校园网安全关键技术解析之一

身份认证管理与准入控制

网络安全形势日渐严峻，病毒、特洛伊木马、网络蠕虫、恶意软件、间谍软件以及拒绝服务（DOS）攻击等各种安全威胁事件成指数级增长。CERT（由美国政府资助，由卡内基梅隆大学管理的应急响应中心）报告的安全事件从1999年的9859份上升到2003年的137529份（http://www.cert.org/stats/cert_stats.html#incidents），由邮件系统自动处理的安全事件报告更是高达2004年的717,863份。根据CNCERT（国家计算机网络应急技术处理协调中心）的统计，2002年全年的事件报告总数为1761件，而2004年全年事件报告总数为64668件。从以上统计可以看出，网络安全环境在不断恶化，网络安全问题成为社会关注的焦点问题。

网络安全趋势和新特点

近3年来，网络安全事件呈现出新的特点，这主要表现在：

攻击目标的转变

80年代，黑客们的攻击对象主要是单个计算机（主机时代），目的是获取秘密资料；90年代，攻击目标主要是单个网络和主机；而今天，网络基础设施成为主要的被攻击目标。对于网络安全工作者来说，我们的新目标就是保护网络基础设施。

网络蠕虫的蔓延

RedCode，Nimda等网络蠕虫病毒对互联网的影响有目共睹，其极快速的传播速度，对互联网的惊人破坏力达到空前的程度。系统感染蠕虫病毒后，网络带宽被大量占用，最终导致网络瘫痪。

网络欺诈行为有上升趋势

间谍软件、木马、网络钓鱼陷阱等类似软件都可以看作是进行网络欺诈行为的工具。根据2003年一季度至2004年三季度金山毒霸反病毒中心的分析，目前间谍软件、木马病毒、网络钓鱼陷阱、互联网邮件病毒、浏览网页恶意程序，构成了当前互联网危害的主要方式。其中, 间谍软件占到了网络危害的23%，木马病毒占到了48%，新的欺骗用户信用卡账号的网络钓鱼程序也在国内开始出现，并具有泛滥的趋势。

另外，系统漏洞、IE浏览器漏洞、邮件漏洞也急需提防，此三项漏洞是造成病毒传播的“通道”，尤其是蠕虫病毒。

响应时间缩短

攻击速度加快，响应时间缩短。一方面，网络蠕虫病毒，可以在数分钟之内传遍全球，留给用户和安全厂商的响应极其短暂。在确认威胁之前，入侵已经发生，损失已经造成。

另一方面，自动攻击工具发展迅速，攻击更加简易方便。只要具有攻击的动机，不需要成为网络专家，也不需要了解攻击过程，只需要到网上下载相应的黑客工具，任何人都可以成为攻击者。

攻击更具有危害性

大规模攻击和高水平攻击并存。越来越多的DDOS攻击事件表明现在的攻击越来越规模化。很多的主机在不知情的情况下被控制并发起攻击，在攻击完成后又悄悄的隐藏起来。

在攻击变得更普及的同时，攻击者也变得更聪明（狡猾），开始使用更加智能化和更精确高效的攻击工具（如Hacker Defender，内核级后门软件）。许多的攻击内嵌在数据之中，使得检测更加困难。

准入控制技术方案之争

在部署了防火墙、漏洞扫描系统、入侵检测系统和防病毒软件之后，仍然发现针对网络的攻击层出不穷，网络的可用性难以保证。在众多的网络安全事件背后，普遍存在的事实是大多数的网络用户不能及时安装系统补丁和升级病毒库。每个网络用户都可能成为网络攻击的发起者，同时也是受害者。因此，如何管理众多的用户及其接入计算机？如何确保绝大多数的接入计算机是安全的？这些问题决定了能在多大程度上保证网络的可用性。

为了应对这种情况，思科（Cisco）在2003年11月率先提出了网络准入控制（NAC－Network Admission Control）和自防御网络(SDN)概念，并联合Network Assiciates，Symantec，TrendMicro及IBM等厂商开发并推广NAC。

微软（Microsoft）迅速做出反应，也提出了相对应的网络准许接入保护方案（NAP,Network Access Protection）。

思科的NAC和微软的NAP在本质上是一样的，都是通过对用户的身份进行认证，对用户的接入设备进行安全状态评估(包括防病毒软件，系统补丁等)，使每个接入点都具有较高的可信身份和基本的安全条件，从而保护网络基础设施。

随后，国内外厂商在准入控制产品开发方面展开了激烈的竞争，在去年思科推出产品解决方案之后，华为也紧随其后，在2005年上半年推出了端点准入防御（EADEndpoint Admission Defense）产品，SYGATE也于2005年6月公布了SNAC通用解决方案。SYGATE称其为业界第一个通用解决方案。

微软虽然没有推出NAP产品（微软计划其NAP产品和新版的Longhorn服务器产品捆绑发布），但是微软称它将把NAP开发成一套开放的安全架构标准。今年初已有很多公司开始签约购买未来的NAP产品。目前有25家支持NAP计划的合作公司已经拿到软件开发包，开始开发自己的NAP组件。

无论是思科的NAC，还是微软的NAP，包括华为的EAD，都是私有的准入控制系统。

面对思科、微软、华为把准入控制方案和公司产品的紧密捆绑战略，SYGATE（2005年6月）提出了SNAC通用解决方案。该方案基于现有的业界标准，针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。SNAC最主要的特点是提供大量的配置和策略模板，可供各种各样的网络方案选择。在没有业界标准出来之前，这也许是最可行的方法。

身份认证管理和准入控制的结合

在网络安全领域，身份认证是指计算机或网络系统确认操作者身份的过程。然而，用户在虚拟网络世界中的数字身份和现实世界中的物理身份很难一一对应，这正像一副经典的漫画所描述的那样“在互联网上，没有人知道你是一个人还是一条狗”。

身份认证技术经历了从软件到软件硬件结合，从单一因子认证到双因子认证，从静态认证到动态认证的发展过程。目前常用的身份认证方式包括：用户名/密码方式，公钥证书方式，动态口令方式等。无论采用何种方式，都有其优缺点。比如说用户名密码方式，容易被窃取和攻击（比如弱密码）；而采用公钥证书，又涉及到证书生成、发放、撤销等复杂的管理问题；私钥的安全性也取决于个人对私钥的保管。

至于哪一种身份认证技术更安全，关键在于组织采取的安全策略。只要采用的身份认证技术能满足组织的网络安全要求，符合组织的安全管理策略就可以了。

身份认证是网络准入控制的基础。在各种准入控制方案中，都采用了某种形式的身份认证技术。

目前，身份认证管理技术和准入控制进一步融合，向综合管理和集中控制方向发展。

准入控制技术方案比较

各家厂商的准入控制方案虽然在原理上是一致的，但是由于各产品厂商的利益不同，实现方式也各不相同。其主要区别主要表现在以下几个方面：

协议方面。思科、华为选择了通过采用EAP协议，RADIUS协议和802.1x协议实现准入控制。微软则选择了采用DHCP和RADIUS协议来实现。

身份认证管理方面。思科、华为和微软在后台都选择了使用RADIUS服务器作为认证管理平台；华为主要以用户名/密码方式进行身份认证，思科选择了用证书方式管理用户身份。微软目前还没有推出其产品。

管理方式方面。各厂家都选则了集中式控制和管理方式。策略控制和应用由策略服务器（通常是RADIUS服务器）和第三方的软件产品（病毒库管理，系统补丁等）协作进行；用户资料和准入策略由统一的管理平台负责。

准入控制流程方面。思科和华为大同小异，依赖于本公司特定的网络设备（某些型号的支持802.1x协议的交换机）来实现；微软因为没有控制网络基础设施的产品，选择了通过DHCP服务器来控制准入流程。

虽然思科和微软的准入控制存在众多差异，但是他们都互相承诺要促进互操作性，相互开放API，共同推进准入控制标准化工作。

清华大学准入控制研究及应用

CCERT开发组在开发“清华大学校园网端口认证系统”的基础上，从2003年底开始跟踪研究准入控制系统。在分析了思科的准入控制研究方案之后，我们认为应该研究独立于产品厂商的准入控制方案和相关软件系统。

准入控制的核心概念就是从网络接入端点的安全控制入手，结合认证服务器，安全策略服务器和网络设备，以及第三方的软件系统（病毒和系统补丁服务器），来完成对接入终端用户的强制认证和安全策略应用，保障网络安全。

清华大学的准入控制系统，通过提供综合管理平台，对用户和接入设备进行集中管理，统一实施校园网的安全策略。

在本原理中，综合管理平台是方案中的管理与控制中心，是方案的核心组成部分，它控制着策略服务器和认证服务器，实现用户管理和安全策略管理。安全状态评估由认证服务器负责，安全联动控制由策略控制服务器完成。

在用户终端试图接入网络时，安全客户端首先搜集、评估用户机器的安全特征，包括系统补丁、病毒库版本等信息；并把这些特征和用户信息上传至认证服务器，进行用户身份认证和安全策略对照；根据对照结果，非法用户将被策略控制服务器拒绝接入网络；是合法用户、但接入计算机没有达到基本安全要求的将被隔离到隔离区；进入隔离区的用户可以根据组织的网络安全策略，进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合组织网络安全策略；合法合格的接入终端可以根据组织安全策略正常访问网络。

系统的控制部分由策略控制服务器处理，通过各种控制模板来控制相关的交换机、路由设备、网关设备及DHCP服务器来实现策略控制。

安全客户端部分用来搜集、评估用户机器的安全特征；采用用户名密码方式实现对用户的身份认证。

在隔离区是第三方厂商的服务器，包括防病毒服务器和微软的补丁服务器（SUS服务器）。被隔离的用户只能访问隔离区中的服务器。

目前，本系统已经实现基于802.1x交换机的准入控制。支持的产品包括紫光交换机（BitNova3242FM）和华为交换机（E026）；正在开发基于DHCP服务器的准入控制系统。

准入控制技术未来的发展

准入控制发展很快，并且出现各种方案整合的趋势。一方面各主要厂商突出本身的准入控制方案，同时厂商之间也加大了合作力度。思科和微软都承诺支持对方的准入控制计划，并开放自己的API。

另一方面，准入控制标准化工作也在加快。可信计算组织TCG（Trusted Computing Group）在2004年5月成立了可信网络连接TNC（Trusted Network Connect）分组，TNC计划为端点准入强制策略开发一个对所有开发商开放的架构规范，从而保证各个开发商端点准入产品的可互操作性。这些规范将利用现存的工业标准，并在需要的时候开发新的标准和协议。

TNC的成立促进了标准化的发展，许多重要的网络和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都参加了TNC。TNC希望通过构建框架和规范保证互操作性。这些规范将包括端点的安全构建之间、端点主机和网络设备之间，以及网络设备之间的软件接口和通信协议。

TNC的加入，预示准入控制将向标准化、软硬件相结合的方向发展。