基于802.1x 訪問控制技術(shù)的信息安全等級保護(hù)研究

◆林川

（海南正邦信息科技有限公司 海南 570100）

信息安全等級保護(hù)工作的核心是對信息等級的劃分，指在對信息等級進(jìn)行標(biāo)準(zhǔn)規(guī)劃后，按照標(biāo)準(zhǔn)對信息資源庫進(jìn)行建設(shè)、管控、監(jiān)督等行為。綜合計算機(jī)技術(shù)對信息的等級劃分標(biāo)準(zhǔn)，可將信息安全等級劃分為：計算機(jī)終端用戶對信息的自我保護(hù)行為；計算機(jī)系統(tǒng)對信息的審核性保護(hù)行為、標(biāo)記性保護(hù)行為、結(jié)構(gòu)性保護(hù)行為以及安全驗證保護(hù)性維護(hù)等行為[1]。信息在網(wǎng)絡(luò)存儲過程中被劃分為多個等級，初級信息等級為用戶個人信息，而針對此方面進(jìn)行等級保護(hù)研究的目的在于對保護(hù)目標(biāo)的明確化描述。在網(wǎng)絡(luò)安全中，要實現(xiàn)上述提出的相關(guān)要求，需要將控制訪問作為前提條件，在終端計算機(jī)防火墻、計算機(jī)交換路由等設(shè)備的支撐下分段控制網(wǎng)絡(luò)。此方面研究一直是有關(guān)計算機(jī)研究單位的關(guān)注重點，尤其在信息化技術(shù)協(xié)同發(fā)展的社會背景下，多元化信息的公開性更為顯著，因此，如何在這一趨勢下有效保護(hù)隱私信息，顯得尤為重要。基于此，本文引進(jìn)802.1x 訪問控制技術(shù)，提出一種針對網(wǎng)絡(luò)信息安全的保護(hù)方法，以期通過本文設(shè)計的方法，實現(xiàn)對網(wǎng)絡(luò)中隱蔽性信息提供有效的保護(hù)，解決信息失竊、信息被盜用、信息失真等問題。

1 信息安全等級保護(hù)方法研究

1.1 劃分信息安全等級

為確保安全保護(hù)信息安全等級，應(yīng)在方法設(shè)計工作前劃分信息安全等級。劃分過程中，可將網(wǎng)絡(luò)中數(shù)據(jù)鏈路層作為劃分的依據(jù)，以《信息安全技術(shù)》文件作為標(biāo)準(zhǔn)[2]，將信息劃分為用戶自主保護(hù)等級、系統(tǒng)審核保護(hù)等級、信息標(biāo)記保護(hù)等級、信息結(jié)構(gòu)保護(hù)等級以及安全認(rèn)證保護(hù)等級五種類型。根據(jù)數(shù)據(jù)安全等級要素，明確信息安全等級與信息安全要素之間的對應(yīng)關(guān)系[3]。

在此基礎(chǔ)上，考慮到鏈路層數(shù)據(jù)是保障數(shù)據(jù)安全的基礎(chǔ)性配置，因此可在設(shè)計信息安全等級保護(hù)方法的過程中，將安全要素作為依據(jù)，從下述對保護(hù)方法展開設(shè)計。

1.2 基于802.1x 訪問控制構(gòu)建信息安全訪問協(xié)議

在明確信息安全等級劃分及其依據(jù)的基礎(chǔ)上，引進(jìn)802.1x 訪問控制技術(shù)設(shè)計信息安全訪問協(xié)議[4]。在此過程中應(yīng)先明確上文提出的協(xié)議屬于802.11x 協(xié)議的延伸。協(xié)議中包括對數(shù)據(jù)鏈路的驗證內(nèi)容，即可通過對用戶身份的驗證，控制用戶的信息檢索行為。在驗證用戶身份信息過程中，可將交換機(jī)作為控制訪問的端口，交換機(jī)可支持在未經(jīng)權(quán)限訪問條件下，做到與未經(jīng)過LAN 的互聯(lián)網(wǎng)拒絕連接[5]。在獲取用戶信息的初步訪問權(quán)限后，802.1x 在防火墻驗證無病毒攜帶后，即可驗證用戶身份。802.1x 認(rèn)證體系中共涉及終端客戶訪問端、身份認(rèn)證端、服務(wù)器認(rèn)證端三個方面的內(nèi)容。綜合上述分析，基于802.1x訪問控制技術(shù)設(shè)計信息安全訪問結(jié)構(gòu)，如圖1 所示。

圖1 基于802.1x 訪問控制構(gòu)建信息安全訪問結(jié)構(gòu)

如上述圖1 所示，基于802.1x 訪問控制技術(shù)的信息安全訪問結(jié)構(gòu)中，訪問機(jī)制屬于虛擬端信息連接口，即交換機(jī)在物理端口層面分析，可將其劃分為信息控制與信息不受控制兩個端口。但提出的訪問設(shè)計理念當(dāng)下仍屬于物理劃分方式，在上述提出的支撐設(shè)備中尚且不支持此種劃分方式。因此，在實際應(yīng)用中，可按照上述結(jié)構(gòu)，將不受控制端的端口保持一種雙向連通狀態(tài)，在每一條通信通道上，均可以對其賦予一條信息邏輯訪問通道。增設(shè)的邏輯訪問通道受802.1x 訪問控制技術(shù)的控制，即未通過驗證的用戶對其沒有訪問權(quán)限。在構(gòu)建信息安全訪問結(jié)構(gòu)過程中，802.1x 訪問協(xié)議僅允許EAPoL（/互聯(lián)網(wǎng)信息訪問協(xié)議）的數(shù)據(jù)通過端口。當(dāng)受控端被打開后，網(wǎng)絡(luò)交換數(shù)據(jù)得以順利通過，據(jù)此可認(rèn)為在構(gòu)建信息安全訪問協(xié)議過程中，802.1x訪問控制技術(shù)的應(yīng)用是很有作用的。

1.3 基于802.1x 協(xié)議認(rèn)證的信息安全等級保護(hù)

利用上述設(shè)計的信息安全訪問協(xié)議，本章將遵循基于802.1x 協(xié)議的認(rèn)證，以802.1x 協(xié)議端口邏輯作為支撐，根據(jù)交換機(jī)策略參數(shù)，對其進(jìn)行安全等級保護(hù)。

當(dāng)客戶端（/終端計算機(jī)用戶）在操作網(wǎng)絡(luò)信息的過程中，可通過交換機(jī)設(shè)備，向EAPoL-Start 發(fā)送一個數(shù)據(jù)報文，當(dāng)報文內(nèi)容通過信息安全的驗證后，802.1x 訪問控制協(xié)議可被接入。同時，交換機(jī)將向客戶端（/終端計算機(jī)用戶）發(fā)送一個EAPoL-Request/ldentity 數(shù)據(jù)報文，獲取客戶端操作用戶的身份認(rèn)證信息，并且持續(xù)對數(shù)據(jù)報文進(jìn)行封裝處理，將傳輸?shù)男畔l(fā)送給認(rèn)證端服務(wù)器。當(dāng)服務(wù)器接收到一個報文數(shù)據(jù)后，服務(wù)器將產(chǎn)生一個EAPoL-Access（成功）的認(rèn)證反饋，反之將產(chǎn)生一個EAPoL-Fall（失敗）的認(rèn)證反饋。

當(dāng)完成對用戶身份的有效反饋后，計算機(jī)將持續(xù)追蹤用戶對信息的操作行為，并實時向交換機(jī)反饋計算機(jī)信息等級。在實時反饋的過程中，只有認(rèn)證成功的數(shù)據(jù)才能被用戶所調(diào)用，否則便認(rèn)為用戶對信息沒有訪問權(quán)限。綜上所述，通過使用不同的認(rèn)證方式認(rèn)證用戶身份信息，從而實現(xiàn)對信息安全等級保護(hù)方法的設(shè)計。

2 對比實驗

為進(jìn)一步驗證該方法在實際應(yīng)用中的性能和效果，下面將通過實際應(yīng)用對比基于802.1x 訪問控制技術(shù)的信息安全等級保護(hù)方法與傳統(tǒng)保護(hù)方法應(yīng)用下的各類數(shù)據(jù)，完成對比實驗設(shè)計。

對比實驗中本文選擇將某企業(yè)網(wǎng)絡(luò)通信環(huán)境作為實驗環(huán)境，該環(huán)境整體通過TensorFlow2.7 型號框架支撐，通信網(wǎng)絡(luò)通信環(huán)境當(dāng)中的信號編譯器采用bazel2.6.6 型號編譯器。為確保對比實驗的客觀性，本文將兩種保護(hù)方法均設(shè)置在上述相同的網(wǎng)絡(luò)通信環(huán)境當(dāng)中，并分別利用兩種保護(hù)方法對信息進(jìn)行安全等級保護(hù)。

同時，為保證實驗結(jié)果與實際運行需求相符，在網(wǎng)絡(luò)通信環(huán)境當(dāng)中引入Intel（V）Xeon（C）CPUF2-4575 v4@6.4GHz，32GB 內(nèi)存，并同時提供兩組TITAN X，128 位操作系統(tǒng)。在確保網(wǎng)絡(luò)信息環(huán)境中用戶正常通信的條件下，將信息的數(shù)據(jù)量設(shè)置為1200 幀，在正常通信過程中，分別使用兩種保護(hù)方法對信息進(jìn)行保護(hù)。

分別記錄兩種保護(hù)方法下的信息和容量，即信息損失數(shù)量。將實驗結(jié)果進(jìn)行記錄，并繪制成如表1 所示的實驗結(jié)果對比表。

表1 兩種保護(hù)方法實驗結(jié)果對比表

表1 中和容量的數(shù)值越大，則說明信息的傳輸環(huán)境越不穩(wěn)定，分配的噪聲越大，信息中數(shù)據(jù)的損失量越多，反之，和容量的數(shù)值越小，則說明信息的傳輸環(huán)境越穩(wěn)定，分配的噪聲越小，信息中數(shù)據(jù)的損失量越少。由表1 中的數(shù)據(jù)可以看出，本文保護(hù)方法的和容量隨信息數(shù)據(jù)量的增加而增長，但從整體來看，其明顯低于傳統(tǒng)保護(hù)方法的和容量。因此，通過對比實驗組證明，本文提出的基于802.1x 訪問控制技術(shù)的信息安全等級保護(hù)方法在實際應(yīng)用中能夠有效提高信息的安全性，為信息通信和傳輸提供安全保障。

3 結(jié)束語

本文提出的基于802.1x訪問控制技術(shù)的信息安全等級保護(hù)方法，在完成設(shè)計后，通過設(shè)計對比實驗的方式對方法進(jìn)行驗證，證明本文設(shè)計的方法在實際應(yīng)用中對信息實現(xiàn)的等級安全保護(hù)效果更為顯著，具有更高的社會應(yīng)用價值，為信息的通信和傳輸提供更高程度的保障。