钟 磊,田 征,郭宇清

(国家气象信息中心,北京 100081)

0 引 言

随着气象信息网络的快速发展,气象行业各类设备数量增加,国家级气象内网办公设备总量超过7 000台,涉及大量嵌入式产品和国产化设备;设备变更频率明显加快,外协力量的补充和调整使设备变更的时间间隔进一步缩短;动力环境、智能门禁等设备的广泛应用,对系统的兼容性提出了新的要求,由此带来传统的管理模式无法适应新的业务环境。针对实际情况,设计和实现一套新的终端入网控制系统对接入设备做到智能化和自动化管理。

国内政府机构和国外大型企业在以上方面进行了研究,国税总局通过对税务网络建立严格的准入控制,实现业务设备和使用人员的高度准确和可信[1];国电系统通过入网控制与终端安全进行后台联动,保证接入设备的可靠性和安全性[2]。谷歌等国外企业通过身份信息融合和私有协议认证,实现身份信息的多元化认证和身份授权[3]。

气象部门在入网终端管理方面面临如下挑战:第一,缺乏自动化发现和控制接入设备的能力,在设备接入时无法第一时间发现和识别身份;第二,入网设备种类众多,传统的管理方法和运维方式无法满足实际需求;第三,现有管理模式无法做到身份信息自动且准确的更新,同时本地存储的信息也存在被窃取的风险;第四,接入设备可能存在恶意程序潜伏,需要保证接入设备的安全性。

为解决以上业务管理问题,该文设计和实现了一套适用于气象部门的终端入网控制系统,将多种身份认证技术进行结合,实现秒级响应的智能化管理;与国家级气象部门统一信任服务体系进行数据交互,达到身份信息认证数据的高度可信,减少传统认证方式可能存在的数据欺骗;与终端安全管理系统对接,大幅提升了智能化终端抵御恶意程序入侵和网络攻击的能力。新系统在国家级气象部门的应用,验证了相关设计的优越性,对同类部门相关建设有一定的借鉴作用。

1 技术原理

1.1 入网控制技术原理

入网控制技术种类众多,既有Portal,802.1X等基于传统网络层面的认证技术,也有短信、设备指纹和人脸识别等新兴技术。Portal技术通过B/S结构,利用客户本身WEB浏览器开展认证,该方式对设备的兼容性高,可与其他技术结合实现多因素认证;802.1X依托C/S模式和交换机实现联动,可以实现对接入设备的严格控制,但对非智能终端的管理较为繁琐;短信、指纹和人脸识别技术依托具有时效的验证码、唯一性身份ID等数据核验身份,相较于传统技术更加难以伪造,安全性得到近一步提升,但以上技术需要第三方设备配合,实现门槛较高[3-4]。

SNMP是TCP/IP协议簇的一个应用层协议,目前应用最为广泛的是SNMPv2和SNMPv3两个版本[5-7]。常见的SNMP系统一般由MIB(Management Information Base,管理信息库)、SMI(Structure of Management Information,管理信息结构)以及SNMP报文协议等部分组成。MIB是被管理对象的集合,它定义了被管理对象的一系列属性,每个SNMP设备通过唯一的OID(Object identifier,对象标识符)来标识和命名[8],而SMI定义了SNMP框架所用信息的组织、组成和标识等信息。SNMP报文结构包括版本号、团体字、协议数据单元三个部分,其报文具体结构示意如图1所示[9-10]。

国内外主流网络产品均支持该协议获取设备的运行和接口状态等信息,与终端入网控制系统配合使用能够快速定位设备接入位置。

1.2 统一信任服务原理

统一信任服务以国密标准的数字证书为基础,按照气象部门统一技术标准、统一业务流程、统一数据格式,为用户、业务应用及部分网络设备提供统一的资源信息管理、身份认证、单点登录、访问控制、授权管理、时间戳签发和验证等全程全网的身份认证相关服务,解决网络接入身份验证、组织机构分散、用户信息分离、业务应用系统重复登录的问题,实现全网资源的安全共享、业务访问控制、网络入网管控,达到“一次认证、全网通行”的效果。国家级气象部门通过统一信任服务,逐步替代不同系统的身份信息,形成气象行业特有的统一信任服务体系。

2 系统设计

2.1 控制技术设计

气象办公网络中,终端数量众多且存在业务和办公共用网络的现象,业务系统一般为无人值守自动化运行,Portal等传统技术无法实现定期自动化的二次身份认证,对于部分业务系统会产生影响;适用于指纹、人脸识别等新兴技术的数据采集设备无法大面积配属各终端;在网交换机等性能有限,基于VLAN控制的认证方式需要频繁切换网络设备的端口状态,切换过程需要使用交换机口令或SNMP写权限,相关数据被泄露直接威胁网络设备的安全[11]。综上,本次设计采用多种管控技术相结合的方式满足实际要求:通过类ARP阻断包技术、同步使用SNMP技术,结合Portal引导界面的方式实现入网控制。该方式通过将多种认证方式相结合,能够自动化地引导完成认证,交互形式更为人性化。利用各类设备在接入网络时会发送广播包宣告上线的通信特点,在所有办公网段内采集和识别该信息,同时通过SNMP只读团体字,确定上线设备具体信息,通过类ARP包引导用户通过WEB界面开展认证;该模式可以大幅减少客户端形式带来的兼容问题,最大限度地适应不同设备的认证,入网控制设计流程示意图如图2所示。

图2 入网控制设计流程示意图

2.2 统一信任服务系统设计

统一信任服务系统包含用户的身份信息、访问权限等重要内容,终端入网控制系统通过调用统一信任服务系统的Portal接口信息,由后者对用户身份进行核实,将验证结果返回给前者,反馈数据仅包含该用户的姓名和组织结构信息,不反馈可能涉及用户隐私问题的数据,其数据交互形式如图3所示。

2.3 终端安全管理系统数据获取设计

气象部门的终端安全管理系统在后台具备数据共享条件,入网控制系统可通过App_ID,App_Key和App_Secret获取终端安全管理软件客户端的安装情况,根据IP和MAC等信息辅助判定是否满足认证条件。考虑到数据的时效性,终端入网控制系统每60秒与终端安全管理系统进行一次数据同步;同时设置冗余机制,在首次同步发现终端安全管理系统的数据不包含对应设备时,则触发冗余机制,当连续2次发现无法满足入网要求时,则由终端入网控制系统进行阻断,同时通过Portal引导用户进行修复[12-13]。

2.4 非智能设备识别设计

对于网络中存在的打印机、摄像头、动环等设备,通过MAC地址获取和识别,结合对设备常见端口进行数据包探测等技术综合判断,实现自动判别和自动控制。对于识别可能出现的错误,设置人工调整的接口进行修正[14-16]。

2.5 认证流程设计

认证过程中,依托国密SM2证书,替代传统的RSA算法证书,利用前者具有密钥更小、运算速度更快、同等密钥长度安全性更高的优点,借助国密证书的导出限制,进一步提升认证信息可靠性。相关信息提交给统一信任服务系统识别和确认用户身份后,由LDP将结果反馈给终端入网控制系统;后者获得结果并确认身份后,将IP等信息和终端安全管理系统提供的在线设备数据进行对比,确认终端安全性得到保证后则验证通过,整个认证过程如图4所示。在用户认证通过后,将记录IP,MAC和终端安全反馈数据等形成设备指纹,在二次认证时,如设备指纹不变,则不再强制进行身份认证[17-19]。

图3 终端入网控制系统和统一信任服务交换示意图

图4 认证流程示意图

3 系统实现

3.1 整体结构

终端入网控制系统、统一信任服务系统和终端安全管理系统均部署于安全管理区,该区域为网络和数据安全设备的专属部署区,对该区域的访问将进行严格的IP、ACL、端口等方面的限制,对该区域的双向数据流量信息也将进行实时监测。终端设备上线后,终端入网控制系统的数据采集器通过广播包和交换机SNMP信息发现和确认,信息同步给管理端,同时开启阻断;后者在收到采集器提供的信息后开始进行身份核实,同时调用其它系统的数据进行判断,整体交互结构示意图如图5所示。

图5 整体交互结构示意图

3.2 数据交互

入网控制系统通过调用统一信任服务的认证引导用户进行身份认证:入网控制由API接口显示统一信任服务系统的Portal页面,后者尝试获取国密证书中的代表身份信息的字节内容,获取后对身份信息完成核实,通过LDP将报文信息提供给入网控制系统,后者由此建立组织结构信息、身份信息和访问权限信息,对于可能涉及敏感信息的部分不进行同步,报文交互主要结构如表1所示[19]。

表1 报文交互主要结构

终端入网控制系统通过轮询形式,每60秒同步一次终端安全管理系统的在线终端数据,由此确认设备安装终端安全管理软件的情况,减少用户等待认证的时间。

3.3 身份信息存储与保存

入网控制系统收到统一信任服务通过LDP返回的信息后,只在本地短时间保存用户信息、组织结构信息,实现本地信息最小化,该信息仅用于确定用户的组织结构和访问权限,存储期间做加密存储,使用时做必要解密[20]。当终端不在网络设备列表中或终端安全在线信息列表中不存在该终端信息,则触发身份信息预删除功能,当连续24小时未获取到相关信息,则认为用户已经离线,将本次用户信息做删除处理,实现数据“用时申请,闲时删除”,最大限度地保障用户数据安全[21]。

3.4 设备识别

入网控制系统设计采取无客户端模式,更多依托网络层面获取必要信息,通过对接入设备入网广播包和SNMP只读权限获取设备的IP和MAC信息,同时对设备开放端口进行探测,通过开放端口的特点判定设备类型[22],识别完成后形成设备的基础指纹信息,该信息将用于识别设备信息是否存在变化,辅助进行定期身份复核。

3.5 身份复核

系统定期对接入终端身份进行复核,复核形式分为主动复核和被动复核,主动复核为系统在设定的时间对接入终端的设备指纹信息进行核验,确定设备没有出现变化;被动复核为终端上线进行设备指纹校验,从而确认接入设备是否出现变化。身份复核过程全部在后台进行,在身份不出现变化的情况下,用户设备不会感知到认证的过程。

4 系统应用效果

4.1 控制整体效果

通过终端入网控制系统的应用,建立了终端、使用人和网络资源的对应关系。一定程度解决了原有接入设备的身份不清晰,设备和使用人员不对应的问题,很好地规范设备接入气象内网的使用方式,整体统计效果如图6所示。

图6 控制系统后台数据展示示意图

4.2 违规终端拦截效果

通过系统3个月的运行,月均发现和阻断了超过150台设备的违规接入,在第一时间及时进行阻断,有效保证了网络安全,对阻断设备信息及时进行统计和跟踪,并精确定位设备位置,为加强监管做好准备,隔离设备统计和展示如图7所示。

4.3 设备识别效果

系统通过MAC、开放端口和数据包探测等方式相结合,对接入的设备进行判断并进行分类,对于非智能设备形成特有设备指纹,通过在气象内网环境下测试,识别准确性可以接近90%,对识别存在偏差的设备,可以通过人工修改分类实现调整,也可以通过新增识别特征,修正识别条件,提高识别准确性。部分识别和统计效果如图8所示。

图7 隔离设备统计和展示示意图

图8 设备识别和统计效果示意图

4.4 整体展示效果

系统不仅实现及时对入网设备进行管理,同时实现对运行状态进行实时展示,方便运维和管理工作。系统通过全屏展示功能,可以直接查看控制设备数量、基础数据统计、阻断事件统计和最近事件展示等内容,整体页面形式如图9所示。

图9 入网控制系统整体展示界面示意图

5 结束语

通过入网控制系统的应用,在网设备的身份信息得到全面验证,智能化设备建立起设备、使用人和网络资源的对应关系,通过对比审核,发现违规使用他人资源、IP地址冲突、违规使用地址转换设备等各类事件超过80人次;通过阻断功能,成功对140人次以上的设备接入进行阻断,达到严格管理网络使用的目标。通过建立“谁申请谁使用,谁批准谁负责”的安全职责体系,大幅减少设备违规接入事件的发生,有效地保障了气象数据的安全性。

在终端入网控制系统与终端安全管理软件实现联动后,后者的安装数量大幅增加,极大地促进了终端安全环境的建立,终端安全管理软件客户端安装数量和恶意程序发现和清除情况如图10所示,恶意程序发现和清除事件整体呈现明显下降趋势,有效地减少了网络终端潜在的安全风险。

图10 系统应用前后终端安全管理软件和安全事件数量变化表

该系统还存在一定的不足,通过特征判定设备类型的准确性还有进一步提高的空间;无客户端模式通过数据共享增强了对终端的兼容性,但联动过程需要一定的时间,用户认证等待的时间较有传统模式未能进一步减少,这些将在后续研究中进一步优化和解决。