网络接入的智能控制技术

吴申强

摘 要：近年来网络应用已深入到各行业业的工作中。除了商业机构，科研院校等广泛使用网络之外，也在政府机关，军队，武警等涉密机构也得到普及。但网络给人们的日常办公带来了极大的便利的同时，也带来了信息安全隐患。

关键词：SDN 网络安全 接入策略

中图分类号：TP393 文献标识码：A 文章编号：1674-098X（2017）05（c）-0149-02

排除隐患的首道工作，是要管理好接入需求，确保授权用户对网络资源进行正确的访问。特别在对信息安全较敏感的行业，对内网的接入安全提出更高要求。利用当前成熟的SDN等技术，可以很好的解决这些问题。

1 网络接入权限控制现状

1.1 接入权限概念

网络接入不仅指空间的接入，也是逻辑上的接入。接入权限策略即要保证网络不被外部非法入侵，保护信息安全与完整。同时还要保证网内用户的正常访问与隔离，确保提供应有的服务质量。

常见的非法访问存在三种入侵模型：

外部入侵：外网通过非法手段渗透访问；

内网非法访问：内网用户通过异常手段访问未被授权的资源；

破解：内网用户非法获取权限，并利用该权限来非法访问与逃避审计。

因此，对接入策略的基本要求：阻止非法用户进入系统；允许合法用户在正常审计下授权访问与使用受控资源；杜绝越权行为。

1.2 网络接入权限的原理

接入权限控制的核心是：用户的识别，认证与授权：

识别：识别用户标识。主要依据网络MAC/IP地址或用户ID作为识别标识。

认证：根据系统预配置好的安全策略进行权限的检查。屏蔽未知接入。

授权：依据身份认证的匹配的结果，给接入分配相应的访问权限。

2 接入权限現状的问题

当前接入策略存在许多不如意的地方。特别是涉密网的个性化需求，现有的接入策略机制已经难以满足。

2.1 网络接入权限现状

常见的接入控制方法主要有Web认证，802.1x及应用层认证。这些认证方式对接入行为的控制粒度有差异：Web认证主要面向公众无线场景，通过弹出网页进行认证后授权接入。特点是认证速度快，不需安装客户端。1x认证是一个基于端口的网络存取控制标准，为网络提供点对点式的安全接入，主要用于一般办公网络接入的控制。应用层认证要求接入设备安装客户端软件，由该客户端与服务端交互完成认证并提供监控用户的上网行为，审计与回溯的能力。

除了上述几种常见的之外，还有如PPPOE等相对少见的方式，对环境及人员要求较高，不具普适性。

2.2 现有接入控制方式的不足

web认证：过程需弹出认证页面，要求特定终端。会话过期重新认证会影响用户体验。

802.1x认证：要在设备上事先安装客户端软件。并且服务器预配置的接入信息需要随着人员变化而手工调整。

应用层认证：需要在安装客户端软件。此外它还承担监控与审计等工作，设备硬件资源消耗大。

此外，对于进一步的安全要求，如五要素绑定（时间，接入位置等），策略随行，空闲网口IP管理等需求，现有的网络技术无法实现。

3 智能控制相关技术

为达到更好的接入策略效果，我们需要充分利用新技术。如SDN及OpenFlow协议。

3.1 SDN

SDN即软件定义网络（Software Defined Networking），由控制器与网络设备两部分组成。它将网络的控制平面与数据转发平面解耦，通过集中的软件控制器进行可编程化平台，统一控制底层硬件，来实现对网络资源灵活的高效按需调配。在SDN网络中，底层设备只负责数据转发，而原来控制工作则单独抽象出一个集中的控制面，负责适配个性化的业务需求进行集中控制。因此我们可以将用户接入的权限管控的方式及策略上收。并通过SDN的智能管理算法，实现对网络接入权限的智能管控的目的。

3.2 OpenFlow

OpenFlow是由斯坦福大学的Nick McKeown教授在2008年4月首先提出的。它提出的控制转发分离架构，允许不动网对网络进行编程而实现新型的协议与拓扑。它通过网络设备维护一个FlowTable且只照FlowTable转发，该表本身的生成，维护，下发完全由SDN控制器来完成。

4 智能接入控制解决方案

智能是指网络策略的下发及调整都自动完成，不需人工干预。且接入的过程及数据都纳入有效监控及审计。主要应用于以下三个场景中。

4.1 资源按需服务

除了需要传统的识别授权之外，还有场景要求依据用户位置，时间等差异，分配不同的访问权限。当前在政务、军工等涉密要求高的行业的网络场景中有需求。

SDN方案：当有终端接入网络时，网络设备通过识别接入端发送的免费ARP等信息送到SDN控制器。控制器系统通过该标识，端口位置及时间等信息来匹配策略，进行网络放行或报文丢弃的动作。让未知的接入需求能被及时屏蔽。

4.2 策略随行

信息管理工作繁琐，重复率高。每条人员入职离职，岗位变动都会给网络策略带来11至15条的配置。若频繁存在人员进出，出差，组织架构调整将带来巨大的工作量。

通过SDN控制器，在频繁人员策略调整的情况下，不再需要去目的子网配相关策略，人员的身份信息都已在控制器绑定，无论从内网的任何地方接入，信息都会发送到旁挂于集中网关或分布式网关边的控制器来匹配策略，从而达到策略跟随的目的。能确保整网的接入安全，并通过IP绑定惟一人员来审计与监控接入行为。此方案在中大企业中有成功案例。

4.3 闲置网口及IP管理

除了信息管理之外，日常运维还包括IP，网口的统一管理。在安全级别高的网络中，一般不使用DHCP，而由静态IP与用户绑定的方式管理。但也仍然会出现闲置网口及IP被私接网络，私自配IP等不受控的情况发生，也给内网的信息安全带来隐患。

对此，我们也通这SDN的方式来解决。当有设备接入网络时，由控制器来判断接入IP与MAC地址与接入网口是否与预置的信息相同，若判断为异常接入，则直接丢弃，使得私接网口及私设IP的行为直接屏蔽，来确保闲置网口及IP地址能有效管理，彻底消除私接网络的隐患。

此方案当前在金融，军工等行业有应用。由于这网络安全敏感，办公环境大，管理资源多，对网络接入的要求及行业有明确规范的行业，能够有效地安全管理。

5 网络权限控制的发展趋势

网络安全的智能方案仍有许多不足之处，也是未来网络技术寻找突破的场景。

物联网发展使万物互联成为趋势，海量的接入需求要统一管理。如何快速的将大量信息整合成便于分析的大数据；如何快速有效地管理接入需求，并能进行差异化管理。

网络对于普通用户而言是一个黑盒，数据如何走动，何处存在拥塞，对用户来说还是不可知的，没有有效的防控手段。

对网络的攻击手段是多种多样的。现有的接入控制手段，只能防范已知的攻击行为。未来要通过大数据的分析主动学习，提前预判。

日益增长的网络安全威胁对网络技术提出了更高的挑战，也推动了网络技术的发展，特别是随着NFV，VxLAN等技术的成熟，如何将这些新技术快速应用在现有网络中，有效解决问题和隐患，形成一套有效的解决方案，才能快速的形成生产力工具。这是当前网络工作者们的首要任务。

参考文献

[1] ONF. OpenFlow Switch Specification Version 1.3.1[S].2012.

[2] 邹剑锋.基于OpenFlow的SDN组网技术研究[D].北京邮电大学，2014.

[3] 王文东，胡延楠.软件定义网络，正在进行的网络变革[J].ZTETECHNOLOGYJOURNAL，2013.