基于VPN互聯(lián)的網(wǎng)絡(luò)準(zhǔn)入控制關(guān)鍵技術(shù)研究.pdf

1、如今無線網(wǎng)絡(luò)接入、移動(dòng)便攜設(shè)備以及基于VPN的遠(yuǎn)程接入在傳統(tǒng)企業(yè)內(nèi)網(wǎng)中得到了廣泛的應(yīng)用，原本僅限于內(nèi)網(wǎng)中使用的，受各類內(nèi)網(wǎng)安全設(shè)備保護(hù)的主機(jī)有了更多暴露在外部無防護(hù)的網(wǎng)絡(luò)中的機(jī)會(huì)，這使得攻擊者可以通過感染遠(yuǎn)程接入或移動(dòng)辦公中主機(jī)作為跳板，進(jìn)一步入侵整個(gè)企業(yè)內(nèi)網(wǎng)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)通過評估所有接入企業(yè)內(nèi)網(wǎng)的主機(jī)的安全防護(hù)狀態(tài)，確保只有防護(hù)措施較為完善的——即被攻擊者感染、操縱的可能性較低的主機(jī)才能訪問整個(gè)企業(yè)內(nèi)網(wǎng)，限制防護(hù)措施不完善的主機(jī)對

2、網(wǎng)絡(luò)的訪問能力，從而降低了潛在的安全風(fēng)險(xiǎn)，尤其對于存在VPN互聯(lián)應(yīng)用的分布式企業(yè)網(wǎng)絡(luò)，能夠鑒別使用VPN通過Internet遠(yuǎn)程接入的主機(jī)的潛在風(fēng)險(xiǎn)，從而保護(hù)整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)。本文針對VPN互聯(lián)的網(wǎng)絡(luò)環(huán)境，研究設(shè)計(jì)了三層結(jié)構(gòu)的狀態(tài)評估協(xié)議，分別是狀態(tài)屬性層，狀態(tài)信息匯聚層和狀態(tài)信息傳輸層，為其設(shè)計(jì)了對應(yīng)的網(wǎng)絡(luò)準(zhǔn)入控制體系框架，實(shí)現(xiàn)了這樣一種評估流程：客戶端各個(gè)狀態(tài)屬性層收集各項(xiàng)主機(jī)信息，利用匯聚層組裝信息，通過狀態(tài)信息傳輸層提交給評估服

3、務(wù)器，評估服務(wù)器分解匯聚信息，并根據(jù)得到的各項(xiàng)信息進(jìn)行評判，從而決定授予主機(jī)的訪問權(quán)限。本文在該系統(tǒng)的基礎(chǔ)上針對一般VPN互聯(lián)的網(wǎng)絡(luò)環(huán)境，對于網(wǎng)絡(luò)中的主機(jī)，通過動(dòng)態(tài)VLAN劃分的方式隔離不合格的主機(jī)；對于VPN接入的主機(jī)，通過動(dòng)態(tài)配置VPN接入服務(wù)器的訪問控制策略，隔離不合格的VPN接入主機(jī)。通過協(xié)議與系統(tǒng)設(shè)計(jì)的研究，本文總結(jié)了準(zhǔn)入控制評估協(xié)議設(shè)計(jì)要點(diǎn)，針對評估過程中各個(gè)對象信任關(guān)系模型和用戶隱私保護(hù)兩方面需要注意的內(nèi)容提出了一些建議。