的话会导致客户端过于臃肿，另外不同的功能采用 的技术也难以协调，而在8 0 2 1 x 协议出现后，我们可以通过扩展自定义协议来 集成上述各项功能，从而可以进一步将收集的数据主动上报给安全门户来处理， 并接受门户返回的应对策略。 北京工业大学工学硕士学位论文 2 3 2 实现认证与监控的统一 通过研究近几年危及网络安全的事件，我们可以发现目前网络存在多方面的 脆弱性，主要体现在： 利用系统漏洞：现在很多网络病毒注重利用系统漏洞，采取主动攻击方法入 侵主机，如果用户防范意识薄弱，没有及时进行系统升级那么可能造成巨大 危害，例如，2 0 0 3 年的冲击波( w o r mb l a s t e r ) 病毒，运行时会不停地利用 i p 扫描技术寻找网络上系统为w i n 2 k 或x p 的计算机，找到后就利用d c o m r p c 缓冲区漏洞攻击该系统瞄】。 杀毒软件版本：现在杀毒软件产品繁多，在大型局域网中用户使用的类型和 版本不尽相同，甚者可能没有杀毒软件。而且各杀毒软件公司对于病毒库的 更新速度和病毒的预防报警能力实力参差不齐。而且用户防范意识薄弱可能 没有进行即时得病毒库更新。 将认证和监控统一思想就是，将操作系统漏洞是否弥补、杀毒软件是否符合 标准等系统信息作为认证信息的一部分，只有满足网络对客户端系统的安全认可 并且通过用户密码验证才能成为合法用户，否则需要对系统升级。 2 3 3 实现客户端与交换机和网络管理的交互 现在客户端安全监控的软件多为杀毒软件或者是防火墙，它们虽然可以防止 本机被攻击或者感染病毒，但是它们与网络管理之间不存在接口，无法实现联动。 例如，当客户端病毒发作出现异常时，杀毒软件无法及时通知网络管理员对此客 户端实行隔离、限流等措施以免其危害整个网络。而通过8 0 2 1 x 客户端拓展功 能可以实现联动。利用扩展协议( 自定义的扩展部分的协议) 将监控信息转发给 后台认证服务器( r a d i u s 认证服务器) ，由服务器自动或者管理员手动产生管 理策略，再通过扩展协议对客户端连接的交换机端口下达指令，同时利用扩展协 议通知客户端处理办法和结果【2 4 】。客户端与网络管理实现联动，保证客户端不会 危害到网络正常运行，充分保证网络安全。 2 4 可信网络在8 0 2 。l x 协议基础上的实现策略 2 4 18 0 2 1x 的访问控制方法 8 0 2 1 x 是一种基于端口的访问控制技术，它可以作为可信网络的网络接入层 的具体实现技术。如图2 3 。 第2 章8 0 2 1 x 协议与可信网络 s u p p l i c a n t a u t h a n i c a t o ra u t h e n t i c a t i o n5 e r v 曩 图2 38 0 2 1 x 网络访问控制方法 f i g u r e2 - 3 8 0 2 ixn e t w o r ka c c e s sc o n t r o lm e t h o d s 在该方法中，s u p p l i c a n t 和a u t h e n t i c a t i o ns e r v e r 之间进行认证及协商密钥， 然后利用协商的会话密钥保护上层数据传输。在图2 3 所示的结构中，s u p p l i c a n t 映射为可信接入与管理体系结构中的a r ，a u t h e n t i c a t o r 映射为可信接入与管理 体系结构中的接入执行部件，a u t h e n t i c a t i o ns e r v e r 映射为可信接入与管理体系结 构中的接入决策部件。a u t h e n t i c a t o r 和a u t h e n t i c a t i o ns e r v e r 共同构成访问控制端 ( a c ) ，即它们之间存在严密的协作绑定关系，可采用预共享密钥、i p s e c 和t l s 等技术来实现【2 5 1 。密钥协商是在a r 和a c 之间进行。利用密钥协商所建立的安 全通道，可以对上层服务提供数据保护。在图2 3 中，认证协议的封装也可以采 用三元结构和对等鉴别访问控制方法的认证协议封装方法。 2 4 2a a as e r v e r 机制 在图2 2 所示的可信接入与管理体系结构中，所使用的a a as e r v e r 机制主要 为：凡i u s 。它运用于接入执行部件和接入决策部件之间。 r a d i u s 是一种以数据报协议( u d p ) 通信机制提供的网络接入服务器( n a s ) 和网络服务器之间远程鉴权和计费服务的协议【2 6 】。 r a d i u s 是一种c s 结构的协议，它的客户端最初就是n a s ( n e t a c c e s ss e r v e r ) 服务器，现在任何运行r a d i u s 客户端软件的计算机都可以成为r a d i u s 的客 户端。m i u s 协议认证机制灵活，可以采用p a p 、c h a p 或者u n i x 登录认证 等多种方式。r a d i u s 是一种可扩展的协议，它进行的全部工作都是基于 a t t r i b u t e l e n g t h v a l u e 的向量进行的。r a d i u s 也支持厂商扩充厂家专有属性。 r a d i u s 的主要特征有： 客户机朋艮务器( c s ) 模式。n a s 作为r a d i u s 的客户机，它负责将用户信息 传入r a d i u s 服务器，然后按照黜m i u s 服务器的不同的响应来采取相应 动作。另外，r a d i u s 服务器还可以充当别的r a d i u s 服务器或者其他种类 认证服务器的代理客户1 2 7 j 。 网络安全( n e t w o r ks e c u r i t y ) 。n a s 和r a d i u s 服务器之间的事务信息交流 由两者共享的密钥进行加密，并且这些信息不会在两者之间泄漏出去。 灵活认证机制( f l e x i b l ea u t h e n t i c a t i o nm e c h a n i s m s ) 。r a d i u s 服务器支持多 种认证机制。它可以验证来自p p p 、p a p 、c h a p 和u n i x 系统登录的用户 北京工业大学工学硕士学位论文 信息的有效性。 协议可扩展i 生( e x t e n s i b l ep r o t o c 0 1 ) 。所有的认证协议都是基于“属性一长度一 属性值，3 元素而组成的【2 8 】【2 9 1 。所以协议是扩展起来非常方便。 2 5 本章小结 本章首先介绍了i e e e8 0 2 1 x 协议的体系结构以及技术特点，其次分析了可 信网络的运行过程，以及可信网络的基本架构和各个层次的作用，然后介绍了可 信网络中安全接入的特点，通过分析可信网络的基本结构，以及8 0 2 1 x 的基本 结构，我们可以发现8 0 2 1 x 协议的通信过程与可信网络接入层的工作流程是非 常类似的，因此，我们可以将8 0 2 1 x 协议作为可信网络接入层的实体实现过程， 这样既符合可信网络的安全标准，又充分发挥了8 0 2 i x 协议的特点，结合了二 者的优势，真正实现了可信网络的各个可信环节。下一章，将着重介绍在8 0 2 1 x 协议平台上搭建可信网络的具体实现细节。 第3 章基于8 0 2 1 x 协议的可信网络分析和设计 第3 章基于8 0 2 1x 协议的可信网络分析和设计 3 1 基于i e e e8 0 2 1 x 技术的网络组成模型 i e e e8 0 2 1 x 协议标准于2 0 0 1 年由i e e e c s 公布。国内的很多厂商围绕这项 技术做了很多工作，也推出了支持此技术的产品，例如：华为、实达、港湾等。 并在2 0 0 2 年的时候，国内外各厂商已经将i e e e8 0 2 1 x 的技术应用于实际的网 络