陳強(qiáng)

摘 要：云計(jì)算在當(dāng)下發(fā)展極為迅速，而云計(jì)算下的安全問(wèn)題也一直備受關(guān)注，重要性也更為突出。網(wǎng)絡(luò)攻擊手段與防護(hù)措施一直都在以循環(huán)螺旋的模式發(fā)展，幾乎所有的云計(jì)算業(yè)務(wù)都不可能脫離嚴(yán)密的安全策略而獨(dú)立存在。文章從云計(jì)算的業(yè)務(wù)模型入題，剖析當(dāng)前環(huán)境下網(wǎng)絡(luò)安全面臨的新挑戰(zhàn)，說(shuō)明安全對(duì)云計(jì)算的重要性，進(jìn)而闡述云計(jì)算的網(wǎng)絡(luò)準(zhǔn)入安全建設(shè)方式如何實(shí)現(xiàn)安全的網(wǎng)絡(luò)接入保障。

關(guān)鍵詞：云計(jì)算;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)準(zhǔn)入

中圖分類(lèi)號(hào)：TP309 ? ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? ? ? ?文章編號(hào)：1673-8454（2015）04-0075-02

一、引言

云計(jì)算（Cloud Computing）是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過(guò)互聯(lián)網(wǎng)來(lái)提供動(dòng)態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。云計(jì)算強(qiáng)調(diào)資源請(qǐng)求與資源調(diào)度的分離，實(shí)際處理請(qǐng)求的后臺(tái)系統(tǒng)與發(fā)出請(qǐng)求的最終用戶之間是一種松耦合關(guān)系。在這種情況下，安全對(duì)于云計(jì)算服務(wù)的重要性是顯而易見(jiàn)的。在企業(yè)用戶眼里，云計(jì)算的靈活性、高性價(jià)比、高可靠性都有著無(wú)可比擬的優(yōu)勢(shì)，但如果在安全性上不過(guò)關(guān)，那么沒(méi)有一個(gè)企業(yè)級(jí)用戶會(huì)將自己的內(nèi)部數(shù)據(jù)托管到一個(gè)存在泄密風(fēng)險(xiǎn)的平臺(tái)上。

從IaaS到PaaS、SaaS，云計(jì)算服務(wù)包含的內(nèi)容越來(lái)越多，用戶能夠接觸到的底層信息卻越來(lái)越少。由于缺少基礎(chǔ)架構(gòu)的細(xì)節(jié)信息，用戶會(huì)對(duì)接入云服務(wù)的過(guò)程提出更高的安全要求，如果云服務(wù)提供商無(wú)法滿足這些標(biāo)準(zhǔn)，可能直接導(dǎo)致失去用戶?？梢?jiàn)，完善的安全機(jī)制是云服務(wù)能夠落地的前提條件，云計(jì)算的任何一個(gè)環(huán)節(jié)對(duì)安全防護(hù)都提出了相當(dāng)高的要求。

與安全的重要性相對(duì)應(yīng)的是相關(guān)領(lǐng)域發(fā)展的滯后。云計(jì)算的安全機(jī)制是一個(gè)非常龐大的課題，幾乎沒(méi)有機(jī)構(gòu)或廠家能夠從上到下一手包攬所有細(xì)節(jié)，因此業(yè)界也缺乏一個(gè)統(tǒng)一的思路來(lái)指導(dǎo)安全建設(shè)，加上云計(jì)算產(chǎn)業(yè)本身也處于一個(gè)高速發(fā)展的階段，遠(yuǎn)遠(yuǎn)沒(méi)有定型，大家對(duì)云計(jì)算安全架構(gòu)的意見(jiàn)也就更加發(fā)散。

目前為止，在云計(jì)算安全方面最有影響力的組織是CSA（Cloud Security Alliance——云計(jì)算安全聯(lián)盟）。CSA成立于2009年，是一個(gè)致力于推動(dòng)云計(jì)算安全最佳實(shí)踐的公開(kāi)組織，CSA的最高目標(biāo)是提出一套最優(yōu)的云計(jì)算安全建設(shè)指導(dǎo)方案。

網(wǎng)絡(luò)安全是整體安全的一部分，對(duì)于云服務(wù)來(lái)說(shuō)，網(wǎng)絡(luò)是輸送服務(wù)的途徑，因此對(duì)網(wǎng)絡(luò)的保障非常重要。CSA明確提出了云服務(wù)的挑戰(zhàn)很大一部分來(lái)自于“怎樣安全地從云中存取數(shù)據(jù)”，在這種情況下，數(shù)據(jù)傳輸隧道的建立和防護(hù)是必不可少的。而VPN通道可以用來(lái)保護(hù)數(shù)據(jù)的私密性，即使這些數(shù)據(jù)在公網(wǎng)上傳輸。

除了對(duì)網(wǎng)絡(luò)傳輸管道本身的保護(hù)，對(duì)網(wǎng)絡(luò)資源的獲取也是云服務(wù)安全的重要內(nèi)容。其中用戶身份驗(yàn)證就是最為關(guān)鍵的一部分。授權(quán)的用戶身份是云計(jì)算安全的基礎(chǔ)，如果非法用戶獲得了訪問(wèn)數(shù)據(jù)中心資源和設(shè)備的權(quán)限，那么所有的安全保障措施都岌岌可危?；诖?，可以將復(fù)雜的網(wǎng)絡(luò)安全策略劃分為準(zhǔn)入和加密兩個(gè)維度。本文將主要圍繞準(zhǔn)入展開(kāi)云計(jì)算下網(wǎng)絡(luò)安全接入方式的研究，并介紹不同的準(zhǔn)入方式進(jìn)行對(duì)比。

二、網(wǎng)絡(luò)準(zhǔn)入的技術(shù)分類(lèi)

隨著云計(jì)算的不斷深入，越來(lái)越多的企業(yè)業(yè)務(wù)系統(tǒng)由傳統(tǒng)的C/S架構(gòu)向B/S架構(gòu)遷移，以往訪問(wèn)后臺(tái)數(shù)據(jù)需要安裝專(zhuān)用軟件，IT部門(mén)控制客戶端軟件的許可發(fā)放，就能夠大致控制訪問(wèn)用戶的范圍。而在B/S架構(gòu)中，用戶只需要一個(gè)Web瀏覽器即可登錄系統(tǒng)。

另一方面，智能手機(jī)、平板電腦和WiFi的流行推動(dòng)了BYOD（Bring Your Own Device——攜帶自己的設(shè)備辦公）的興起。越來(lái)越多的人開(kāi)始在辦公場(chǎng)所使用自己的無(wú)線移動(dòng)設(shè)備進(jìn)行公司的業(yè)務(wù)系統(tǒng)訪問(wèn)，這對(duì)數(shù)據(jù)安全造成了嚴(yán)重威脅。于是，對(duì)網(wǎng)絡(luò)的準(zhǔn)入控制被重新提上IT部門(mén)日程，只有合法的用戶才能夠介入網(wǎng)絡(luò)。

控制用戶接入網(wǎng)絡(luò)的技術(shù)伴隨網(wǎng)絡(luò)本身的誕生和發(fā)展已經(jīng)衍生出多個(gè)派別，每種方式都有自己的特點(diǎn)和使用場(chǎng)景，很難說(shuō)哪種方式在技術(shù)實(shí)現(xiàn)和最終效果上技高一籌，取得絕對(duì)的領(lǐng)先地位。在當(dāng)下的實(shí)際環(huán)境中，常見(jiàn)的認(rèn)證準(zhǔn)入方式包括二層準(zhǔn)入、三層準(zhǔn)入、客戶端準(zhǔn)入三種。

1.二層準(zhǔn)入

目前大部分網(wǎng)絡(luò)利用DHCP協(xié)議為用戶接入設(shè)備進(jìn)行IP地址的分發(fā)。二層準(zhǔn)入就是用戶在獲得三層IP地址之前必須通過(guò)的認(rèn)證，用戶在接入網(wǎng)絡(luò)之初，需要通過(guò)二層連接進(jìn)行認(rèn)證數(shù)據(jù)交互，以確保接入身份的合法性。

二層準(zhǔn)入的代表實(shí)現(xiàn)方式就是802.1x。802.1x協(xié)議是基于C/S的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口訪問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口，認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。802.1x的認(rèn)證流程可以歸納為以下四步。

（1）端口初始化。作為認(rèn)證設(shè)備的接入交換機(jī)探測(cè)到有一個(gè)客戶端連接到一個(gè)端口后，會(huì)馬上把這個(gè)端口置于“未授權(quán)”狀態(tài)，處于“未授權(quán)”狀態(tài)的端口除了802.1x報(bào)文不會(huì)轉(zhuǎn)發(fā)其他任何流量。

（2）EAP初始化。交換機(jī)會(huì)定時(shí)向一個(gè)二層廣播地址發(fā)出EAP請(qǐng)求信令，開(kāi)啟了802.1x的終端設(shè)備在連接上交換機(jī)后會(huì)保持偵聽(tīng)發(fā)往這個(gè)二層地址的信號(hào)，如果偵測(cè)到則回復(fù)一個(gè)包含自己ID的EAP應(yīng)答。交換機(jī)收到后會(huì)通知后臺(tái)認(rèn)證服務(wù)器。

（3）EAP協(xié)商。由于EAP按照實(shí)現(xiàn)方式不同分為好幾類(lèi)，所以在開(kāi)始用戶身份認(rèn)證之前需要協(xié)商一個(gè)雙方都支持的EAP類(lèi)型來(lái)進(jìn)行后續(xù)的流程。

（4）用戶身份驗(yàn)證。用戶身份信息經(jīng)由交換機(jī)發(fā)往認(rèn)證服務(wù)器，根據(jù)認(rèn)證服務(wù)器的判斷結(jié)果，交換機(jī)反饋認(rèn)證成功或者失敗的報(bào)文。如果成功則交換機(jī)端口開(kāi)放，用戶獲得訪問(wèn)網(wǎng)絡(luò)的權(quán)限，如果失敗則無(wú)法進(jìn)行網(wǎng)絡(luò)訪問(wèn)。

二層準(zhǔn)入所有的流程都在二層環(huán)境下完成，客戶端與交換機(jī)之間不會(huì)進(jìn)行IP層面的信令交互。經(jīng)過(guò)多年的發(fā)展，802.1x+RADIUS的實(shí)現(xiàn)方式已經(jīng)發(fā)展成為一個(gè)功能非常強(qiáng)大的準(zhǔn)入方案。

二層準(zhǔn)入的最大優(yōu)勢(shì)就是成熟，市場(chǎng)接受程度很高。不管認(rèn)證方式還是認(rèn)證服務(wù)器都能找到多家產(chǎn)品支持。802.1x主要具有以下三個(gè)特點(diǎn)：①完全公開(kāi)的架構(gòu)：802.1x的每一個(gè)部分均有相應(yīng)的國(guó)際標(biāo)準(zhǔn)，便于企業(yè)用戶自由選擇軟硬件，不受制于特定廠家。②成熟的技術(shù)標(biāo)準(zhǔn)：802.1x是一項(xiàng)非常成熟的技術(shù)，已經(jīng)部署在成千上萬(wàn)的園區(qū)網(wǎng)中。幾乎每一臺(tái)交換機(jī)和每一臺(tái)終端設(shè)備都支持802.1x，用戶的部署風(fēng)險(xiǎn)和成本大幅降低。③完善的認(rèn)證和授權(quán)機(jī)制：802.1x支持密碼驗(yàn)證、單點(diǎn)登錄、支持所有主流服務(wù)器，可以滿足大部分用戶的需要。

2.三層準(zhǔn)入

隨著無(wú)線終端的推廣和普及，802.1x在某些方面漸漸顯得力不從心，三層準(zhǔn)入方式就在這種環(huán)境下應(yīng)運(yùn)而生。三層準(zhǔn)入即Web認(rèn)證，認(rèn)證過(guò)程通過(guò)一個(gè)Web頁(yè)面完成。配置了Web認(rèn)證的交換機(jī)在做三層準(zhǔn)入認(rèn)證時(shí)大致分為以下幾個(gè)步驟。

（1）交換機(jī)端口進(jìn)入有限接入狀態(tài)。進(jìn)行Web認(rèn)證的接入交換機(jī)不會(huì)完全屏蔽端口，相反會(huì)將這個(gè)端口放入一個(gè)可以轉(zhuǎn)發(fā)數(shù)據(jù)的vLan。但僅能實(shí)現(xiàn)一些基本的數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)，如DHCP、DNS等。

（2）客戶端觸發(fā)認(rèn)證流程。當(dāng)交換機(jī)端口進(jìn)入有限轉(zhuǎn)發(fā)的狀態(tài)后就可以正式對(duì)客戶端設(shè)備進(jìn)行驗(yàn)證了。由客戶端設(shè)備網(wǎng)卡向DHCP請(qǐng)求IP地址，或發(fā)送ARP報(bào)文時(shí)交換機(jī)會(huì)將設(shè)備記錄入冊(cè)并開(kāi)啟一Web計(jì)時(shí)器。

（3）用戶身份認(rèn)證?？蛻舳嗽O(shè)備獲得IP地址后，用戶通過(guò)瀏覽器自動(dòng)發(fā)起HTTP請(qǐng)求，交換機(jī)截取請(qǐng)求并重定向到預(yù)先設(shè)置好的認(rèn)證頁(yè)面上，通過(guò)用戶名、密碼等信息的輸入最終確定認(rèn)證是否成功。

近年來(lái)Web認(rèn)證的發(fā)展非常迅速，特別是在無(wú)線等環(huán)境下得到了大規(guī)模的部署。相較于二層準(zhǔn)入，三層準(zhǔn)入具備輕便、簡(jiǎn)單的優(yōu)勢(shì)，主要有零客戶端、使用簡(jiǎn)單、安全性較弱、不支持單點(diǎn)登錄、不支持機(jī)器認(rèn)證等特點(diǎn)。

3.客戶端準(zhǔn)入及其特點(diǎn)

除了二、三層準(zhǔn)入認(rèn)證之外，還有一種認(rèn)證方式就是客戶端認(rèn)證?？蛻舳苏J(rèn)證表現(xiàn)方式非常多樣，涉及廠家產(chǎn)品也較多。絕大部分產(chǎn)品還會(huì)集合終端安全管理等功能，一方面從操作系統(tǒng)接受802.1x的認(rèn)證流程，一方面對(duì)操作系統(tǒng)做健康檢查。

客戶端準(zhǔn)入認(rèn)證的功能最為全面，并且安全性最高。但最大問(wèn)題在于實(shí)現(xiàn)方式的不統(tǒng)一，各廠家從實(shí)現(xiàn)原理到界面都千差萬(wàn)別。由于沒(méi)有公開(kāi)標(biāo)準(zhǔn)，導(dǎo)致兼容性及平臺(tái)過(guò)度均有問(wèn)題，此外部署復(fù)雜、維護(hù)工作量大也是其主要問(wèn)題。

三、結(jié)論

企業(yè)網(wǎng)的準(zhǔn)入是一項(xiàng)非常特殊的技術(shù)，最終用戶的體驗(yàn)決定一個(gè)項(xiàng)目的成敗。每種準(zhǔn)入認(rèn)證方式均有其優(yōu)缺點(diǎn)，在云計(jì)算的大環(huán)境下，我們更應(yīng)該根據(jù)實(shí)際需要做出相應(yīng)的選擇。但針對(duì)完美的網(wǎng)絡(luò)準(zhǔn)入方案，我們希望其具備可延續(xù)性、高可用性、靈活性、整合性等特點(diǎn)。

參考文獻(xiàn)：

[1]徐立冰.騰云——云計(jì)算和大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)技術(shù)揭秘[M].北京：人民郵電出版社，2013.（編輯：魯利瑞）