基于CA身份認(rèn)證的軍工內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用研究

陳鵬

摘 要：當(dāng)前軍工單位內(nèi)部使用網(wǎng)絡(luò)設(shè)備基本都具備網(wǎng)絡(luò)準(zhǔn)入控制功能，但對于網(wǎng)絡(luò)準(zhǔn)入的身份驗(yàn)證，特別是終端接入網(wǎng)絡(luò)的準(zhǔn)入控制，身份驗(yàn)證手段顯得較為單一和簡單。文章針對軍工內(nèi)部網(wǎng)絡(luò)的現(xiàn)實(shí)要求，對基于CA身份認(rèn)證的單位內(nèi)部網(wǎng)絡(luò)接入控制認(rèn)證技術(shù)進(jìn)行了研究，并對軍工單位內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制提出了一種新的思路。

關(guān)鍵詞：軍工內(nèi)部網(wǎng)絡(luò)；CA；身份認(rèn)證；網(wǎng)絡(luò)準(zhǔn)入控制

中圖分類號：TP393.18；TP393.08 文獻(xiàn)標(biāo)識碼：A

1 引言

隨著我國軍工單位信息化水平的提高和信息化應(yīng)用的完善，軍工單位的日常管理和科研生產(chǎn)對信息化尤其是網(wǎng)絡(luò)的依賴與日俱增。網(wǎng)絡(luò)在帶給軍工單位信息傳遞便利的同時，也會帶來非法入侵、木馬病毒、信息竊取等網(wǎng)絡(luò)安全風(fēng)險，如果非法的惡意攻擊者通過簡單的方式就能接入軍工單位內(nèi)部網(wǎng)絡(luò)，那就可能會發(fā)生泄密事件，給國家安全帶來巨大的威脅。網(wǎng)絡(luò)終端是接入和訪問網(wǎng)絡(luò)的入口，網(wǎng)絡(luò)終端的準(zhǔn)入控制是保障網(wǎng)絡(luò)安全的第一道也是最重要的安全防線。因此，軍工單位內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制的安全問題備受關(guān)注。

2 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

2.1 基于交換機(jī)的端口綁定

交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口進(jìn)行終端MAC地址的綁定，限制二層鏈路層MAC地址的通信，這種方案只允許綁定了MAC地址的主機(jī)進(jìn)行網(wǎng)絡(luò)通信，未綁定的非法設(shè)備的MAC地址接入將被阻斷，但這種方案無法杜絕像MAC地址仿冒等接入行為。這種方案較容易實(shí)現(xiàn)，終端不用安裝認(rèn)證程序，可實(shí)現(xiàn)二層網(wǎng)絡(luò)鏈路的基本接入控制。可是無法實(shí)現(xiàn)終端用戶身份鑒別和用戶訪問權(quán)限控制。

2.2 基于接入的代理網(wǎng)關(guān)技術(shù)

在網(wǎng)絡(luò)中接入接入代理網(wǎng)關(guān)、阻斷類設(shè)備，在網(wǎng)絡(luò)中追蹤所有在線的終端類設(shè)備，通過IP、MAC地址信息的匹配來判斷終端接入的合法性。如果網(wǎng)絡(luò)中代理網(wǎng)關(guān)或阻斷器沒有相關(guān)設(shè)備的接入記錄，將通過網(wǎng)絡(luò)向該設(shè)備發(fā)送ARP網(wǎng)關(guān)欺騙包，保護(hù)網(wǎng)關(guān)通信，阻斷非法終端的接入。

2.3 通過802.1x接入認(rèn)證技術(shù)

另外一種方案是將基于客戶端/服務(wù)端的802.1x訪問控制和認(rèn)證協(xié)議在接入層交換機(jī)端口上啟用，協(xié)議啟用后要獲得合法的以太網(wǎng)報文轉(zhuǎn)發(fā)，用戶終端必須通過EAPoL協(xié)議進(jìn)行用戶/設(shè)備認(rèn)證，認(rèn)證通過后，網(wǎng)絡(luò)端口被開啟，正常的數(shù)據(jù)報文可以被轉(zhuǎn)發(fā)，如認(rèn)證失敗則報文將被丟棄端口被關(guān)閉。這種方法是認(rèn)證效率高、性能穩(wěn)定，能夠主動防御非授權(quán)設(shè)備的接入，能從根本上解決終端身份無法認(rèn)定的問題。

3 802.1x接入認(rèn)證技術(shù)原理

802.1x認(rèn)證系統(tǒng)采用客戶端/服務(wù)器體系結(jié)構(gòu)，它包含三個重要組成部分：請求者PAE，即認(rèn)證終端設(shè)備；認(rèn)證系統(tǒng)，即支持802.1x協(xié)議的網(wǎng)絡(luò)接入設(shè)備；認(rèn)證服務(wù)器系統(tǒng)，一般指Radius服務(wù)器，這三個實(shí)體結(jié)構(gòu)之間依靠EAP協(xié)議進(jìn)行通信。此結(jié)構(gòu)應(yīng)用于以太網(wǎng)中解決局域網(wǎng)的認(rèn)證和安全問題。802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)如圖1所示。

802.1x協(xié)議資源占用少對網(wǎng)絡(luò)接入設(shè)備的性能沒有特別高的依賴，在準(zhǔn)入控制網(wǎng)絡(luò)成本上優(yōu)勢明顯可以有效降低建網(wǎng)成本，支持PPP認(rèn)證協(xié)議，有較好的擴(kuò)展性而且適配性較好，通過控制端口和非控制端口，將認(rèn)證報文和數(shù)據(jù)報文分離。能夠高效地認(rèn)證報文和數(shù)據(jù)報文的封裝，支持VLAN映射，可通過映射將不同不同權(quán)利的用戶分域分等級，802.1x認(rèn)證系統(tǒng)可以靈活的通過可擴(kuò)展認(rèn)證協(xié)議EAP進(jìn)行認(rèn)證報文傳遞和加密，可靠性很高。

（1）802.1x認(rèn)證有客戶端發(fā)起和設(shè)備端發(fā)起兩種認(rèn)證模式。客戶端主動發(fā)起是由終端通過組播或廣播方式向客戶端發(fā)送發(fā)起認(rèn)證報文EAPOL-Start，組播地址為固定地址，設(shè)備如果不支持組播將采用廣播方式代替；設(shè)備端主動發(fā)起認(rèn)證模式為設(shè)備端定期廣播發(fā)送請求認(rèn)證報文進(jìn)行，這種認(rèn)證模式適用于無法主動發(fā)起認(rèn)證報文請求的客戶端，如Windows操作系統(tǒng)的802.1x認(rèn)證服務(wù)。

（2）802.1x的驗(yàn)證過程有EAP中繼驗(yàn)證和EAP終止驗(yàn)證兩種模式。兩種模式之間Client/Device端均采用EAPOL協(xié)議報文通信，但兩種模式中Raidus服務(wù)與設(shè)備端的驗(yàn)證流程不一樣。中繼驗(yàn)證是把EAPOL報文封裝在Radius協(xié)議報文中（EAPOR），然后再與Radius通信，在這種模式下Raidus需要支持EAP并且偽隨機(jī)加密字由Radius提供； EAP終止驗(yàn)證模式的不同之處在于使用未未封裝的EAPOL協(xié)議報文通信，通過設(shè)備端提供偽隨機(jī)加密字并并采用標(biāo)準(zhǔn)Radius協(xié)議報文認(rèn)證，支持采用密碼驗(yàn)證協(xié)議PAP或質(zhì)詢握手驗(yàn)證協(xié)議CHAP兩種認(rèn)證模式。

（3）802.1x有基于端口的接入控制和基于MAC地址的兩種接入控制模式。兩種模式的區(qū)別是基于端口的接入控制模式只認(rèn)證一次端口即可用或不可用，不會重復(fù)驗(yàn)證合法性，這種模式適用于單端口多用戶場景；基于MAC地址的認(rèn)證方式則會定時掃描此MAC地址是否為合法的MAC進(jìn)行報文轉(zhuǎn)發(fā)，不會因一個用戶下線而導(dǎo)致端口不可用。

4 CA身份認(rèn)證技術(shù)原理

4.1 PKI系統(tǒng)的結(jié)構(gòu)

PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是硬件、軟件、人員、政策和手續(xù)的集合，通過公鑰加密技術(shù)和數(shù)字證書為域內(nèi)的網(wǎng)絡(luò)用戶提供安全的電子交易服務(wù)。PKI體系結(jié)構(gòu)主要由PKI策略、軟硬件系統(tǒng)、發(fā)證機(jī)構(gòu)CA、證書注冊機(jī)構(gòu)RA、證書發(fā)布系統(tǒng)和PKI門戶組成。

4.2 PKI的主要功能

PKI體系的主要功能是通過發(fā)證機(jī)構(gòu)CA將生成的用戶公鑰和身份標(biāo)識信息（姓名、工作單位、IP地址等）以一定規(guī)則放置在電子證書內(nèi)，這樣就可以對用戶的身份進(jìn)行認(rèn)證，而且通過數(shù)據(jù)加密和數(shù)字簽名技術(shù)可以確保用戶數(shù)據(jù)信息的保密性、完整性和抗抵賴性。

4.3 CA身份認(rèn)證系統(tǒng)

CA身份認(rèn)證系統(tǒng)是PKI的一個具體B/S和C/S架構(gòu)的平臺，由CA制證服務(wù)器、RA注冊機(jī)構(gòu)、LDAP目錄服務(wù)器、數(shù)據(jù)庫服務(wù)器、管理服務(wù)器、密碼硬件設(shè)備和終端用戶組成，如圖2所示。

由CA證書服務(wù)器簽發(fā)數(shù)字證書并鑒別提交認(rèn)證請求用戶的身份。注冊機(jī)構(gòu)RA將用戶證書申請請求轉(zhuǎn)發(fā)至CA服務(wù)器，并向目錄服務(wù)器轉(zhuǎn)發(fā)CA簽發(fā)或注銷的數(shù)字證書；LDAP目錄服務(wù)器負(fù)責(zé)發(fā)布合法證書列表和CRL黑名單；數(shù)據(jù)庫服務(wù)器負(fù)責(zé)存放用戶信息、數(shù)字證書、密鑰和CRL黑名單等數(shù)據(jù)；管理服務(wù)器負(fù)責(zé)管理用戶信息、數(shù)字證書和USB Key證書載體設(shè)備，完成用戶授權(quán)、數(shù)字證書申請和USB Key證書載體綁定的功能，完成相關(guān)管理和日志審計功能；終端用戶認(rèn)證包括安全認(rèn)證組件和USB Key設(shè)備；安全認(rèn)證組件提供瀏覽器和C/S架構(gòu)https認(rèn)證以及與USB Key相關(guān)密鑰驅(qū)動接口訪問功能，最終將數(shù)字證書和私鑰簽名存入USB Key。

5 基于CA身份認(rèn)證的網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用研究

5.1 CA身份認(rèn)證與802.1X結(jié)合應(yīng)用研究

本文探索并研究了CA身份認(rèn)證和802.1x認(rèn)證相結(jié)合的網(wǎng)絡(luò)終端身份認(rèn)證接入控制模式，對USB Key中包含的身份信息+PIN碼作為用戶的身份標(biāo)識。同時，通過用戶進(jìn)行證書申請時需要提交終端硬盤序列號、IP地址、MAC地址等主機(jī)特征值進(jìn)行證書綁定來確認(rèn)接入認(rèn)證終端的標(biāo)識的唯一，如果存在USB Key內(nèi)證書過期、Key被拔出或證書過期，接入控制系統(tǒng)認(rèn)證將自動失效并阻止終端數(shù)據(jù)通信，這種認(rèn)證方式提高了內(nèi)部網(wǎng)絡(luò)身份認(rèn)證的安全等級。

5.2 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)框架

網(wǎng)絡(luò)終端準(zhǔn)入控制系統(tǒng)主要由終端PC、接入交換設(shè)備、核心交換設(shè)備、Radius服務(wù)器、CA認(rèn)證中心構(gòu)成。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)框架圖3如所示。其中，終端與CA認(rèn)證服務(wù)器、終端與Radius認(rèn)證服務(wù)器為C/S方式部署，完成終端身份認(rèn)證和終端接入認(rèn)證功能；終端與安全管理服務(wù)器為B/S方式部署。

5.3 網(wǎng)絡(luò)準(zhǔn)入控制流程

首先，由CA認(rèn)證中心為用戶制證并將證書寫入到一個USB Key中，USB Key中保存有數(shù)字證書、私鑰以及用戶的基本信息，USB Key能夠設(shè)置PIN碼，可保護(hù)證書和私鑰的安全性。客戶端PC身份驗(yàn)證模塊通過網(wǎng)絡(luò)連接CA認(rèn)證中心，根據(jù)USB Key中證書內(nèi)的信息進(jìn)行身份認(rèn)證。并且可以根據(jù)數(shù)字證書的簽名來判定終端硬件是否合法，根據(jù)時間戳判定證書是否處于有效期。

其次，客戶端PC接入網(wǎng)絡(luò)后會被接入層交換機(jī)劃入訪客區(qū)，訪客區(qū)終端計算機(jī)將被隔離網(wǎng)絡(luò)訪問權(quán)限。終端認(rèn)證程序根據(jù)插入的USB Key，通過程序讀出USB Key中的證書信息，終端認(rèn)證程序?qū)⒆C書信息發(fā)送至CA認(rèn)證服務(wù)器進(jìn)行驗(yàn)簽，并通過時間戳服務(wù)器驗(yàn)證證書有效期。身份驗(yàn)證通過后，進(jìn)入802.1x網(wǎng)絡(luò)接入認(rèn)證階段。

最后，終端認(rèn)證程序?qū)⒆x取USB Key中的證書信息和PIN碼作為登錄賬號和密碼，終端認(rèn)證程序?qū)⒑戏ǖ挠脩裘蚉IN碼提交給Radius認(rèn)證服務(wù)器進(jìn)行驗(yàn)證。

6 結(jié)束語

軍工單位內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)因?yàn)槠渖婷艿男再|(zhì)，在安全防護(hù)要求和實(shí)施難度上同一般的非涉密網(wǎng)絡(luò)和互聯(lián)網(wǎng)網(wǎng)絡(luò)有很大的區(qū)別。本文探索并研究了CA身份認(rèn)證和802.1x認(rèn)證相結(jié)合的網(wǎng)絡(luò)終端身份認(rèn)證接入控制模式，對軍工內(nèi)部網(wǎng)絡(luò)中存在的問題，通過CA身份認(rèn)證和802.1X網(wǎng)絡(luò)接入控制技術(shù)結(jié)合的系統(tǒng)應(yīng)用框架和流程進(jìn)行了研究，為增強(qiáng)軍工內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制安全性提供了一個新的思路。

參考文獻(xiàn)

[1] 陳晨，張煒，徐思遠(yuǎn).基于雙重認(rèn)證的局域網(wǎng)訪問控制方式[J].網(wǎng)絡(luò)空間安全，2012.11：22-24.

[2] 朱鵬，謝欣，周顯敬，陳尚義.終端安全接入技術(shù)及發(fā)展趨勢研究[J].信息安全與通信保密，2010.2：52-55.

[3] 李彥，王柯柯.基于PKI技術(shù)的認(rèn)證中心研究[J].計算機(jī)科學(xué)，2006，33（2）：110-111，148.

[4] 閆輝，佟晶.計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施探析[J].網(wǎng)絡(luò)空間安全，2016，（8）：43-45.

[5] 黃鵬.基于IEEE 802.1X身份認(rèn)證的政務(wù)內(nèi)網(wǎng)安全體系[D].山東大學(xué)，2012.