网络接入控制技术的安全性分析研讨.pdfVIP

网络接入控制技术的安全性分析 网络接入控制技术的安全性分析 李梅梅孙德刚朱大立 国家保密技术研究所 摘要：网络接人控制已经成为保护网络和终端安全的新技术。本文对网络 接入控制的基本概念、组成及框架、技术分类进行了概要描述，着重介绍了四类 具有代表性的解决方案和产品，并对其安全性做了初步的分析比较。一个好的网 络接人控制产品要达到安全性与可行性之间的平衡。目前，Juniper公司的统一接 入控制的第二阶段产品是最为完整的解决方案。 关键词：网络接入控制 访问控制 网络安全可信计算 1 前言 合法的终端接入合法的网络，是信息安全的基本要求。仅凭在终端采用杀毒 软件、防火墙等被动的防护手段，已无法满足这个要求。因此，网络接人控制技 术应运而生。它以主动预防达成终端与网络间的相互信任，形成一套安全和管理 相结合的全面安全解决方案。 网络接入控制或称为网络访问控制，尚未有统一的定义，一些组织给出了不 同的理解。ForresterResearch的定义为：“网络接入控制是一种软件技术和硬件技 术的混合体，可根据客户系统符合策略的情况对其访问网络能力进行动态控 制。【1]竹TCG(可信计算集团)将其定义为一种：“能够在端点连接至企业网络的 过程中应用和执行各类安全要求的开放的、非专用的规范Bp’。普遍采用的业界说 法为：“网络接入控制是一套可用于定义在节点访问网络之前如何保障网络及节点 安全的协议集合。【3]’’它集成了自动化的救治过程，准许网络设备(如路由器、 交换机、防火墙等)密切协作，以支持服务器和终端用户的计算机，保障在进行 交互之前信息系统可以进行安全的操作。 一些常见的手段，如交换机设置IP地址或MAC地址绑定，严格限制接入网 络的终端；使用身份管理及验证、授权和记账(AAA)机制来验证用户并为其分 ·83· 第十八届全国信息保密学术会议(1S2008)论文集 配网络访问权限；划分安全域，限定终端的准入范围等，都属于网络控制接入的 范畴。然而，不同的网络接入控制方案采取的技术方法不同，所带来的安全性也 不同。本文重点对各典型网络接人控制技术的安全性进行分析。 2 网络接入控制框架及组成 所有的网络接入控制产品都具有三个基本组成部分f3j：访问请求者(Access Decision Requestor，AR)、策略决定端(Policy Enforcement Point，PEP)。访问请求者指试图访问网络的节点，包括工作站、服务 器、打印机、照相机和其他IP使能的设备。策略决定端是操作的核心，根据访问 请求者的情况和制定的策略，决定哪些访问被授权。策略执行端负责执行策略， 可以是交换机、防火墙、路由器等网络设备，也可以是管理DHCP和ARP的带外 设备，或者是访问请求者本身上的代理。三个组成部分的交互过程如图所示： 用户目录 防病毒应用 补丁管理器 图1 网络接入控制基本框架 1．访问请求者试图进人网络，通知策略执行端； 2．策略执行端启动对终端的评估； 3：将评估结果返回给策略决定端； 4．策略决定端依据后台系统验证评估结果，做出访问准入决定； 5．向访问请求者通知评估结果，在终端或网络上执行策略； 6．请求者访问网络，可能被禁止，可能完全接入，或者访问补救服务器。 ·84· 网络接入控制技术的安全性分析 3 网络接入控制技术分类 目前，50余家厂商声称拥有某种形式的网络接入控制解决方案，各自侧重的 功能和控制点不同，分类方式多种多样。大致可以从保护对象和开发