段红秀，汤铭

（南京传媒学院，江苏南京，210000）

0 引言

传统校园网络覆盖校园办公区域、教学区域、学生宿舍和公共场所等，接入方式包括有线和无线接入，给学校科研、教学、管理、服务等各项活动提供了极大便利，成为学校重要的信息基础设施、互联网研究平台和人才培养基地，为学校发展及专业建设提供了重要支撑。

随着互联网应用的全面普及和向局域网的渗透，现在公用网络与专用网络边界已变得日益模糊。无边界网络的开放网络带来了网络上新的安全需求，使用校园网的角色众多，教师、学生、辅导员、职工、临时用户等都需要访问校园网络，访问设备多样，台式机、笔记本电脑、电话、无线访问点和打印机也需要对用户进行控制访问。在现有的安全解决方案中，定义不同区域的策略授权需要根据各个独立区域特性进行。如图1中需要有专门用于LAN连接的安全策略服务器，用于WLAN接入的安全策略服务器，和使用VPN访问的安全策略服务器等。这种解决方案无法提供和管理一致性访问策略，另外访问需经过不同机制的认证和控制筛选，用户的访问效率较低。

图1 传统安全解决方案示意图

1 国内外研究现状

随着校园网络建设的加快,当前校园网络安全工作越来越重要,校园网用户的管理和网络设备的运维逐渐朝着高效化、智能化、精细化的方向发展。随着校园网用户的增多，校园网规模不断扩大，日常运维中常见以下问题：①需要获取用户类型、接入位置、接入方式等信息，以便对网络流量进行设置和优化；②网络设备在运行中出现在线用户不一致问题；③校园网账号开放移动端和PC端登录，用户账号存在外借情况；④辅导员老师需要根据学生近期网络使用情况，了解学生的状态。为有效解决上述问题，洪剑珂提出了基于认证系统接口的校园网用户管理系统，孔令峰提出了校园网定时控制互联网访问的方法，李长青等提出了校园网的网络资源精确分配策略。

2 安全校园网设计

使用微分段与组标记技术为多角色的校园网络提供一种安全解决方案，该方案通过建立可信任的网络设备域来建立安全网络。域中的每个设备都由其对等方进行身份验证。使用加密、消息完整性检查和数据路径重放保护机制的组合来保护域内设备之间链路上的通信。

该解决方案使用在身份验证期间获得的设备和用户凭证，在数据包进入网络时按安全组(SGs)对其进行分类。这种信息包分类是通过在进入校园网络时标记信息包来维护的，以便能够被正确地识别，并在数据路径上应用安全和其他策略标准。这个标记称为安全组标记(SGT)，它允许网络通过使端点设备在SGT上操作来过滤流量，从而强制执行访问控制策略。该方案的关键技术有以下几项。

■2.1 微分段和安全组标记SGT

微分段技术是把IT环境划分为可控制的分区，帮助采用者安全地隔离工作负载，使网络保护更加细化，从而直接解决了未经授权的横向移动攻击的难题。安全组是共享访问控制策略的用户，端点设备和资源的分组。随着新用户和设备添加到安全设备域，身份验证服务器会将这些新实体分配给适当的安全组。安全设备域为每个安全组分配一个唯一的16位微分段和安全组编号，其范围在安全设备域中是全局的。交换机中的安全组数量仅限于经过身份验证的网络实体的数量。设备通过身份验证后，安全设备域会使用包含设备安全组编号的安全组标记（SGT）标记源自该设备的任何数据包。数据包在安全设备域标头内的整个网络中携带此SGT。 SGT是一个单一标签，用于确定整个企业中源的特权。

■2.2 软件包组

在微分段和组标记技术中，核心工作是开发智能分配和管理安全组标记（SGT）的相关软件包组。对于来访设备，根据自动算法进行身份验证和标记分配，将各设备的安全组标记自动写入三层设备中，再使用相关工具软件包写入二层交换设备，并检测网络的流量，优化访问控制策略等功能。微分段及组标记技术主要包含三个软件包：

①身份验证及标签智能化分配软件包：该软件包实现来访设备的身份验证注册，使用图形化界面进行身份的分配，如账户密码等信息，再将账户信息自动分组，每个组分配安全组标记（SGT），通过组标记的源和目标的组标记，使用矩阵进行匹配服务。

②智能管理安全组标记算法：根据自动算法将所有的组标记以标签形式打入到三层设备中，交换设备根据运行的分配及接受协议，准确接收组标记。

③基于二层交换设备的虚拟交换机工具软件包，在接收到组标记后，自动将该标签标记到二层设备的数据包帧里。

由于基于开源平台开发，以上三个核心软件包均分别开放了API接口，可以方便的作为组件嵌入到其他系统中。

■2.3 安全组访问控制列表SGACL策略

使用安全组访问控制列表（SGACL），用户可以根据用户和目标资源的安全组分配来控制用户可以执行的操作。 安全设备域内的策略实施由权限矩阵表示，其中一个轴上的源安全组编号和另一个轴上的目标安全组编号。 矩阵体内的每个单元格都可以包含SGACL的有序列表，该列表指定应该应用于源自源安全组并发往目标安全组的数据包的权限。图2显示了具有三个已定义用户角色和一个已定义目标资源的简单域的安全设备域权限矩阵示例。 三个SGACL策略根据用户的角色控制对目标服务器的访问。通过将网络中的用户和设备分配给安全组并在安全组之间应用访问控制，安全设备域可在网络中实现基于角色的独立于拓扑的访问控制。

图2 简单的安全设备域权限矩阵

■2.4 入口标记和出口执行

安全设备域访问控制使用入口标记和出口实施来实现。在安全设备域的入口点，来自源的流量标记有包含源实体的安全组编号的SGT。SGT随着域中的流量一起传播。在安全设备域的出口点，出口设备使用源SGT和目标实体的安全组编号（目标SG或DGT）来确定要从SGACL策略矩阵应用哪个访问策略。

■2.5 获取数据包SGT的策略

策略获取期间获取源SGT - 在安全设备域身份验证阶段之后，网络设备从身份验证服务器获取策略信息，该信息指示对等设备是否可信。如果对等设备不受信任，则认证服务器还可以提供SGT以应用于来自对等设备的所有分组。

如果数据包来自可信对等设备，则数据包携带SGT，故可从数据包中获取源SGT，这适用于不是安全设备域中第一个用于数据包的网络设备的网络设备。在某些情况下，管理员也可以手动配置策略，以根据其源IP地址确定数据包的SGT。

■2.6 确定目标安全组

安全设备域域中的出口网络设备确定用于应用SGACL的目标组（DGT）。网络设备使用与确定源安全组相同的方法确定数据包的目标安全组，但从数据包标签获取组编号除外。目标安全组编号不包含在数据包标记中。在某些情况下，入口设备或其他非出口设备可能具有目的地组信息。在这些情况下，SGACL可能应用于这些设备而不是出口设备。

3 技术方案

■3.1 身份验证

该方案的身份验证过程中的每个参与者分为三种角色：未经身份验证的设备、身份验证服务器、身份验证者。当请求者和身份验证者之间的链接首次出现时，步骤如下:

(1)身份验证服务器对请求者进行身份验证，身份验证者充当中介。在两个对等点(请求者和身份验证者)之间执行相互身份验证。

(2)根据请求者的身份信息，身份验证服务器向每个链接的对等点提供授权策略，如安全组分配和ACL。身份验证服务器向彼此提供每个对等点的标识，然后每个对等点对该链接应用适当的策略。

(3)当链接的两端都支持加密时，请求者和身份验证者就建立安全关联(SA)所需的参数进行协商。

这三个步骤完成后，认证者将链接的状态从未授权(阻止)状态更改为授权状态，请求者就成为思科安全设备域的成员。

■3.2 安全设备域的建立

安全设备域使用入口标记和出口过滤功能以可扩展的方式实施访问控制策略。进入域的数据包用包含源设备分配的安全组号的安全组标签（SGT）进行标记。为了应用安全性和其他策略标准，此数据包分类沿安全设备域内的数据路径进行维护。数据路径上的最终安全设备（端点或网络出口点）基于安全设备域源设备的安全组和最终安全设备的安全组来实施访问控制策略。与基于网络地址的传统访问控制列表不同，安全设备域访问控制策略是一种基于角色的访问控制列表（RBACL），称为安全组访问控制列表（SGACL）。

图3显示了安全设备域的示例。在此示例中，几个网络设备和一个端点设备位于安全设备域内。一台端点设备和一台联网设备不在域中，因为它们不是支持该域的设备，或者因为它们被拒绝访问，因此限定相关服务。

图3 安全设备域

安全设备域是一整套系统，它是“无边界网络”整体方案的一个重要组成部分，它渗透到了无边界网络的各个主要部分。该系统主要包括三个产品组件：基础架构、策略和端点。

该方案中的基础架构组件是它的硬件，主要选取企业网络架构中常用的交换设备，可以通过与网络用户进行交互进行身份验证和授权。在这些交换机上支持灵活的身份验证方法，其中包括IEEE 802.1X、Web和MAC身份验证，所有这些方法都是通过每个交换机端口的单个配置进行控制的，用户可以根据不同的接入方式灵活选择相应的身份验证方法。交换机还可以使用用户身份信息来标记每个数据包，为每个数据包设置微分段IP和安全组标记，以便在网络中的任何位置部署进一步的控制。除了硬件基础架构外，相应软件包组可用于集中式网络身份识别和访问控制。

■3.3 网络接入控制平台

该方案中另一个重点就是采用软件定义网络的理念完成网络接入控制管理平台，即为一组软件包。在微分段和组标记技术中，核心工作是开发智能分配和管理安全组标记（SGT）的相关软件包组。对于来访设备，根据自动算法进行身份验证和标记分配，将各设备的安全组标记自动写入三层设备中，再使用相关工具软件包写入二层交换设备，并检测网络的流量，优化访问控制策略等功能。微分段及组标记技术主要包含三个软件包：①身份验证及标签智能化分配软件包：该软件包实现来访设备的身份验证注册，使用图形化界面进行身份的分配，如账户密码等信息，再将账户信息自动分组，每个组分配安全组标记，通过组标记的源和目标的组标记，使用矩阵进行匹配服务；②智能管理安全组标记算法：根据自动算法将所有的组标记以标签形式打入到三层设备中，交换设备根据运行的分配及接受协议，准确接收组标记；③基于二层交换设备的虚拟交换机工具软件包，在接收到组标记后，自动将该标签标记到二层设备的数据包帧里。由于基于开源平台开发，以上三个核心软件包均分别开放了API接口，可以方便的作为组件嵌入到其他系统中。该软件包组提供了一个基于规则的策略模型和可视化管理界面。

4 结论

基于微分段与组标记的安全校园网设计方案为多角色的校园网络提供一种安全解决方案，该方案通过建立可信任的网络设备域来建立安全网络，可建立适用于所有用户的可见性和控制，还可发现和监控支持IP的设备，从而全面地保护网络以及对关键业务资源的访问。它的主要创新点包括：基于策略的访问控制、身份感知网络以及网络中的数据保密性和完整性保护。创新点包括但基于策略的访问控制、身份感知网络、智能分配和管理安全组标记（SGT）软件包组、数据保密性和完整性。