網絡安全接入控制技術研究

在過去的幾年中，Internet得到了迅猛的發展，全世界每天都有成千上萬的主機連入Internet。Internet的網絡規模急劇膨脹，不僅供應商開始利用它開拓電子商務等商業應用，許多政府機構也連入了Internet。軍事通信領域的Internet應用也已開展。計算機網絡和Internet的廣泛普及引起了人們對網絡安全問題的普遍關注，這其中一個主要的安全問題就是如何有效地控制成千上萬的用戶對網絡的各個組成部分和資源所進行的訪問。顯然，不能相信所有的用戶都能正確、合法地使用網絡，這就有必要進行適當的訪問控制，最基本的要求就是采用確定的機制對通信實體和網絡用戶進行可靠的認證和控制。

隨著Internet的快速發展，Intranet作為因特網技術運用于單位、部門和企業專用網的產物，也得到迅速普及發展。Intranet并非是地域上的概念，而是在信息空間上的虛擬網絡概念，如一個國家外交系統的內域網用戶可能分布全球。它在原有專用網的基礎上增加了服務器、服務器軟件、Web內容制作工具和瀏覽器，與因特網連通，從而使內域網充滿了生機和活力。內域網為公司和單位信息的散播和利用提供了極為便利的條件。瀏覽器為網上用戶提供信息，服務器對網絡進行管理、組織和存儲信息，并提供必要的安全服務。通常情況下，Intranet中則存有大量的單位內部的敏感信息，具有極高的商務、政治和軍事價值。因此，Intranet是一種半封閉甚至是全封閉的集中式可控網，其安全保密是至關重要的，要保證內域網不被非法入侵和破壞，網中的敏感信息不被非法竊取和篡改，同時還要保證網內用戶和網外用戶之間正常連通，向他們提供應有的服務。這些安全業務都需要一個完善的接入控制機制。

1 網絡安全接入控制技術概述

接入或訪問控制是保證網絡安全的重要手段，它通過一組機制控制不同級別的主體對目標資源的不同授權訪問，在對主體認證之后實施網絡資源的安全管理使用。

通常，我們認為計算機系統中有3類入侵者：

偽裝者(Masquerader)：非法用戶，喬裝合法用戶滲透進入系統，一般來自系統外部；

違法者(Misfeasor)：合法用戶，非法訪問未授權數據、程序或資源，一般來自系統內部；

地下用戶(Clandestine user)：掌握了系統的管理控制，并利用它來逃避審計和接入控制或抑制審計作用，可能來自系統的外部或者內部。

針對以上3類入侵攻擊，接入控制基本功能包括以下3個：阻止非法用戶進入系統；允許合法用戶進入系統；使合法用戶按其權限，來進行各種信息活動，不得有越權行為。

實現安全的網絡接入控制的機構模型組成如圖1所示。該模型包括兩部分：

用戶的認證與識別；

對認證的用戶進行授權。

接入控制實現模型的建立主要是根據如下3種類型的信息：

主體(Subjects)：是對目標進行訪問的實體。主體可以是用戶、用戶組、終端、主機或者是一個應用程序。

客體(Objects)：是一個可接受訪問和受控的實體。它可以是一個數據文件、一個程序組或一個數據庫。

接入權限：表示主體對客體訪問時可擁有的權利。接入權要按每一對主體客體分別限定，包括讀、寫、執行等。讀、寫權含義明確，而執行權是指目標為一個程序時它對文件的查找和執行。

概括地講，實現安全接入控制的策略包括：

最小權益策略：按主體執行任務所需權利最小化分配權力；

最小泄露策略：按主體執行任務所知道的信息最小化的原則分配權力；

多級安全策略：主體和客體按普通、秘密、機密、絕密級劃分，進行權限和流向控制。

2 網絡安全接入控制技術的實現

下面從兩個角度討論網絡安全接入控制技術的實現。圖2給出了一個簡單的接入控制的實現框圖。從工作方式上，網絡接入控制的實現可分為如下兩類：

(1)自主式網絡接入控制

也稱辨別接入控制，簡記為DAC。它由網絡資源擁有者給用戶分配接入權，在辨別各用戶的基礎上實現接入控制。每個用戶的接入權由網絡系統的管理者事先建立，常以接入控制表或權限表來實現。這一方法靈活，便于合法用戶訪問相應的數據，在安全性要求不高的網絡環境下可采用。但如果系統管理員疏于管理或者接入控制策略設置有誤時，就會危及到網絡系統和資源的安全。因而，DAC容易受到攻擊。

(2)強制式網絡接入控制

簡記為MAC。它由網絡系統管理員來分配接入權限和實施控制，易于與網絡的安全策略協調，常用敏感標記實現多級安全控制。由于它易于針對所有用戶和資源實施強化的安全接入策略，因而有較高的安全保障。

另外，針對不同的應用環境，網絡接入策略也有不同應用模式。下面分別介紹目前有線網絡和無線網絡環境下，主要的網絡安全接入技術的實現。

(1)有線網絡系統中的安全接入控制技術

在有線網絡系統中，通常情況下安全接入控制技術都是與防火墻技術結合使用，來保障一個Intranet的內部資源不被非法用戶獲得，同時給合法用戶提供合理的Internet接入服務。下面結合一個有線網絡環境的實例（如圖3所示），來說明如何使用網絡接入控制來實現Intranet到Internet的接入安全管理。

在圖3中，虛線以下構造了一個Intranet，其中兩處為網絡接入控制點，分別說明如下：

1接入控制點1即Intranet與Internet的連接點，該處的接入控制功能通常由防火墻完成。由于控制點1直接與Internet連接，其受到入侵攻擊和非法接入的可能性最大，因而也是最危險的位置。下面以屏蔽子網模式的防火墻配置為例，說明接入控制點1的網絡接入控制安全要求有：

允許所有用戶的電子郵件業務（SMTP）；

允許DNS查詢；

允許Intranet內的局域網用戶有限制地訪問Internet；

控制外部的IP與內部主機的直接連接；

根據外部主機使用者的身份分配臨時訪問權限，并給出訪問地址權限列表；

根據黑名單地址，屏蔽所有可疑的連接請求；

負責入侵審計和追蹤，記錄所有與安全相關的網絡活動。

2接入控制點2即為撥號用戶或DDN和ISDN接入的用戶提供的接入服務。這里通常有兩種情況，即對Internet的接入和對內部資源的接入。其安全接入策略包括：

對于撥號用戶，接入服務器通過用戶口令確定用戶身份，從而提供相應的接入業務。另外，接入服務器采用回撥技術確保用戶身份的有效性。

對于DDN或ISDN的用戶，通過捆綁邏輯IP地址與實際的MAC地址，實現面向主機的用戶身份認證，并提供相應的接入業務。

根據撥號用戶的身份分配臨時訪問權限，并給出訪問地址權限的列表。

(2)無線網絡系統中的安全接入控制技術

目前，網絡安全接入技術主要應用于寬帶無線接入網絡和無線LAN的構建上，如藍牙系統、無線IP系統等等。通常在無線網絡中，不僅要考慮本地無線用戶的接入，移動用戶的安全接入也是系統的一個重要安全要求。下面結合圖4，來簡單說明在無線網絡系統中應用的安全接入技術。

1接入控制點1即每個小區的無線接入點，負責該小區內的移動終端的無線接入服務。它的主要安全工作就是確保當前接入的用戶有該接入權限。該接入點主要的工作包括：

為小區內的本地移動用戶提供接入服務，通過驗證用戶口令和校驗用戶的MAC地址來確保用戶的身份。出于安全的考慮，通常情況下，用戶口令以密文形式提交給接入點。

為小區內的漫游用戶提供接入服務。通常，漫游用戶將根據信號強度和監測到的包錯誤率，選擇其中性能最好的一個接入點并與之聯系，請求接入。接入點則通過聯系根服務器來確定該用戶的身份。

2接入控制點2主要負責對系統資源的接入控制。該接入點的工作包括：

驗證小區內用戶身份并分配臨時權限，以訪問其權限內的資源。

驗證來自Internet的用戶身份并分配臨時權限，以訪問其權限內的資源。

控制來自Internet用戶與當前小區內的用戶建立連接，并進行安全檢查，作審計和日志工作。

3 總結

以上對當前網絡安全接入技術作了簡單的介紹，并討論了在不同的環境下，網絡安全接入控制技術的實現。到目前為止，有線網絡環境下的安全接入控制技術較為成熟，安全性也較高；而在無線網絡系統中，現有的接入控制技術還不是十分成熟，其主要的接入控制多集中于MAC層的訪問控制和WEP(Wired Equivalent Privacy)加密機制，但安全性較低，容易遭到IP欺騙攻擊或被非法用戶解密接入口令(因為WEP中的密鑰長度僅為40bit)。因此，如何提高無線網絡系統中的安全接入控制技術是當前的一個研究熱點，一個可能的思路是將PKI(Public Key Infrastructure)引入無線網絡系統的安全設計中。□

參考文獻

1王育民,劉建偉.通信網的安全—理論與技術.西安:西安電子科技大學出版社:1999

2 Denning D E.An intrusion－detection model. IEEE Trans on Software Engineering,1987,SE－13(2):222—232

3 王常杰,秦浩,王育民.基于IPv6防火墻設計.計算機學報，2001,24（2）:219—223

4 Amoroso E G.Fundamentals of Computer Security Technology.Prentice Hall Inc,1994

（收稿日期：2001－07－09）

作者簡介

王常杰，西安電子科技大學通信工程學院在讀博士生。主要從事通信網安全、移動IP安全等方面的研究工作。目前在香港城市大學作VPN合作研究。