摘要:随着新一代网络的发展开始体现可信可接入的特点,其面临的安全隐患也逐渐显现出来。面对紧迫的网络接入安全问题,各种解决方案应运而生。目前最具有代表性的技术包括:思科的网络接入控制NAC技术、防火墙产品ASA技术,微软的网络访问保护技术NAP、安全威胁管理网关技术Forefront TMG以及TCG组织的可信网络连接TNC技术等。
本论文作者结合了以上各种网络接入安全方案提出了一个基于WiFi网络的可信接入系统的体系架构。该系统包括四个不同层面的功能群组:安全运行中心SOC、安全网关SGW、安全代理SA、安全接入实体SAE。SOC作为总体监控管理者,获取SGW、SA、SAE发出的异常警告信息,根据分析结果决定相应的处理策略,及时控制SGW、SA、SAE做出具体的应对操作;SGW、SA、SAE在各司其职的基础上,根据SOC的统一调控,完成协同工作;SA在监控接入点或区域网络流量和内容安全的同时,代理SOC去管理许多SAE;SAE则在具备自身安全监控功能的同时,从控于SA。最后作者对本文系统中的认证协议做了详细的介绍。
关键词:可信接入;网络接入安全方案;安全运行中心SOC;认证协议
Abstract:As the new generation network begin to reflect its trustworthiness and accessibility, potential safety concerns faced by comes out gradually. Facing the urgent problem of network access security, all kinds of solutions have arisen. Currently the most representative ones include : Cisco's Network Admission Control( NAC) and the products of firewall(ASA), Microsoft’s Network Access Protection(NAP) and Threat Management Gateway (Forefront TMG) , TCG’s Trusted Network Connect(TNC), etc.
This dissertation presents a prototype of trusted access system based on WiFi, according to the above network access security solutions. The system includes four components of different levels: Security Operation Center (SOC), Security Gateway (SGW), Security Agent (SA) and Security Access Entity (SAE). As a general monitoring managers, SOC gets warning information from SGW, SA and SAE, decide corresponding strategy according to the analytic result and controls SGW, SA and SAE to make concrete operation; according to unified controls of SOC, SGW, SA and SAE coordinate with others, besides performing its own functions; SA works in monitoring traffic and content security of access points or areas, at the same time, it represents SOC to manage many SAEs; SAE possesses the function of self-security monitoring, meanwhile, it is controlled by SA. At last, the certification agreements of this system are given in detail.
Key Words: trusted access; network access security solutions; Security Operation Center (SOC); certification agreement
在整个文章中,首先介绍了系统设计研究的目的及意义。新一代网络向着可信可接入的方向发展,再加上在网络融合的过程中存在着各种各样的安全隐患,网络接入安全显得越来越重要。通过分析网络发展中具有代表性的融合问题中的安全隐患,明确了可信接入系统的重点。
接着介绍了已有的网络接入安全方案,具有代表性的技术包括:思科的网络接入控制NAC技术、防火墙产品ASA技术,微软的网络访问保护NAP技术、安全威胁管理网关Forefront TMG技术以及TCG组织的可信网络连接TNC技术等。从公司、年代、特色、整体架构、与其它技术的关系以及其存在不足等方面对每一种技术进行了较为详尽的阐述。通过对各种技术思想的分析,了解可信接入系统的一般架构。
在设计可信接入系统的过程中,首先确定了大型赛事及校园网两大应用场景,分析了其应用需求,了解了所需的可信接入系统与一般系统的共性及其自身的特殊性。针对应用场景中的安全问题,制定出了系统的设计目标,涉及各个层次的防护。根据系统设计目标,理清了系统组成,形成了系统的整体架构,设计出了各功能模块,即几个不同层面的功能群组:安全运行中心SOC、安全代理SA、安全网关SGW、安全接入实体SAE。最后阐述了系统的技术关键点。