论文部分内容阅读
摘 要:本文在分析无线园区网网络终端的安全问题和基本需求的基础上,介绍了无线园区网网络终端安全认证方法,并对无线园区网网络终端的安全认证模式进行设计与实现。
关键词:无线园区网 网络终端 安全认证模式
一、引言
信息化技术的发展,企业日益需要便捷高效的信息交互方式,已有的有线信息传输网络技术已很难满足现有企业对办公环境的便捷性、快速性、多变性需求。无线信息传输网络技术具有架设便捷、维护简单、改造升级灵活等优势,且在信息传输速度、质量等方面能够满足现有企业信息传输需求,能够有效破解企业有线网络节点有限的困局,解决了企业对职员能够灵活、机动地有效传输数据的需求。无线园区网的网络终端能够为园区内用户任意时间、地点提供数据传输的服务,使得越来越多的园区网络大都以有线网络为骨干、无线网络为基础的网路布局方式。
二、无线园区网网络终端的安全问题。
安全问题主要包括:一是园区内公共区域覆盖的信号热点可信问题,特别是信号热点可伪造、欺诈、监听等,无线网络恶意用户或监视员工、企业动态,或窃取企业商业机密信息等;二是移动终端种类较为繁杂,园区内合法网络终端自身的可信问题,终端接入无线园区网的过程是否合法、身份如何辨识、访问数据是否越权等;三是无线园区网内临时访问客户接入无线园区网的问题,这些临时访问客户可能会存在无意识行为给园区内企业造成安全风险失控等问题。从以上问题中可以看出,保证无线园区网网络终端合法、便捷、有效的接入网络是无线园区网网络发挥其效用的基本前提,而这些都需要安全可信的安全认知机制来保障。
三、无线园区网网络终端安全认证模式的基本需求
1.网络终端的合法性需求。无线园区网中的安全认知模式只能允许被合法确认的网络终端具有接入网络并赋予该网络终端符合要求的使用权限,园区无线网络只允许被确认的合法用户具备服务使用权限。
2.网络信息传输的保密性需求。无线园区网内部的数据传输,必须通过特定密码技术对敏感机密数据进行加密处理,避免该类信息的无意外流或非法破译,同时要避免无线信号的电磁泄露,保证网络终端用户的个人隐私不被侵犯。保密性是无线园区网安全认知模式设计的首要目标。
3.信息传输的完整性需求。无线园区网网络终端的安全认证模式要确保信息传输不能被非法篡改、恶意破坏或私自复制。当信息完整性遭到破坏时,设计的安全认证模式要有能力进行恢复,并采用日志记录,系统报警的措施提醒网络安全维护人员。
4.网络终端使用记录的唯一性需求。确保网络终端信息使用记录必须是唯一的,使用双方都不能否认信息传输行为的发生。
四、安全认证模式的设计与实现
1.外网接入安全控制设计。由于无线园区网内部所能提供的资源有限,为提高其资源获取的便捷性,必然连接到互联网。其中构建的网络链路必然会存在黑客入侵、病毒传播、网络漏洞等安全问题,因此网络接入安全控制需要提供通信隧道加密,配合专业的防火墙实现无线园区网的网络边界防护。(1)为确保无线园区网内数据传输的可用性、完整性和保密性需求,网络终端设备与文件共享管理服务器之间的数据通信必须进行封装,并在SSL安全隧道进行端到端的传输;(2) 文件共享管理服务器的网关必须具有身份鉴权、访问控制、数据加密、终端管理等安全功能,防止其它程序恶意篡改应用内数据,确保无线园区网内的办公应用安全性,保障无线园区网能够可信、可控、可管的运行;(3)外网内网之间的网关则应具备AV、IPS、DDOS一体化边界威胁防护等能力。
2.从外网到无线园区网的无缝切换。通过无线园区网网络终端安装规定客户端的方式,使得网络终端在从外网向内网切换的过程中,通过规定客户端存储的网络终端用户权限数据表,实现自动切换,无需网络终端的用户重新进行接入操作,实现无感知切换。
3.无线园区网内网移动网络访问控制设计。针对无线园区网内网网络终端的网络访问控制进行如下四个环节的设计:首先,根据园区内用户身份级别、网络终端类型、网络终端具体位置等制定综合策略;其次,在综合策略執行过程中,依归对移动终端进行检查,隔离违规终端设备,阻止违规用户;第三是确保网络终端的用户认证权限级别符合规定,对违规访问行为进行阻止;最后是对网络终端在内网的行为进行监控,并采用日志进行记录,以备安全审计取证所需。
4.无线园区网临时访客的安全接入设计。对于无线园区网的临时访客来说,其移动终端上未必安装有与内网相同的客户端,这里采用802.16或Web Portal认证方式。临时访客无需安装内网统一的客户端,采用网络管理员告知的临时账号,自带移动终端可利用自身的802.1x客户端或内网统一的Web客户端接入无线园区网内网,基本流程如下:(1)网络终端采用802.1x安全认证协议和无线网络接入控制器认证时,无线网络接入控制器通过Radius协议将网络终端的身份认证信息传输至认证服务器;(2)认证服务器与网络终端身份账号数据进行匹配,并实时分发网络综合控制策略至接入控制器,通过认证的合法用户具有规定的访问权限,无法通过的则阻止其访问行为;(3)临时访客通过自身的网络终端访问规定权限范围内的内网资源或符合规定的访问互联网资源;(4)临时访客自身的网络终端无法使用802.1x认证协议的,可通过Web Portal认证方式,在上述三个基本流程的指导下进行安全接入。通过上述四个层次的安全认证模式的设计与实现,无线园区网网络终端接入无线网络过程中可确保数据传输的安全性、可信性和机密性。其次网络终端接入无线园区网网络时,可确保园区内信息系统及机密信息的安全性。此外,无线园区网的临时访客可通过自身的网络终端,可便捷快速的连接到无线园区网,访问符合身份授权的信息。
参考文献:
[1]沈清涛. 移动互联网络安全认证及安全应用中若干关键技术研究[J]. 网络安全技术与应用, 2016(4):72-72.
[2] 李慧智, 韩广国, 王沂. 一种漫游网络中可证安全的用户认证方案研究[J]. 信息网络安全, 2015(7):51-57.
[3] 周嘉懿. 浅议无线网络中身份认证协议选择方法[J]. 网络安全技术与应用, 2016(2):75-75.
关键词:无线园区网 网络终端 安全认证模式
一、引言
信息化技术的发展,企业日益需要便捷高效的信息交互方式,已有的有线信息传输网络技术已很难满足现有企业对办公环境的便捷性、快速性、多变性需求。无线信息传输网络技术具有架设便捷、维护简单、改造升级灵活等优势,且在信息传输速度、质量等方面能够满足现有企业信息传输需求,能够有效破解企业有线网络节点有限的困局,解决了企业对职员能够灵活、机动地有效传输数据的需求。无线园区网的网络终端能够为园区内用户任意时间、地点提供数据传输的服务,使得越来越多的园区网络大都以有线网络为骨干、无线网络为基础的网路布局方式。
二、无线园区网网络终端的安全问题。
安全问题主要包括:一是园区内公共区域覆盖的信号热点可信问题,特别是信号热点可伪造、欺诈、监听等,无线网络恶意用户或监视员工、企业动态,或窃取企业商业机密信息等;二是移动终端种类较为繁杂,园区内合法网络终端自身的可信问题,终端接入无线园区网的过程是否合法、身份如何辨识、访问数据是否越权等;三是无线园区网内临时访问客户接入无线园区网的问题,这些临时访问客户可能会存在无意识行为给园区内企业造成安全风险失控等问题。从以上问题中可以看出,保证无线园区网网络终端合法、便捷、有效的接入网络是无线园区网网络发挥其效用的基本前提,而这些都需要安全可信的安全认知机制来保障。
三、无线园区网网络终端安全认证模式的基本需求
1.网络终端的合法性需求。无线园区网中的安全认知模式只能允许被合法确认的网络终端具有接入网络并赋予该网络终端符合要求的使用权限,园区无线网络只允许被确认的合法用户具备服务使用权限。
2.网络信息传输的保密性需求。无线园区网内部的数据传输,必须通过特定密码技术对敏感机密数据进行加密处理,避免该类信息的无意外流或非法破译,同时要避免无线信号的电磁泄露,保证网络终端用户的个人隐私不被侵犯。保密性是无线园区网安全认知模式设计的首要目标。
3.信息传输的完整性需求。无线园区网网络终端的安全认证模式要确保信息传输不能被非法篡改、恶意破坏或私自复制。当信息完整性遭到破坏时,设计的安全认证模式要有能力进行恢复,并采用日志记录,系统报警的措施提醒网络安全维护人员。
4.网络终端使用记录的唯一性需求。确保网络终端信息使用记录必须是唯一的,使用双方都不能否认信息传输行为的发生。
四、安全认证模式的设计与实现
1.外网接入安全控制设计。由于无线园区网内部所能提供的资源有限,为提高其资源获取的便捷性,必然连接到互联网。其中构建的网络链路必然会存在黑客入侵、病毒传播、网络漏洞等安全问题,因此网络接入安全控制需要提供通信隧道加密,配合专业的防火墙实现无线园区网的网络边界防护。(1)为确保无线园区网内数据传输的可用性、完整性和保密性需求,网络终端设备与文件共享管理服务器之间的数据通信必须进行封装,并在SSL安全隧道进行端到端的传输;(2) 文件共享管理服务器的网关必须具有身份鉴权、访问控制、数据加密、终端管理等安全功能,防止其它程序恶意篡改应用内数据,确保无线园区网内的办公应用安全性,保障无线园区网能够可信、可控、可管的运行;(3)外网内网之间的网关则应具备AV、IPS、DDOS一体化边界威胁防护等能力。
2.从外网到无线园区网的无缝切换。通过无线园区网网络终端安装规定客户端的方式,使得网络终端在从外网向内网切换的过程中,通过规定客户端存储的网络终端用户权限数据表,实现自动切换,无需网络终端的用户重新进行接入操作,实现无感知切换。
3.无线园区网内网移动网络访问控制设计。针对无线园区网内网网络终端的网络访问控制进行如下四个环节的设计:首先,根据园区内用户身份级别、网络终端类型、网络终端具体位置等制定综合策略;其次,在综合策略執行过程中,依归对移动终端进行检查,隔离违规终端设备,阻止违规用户;第三是确保网络终端的用户认证权限级别符合规定,对违规访问行为进行阻止;最后是对网络终端在内网的行为进行监控,并采用日志进行记录,以备安全审计取证所需。
4.无线园区网临时访客的安全接入设计。对于无线园区网的临时访客来说,其移动终端上未必安装有与内网相同的客户端,这里采用802.16或Web Portal认证方式。临时访客无需安装内网统一的客户端,采用网络管理员告知的临时账号,自带移动终端可利用自身的802.1x客户端或内网统一的Web客户端接入无线园区网内网,基本流程如下:(1)网络终端采用802.1x安全认证协议和无线网络接入控制器认证时,无线网络接入控制器通过Radius协议将网络终端的身份认证信息传输至认证服务器;(2)认证服务器与网络终端身份账号数据进行匹配,并实时分发网络综合控制策略至接入控制器,通过认证的合法用户具有规定的访问权限,无法通过的则阻止其访问行为;(3)临时访客通过自身的网络终端访问规定权限范围内的内网资源或符合规定的访问互联网资源;(4)临时访客自身的网络终端无法使用802.1x认证协议的,可通过Web Portal认证方式,在上述三个基本流程的指导下进行安全接入。通过上述四个层次的安全认证模式的设计与实现,无线园区网网络终端接入无线网络过程中可确保数据传输的安全性、可信性和机密性。其次网络终端接入无线园区网网络时,可确保园区内信息系统及机密信息的安全性。此外,无线园区网的临时访客可通过自身的网络终端,可便捷快速的连接到无线园区网,访问符合身份授权的信息。
参考文献:
[1]沈清涛. 移动互联网络安全认证及安全应用中若干关键技术研究[J]. 网络安全技术与应用, 2016(4):72-72.
[2] 李慧智, 韩广国, 王沂. 一种漫游网络中可证安全的用户认证方案研究[J]. 信息网络安全, 2015(7):51-57.
[3] 周嘉懿. 浅议无线网络中身份认证协议选择方法[J]. 网络安全技术与应用, 2016(2):75-75.