基于BYOD網(wǎng)絡(luò)安全的身份關(guān)聯(lián)接入機(jī)制

韓強(qiáng)

摘? 要：為了實(shí)現(xiàn)和保障BYOD安全接入網(wǎng)絡(luò)，采用目前較為流行的動(dòng)態(tài)口令身份認(rèn)證方式，由網(wǎng)絡(luò)管理員設(shè)置程序算法來實(shí)現(xiàn)軟件動(dòng)態(tài)口令的方法。首先用戶身份中隨機(jī)生成的賬戶和密碼，實(shí)現(xiàn)動(dòng)態(tài)口令認(rèn)證，接著檢測接入BYOD授權(quán)設(shè)備，實(shí)現(xiàn)一種身份關(guān)聯(lián)的接入機(jī)制，從而提高網(wǎng)絡(luò)安全使用的功能。

關(guān)鍵詞：身份關(guān)聯(lián);BYOD;網(wǎng)絡(luò)安全;接入機(jī)制;賬號管理;安全檢測

中圖分類號：TP393.08? ? ? ?文獻(xiàn)標(biāo)志碼：A? ? ? ? ?文章編號：2095-2945（2020）16-0017-02

Abstract： In order to realize and guarantee BYOD's secure access to the network， this paper uses the popular dynamic password authentication method at present， and uses the network administrator to set program algorithm to realize the software dynamic password. Firstly， account and password generated randomly in user identity are used to realize dynamic password authentication. Then， access to BYOD authorization device is detected， and an identity-related access mechanism is realized， so as to improve the function of network security.

Keywords： identity association; BYOD; network security; access mechanism; account management; security detection

引言

當(dāng)前隨著 BYOD（Bring Your Own Device）的出現(xiàn)，單位中各部門員工可以利用手機(jī)設(shè)備在任何地點(diǎn)，任何時(shí)間訪問資源、處理業(yè)務(wù)[1]。同時(shí)BYOD得益于智能終端網(wǎng)絡(luò)功能的日益強(qiáng)大以及5G網(wǎng)絡(luò)的逐步完善，BYOD網(wǎng)絡(luò)的迅速普及已遍及人們生活、娛樂、工作等各方面[2]。這是新時(shí)代辦公的一種潮流，也給工作帶來新體驗(yàn)。然而若設(shè)備中攜帶病毒，即一旦接入公司網(wǎng)絡(luò)便可能攻擊網(wǎng)絡(luò)系統(tǒng)[3]。有關(guān)數(shù)據(jù)顯示，隨著 BYOD網(wǎng)絡(luò)不斷的發(fā)展，不成熟的 IT 策略正在將各種各樣的敏感信息置于風(fēng)險(xiǎn)之中。因此我們需要一套完整安全網(wǎng)絡(luò)機(jī)制，來解決移動(dòng)設(shè)備接入的安全管理。

身份認(rèn)證，也稱身份驗(yàn)證，身份確認(rèn)通常采用“用戶名+口令”的方式來接入網(wǎng)絡(luò)。但是非法用戶通過字典或窮舉方法侵入、也可通過數(shù)據(jù)包偵聽或分析協(xié)議以及口令重放等方式接入[4]。此方式存在安全隱患，若物理證件丟盜，則信息泄露。綜上所述，本文提出一種身份關(guān)聯(lián)方式接入網(wǎng)絡(luò)，其實(shí)也是一種動(dòng)態(tài)口令認(rèn)證方式，只需程序代碼設(shè)置，不需添加任何物理器件，實(shí)現(xiàn)操作方便，網(wǎng)絡(luò)安全性高。

1 設(shè)計(jì)方案

網(wǎng)絡(luò)安全注重從源頭抓起，針對每一個(gè)上網(wǎng)者來講，網(wǎng)絡(luò)管理員對其設(shè)置身份關(guān)聯(lián)，給網(wǎng)絡(luò)中每一位員工分配單獨(dú)的賬號及密碼，他們每次接入網(wǎng)絡(luò)，必須使用該賬號和密碼（當(dāng)然賬號與密碼也可以設(shè)置），這樣針對外來訪客BYOD設(shè)備來講，接入后若想訪問內(nèi)網(wǎng)或外網(wǎng)，必須通過身份關(guān)聯(lián)接入（即與該接待員工關(guān)聯(lián)到一起），從而達(dá)到可追蹤，可多方控制的管理效果。這時(shí)網(wǎng)絡(luò)管理者通過SDN監(jiān)控來訪者的網(wǎng)絡(luò)行為，所有行為都記錄于數(shù)據(jù)庫中，若發(fā)現(xiàn)異常行為，網(wǎng)絡(luò)管理者可采取限制或防御策略，實(shí)現(xiàn)接入安全，具體方案如圖1所示。

2 接入模塊設(shè)計(jì)

網(wǎng)絡(luò)安全接入機(jī)制關(guān)鍵點(diǎn)是保證外來BYOD設(shè)備安全接入網(wǎng)絡(luò)，因此在整個(gè)網(wǎng)絡(luò)接入設(shè)計(jì)中必須對接入者的身份進(jìn)行安全認(rèn)證，這就要設(shè)計(jì)接入模塊管理認(rèn)證登錄過程。不管是共有設(shè)備登錄，還是私有設(shè)備登錄，都必須進(jìn)行登錄方式的判斷，如驗(yàn)證密碼，同時(shí)記錄他們的登錄信息、操作記錄，包括賬號密碼的加密或解密行為等，所有網(wǎng)絡(luò)行為都必須記錄在數(shù)據(jù)庫模塊中，包括賬號密碼數(shù)據(jù)庫、主機(jī)信息數(shù)據(jù)庫、操作記錄數(shù)據(jù)庫等，具體的身份關(guān)聯(lián)接入設(shè)計(jì)模塊如圖2所示。

3 機(jī)制實(shí)現(xiàn)

網(wǎng)絡(luò)使用者（單位職員或來訪者）的請求會(huì)被轉(zhuǎn)發(fā)到內(nèi)網(wǎng)SDN，從而實(shí)現(xiàn)關(guān)聯(lián)身份認(rèn)證，身份認(rèn)證內(nèi)容包括用戶身份的申請認(rèn)證、生成賬戶、登錄認(rèn)證、操作日志、行為審計(jì)等。為了實(shí)現(xiàn)這一系列的安全檢測，把網(wǎng)絡(luò)中本職員接入認(rèn)證信息稱作主賬號，把訪者BYOD接入網(wǎng)絡(luò)的認(rèn)證信息為授權(quán)賬號，同時(shí)為了方便管理，把主賬號和授權(quán)賬號統(tǒng)一規(guī)定采用不同的位數(shù)，例如主賬號規(guī)定是8位的字符串，授權(quán)賬號規(guī)定是18位制。下面分別介紹這兩種賬號具體的實(shí)現(xiàn)生成機(jī)制。

3.1 主賬號的生成機(jī)制

網(wǎng)絡(luò)中的主賬戶是網(wǎng)絡(luò)管理員按照生成規(guī)則自動(dòng)分配的，要求每一位職員分配賬戶名和初始密碼必須是唯一的，職員通過其賬戶名及初始密碼登錄到內(nèi)網(wǎng)后再進(jìn)行賬戶密碼的自行修改，那么主賬戶的生成機(jī)制是該網(wǎng)絡(luò)管理員的操作首要任務(wù)，其生成流程如圖3所示。

3.2 生成授權(quán)賬戶

授權(quán)賬號生成規(guī)則是根據(jù)主賬戶的信息來生成的，其賬號生成流程如圖4所示，首先獲取與其關(guān)聯(lián)的主賬戶的信息（賬號與密碼），生成訪問時(shí)間的10位數(shù)字，表示時(shí)間數(shù)字按秒數(shù)表示，接著隨機(jī)產(chǎn)生8位的隨機(jī)數(shù)（1到18的隨機(jī)數(shù)），然后取出對應(yīng)18位中的8位索引值，加上10位訪問時(shí)間數(shù)字共生成18位賬號，這樣的信息包括訪問時(shí)間數(shù)字、職員賬號、授權(quán)賬號，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全機(jī)制。

3.3 身份關(guān)聯(lián)接入判斷

當(dāng)網(wǎng)絡(luò)系統(tǒng)接收到接入請求時(shí)，系統(tǒng)會(huì)判斷其的認(rèn)證方式，根據(jù)賬號的不同進(jìn)行安全接入認(rèn)證。當(dāng)然認(rèn)證判斷的依據(jù)主要是接入賬號的信息，如上面所說的8位主賬戶、18位授權(quán)賬號。如果賬戶是8位，則直接接入網(wǎng)絡(luò)，反之，則通過身份關(guān)聯(lián)接入網(wǎng)絡(luò)。身份關(guān)聯(lián)接入首先檢測職員的信息，通過之后再檢測BYOD授權(quán)賬號信息，也就是說對于外來BYOD接入設(shè)備來說，接入網(wǎng)絡(luò)賬號、密碼由職員控制，申請授權(quán)于該設(shè)備才登錄接入。用戶使用時(shí)必須與其的賬戶密碼關(guān)聯(lián)許可才能接入網(wǎng)絡(luò)。從而實(shí)現(xiàn)授權(quán)設(shè)備接入網(wǎng)絡(luò)時(shí)，檢測驗(yàn)證主賬戶的合法性以及授權(quán)BYOD設(shè)備的合法性。若兩者都合法，該授權(quán)賬號有效，該設(shè)備才能成功接入網(wǎng)絡(luò)，否則接入失敗。

3.4 安全管理分析

身份關(guān)聯(lián)接入的安全性體現(xiàn)在于授權(quán)權(quán)限和接入權(quán)限，網(wǎng)絡(luò)管理員通過設(shè)備管理功能顯示出接入設(shè)備的詳細(xì)信息、職員用戶、來訪者、BYOD設(shè)備接入網(wǎng)絡(luò)的信息，包括接入IP地址、接入時(shí)間、離開時(shí)間等，也可以監(jiān)控到接入網(wǎng)絡(luò)后使用資源情況：CPU的使用率、內(nèi)存使用率、IO 使用率、帶寬使用率。若出現(xiàn)導(dǎo)常接入，如不能接入的稱為黑名單、直接接入的稱為白名單，網(wǎng)絡(luò)管理員可對其進(jìn)入編輯、刪除等操作。

4 結(jié)束語

身份關(guān)聯(lián)接入網(wǎng)絡(luò)，主要實(shí)現(xiàn)了外來訪客和BYOD設(shè)備接入網(wǎng)絡(luò)時(shí)，必須同時(shí)判斷檢驗(yàn)職員主賬戶與其所授權(quán)賬戶，兩者同時(shí)符合才能安全接入，若有其中一個(gè)不符合條件，則接入失敗，這就給企業(yè)的網(wǎng)絡(luò)安全提供了雙重保障，這樣不僅有效地控制外來設(shè)備以及來訪者安全接入網(wǎng)絡(luò)，而且還能方便準(zhǔn)確地對接入用戶的操作進(jìn)行追蹤審計(jì)。

參考文獻(xiàn)：

[1]陳林.支持軟件定義網(wǎng)絡(luò)的網(wǎng)關(guān)安全接入技術(shù)研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2018：14-29.

[2]黃壽孟.基于超網(wǎng)絡(luò)模型的混合教學(xué)知識傳播研究[J].信息與電腦：理論版，2019（5）：37-39.

[3]黃壽孟.基于Flex的數(shù)據(jù)通信技術(shù)研究與應(yīng)用[J].中國現(xiàn)代教育裝備，2016（17）：12-15.

[4]曲大鵬，吳松林，何俊，等.針對BYOD的網(wǎng)絡(luò)入口邊界安全研究[J].計(jì)算機(jī)應(yīng)用研究，2018（9）：2785-2788.