摘要接入控制是网络安全控制的重要组成部分,是网络安全的前提和基础。在介绍可控网络概念的基础上,对身份认证、访问控制以及边界控制三种典型的接入控制技术进行了研究,分析了三者在可控网络系统中的地位和作用,并提出了三者的控制模型,为构建可控网络系统奠定了坚实的基础。
关键词可控网络系统;控制中心;身份认证;访问控制;边界控制
中图分类号 TP393 DOI:10.3969/j.issn.1672-9722.2016.03.021
1引言
随着网络规模的不断增加、网络设备的多样化和网络拓扑结构的复杂度不断增加,对网络安全提出了新的挑战,传统的网络管理已经不能适应当前网络安全形势的变化。针对当前网络中的安全威胁,为了解决传统网络安全技术功能单一,被动防护的问题,可控网络理论的研究逐渐兴起。可控网络理论是以网络控制论为核心理论,是以实现网络安全性为控制目标的网络安全控制理论[1]。接入控制是对节点接入网络及节点的访问权限进行控制,是信息网络安全的基础。因此,对可控网络中的接入控制进行研究,实现对网络节点的接入功能动态可控,对增强网络的安全性具有重要意义。
2可控网络中的接入控制系统
2.1相关理论知识
可控网络理论是在网络控制论的指导下的各种有关网络安全控制的理论,它以解决网络安全问题为着眼点,以网络安全性能为目标,整合集成现有的各种网络安全技术,构建高效的、科学合理的网络安全控制体系[2]。基于可控网络理论,通过反馈控制,实现网络安全性指标的网络系统,称为可控网络系统。可控网络系统的显著特点是通过施加一定的作用,使得网络的状态和行为在能够预期和把握的范围内。为了实现真正的网络安全,网络必须具有对用户行为高度的控制和管理能力,能够实现网络行为状态的监测、网络行为结果的评估和网络异常行为的控制,形成对网络行为的反馈闭环控制,提高网络安全防护能力[3]。接入控制是可控网络安全的第一道防线,包括边界控制、身份认证和访问控制三个方面。通过边界控制实现对内部网络(以下简称内网)与外部网络(以下简称外网)通信的管控以及对内网接入终端的控制,防止外网非法用户访问内网、内网用户访问非授权资源以及非法终端接入内网;通过身份认证,检查用户身份是否真实可信,防止非法人员违规操作获得不当利益;通过访问控制设计不同力度的访问控制策略,对进入可控网络中的用户的资源访问权限进行监督和限制。三者之间功能相辅相成能够有效地杜绝外界网络的安全入侵、非法用户的违规操作和合法用户的越权操作,确保了网络的安全性。
2.2接入控制系统的组成与功能
接入控制主要由安全控制中心、交换传输设备、互连网资源以及主机组成,如图1所示。安全控制中心是可控网络的核心,主要由日志审计服务器、大数据分析服务器、边界控制服务器、身份认证服务器、访问控制管理模块以及各种相应功能的服务器组成,其主要功能是对接入控制中的异常认证行为和访问行为进行动态、实时管控,确保系统的安全性与稳定性。边界控制服务通过设置相应的过滤规则对访问内网的用户及通信数据进行控制,从而达到保护内网中存在安全漏洞的网络服务的目的,同时实施安全策略对网络通信进行访问控制、防止内部网信息暴露;同时能够限制内网中的用户对外网的非授权访问。通过设定交换机端口、绑定网卡MAC地址和IP地址等手段对接入子网的终端进行限定,以此来限定内网的边界。身份认证服务通过相应的认证协议对可控网络中的用户进行身份的鉴别,从而确保非法用户被拒绝于应用服务之外。身份认证的本质是被验证者与验证者之间执行多次信息协商后,由验证者确认被验证者的身份是否真实可信,防止非法人员违规操作获得不当利益。访问控制服务通过相应的访问控制策略对网络中通过认证用户的访问权限进行判定,从而解决内部合法用户的安全威胁,作为可控网络的第二道防线,访问控制主要解决“合法用户在系统中对各类资源以何种权限访问”的问题。
3接入控制结构
可控网络系统一般包括施控部分、被控部分、控制单元及反馈单元四部分。当网络节点接入可控网络系统进行资源访问时,节点的接入请求会受到外界信息的干扰,主要是非法分子的攻击和系统入侵;同时节点访问网络资源时,也会受到扰动,主要为内部安全威胁。通过对网络异常行为进行分析将结果通过反馈单元传给控制者和控制子网,控制者和控制子网针对异常行为通过控制单元实施网络主动防御控制,从而形成网络控制闭环,达到主动防御控制目的[4]。可控网络中的接入控制系统主要由信息采集节点、中间控制节点和安全控制中心组成,具体如图2所示。施控部分的主要功能是根据反馈回路中的反馈信息对网络中的异常行为进行分析、处理,并实施调控。在接入控制系统中,安全控制中心属于施控部分。控制中心通过大数据分析、日志审计及入侵检查等服务器对终端的接入控制行为进行分析、判断,并将处理结果通过控制回路发送给被控部分。被控部分的主要功能是将网络中的行为通过反馈单元发送给施控部分,并根据控制单元的控制信息对异常行为进行处理。在接入控制中,信息采集节点及网络资源与行为属于被控部分。信息采集节点将终端的接入控制行为通过安全接口反馈给控制中心,并根据控制单元的处理信息进行相应的响应。控制单元的主要功能是对控制信息进行传输,同时对网络异常行为进行处理,使得网络系统向安全可控状态转变。控制单元包括各种控制作用和控制通道。控制作用在某种意义上可以说是按一定目标对受控系统在状态空间中的各种可能状态进行选择,使系统的运动达到或趋近这些被选择的状态[5]。因此,没有选择的目标就没有控制。控制通道是控制信息得以流通的各种控制结构、控制方式和传输介质的组合,它可以是物理的组合,也可以是逻辑的组合。在控制通道上,控制信息从施控部分传递到被控部分,属于前向通道。反馈单元的主要功能是针对一定目标对受控系统的状态进行监测、分析和报告,使施控系统能够及时做出响应。接入控制系统在反馈作用的影响下,能够监视系统处于何种状态。反馈单元包括反馈作用和反馈通道。反馈通道由各种信息采集和分析设备、信息反馈和决策系统等组成。在反馈通道上,反馈信息从被控部分传递到施控部分,属于反向通道。
4接入控制的工作过程
接入控制要经过边界控制、身份认证和访问控制三道流程后,才能确定用户能否访问应用资源,具体流程如图3所示。当用户提出访问请求后,首先要判断访问请求来自内网用户还是外网用户。当访问请求来自内网用户时,首先判断用户访问的资源是否为外网资源;若为外网资源,则边界控制服务器根据过滤规则库判断该请求能否通过,用户是否具有访问外网的权限;若为内网资源,身份认证服务器根据认证规则库进行用户身份认证,判断用户是否合法;用户通过身份认证后进入应用系统,访问控制器根据访问控制策略库进行访问权限控制,判断用户是否具有访问资源的权限。当访问请求来自外网用户时,则边界控制服务器根据过滤规则库判断该请求能否通过,用户是否具有访问内网的权限;当用户通过边界控制服务器认证后进入内网,身份认证服务器根据认证规则库进行用户身份认证,判断用户是否合法;用户通过身份认证后进入应用系统,访问控制器根据访问控制策略库进行访问权限控制,判断用户是否具有访问资源的权限;只有当所有的接入控制都通过后,用户才能进行应用资源的访问。当接入控制某个环节出现问题时,安全控制中心会根据反馈单元的信息对异常行进行分析和处理,并通过控制单元对相应节点进行调控[6]。
5接入控制模型
5.1身份认证模型
身份认证模型一般由用户、认证服务器、控制中心以及数据库存服务器组成,如图4所示。身份认证模型一般包括注册与认证两个阶段。注册阶段主要完成用户与认证服务器身份标识的选择、密钥的分发(针对基于密钥的身份认证)。用户将能够证明自己身份的信息,通过加密等手段传递给认证服务器,认证服务器将用户注册信息存储在数据库存服务器中用于下步的认证,并将注册结果返回给用户。认证阶段主要完成用户与认证服务器之间的身份认证[7]。用户和服务器根据注册信息以及采用的身份认证协议进行单向或双向的身份认证。控制中心通过反馈通道采集用户身份认证行为,并通过大数据分析对异常身份认证行为进行分析处理,通过控制通道将处理结果通过控制通道传递给身份认证服务器。综述所述,身份认证的结构控制如图5所示。当受控对象根据认证协议和认证信息执行身份认证服务时,控制单元能够采集受控对象信息以及认证服务,通过控制中心进行大数据分析后,将控制结果通过控制回路反馈给受控对象,同时将控制信息反馈给执行单元,执行单元根据控制信息和认证协议进行认证服务处理,完成认证回路。
5.2访问控制模型
访问控制模型一般由主体、客体、控制中心、访问控制器以及规则数据库组成,如图6所示。访问控制器包括执行部件和授权部件两大部分[8]。执行部件根据访问规则和授权关系实现对主体访问客体的控制,它要验证访问的有效性和合法性,记录访问事件,杜绝非法访问;授权部件根据控制策略选择访问控制类型,根据不同的控制类型与方式建立和维护访问规则和授权关系,包括能力表、访问表等,并将它们保存在数据库中。主体不能绕过访问控制器直接存取客体。主体在必要的时候,可携带访问令牌,该令牌由授权部件核发,并经过完整性、真实性保护,提交访问请求时,它由执行部件验证。一般情况下,访问令牌具有时效性。控制中心通过反馈通道采集用户访问行为,并通过大数据分析对异常访问行为进行分析处理,通过控制通道将处理结果通过控制通道传递给访问控制器。综上所述,访问控制的控制结构如图7所示。访问控制器的授权部件属于控制单元,它根据系统的控制策略、主体的访问请求和被控对象的信息,针对不同的控制方式形成访问能力表(针对自主访问控制下的主体)、访问控制表(针对自主访问控制下的客体)和访问控制规则(针对强制访问控制与基于角色的访问控制),并传递给作为执行单元的执行部件执行。同时,控制单元还可建立被控对象的安全标记(用于强制访问控制),也可根据主体的访问请求核发访问令牌,这些控制信息均属于前馈控制信息流。在具体执行访问控制时,受控对象向执行单元提交安全标记或访问令牌,执行单元根据访问控制表或控制规则实施具体的访问控制,并将访问事件记录在案,反馈给控制单元。客体所在系统的日志信息也会被反馈给控制单元,由控制单元根据反馈信息做出访问权限的调整[9]。
5.3边界控制模型
边界控制可以分为外网边界控制和内网边界控制。外网边界控制通常作用于内网与外网之间,明确哪些数据包能够离开或者进入内网,防止其到达目的主机[10]。内网边界控制主要作用于内网终端上,明确哪些终端能够接入内网,防止未授权终端接入内网。外网边界控制模型一般由内网、外网、控制中心、边界控制服务和相应的过滤规则组成,如图8所示。边界控制服务器根据需求设置相应的过滤规则,进入或离开内网的数据包应根据规则进行相应判断,符合过滤规则的数据才能进行转发。控制中心通过反馈通道采集用户边界服务行为,并通过大数据分析对异常边界服务行为进行分析处理,通过控制通道将处理结果通过控制通道传递给边界控制器。边界控制器中的执行部件根据过滤规则和控制信息实现对内网和外网数据通信的控制。综上所述,外网边界控制的控制结构如图9所示。当受控对象根据过滤规则执行外网边界控制服务时,控制单元能够采集受控对象信息以及边界服务,通过控制中心进行大数据分析后,将控制结果通过控制回路反馈给受控对象,同时将控制信息反馈给执行单元,执行单元根据控制信息和过滤规则进行边界服务处理,完成边界控制回路。内网边界控制主要作用于用户终端。边界控制服务器根据交换机端口、终端IP地址以及MAC地址对用户终端接入内网权限进行判定。控制中心通过反馈通道能够采集终端接入子网的接入行为,并进行大数据分析和风险评估,边界控制服务器根据自身设定的规则和控制中心处理结果对终端接入子网的行为进行控制。
6结语
国内外信息网络安全形势越来越严峻,传统的网络安全技术已经不能适应当今网络安全形势的发展,亟需一种新的思路和方法,为有效应对安全挑战提供解决之道。可控网络本身就是利用网络控制论的理论,以保证网络安全为目标,整合集成现有网络安全技术,构建高效的、科学合理的网络安全动态防护体系,为解决网络安全问题提供了一种新的理论和方案,将成为网络安全技术发展的必由之路。接入控制是信息网络安全的基础,是网络安全的重要防线。针对可控网络中的接入控制进行研究对实现网络的全面主动防御具有重要意义。
作者:陈立云 王增光 卢昱 单位:军械工程学院信息工程系
