云計算下的網(wǎng)絡安全接入方式研究

陳強

（新疆醫(yī)科大學 網(wǎng)絡中心，新疆 烏魯木齊 830011）

云計算下的網(wǎng)絡安全接入方式研究

陳強

（新疆醫(yī)科大學 網(wǎng)絡中心，新疆 烏魯木齊 830011）

云計算在當下發(fā)展極為迅速，而云計算下的安全問題也一直備受關注，重要性也更為突出。網(wǎng)絡攻擊手段與防護措施一直都在以循環(huán)螺旋的模式發(fā)展，幾乎所有的云計算業(yè)務都不可能脫離嚴密的安全策略而獨立存在。文章從云計算的業(yè)務模型入題，剖析當前環(huán)境下網(wǎng)絡安全面臨的新挑戰(zhàn)，說明安全對云計算的重要性，進而闡述云計算的網(wǎng)絡準入安全建設方式如何實現(xiàn)安全的網(wǎng)絡接入保障。

云計算；網(wǎng)絡安全；網(wǎng)絡準入

一、引言

云計算（Cloud Computing）是基于互聯(lián)網(wǎng)的相關服務的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經常是虛擬化的資源。云計算強調資源請求與資源調度的分離，實際處理請求的后臺系統(tǒng)與發(fā)出請求的最終用戶之間是一種松耦合關系。在這種情況下，安全對于云計算服務的重要性是顯而易見的。在企業(yè)用戶眼里，云計算的靈活性、高性價比、高可靠性都有著無可比擬的優(yōu)勢，但如果在安全性上不過關，那么沒有一個企業(yè)級用戶會將自己的內部數(shù)據(jù)托管到一個存在泄密風險的平臺上。

從IaaS到PaaS、SaaS，云計算服務包含的內容越來越多，用戶能夠接觸到的底層信息卻越來越少。由于缺少基礎架構的細節(jié)信息，用戶會對接入云服務的過程提出更高的安全要求，如果云服務提供商無法滿足這些標準，可能直接導致失去用戶。可見，完善的安全機制是云服務能夠落地的前提條件，云計算的任何一個環(huán)節(jié)對安全防護都提出了相當高的要求。

與安全的重要性相對應的是相關領域發(fā)展的滯后。云計算的安全機制是一個非常龐大的課題，幾乎沒有機構或廠家能夠從上到下一手包攬所有細節(jié)，因此業(yè)界也缺乏一個統(tǒng)一的思路來指導安全建設，加上云計算產業(yè)本身也處于一個高速發(fā)展的階段，遠遠沒有定型，大家對云計算安全架構的意見也就更加發(fā)散。

目前為止，在云計算安全方面最有影響力的組織是CSA（Cloud Security Alliance——云計算安全聯(lián)盟）。CSA成立于2009年，是一個致力于推動云計算安全最佳實踐的公開組織，CSA的最高目標是提出一套最優(yōu)的云計算安全建設指導方案。

網(wǎng)絡安全是整體安全的一部分，對于云服務來說，網(wǎng)絡是輸送服務的途徑，因此對網(wǎng)絡的保障非常重要。CSA明確提出了云服務的挑戰(zhàn)很大一部分來自于 “怎樣安全地從云中存取數(shù)據(jù)”，在這種情況下，數(shù)據(jù)傳輸隧道的建立和防護是必不可少的。而VPN通道可以用來保護數(shù)據(jù)的私密性，即使這些數(shù)據(jù)在公網(wǎng)上傳輸。

除了對網(wǎng)絡傳輸管道本身的保護，對網(wǎng)絡資源的獲取也是云服務安全的重要內容。其中用戶身份驗證就是最為關鍵的一部分。授權的用戶身份是云計算安全的基礎，如果非法用戶獲得了訪問數(shù)據(jù)中心資源和設備的權限，那么所有的安全保障措施都岌岌可危。基于此，可以將復雜的網(wǎng)絡安全策略劃分為準入和加密兩個維度。本文將主要圍繞準入展開云計算下網(wǎng)絡安全接入方式的研究，并介紹不同的準入方式進行對比。

二、網(wǎng)絡準入的技術分類

隨著云計算的不斷深入，越來越多的企業(yè)業(yè)務系統(tǒng)由傳統(tǒng)的C/S架構向B/S架構遷移，以往訪問后臺數(shù)據(jù)需要安裝專用軟件，IT部門控制客戶端軟件的許可發(fā)放，就能夠大致控制訪問用戶的范圍。而在B/S架構中，用戶只需要一個Web瀏覽器即可登錄系統(tǒng)。

另一方面，智能手機、平板電腦和WiFi的流行推動了BYOD（Bring Your Own Device——攜帶自己的設備辦公）的興起。越來越多的人開始在辦公場所使用自己的無線移動設備進行公司的業(yè)務系統(tǒng)訪問，這對數(shù)據(jù)安全造成了嚴重威脅。于是，對網(wǎng)絡的準入控制被重新提上IT部門日程，只有合法的用戶才能夠介入網(wǎng)絡。

控制用戶接入網(wǎng)絡的技術伴隨網(wǎng)絡本身的誕生和發(fā)展已經衍生出多個派別，每種方式都有自己的特點和使用場景，很難說哪種方式在技術實現(xiàn)和最終效果上技高一籌，取得絕對的領先地位。在當下的實際環(huán)境中，常見的認證準入方式包括二層準入、三層準入、客戶端準入三種。

目前大部分網(wǎng)絡利用DHCP協(xié)議為用戶接入設備進行IP地址的分發(fā)。二層準入就是用戶在獲得三層IP地址之前必須通過的認證，用戶在接入網(wǎng)絡之初，需要通過二層連接進行認證數(shù)據(jù)交互，以確保接入身份的合法性。

二層準入的代表實現(xiàn)方式就是802.1x。802.1x協(xié)議是基于C/S的訪問控制和認證協(xié)議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口，認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。802.1x的認證流程可以歸納為以下四步。

（1）端口初始化。作為認證設備的接入交換機探測到有一個客戶端連接到一個端口后，會馬上把這個端口置于“未授權”狀態(tài)，處于“未授權”狀態(tài)的端口除了802.1x報文不會轉發(fā)其他任何流量。

（2）EAP初始化。交換機會定時向一個二層廣播地址發(fā)出EAP請求信令，開啟了802.1x的終端設備在連接上交換機后會保持偵聽發(fā)往這個二層地址的信號，如果偵測到則回復一個包含自己ID的EAP應答。交換機收到后會通知后臺認證服務器。

（3）EAP協(xié)商。由于EAP按照實現(xiàn)方式不同分為好幾類，所以在開始用戶身份認證之前需要協(xié)商一個雙方都支持的EAP類型來進行后續(xù)的流程。

（4）用戶身份驗證。用戶身份信息經由交換機發(fā)往認證服務器，根據(jù)認證服務器的判斷結果，交換機反饋認證成功或者失敗的報文。如果成功則交換機端口開放，用戶獲得訪問網(wǎng)絡的權限，如果失敗則無法進行網(wǎng)絡訪問。

二層準入所有的流程都在二層環(huán)境下完成，客戶端與交換機之間不會進行IP層面的信令交互。經過多年的發(fā)展，802.1x+RADIUS的實現(xiàn)方式已經發(fā)展成為一個功能非常強大的準入方案。

二層準入的最大優(yōu)勢就是成熟，市場接受程度很高。不管認證方式還是認證服務器都能找到多家產品支持。802.1x主要具有以下三個特點：①完全公開的架構：802.1x的每一個部分均有相應的國際標準，便于企業(yè)用戶自由選擇軟硬件，不受制于特定廠家。②成熟的技術標準：802.1x是一項非常成熟的技術，已經部署在成千上萬的園區(qū)網(wǎng)中。幾乎每一臺交換機和每一臺終端設備都支持802.1x，用戶的部署風險和成本大幅降低。③完善的認證和授權機制：802.1x支持密碼驗證、單點登錄、支持所有主流服務器，可以滿足大部分用戶的需要。

隨著無線終端的推廣和普及，802.1x在某些方面漸漸顯得力不從心，三層準入方式就在這種環(huán)境下應運而生。三層準入即Web認證，認證過程通過一個Web頁面完成。配置了Web認證的交換機在做三層準入認證時大致分為以下幾個步驟。

（1）交換機端口進入有限接入狀態(tài)。進行Web認證的接入交換機不會完全屏蔽端口，相反會將這個端口放入一個可以轉發(fā)數(shù)據(jù)的vLan。但僅能實現(xiàn)一些基本的數(shù)據(jù)轉發(fā)服務，如DHCP、DNS等。

（2）客戶端觸發(fā)認證流程。當交換機端口進入有限轉發(fā)的狀態(tài)后就可以正式對客戶端設備進行驗證了。由客戶端設備網(wǎng)卡向DHCP請求IP地址，或發(fā)送ARP報文時交換機會將設備記錄入冊并開啟一Web計時器。

（3）用戶身份認證。客戶端設備獲得IP地址后，用戶通過瀏覽器自動發(fā)起HTTP請求，交換機截取請求并重定向到預先設置好的認證頁面上，通過用戶名、密碼等信息的輸入最終確定認證是否成功。

近年來Web認證的發(fā)展非常迅速，特別是在無線等環(huán)境下得到了大規(guī)模的部署。相較于二層準入，三層準入具備輕便、簡單的優(yōu)勢，主要有零客戶端、使用簡單、安全性較弱、不支持單點登錄、不支持機器認證等特點。

除了二、三層準入認證之外，還有一種認證方式就是客戶端認證。客戶端認證表現(xiàn)方式非常多樣，涉及廠家產品也較多。絕大部分產品還會集合終端安全管理等功能，一方面從操作系統(tǒng)接受802.1x的認證流程，一方面對操作系統(tǒng)做健康檢查。

客戶端準入認證的功能最為全面，并且安全性最高。但最大問題在于實現(xiàn)方式的不統(tǒng)一，各廠家從實現(xiàn)原理到界面都千差萬別。由于沒有公開標準，導致兼容性及平臺過度均有問題，此外部署復雜、維護工作量大也是其主要問題。

三、結論

企業(yè)網(wǎng)的準入是一項非常特殊的技術，最終用戶的體驗決定一個項目的成敗。每種準入認證方式均有其優(yōu)缺點，在云計算的大環(huán)境下，我們更應該根據(jù)實際需要做出相應的選擇。但針對完美的網(wǎng)絡準入方案，我們希望其具備可延續(xù)性、高可用性、靈活性、整合性等特點。

[1]徐立冰.騰云——云計算和大數(shù)據(jù)時代網(wǎng)絡技術揭秘[M].北京：人民郵電出版社，2013.

（編輯：魯利瑞）

TP309

：A

：1673-8454（2015）04-0075-02