冯军亮，李红倩

（1.国家计算机病毒应急处理中心，天津 300457；2.天津物产能源资源发展有限公司，天津 300074）

1 总体架构设计

BYOD的安全接入控制，是当前政府和企业非常关注的课题，本论文通过深入的分析和研究提供了一个较为完整BYOD无线安全接入控制的技术结构。该架构综合运用当前的安全防护手段综合保障信息系统的安全。[2]

1.1 总体架构设计

1.1.1 功能模块层

（1）接入策略：在该功能模块中支持对所有接入的BYOD进行合法性和合规性检查的策略，提供统一策略库的合规化管理体系，提供有客户端模式和无客户端模式两种准入模式，支持使用802.1X、DHCP、SNMP、ARP等多种单一准入技术和多技术混合使用。[4]

（2）用户管理：在该功能模块中系统提供强大的入网BYOD的管理功能，通过提供可视化、实名化的终端管理，向管理员提供全方位视角的终端入网管理；[5]

（3）安全监测：在该功能模块中主要实现以下威胁行为的检测：非法联入、病毒传播、网络攻击；

（4）违规管理：本论文主要针对非法联入、病毒传播、以及黑客的攻击行为进行监测，同样在进行违规管理时主要针对非法联入、病毒传播、黑客攻击以及系统自身使用的违规管理；

（5）系统管理：安全系统自身也有一套完整的管理机制，包括自身的配置管理、任务管理、策略管理、日志管理等等方面，这些和通常的系统没有太大的区别，这里就不再详细介绍；

（6）日志审计：日志审计是安全设备一项非常重要的功能，对于该系统来讲日志的主要内容包括：BYOD设备接入的日志、违规处理的日志、联动设备推送的日志、以及设备自身管理的日志。[6]

1.1.2 应用支撑层

本系统的实现离不开以下几种关键服务的支撑，例如DHCP、认证管理等。

1.1.3 数据存储层

（1）安全策略：该系统的安全策略采用统一管理的方式，安全策略包括安全接入策略、违规管理策略等；

（2）日志：BYOD设备接入的日志、违规处理的日志、联动设备推送的日志、以及设备自身管理的日志。[7]

2 BYOD安全接入控制技术研究

本论文关键技术涉及两个方面：（1）BYOD设备识别技术：基于扫描技术的接入监测技术、基于SNMP陷阱技术的接入检测技术；（2）BYOD接入阻断技术：基于旁路技术的网络阻断技术、基于SNMP的动态安全策略调整技术。[8]

2.1 网络扫描技术

网络扫描技术就是通过实时地对网络进行扫描，一方面能够及时地发现在线的网络设备和终端的在线情况，便于网络的管理，特别是有利于系统的资产管理；另一方面通过网络扫描，安全接入系统接受来自各个网络设备、服务器以及终端的回复的数据报文，这些报文里面也包含了终端的一些指纹信息，这些信息和MAC信息进行结合形成指纹特征。

2.2 SNMP陷阱技术

SNMP陷阱技术的BYOD接入监测机制，它包括三个方面：应用层协议、数据库模型和一组资源对象。SNMP协议主要用来进行网络的管理，利用该协议设备管理系统可以检测到网络中设备的各种情况，最主要的是网络联通情况。[11]

2.3 BYOD接入阻断技术

（1）基于旁路技术的网络阻断技术：即采用并联的方式部署在网络中，例如接在核心交换机上，因此在进行阻断的方式采用旁路技术进行阻断，这种方式主要采用协议阻断的方式，对内容进行阻断。这种方式的优点是部署简单，不影响原有的网络结构。

（2）基于SNMP的动态安全策略调整技术：即根据系统监测的结果下发安全管理策略，SNMP服务器按照策略的要求将策略发送到核心交换机对接入的BYOD进行网络策略的划分，从而实现对网络的动态安全策略的调整。[12]

本论文通过BYOD设备识别技术和接入阻断技术相互配合，最终实现对BYOD安全接入控制。

3 结束语

本文在针对当前BYOD设备在安全接入方面存在的安全漏洞进行深入的研究，通过对问题的深入研究和现场调研，提出了一套较为完善的BYOD的安全接入方案和系统原型，通过系统的应用可以帮助组织完善自身的信息安全防护体系。