基于CA認證的網絡終端安全監管

鄭彬

（山東大學網絡信息安全研究所 山東省濟南市 250000）

網絡技術在日益普及的今天，帶給了全球各國人民多樣的便利性，有生活方面的，有生產方面的，也有政府辦公方面的。網絡技術的普及造就了網絡安全問題的凸顯，尤其是科研和金融機構、政要部門等等，他們對于網絡安全問題的解決更加渴求。所以，加強網絡終端安全監管是保證網絡安全的一種重要保障，也是現階段網絡安全監管方面需要解決的頭等問題。基于此，一種新型的網絡安全監管技術——基于CA 認證的網絡終端安全監管，便應運而生。

1 CA認證技術的含義及系統組成

1.1 CA認證技術的含義

CA 認證的主要任務是接受網絡用戶數字證書的申請后為用戶簽發和管理數字證書，從而實現認證用戶網絡身份的一種可靠安全的技術。

1.2 CA認證系統的組成

CA 認證系統主要由4 個部分組成：認證中心、注冊審核系統、數字證書查詢驗證服務系統、密鑰管理中心。

認證中心主要負責為用戶簽發和管理數字類證書。其內容主要包含了：對于簽發的證書要負責做統一的存檔處理；證書到達使用期限之后需要及時的進行更新或者注銷，需要由專業的證書檢查驗證系統發表有關證書的處理結果。以供查詢證書的服務功能。用戶申請認證審核之后是需要注冊審核系統的詳細審核，然后將結果發送給認證中心，最后接收認證中心反饋過來的信息并傳遞給用戶。

數字證書查詢驗證服務系統，主要負責發布和更新認證中心簽發的證書以及證書撤銷列表，同時對數字證書和證書撤銷列表的目錄進行管理和控制。

密碼鑰匙的管理中心負責工作是關于生成密碼鑰匙、然后進行存儲、存檔、備份和復原工作，還要向認證中心供給簽發數字證書的時候需要用到的密碼鑰匙，還能夠結合一些安全技術封裝底層的密碼計算方法來為應用提供統一的接口。

2 針對于CA認證的網絡終端安全監管系統做出的設計方案

2.1 對基礎系統功能的需求

為保障安全的內網環境，最為行之有效的辦法是要對網絡終端的安全加以強有力的監管，這樣就能起到防微杜漸的作用。終端狀態與行為的監管是終端安全監管的兩個主要方面。

對于以上觀念，這套系統的基礎功能需求通常包含以下幾點：

（1）身份認證。由于傳統密碼身份認證方式安全系數低，對政府有關機構和大型的企業已經沒有辦法滿足其需求，所以就需要融合終端節點與終端身份信息認證，開創一種新的安全系數高的身份認證方式。

（2）終端節點接入發現。通過拓撲掃描等方式建立終端拓撲機構來收集相關節點信息，還需要對接入內網的終端節點身份進行合法的判別，從而杜絕非法的網絡終端接入網絡。

（3）終端節點安全性檢查控制。判斷終端是否私接外網，是否被搭建為代理服務器或者NAT 服務器，一旦發現異常則及時報警。

（4）終端節點的行為監控。通過分配權限來達到監控終端主機的端口使用和進程運行的目的，一旦發現異常則立即報警。

（5）安全訪問控制策略模型的建立。除了以上功能需求外，還需要建立一種靈活有效且費用低的安全訪問控制策略模型。

2.2 系統的結構架設

2.2.1 系統工作模型

系統采取B/S 模式與C/S 模式二者結合的工作形式，為得到網絡狀況的即時反饋， B/S 模式提供的終端信息的查詢服務和終端異常報警的處理服務為管理員提供了便利。不過這種模式通常存在一些弊端，該模式由于安全設計等原因，導致它并不包含安全訪問控制策略下發與設計功能。C/S 模式則主要負責信息收集、安全訪問控制策略的下發與執行和身份認證工作。

2.2.2 系統體系結構

系統體系結構為：PC、接入交換機、匯聚交換機、核心交換機、防火墻、服務器區（由數據存儲服務器、安全管理服務器、身份認證服務器、網絡掃描服務器組成）、出口路由、因特網、CA 認證中心、非法外聯探測服務器。

其中，數據存儲服務器主要負責安全管理策略和存儲終端信息。身份認證服務器主要負責終端主機和用戶的身份認證，以因特網與認證中心相連接的方式，使證書查詢驗證列表得以維護和更新。下發管理策略和客戶端配置，監聽和處理相關報警信息是安全管理服務器的主要職責。網絡掃描服務器則負責掃描網絡拓撲結構。對于終端，主要是利用安全監測組件，以及結合管理人員的相關安全訪問控制計劃，對代理服務器、NAT 服務器和非法外接等行為進行檢測，同時控制終端的端口和行為，一旦發現行為異常時，立即向服務器匯報終端主機的異常行為。

2.2.3 系統框架結構

系統依據管理方式，分為兩部分，即管理端和被管端。通過管理的端口，管理數據資料庫和服務器需要管理人員從主要控制界面登錄服務器來獲得網絡中各個站點相互連接的形式，對于網絡中一些不安全的信息進行解決和監督，有些時候管理人員也可以用服務器來制定和下發系統安全訪問控制策略，以及更新證書查詢認證信息等。在被管理的端口中，使用者可以用一種有USB 接口的硬件設備進行客戶端的登陸，想要進入網絡必須得到服務器管理端口的同意才行，其中的過程就是軟件的代理商把自己所知道的信息在終端口證實身份之后發送到服務器。然后使用者在終端口操作網絡的時候，有一些違規的地方是通過代理軟件的應用服務層進行檢查的，然后再通過簡單的網絡管理協議入口實行上報。

2.3 系統功能模塊的設計

2.3.1 終端身份認證模塊

首先是對終端用戶進行身份認證。該過程主要是利用CA 的認證方式進行操作。對于終端合法用戶而言，每一個人都會有數字證書，在這個證書上會有該名用戶的姓名、住址以及電話等個人資料，在對終端用戶進行身份認證時正是根據這些資料完成的。另外，因為該認證系統采用的數字證書通常由權威的CA 中心簽署和發放，因此所使用的數字證書具有較高的安全性，避免出現偽造問題；同時，該數字證書一般由USBKEY 進行保存，因此攜帶也十分方便。關于終端用戶的認證過程，主要是通過系統將終端用戶數字證書上的信息傳送到認證服務器中，然后該認證服務器會對終端用戶所攜帶的數字證書合法性以及有效性進行全面驗證，如果驗證結果符合，則終端用戶可進行訪問；如果驗證結果不符，則終端用戶無法進行訪問。

最后是對終端主機進行身份認證。該過程主要是利用終端主機的特征碼進行操作。特征碼通常由硬盤序列號、MAC 地址和CPU名稱等組成，依據MD5 散列生成法創造一組不重復的字符串來作為終端節點的一種標識。然后再通過標識與用戶身份是否匹配、是否存在于數據庫中來判斷用戶是否合法，如果用戶不合法則不讓其接入內網。在設計終端身份認證的方案時，管理員可以自主設置以下內容：在對USBKEY 進行檢測時是否應該設置時間間隔；關于終端用戶和終端主機之間的對應方法，不僅可以采取一對多的方法，同時也能夠采取一對一的方法。此外，關于用戶與主機之間的合法匹配問題，主要是在用戶第一次登陸以后完成的，相關管理人員會在用戶第一次登陸之后將信息進行儲存，如果需要更新則由管理員進行更改。用戶身份認證架構中的身份認證模塊應當通過因特網連接CA 認證中心，以實現對證書查詢驗證列表的更新和維護。

2.3.2 終端安全監測模塊

關于該模板，其主要是為了對終端用戶的行為進行全面檢測，主要結構形式為：開始、用戶接入網絡、設備和終端報警、用戶行為是否違規、分析違規詳情、報警。其中，當終端用戶接入到網絡中之后，對其進行分析時的報警系統主要有兩部分組成，一個是終端所接交換機端口的報警，另一個則為終端報警系統。首先，該報警系統會根據終端需求將沒有使用過的設備端口屏蔽掉；之后會為終端找到適合接入設備的端口。一旦終端端口的報警系統與終端報警系統吻合，則可以將其設為合法終端，并可以進行合法接入；如果終端為合法終端，但是所使用的接入網絡的端口與之不符，則不可將其設為合法終端；如果設備端口出現報警，但是終端并沒有報警，則表明設備端口合法，但是終端并不合法。不管是以上哪一種情況，相關管理人員在進行處理時都應該依據實際情況進行，保證非法終端內接問題被有效控制。如果終端有新用戶要接入到網絡中，相關管理人員需要再開設一個與新用戶符合的設備端口，同時在新用戶登陸之后還需做好綁定工作。此外，終端安全監測模塊從實現角度上來說，包括內核取得模塊和應用層模塊，如圖1 所示。

確保終端組件在主機運行時沒有因主、客觀等因素退出，才能保證終端安全監測模塊的有效性。一方面，需要由守護程序對驅動程序進行及時監測，主要檢測其是否能夠進行正常運行，一旦驅動程序未進行正常運行，守護程序就會將信息上報給TRAP7，并由相關管理人員對其進行有效處理；另一方面，系統中的守護程序，也就是用戶所用程序將會定時向系統服務器發出在線TRAP12，一旦用戶在線過程中沒有發出或者長時間沒有發出TRAP12，那么就說明守護程序可能出現異常退出行為，這時就需要相關管理人員對用戶的實際運用情況進行全面調查，并根據調查結果采取有效措施對問題進行處理。

2.3.3 安全訪問控制模塊

該部分模塊主要是對用戶組進行合理分類，并根據分類后的結果為其開放相應權限；另外，該模塊也具有對報警信息進行有效處理的作用。

首先，在對用戶組進行合理分類以及開放相應權限的過程中，需要由兩部分應用系統完成，即用戶端應用系統以及管理端應用系統。分組策略制定的過程中，管理員可以自主設置分組，同時也可以根據部分以及職位的特點對用戶進行有效分組。因此，就需要用戶將個人信息存在USBKEY 中，比如用戶的部分以及職位等，從而在對用戶進行身份認證時能夠及時、準確的獲取。管理員應當為所有的合法用戶進行分組，分組完成后賦予各組相應的權限，同時需要將這些內容存放到數據庫中，從而使得后續管理更加方便快捷。當用戶利用USBKEY 進行接入的過程中，系統將會根據之前分類的組別將其傳送到系統相應組中，并對該名接入用戶的個人信息以及使用權限進行讀取，依此將安全訪問控制策略發送給該用戶；而終端組件則可以通過對這種下發的安全訪問控制策略進行用戶行為的監控，以實現控制用戶行為的目標。另外，安全訪問控制模塊還可以對用戶接入內網后的非法行為進行監控。用戶使用USBKEY接入內網認證完身份后，可以獲得自身所在的分類組別以及相應的應用權限，這時終端安全檢測組件就可以根據以上信息對用戶的使用行為進行實時監控，一旦發現用戶存在不法行為等，終端安全檢測組件就會向管理端傳遞警報信息，并且會對用戶行為進行記錄。相關管理人員就可以根據警報信息以及系統中的記錄信息做出正確處理。

圖1：用戶模式與內核態

其次，對報警信息進行監聽以及處理，關于信令監聽處理單元而言，其主要是負責監聽管理員下發的命令并做出對應的處理。開啟設備端口是為了加入新用戶，關閉設備端口主要是為了避免非法用戶接入。關于相關管理人員對接入用戶下發的命令內容，主要是策略以及錯誤提示等。而報警監聽處理這個單元是負責對監聽設備與終端的TRAP 報警信息做出預警處理后，并將其上報到人機交互模板中。而對于處理方式而言，不但能夠由相關管理人員對其進行實時有效處理，同時也能夠根據事先制定好的策略進行及時、準確的處理，從而做到具體問題具體分析。

3 結束語

總之，隨著網絡科技的不斷進步，推動著網絡技術的不斷發展，我國的網絡普及范圍也越來越廣，從生活到生產、從農業到工業、從居民到企事業單位，無一不體現著網絡應用的廣泛性。網絡在給我們生活和辦公帶來便利的同時，自身的安全問題愈發凸顯，如果不對網絡安全問題采取行之有效的措施加以控制，造成的嚴重后果不堪設想。現階段由于網絡技術的縱深化發展，一些傳統的安全管理技術已經跟不上時代的要求。作為網絡安全監管方面的工作人員，必須具備了解和應用新型網絡安全監管技術的能力，尤其是基于CA 認證的網絡終端安全監管這種新型監管技術，不僅要了解該技術的系統組成，還要懂得如何架設這種新型監管技術系統，確保對網絡終端安全的有效監管。