1、 第16章 網絡訪問控制和云安全 第17章 傳輸層安全 第18章 無線網絡安全 第19章 電子郵件安全 第20章 IP安全性q本章我們從兩個重要的方面討論網絡安全：網絡訪問控制本章我們從兩個重要的方面討論網絡安全：網絡訪問控制和云安全。我們首先總體上介紹網絡訪問控制系統，總結和云安全。我們首先總體上介紹網絡訪問控制系統，總結它的主要元素和涉及的相關技術。接著我們會討論可擴展它的主要元素和涉及的相關技術。接著我們會討論可擴展的認證協議和的認證協議和IEEE 802.1X，他們是兩種廣泛，他們是兩種廣泛實施實施的標準，的標準，是許多網絡訪問控制系統的基礎。是許多網絡訪問控制系統的基礎。q本章后半部

2、分講述云安全相關內容。首先總體上介紹云計本章后半部分講述云安全相關內容。首先總體上介紹云計算相關知識，接著討論云安全問題。算相關知識，接著討論云安全問題。q網絡網絡訪問訪問控制控制(network Access Control, NAC)是對網絡訪是對網絡訪問管理的總稱。問管理的總稱。NAC在用戶登錄網絡的時候進行認證，決定其在用戶登錄網絡的時候進行認證，決定其可以獲取可以獲取哪些哪些數據及可以執行哪些行為。數據及可以執行哪些行為。NAC同時還檢測用戶同時還檢測用戶的計算機及移動設備的計算機及移動設備(終端終端)的安全情況。的安全情況。1. 網絡訪問控制系統的組成元素網絡訪問控制系統的組成元素

3、一個網絡訪問控制系統的組成元素有：q訪問請求者訪問請求者(AR)：AR是試圖訪問網絡的節點。它可能是是試圖訪問網絡的節點。它可能是NAC系統管理的任何設備，包括工作站、服務器、打印設備、攝像系統管理的任何設備，包括工作站、服務器、打印設備、攝像機及其他具有機及其他具有IP的設備。的設備。AR通常通常被認為是請求者或者簡單說被認為是請求者或者簡單說是客戶端。是客戶端。16.1 網絡訪問控制q策略服務器：策略服務器：根據根據AR的信息和企業制定的策略，策略服務器的信息和企業制定的策略，策略服務器決定哪些訪問是被允許的。策略服務器通常依賴后臺系統，包決定哪些訪問是被允許的。策略服務器通常依賴后臺系統

4、，包括反病毒軟件、括反病毒軟件、補丁補丁管理系統及用來幫助決定主機環境的用戶管理系統及用來幫助決定主機環境的用戶字典。字典。q網絡接入服務器網絡接入服務器(NAS)：NAS是一個接入控制點，為用戶遠程是一個接入控制點，為用戶遠程連接企業的內部網絡提供訪問控制。通常它也被稱為媒體網關，連接企業的內部網絡提供訪問控制。通常它也被稱為媒體網關，遠程訪問服務器或者策略服務器。一個遠程訪問服務器或者策略服務器。一個NAS可能包含自己的認可能包含自己的認證服務器，或是依賴策略服務器提供的認證服務。證服務器，或是依賴策略服務器提供的認證服務。q下圖是一張常見的網絡接入圖。下圖是一張常見的網絡接入圖。q許多許

5、多不同種類的不同種類的AR通過向相應的通過向相應的NAS申請，來嘗試訪問企業申請，來嘗試訪問企業網絡。第一步通常是對網絡。第一步通常是對AR進行認證。認證通常包括一些安全進行認證。認證通常包括一些安全協議和密鑰的使用。協議和密鑰的使用。NAS可能執行這個認證過程，也可能只在可能執行這個認證過程，也可能只在認證認證過程擔當中介過程擔當中介的作用。在之后的過程中，認證發生在請求的作用。在之后的過程中，認證發生在請求者和認證服務器之間。認證服務器是策略服務器的一部分或者者和認證服務器之間。認證服務器是策略服務器的一部分或者通過認證服務器接入的通過認證服務器接入的。q認證過程提供多種目的的服務。它驗證

6、請求者所聲明的身份，認證過程提供多種目的的服務。它驗證請求者所聲明的身份，使得策略服務器能夠由身份決定使得策略服務器能夠由身份決定AR所擁有的權限。認證的過所擁有的權限。認證的過程可以程可以會會產生會話密鑰，來確保在企業網絡上用戶和資源之間產生會話密鑰，來確保在企業網絡上用戶和資源之間的安全通信。的安全通信。q通常，策略服務器或輔助服務器會對通常，策略服務器或輔助服務器會對AR進行檢查，決定進行檢查，決定AR是是否可以進行遠程交互連接的訪問。這些檢查否可以進行遠程交互連接的訪問。這些檢查(又稱為健康、適又稱為健康、適配、配、篩選篩選或評估檢查或評估檢查)需要對用戶系統上的軟件進行認證，來需要對

7、用戶系統上的軟件進行認證，來確定其是否符合企業制定的安全配置基本要求。比如，用戶的確定其是否符合企業制定的安全配置基本要求。比如，用戶的反惡意軟件必須是最新的，操作系統補丁要打滿，遠程主機必反惡意軟件必須是最新的，操作系統補丁要打滿，遠程主機必須是由企業擁有并控制的。這些檢查必須在須是由企業擁有并控制的。這些檢查必須在AR獲得訪問企業獲得訪問企業網絡的授權之前進行。在這些檢查結果的基礎上，企業可以決網絡的授權之前進行。在這些檢查結果的基礎上，企業可以決定遠程計算機是否可以進行交互遠程訪問。如果一個用戶具有定遠程計算機是否可以進行交互遠程訪問。如果一個用戶具有可接受的授權憑證，但遠程計算機并沒有

8、通過安全檢查，用戶可接受的授權憑證，但遠程計算機并沒有通過安全檢查，用戶和遠程計算機的網絡訪問會被拒絕，或者在隔離網絡中進行受和遠程計算機的網絡訪問會被拒絕，或者在隔離網絡中進行受限的訪問，這使得授權用戶能夠修復安全缺陷。上圖展示了隔限的訪問，這使得授權用戶能夠修復安全缺陷。上圖展示了隔離網絡的組成，通常包括策略服務器和離網絡的組成，通常包括策略服務器和AR相關的適用性服務相關的適用性服務器，也可能包含不需要常規安全門限的應用服務器。器，也可能包含不需要常規安全門限的應用服務器。q一旦一旦AR經過授權，明確了在企業網絡訪問中的級別，經過授權，明確了在企業網絡訪問中的級別，NAS就就會使會使AR

9、能夠與企業網絡中的資源進行交互。能夠與企業網絡中的資源進行交互。NAS可能會為了可能會為了執行安全策略傳遞它的每次交換，也可能使用其他的方法限制執行安全策略傳遞它的每次交換，也可能使用其他的方法限制AR的權限。的權限。2. 網絡訪問實施方法網絡訪問實施方法實施方法是為了控制對企業網絡的訪問而實施在實施方法是為了控制對企業網絡的訪問而實施在AR上的行為。許上的行為。許多供應商支持多種實施方法，允許用戶使用一個或多種方法的組合多供應商支持多種實施方法，允許用戶使用一個或多種方法的組合來進行配置。下面將介紹常見的來進行配置。下面將介紹常見的NAC實施方法。實施方法。qIEEE 802.1X：這是一個

10、鏈路層協議，它在一個端口被分配這是一個鏈路層協議，它在一個端口被分配IP之前執行授權。之前執行授權。IEEE 802.1X使用可授權訪問協議進行授權。使用可授權訪問協議進行授權。q虛擬本地局域網虛擬本地局域網(VLAN)：企業網絡是一系列有聯系的企業網絡是一系列有聯系的LAN組組成的網絡。通過這種方式，它在邏輯上被分割為一系列虛擬的成的網絡。通過這種方式，它在邏輯上被分割為一系列虛擬的LAN。NAC系統根據設備是否需要安全修復、只需要網絡訪問系統根據設備是否需要安全修復、只需要網絡訪問或需要訪問企業資源決定哪些或需要訪問企業資源決定哪些VLAN來管理相應的來管理相應的AR。VLAN可被動地創立

11、，可被動地創立，VLAN中服務器和中服務器和AR之間的成員關系可重疊。之間的成員關系可重疊。也就是說，一個服務器或也就是說，一個服務器或AR可以屬于一個或多個可以屬于一個或多個VLAN。q防火墻：防火墻：一個防火墻提供一個表單。它允許或拒絕企業主機和一個防火墻提供一個表單。它允許或拒絕企業主機和外部用戶之間的網絡流量。外部用戶之間的網絡流量。qDHCP管理：管理：動態主機配置協議是一個可以給主機動態分配動態主機配置協議是一個可以給主機動態分配IP的網絡協議。一個的網絡協議。一個DHCP服務器收到服務器收到DHCP請求，然后進行請求，然后進行IP分配。因此，分配。因此，NAC的實施發生在以子網和

12、的實施發生在以子網和IP分配為基礎的分配為基礎的IP層。一個層。一個DHCP服務器的安裝和配置是簡單的，但是它受限于服務器的安裝和配置是簡單的，但是它受限于多種形式的多種形式的IP欺騙，提供了受限的安全性。欺騙，提供了受限的安全性。還有很多其他的實施方法被供應商支持。還有很多其他的實施方法被供應商支持。q可擴展認證協議可擴展認證協議(EAP)在在RFC 3748中定義。它是一個網絡訪中定義。它是一個網絡訪問和授權協議的框架。問和授權協議的框架。EAP提供了許多協議消息，他們可以封提供了許多協議消息，他們可以封裝多種認證方法，在客戶和認證服務器之間使用。裝多種認證方法，在客戶和認證服務器之間使用

13、。EAP可以在可以在多種網絡和鏈路層設備進行操作，包括點到點鏈路、多種網絡和鏈路層設備進行操作，包括點到點鏈路、LAN及其及其他網絡。可以適應多種鏈路和網絡的認證需求。下圖展示了組他網絡。可以適應多種鏈路和網絡的認證需求。下圖展示了組成成EAP的協議層次。的協議層次。16.2 可擴展認證協議1. 認證方法認證方法qEAP支持多種認證方法，這就是支持多種認證方法，這就是EAP可擴展的含義所在。可擴展的含義所在。EAP在客戶端系統和認證服務器之間為認證信息交換提供了一個通在客戶端系統和認證服務器之間為認證信息交換提供了一個通用的傳輸服務。基本的用的傳輸服務。基本的EAP傳輸服務通過使用一個特殊的認

14、證傳輸服務通過使用一個特殊的認證協議、方法進行擴展。這些協議會同時裝在協議、方法進行擴展。這些協議會同時裝在EAP客戶端和認證客戶端和認證服務器上。服務器上。許多方法都規定可以在許多方法都規定可以在EAP上工作。下面是一些常見的上工作。下面是一些常見的EAP支持方支持方法：法：qEAP-TLS(EAP Transport Layer Security)：EAP-TLS(RFC 5216)定義了定義了TLS協議協議(第第17章將會介紹章將會介紹)如何封裝在如何封裝在EAP消息消息中。中。EAP-TLS使用使用TLS中的握手協議，而非它的加密方法。客中的握手協議，而非它的加密方法。客戶端和服務器使

15、用其數字證書進行相互認證。客戶端通過使用戶端和服務器使用其數字證書進行相互認證。客戶端通過使用服務器的主密鑰加密一個隨機數，產生一個預主服務器的主密鑰加密一個隨機數，產生一個預主(Pre-master)密鑰，并將其發往服務器。客戶端和服務器都使用預主密鑰產密鑰，并將其發往服務器。客戶端和服務器都使用預主密鑰產生相同的密鑰。生相同的密鑰。qEAP-TTLS(EAP Tunneled TLS)：EAP-TTLS和和EAP-TLS基基本相同，不同之處在于服務器首先要通過證書向客戶端證明自本相同，不同之處在于服務器首先要通過證書向客戶端證明自己。與己。與EAP-TLS中相同，它使用密鑰建立一個安全的連

16、接中相同，它使用密鑰建立一個安全的連接(“隧道隧道”)，但這個連接用來對客戶進行認證，可能的話，服，但這個連接用來對客戶進行認證，可能的話，服務器會再次使用務器會再次使用EAP方法或是老方法方法或是老方法如如PAP(口令認證協議口令認證協議)和和CHAP(挑戰挑戰-握手認證協議握手認證協議)。EA-TTLS在在RFC5281中有詳中有詳細的定義。細的定義。qEAP-GPSK(EAP Generalized Pre-Shared Key)：EAP-GPSK在在RFC 5433中定義。它是一種使用交互認證的中定義。它是一種使用交互認證的EAP方方法，會話密鑰由預共享秘鑰法，會話密鑰由預共享秘鑰(P

17、SK)產生。產生。EAP-GPSK制定了一制定了一個基于預共享密鑰的個基于預共享密鑰的EAP方法，采用了基于密鑰的密碼算法。方法，采用了基于密鑰的密碼算法。因此，在消息流和計算開銷方面十分有效，但是它要求客戶端因此，在消息流和計算開銷方面十分有效，但是它要求客戶端和服務器之間存在預共享秘鑰。它為成功進行交互認證提供了和服務器之間存在預共享秘鑰。它為成功進行交互認證提供了受保護的安全信道，它是為在如受保護的安全信道，它是為在如IEEE 802.11這種不安全網絡這種不安全網絡上進行認證設計的。上進行認證設計的。EAP-GPSK不需要公鑰密鑰交換。這種不需要公鑰密鑰交換。這種EAP方法協議交換最少

18、可以方法協議交換最少可以4步完成。步完成。qEAP-IKEv2：它的基礎是第它的基礎是第20章會講到的互聯網密鑰交換協章會講到的互聯網密鑰交換協議版本議版本2(IKEv2)。它支持交互認證，會話密鑰建立使用了多。它支持交互認證，會話密鑰建立使用了多種方法，它在種方法，它在RFC 5106中進行定義。中進行定義。2. EAP交換交換q無論在認證中使用何種方法，認證信息和認證協議信息都會包無論在認證中使用何種方法，認證信息和認證協議信息都會包含在含在EAP消息中。消息中。qRFC3748定義了定義了EAP消息交換的目標是成功的認證。在消息交換的目標是成功的認證。在RFC 3748中，成功的認證是指

19、在一次中，成功的認證是指在一次EAP消息交換中，根認證者消息交換中，根認證者根據認證結果決定是否允許客戶訪問及客戶端決定是否進行訪根據認證結果決定是否允許客戶訪問及客戶端決定是否進行訪問。認證者的決定通常包括認證和授權。客戶端可能通過了認問。認證者的決定通常包括認證和授權。客戶端可能通過了認證者的認證，但訪問可能會因為策略原因被認證者拒絕。證者的認證，但訪問可能會因為策略原因被認證者拒絕。下圖展示了一個典型的EAP使用。下面將介紹它的組件：qEAP請求者請求者(EAP peer)：嘗試訪問網絡的客戶計算機。嘗試訪問網絡的客戶計算機。qEAP認證者認證者(EAP authenticator)：一

20、個接入點或一個接入點或NAS。他們。他們要求提前進行認證，以便接入到網絡。要求提前進行認證，以便接入到網絡。q認證服務器認證服務器(Authenticator server)：它是一個服務器計算機，它是一個服務器計算機，它利用它利用EAP方法和方法和EAP客戶端進行交互，認證客戶端的信息，客戶端進行交互，認證客戶端的信息，授權其訪問網絡。典型地，授權服務器是一個提供遠端用戶接授權其訪問網絡。典型地，授權服務器是一個提供遠端用戶接入認證服務入認證服務(RADIUS)的服務器。的服務器。q認證服務器作為后臺服務器可以為許多認證服務器作為后臺服務器可以為許多EAP認證者提供認證客認證者提供認證客戶的

21、服務。戶的服務。EAP認證者進一步決定是否給客戶端提供接入，這認證者進一步決定是否給客戶端提供接入，這也被稱為也被稱為EAP轉移模式。有時認證者可能會代替轉移模式。有時認證者可能會代替EAP服務器，服務器，如此在如此在EAP執行過程中就只包含兩部分。執行過程中就只包含兩部分。q第一第一步，通常使用一個底層協議步，通常使用一個底層協議(如如PPP協議或協議或IEEE 802.1X)來連接來連接EAP認證者。認證者。EAP客戶端在這層操作的軟件實體被稱為客戶端在這層操作的軟件實體被稱為請求者。請求者。EAP消息對于每種選定的消息對于每種選定的EAP方法包含適當信息。它方法包含適當信息。它會在會在E

22、AP客戶端和認證服務器之間進行交換。客戶端和認證服務器之間進行交換。EAP消息應該包含以下幾個部分：消息應該包含以下幾個部分：q編碼編碼(code)：指明指明EAP包的類型，共有包的類型，共有4種：種： (1)Request；(2)Response；(3)Success；(4)Failure。q標志符標志符(Identifier)：用于匹配用于匹配Request消息和消息和Response消消息。息。q長度長度(Length)：EAP包的長度，包含了包的長度，包含了Code、Identifier、Length和和Data域。域。q數據數據(Data)：包含涉及認證的信息。通常包含涉及認證的信息

23、。通常Data域包含域包含Type域域和和Type-Data域，其中域，其中Type域指明了所包含數據的類型。域指明了所包含數據的類型。Success和和Failure消息不包含消息不包含Data域。域。qEAP認證交換過程如下所述：在底層交換建立了認證交換過程如下所述：在底層交換建立了EAP所需連接所需連接后，認證者向客戶端發送一個對于其身份的請求，客戶端會返后，認證者向客戶端發送一個對于其身份的請求，客戶端會返回一個帶有其身份信息的回應。通信過程會遵從一系列流程，回一個帶有其身份信息的回應。通信過程會遵從一系列流程，為了完成認證信息的交換，流程由一系列認證者的請求和客戶為了完成認證信息的交

24、換，流程由一系列認證者的請求和客戶端的回應組成。請求端的回應組成。請求-應答交換的次數取決于驗證方式。會話應答交換的次數取決于驗證方式。會話將在出現以下兩種情況時終止將在出現以下兩種情況時終止； (1)認證者認為該客戶認證者認為該客戶端端不能不能通過認證，發送通過認證，發送Failure消息；消息；(2)認證者認為認證成功，發送認證者認為認證成功，發送Success消息。消息。q下圖給出了一個下圖給出了一個EAP交換的例子。交換的例子。q圖中有圖中有一一個從客戶端發送到認證者的消息或信號，但并沒有顯個從客戶端發送到認證者的消息或信號，但并沒有顯示，它使用非示，它使用非EAP協議，請求一個協議，

25、請求一個EAP交換來獲得網絡接入。交換來獲得網絡接入。一個例子就是下一節討論的一個例子就是下一節討論的IEEE 802.1X。認證者和客戶端交。認證者和客戶端交互中首次互中首次Request和和Response消息是關于身份的，認證者請消息是關于身份的，認證者請求客戶端的身份，客戶端在應答消息中聲明自己的身份。應答求客戶端的身份，客戶端在應答消息中聲明自己的身份。應答通過認證者傳遞到認證服務器。其余的通過認證者傳遞到認證服務器。其余的EAP交換在客戶端和認交換在客戶端和認證服務器之間進行。證服務器之間進行。q在收到身份在收到身份Response消息消息后，服務器選擇一種后，服務器選擇一種EAP

26、方法，并方法，并發送第一個發送第一個EAP消息，這個消息的消息，這個消息的Type域與這種域與這種EAP方法相方法相關聯。如果客戶端支持這種關聯。如果客戶端支持這種EAP方法，就會回應一個這種方法方法，就會回應一個這種方法的應答消息。如果不支持，客戶端發送一個的應答消息。如果不支持，客戶端發送一個NAK，服務器或者，服務器或者選擇另一種選擇另一種EAP方法或者發送方法或者發送Failure消息結束這次連接。選消息結束這次連接。選擇的擇的EAP方法決定了請求方法決定了請求-應答交換的次數。在交換中進行了應答交換的次數。在交換中進行了包括密鑰材料等適當認證信息的交換。當服務器認證認證成功包括密鑰材

27、料等適當認證信息的交換。當服務器認證認證成功或認證失敗時，交換結束。或認證失敗時，交換結束。qIEEE 802.1X基于端口的網絡訪問控制是為基于端口的網絡訪問控制是為LAN提供訪問控制提供訪問控制設計的。表設計的。表16.1簡要定義了在簡要定義了在IEEE 802.1X表中使用的關鍵表中使用的關鍵詞。詞。Supplicant，network access point，authentication分別對應分別對應EAP中的中的peer，authenticator，authentication sever。q直到直到AS(使用一個認證協議使用一個認證協議)認證一個請求者，認證者只是在認證一個請求

28、者，認證者只是在AS和請求者之間傳遞控制和認證消息。此時和請求者之間傳遞控制和認證消息。此時802.1X控制信道控制信道是通暢的，是通暢的，802.11數據信道是擁擠的。一旦請求者認證被通數據信道是擁擠的。一旦請求者認證被通過，并被分配了密鑰，認證者就能轉發請求者的數據，但是其過，并被分配了密鑰，認證者就能轉發請求者的數據，但是其受限于預定義的請求者訪問權限。在這種情況下，數據受限于預定義的請求者訪問權限。在這種情況下，數據信道信道就就通暢了。通暢了。16.3 IEEE 802.1X基于端口的網絡訪問控制q正如下圖所示：正如下圖所示：802.1X使用了受控端口使用了受控端口和非受控端口的概念。

29、端和非受控端口的概念。端口是認證者和相關物理網口是認證者和相關物理網絡連接定義的邏輯實體。絡連接定義的邏輯實體。每個邏輯端口對應這兩種每個邏輯端口對應這兩種物理端口中的一個。一個物理端口中的一個。一個非受控端口允許協議數據非受控端口允許協議數據單元單元(PDU)在在AS和請求和請求者之間交換，無須考慮請者之間交換，無須考慮請求者的認證狀態。求者的認證狀態。q一個受控端口只有在請求者的狀態允許這次交換時，才允許一個受控端口只有在請求者的狀態允許這次交換時，才允許PDU在網絡上其他系統和請求者之間進行交換。在網絡上其他系統和請求者之間進行交換。q802.1X定義的一個基本元素稱為定義的一個基本元素稱為EAPOL(EAP over LAN)。EAPOL工作在網絡層，在鏈路層使用工作在網絡層，在鏈路層使用IEEE802 LAN，比如以，比如以太網或太網或WiFi。EAPOL能使用請求者連接到認證者，并支持能使用請求者連接到認證者，并支持EAP認證數據包的交換。認證數據包的交換。q下下表中展示了最常用的表中展示了最常用的EAPOL數據包。數據包。幀類型幀類型定義定義EAPOL-EAPEAPOL-EAP包含一個被封裝的EAP包EAPOL-StartEAPOL-Start請求者能發送這個包，不用等待認證者的挑戰EAPOL-LogoffEAPOL