摘 要:通过研究分析园区网网络接入控制和认证现状,提出了基于用户群的园区网网络接入控制和认证的策略,剖析其组成因素和实施的基本原则以及其独特的优势。
关键词:用户群;网络接入控制;认证策略;园区网
一、网络接入控制和认证现状
现今,随着计算机信息技术的发展,网络接入控制手段也变的多样化,而目前较常用的有:IEEE 802.1x、思科的 NAC 框架体系以及静态 IP+MAC绑定。对于终端的接入认证方式主要采用Web/Portal 认证以及 IEEE 802.1x+Radius 认证。这些接入控制和认证技术随被广泛运用,但其都存在着各自的优势和一些不足。
对于园区网管理方式来说,现今常用的网络接入控制和认证方法较少,其选择性较为单一。造成了我们在最大化运用技术手段优势的同时也将其不足无形的放大,例如在园区网中得到广泛应用的802.1x+Radius 认证方式,但Radius 认证服务器在使用过程中却成为了一个单点故障,如果认证服务器出现故障不能正常运行,需要人工去除接入层交换机端口的 802.1x 的配置选项,实施起来不仅工作量大还会影响园区网中部分重要终端的正常运行;Web/Portal 认证实施起来比较方便,但无法确保二层技术认证的安全;如二层技术得不到保障,直接使用七层技术进行认证又存在一定的风险。能否将多种接入控制和认证手段综合运用,充分发挥其各自优势,适应园区网复杂的应用环境,成为一个值得讨论研究的问题。
二、基于用户群的网络接入控制和认证策略
园区网用户群指的是:为了对网络进行有效的管理而人为地将园区用户进行的逻辑划分,在特定的网络环境中与用户的隶属关系、工作的地理位置存在着不同程度的相同之处,而对于一般的网络环境而言,它与传统的用户分组有所不同,它的定义和分类是基于图 1 中的因素而定的。
1. 用户的主要网络行为
用户的主要网络行为主要是指:用户终端的功能角色对网络状态的一种需求方式,可分为持续性和间断性两种不同的需求方式。例如,科研机构的某些专业专用的服务器,用户终端需要不断地发送和接收相关数据,所以要求相关服务必须持续且可利用,这种需求方式是持续性的。间断性的,例如部分的园区网办公终端、普通用户终端等,此类用户只在需要网络时才会对网络产生需求,一般而言他们对网络的使用时间相对比较集中。
2. 用户的计算机网络知识层次
用户对计算机技术的了解及网络技术应用的认识程度也一定程度上决定着网络接入控制和认证的策略。知识层次高的用户,对网络的使用需求就不仅仅是应用层面的,他们对网络的数据传输、网络的安全设置等都会有一定程度的了解和认识,他们会更改使用终端的网络参数,对某项攻击或不良软件的使用会相对灵活和熟练。知识层次相对低的用户,他们对网络的使用仅限于对网络的一般应用, 通常是基于网络的各种应用程序,不会对网络参数的设定进行更改。
三、基于用户群的网络接入控制和认证策略的优点
1.减轻设备压力,分流认证,防止单点故障。
Web/Portal认证需借助防火墙的触发进行认证,对于大型的园区网而言,Web/Portal认证会增加防火墙的压力,存在一定的安全隐患。单一的Radius认证又依赖于认证服务器的运行状态,多种认证方式的结合可以取长补短,有效的防止单点故障,较少网络运行存在的风险。
2. 操作便捷,使网络管理的难度和繁杂度大大降低。
在同一种网络环境中接入不同的控制和认证策略,表面上似乎是加大了网络管理维护的繁杂度,但实际是各种的控制和认证策略的接入分流了网络故障同时发生的可能性,在一定程度上减轻了网络管理和维护的负担。
3. 加强科学管理,提高网络管理质量
对用户进科学合理的划分,不仅可以有条理的面对网络管理中存在的问题,在问题出现的萌芽状态就可高效解决,提高了网络管理的主动性,从而网络管理质量也进一步有了提升。随着网络技术的普及和发展,网络的安全问题也越来越备受关注,基于用户群的网络接入和认证策略仅仅是网络安全管理的一种方式,只有不断的完善网络管理的方式,提高网络安全,形成一种网络安全防护体系,才能提高园区网的安全防护,才能给用户提供更好、更安全的网络。
参考文献:
[1]朱辉,李晖,王育民.可证明安全的多信任域认证密钥协商协议[J].华中科技大学学报(自然科学版).2009,37(5):53~56
[2]张润江,蔡河新.华为智能光网络方案[J].电信工程技术与标准化.2006(4):125—27