H3C无线智能终端识别技术助力高校网络安全

2014-03-28 13:21
中国教育信息化·基础教育 2014年1期
关键词:自带无线网络终端

一、智能终端识别技术的产生

随着高校无线网络的逐步建设,覆盖范围以及使用人群的扩大,无线不再仅仅是一种简单的接入方式,其核心应该是可以随时随地使用任何设备,不论是自己的还是学校提供的设备接入校园网络。这必将带给学校网络“四多”的变化:

* 更多的设备需要连接到网络;

* 多种网络类型,包括有线、WiFi、VPN等;

* 多种设备类型;

* 多种操作系统。

上述变化不仅导致个人和网络之间的网络界限变得模糊,同时由于语音、视频、远程协作、多媒体文档或页面等应用在学校的日益丰富,加上移动接入的需求,要求网络资源的分布能够动态调整。但与之相比,网络安全问题却是学校网络管理者难题,网络管理者需要考虑如何能解决以下的问题:

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络;

* 能够根据用户、设备、地方、环境等因素实现不同的授权,其中环境是指用设备上硬件、反病毒、操作系统等因素;

* 能够基于应用实现授权,例如,上课时间只允许PC访问校园网内部;

* 能够保持网络一致性,即整个网络各个部分实施的安全策略是一致的、集中的,而不是独自实施自己的安全策略,从而造成安全漏洞;

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素,而做到这点的前提就是对设备和应用的识别。

二、 终端智能识别

学校在部署大规模的无线网络方案,在考虑安全问题的同时以下几个功能必不可少:

* 注册:自带设备的首次连接和自注册;

* 识别:自带设备的识别;

* 认证:能够针对不同用户、设备类型采用不同的认证方式;

* 授权:基于用户、设备类型、接入时间、接入地点、设备环境的授权;

* 监控:网络中所有自带设备的状态、接入时长等要素的实时监控。

其中,对自带设备的类型识别,是实施安全、可管理无线校园网的关键

目前,终端类型多种多样,包括便携式电脑、笔记本电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等,网络管理员可以有选择地允许其中部分类型甚至是一些品牌的设备进入学校网络。通过识别终端的设备类型,管理员可以为不同的设备推送不同的终端软件,设置不同的认证方式,或者在Web认证方式下推送适合某种终端类型的页面,也可以限制其访问网络中的敏感数据,或者限制的应用类型等等。

对终端类型的识别,目前主要通过MAC地址的OUI、DHCP的选项,Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统,从而方便整个网络实施一致的识别措施,根据终端类型采取相应的安全策略,也允许管理员能够根据终端的不断发展,制定新的终端类型识别方法。H3C是通过iMC软件系统来进行终端智能识别的。图1是H3C iMC系统中已定义的智能终端识别模板。

三、 基于场景的策略授权

智能终端的发展催生了其上的应用层出不穷,我们势必要随时随地使用终端访问网络。管理员不仅需要能够控制用户所访问的目的网络,还需要进一步限制终端使用的场景。传统网络利用ACL五元组来实现对接入用户访问范围的授权。然而,要实现更加精细化的授权,ACL这种方式在一些情况下不能更为细致的区分各种场景。对于这种情况,必须精确管理用户的接入时间、地点、位置等多种元素,才能精细的管理,采取相应的策略。如图2,学校在大规模无线部署后常常有这样的疑问,如何以有限的资源(网络、带宽等)让学生能得到更好的体验,如何能平衡学生学习、娱乐的关系使之在特定的时间地点能更好的体验无线网络带来的便捷。例如学校要求学生在上课时间只允许使用自带的PC访问校内,而禁止手持终端访问无线网络以便学生能专注于学习、科研,更合理的使用无线网络。而下课时间则可以让学生使用任何终端(手机、PC等)访问校内和校外资源,尽情的体验无线带来的方便快捷。

四、结束语

随着智能终端的发展,校园无线网络必须适时应变,考虑如何与复杂多样的智能终端进行融合。在融合过程中,传统网络中基于用户角色的认证和授权已经不能满足网络安全的需要,需要实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权,从而使得设备类型识别成为网络必不可少的功能部件之一。同样,对每个用户、每个设备的应用识别,让每个用户的网络活动处于被授权、记录之下,是最新校园无线方案更为详尽的安全需求,也是实施更为细致的QoS策略,更详尽地监控网络性能的需要。以此为契机,推动网络业务更为丰富化,更详细的应用识别或环境识别将成为高校无线网络的下一步需求。

(戴 爽)endprint

一、智能终端识别技术的产生

随着高校无线网络的逐步建设,覆盖范围以及使用人群的扩大,无线不再仅仅是一种简单的接入方式,其核心应该是可以随时随地使用任何设备,不论是自己的还是学校提供的设备接入校园网络。这必将带给学校网络“四多”的变化:

* 更多的设备需要连接到网络;

* 多种网络类型,包括有线、WiFi、VPN等;

* 多种设备类型;

* 多种操作系统。

上述变化不仅导致个人和网络之间的网络界限变得模糊,同时由于语音、视频、远程协作、多媒体文档或页面等应用在学校的日益丰富,加上移动接入的需求,要求网络资源的分布能够动态调整。但与之相比,网络安全问题却是学校网络管理者难题,网络管理者需要考虑如何能解决以下的问题:

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络;

* 能够根据用户、设备、地方、环境等因素实现不同的授权,其中环境是指用设备上硬件、反病毒、操作系统等因素;

* 能够基于应用实现授权,例如,上课时间只允许PC访问校园网内部;

* 能够保持网络一致性,即整个网络各个部分实施的安全策略是一致的、集中的,而不是独自实施自己的安全策略,从而造成安全漏洞;

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素,而做到这点的前提就是对设备和应用的识别。

二、 终端智能识别

学校在部署大规模的无线网络方案,在考虑安全问题的同时以下几个功能必不可少:

* 注册:自带设备的首次连接和自注册;

* 识别:自带设备的识别;

* 认证:能够针对不同用户、设备类型采用不同的认证方式;

* 授权:基于用户、设备类型、接入时间、接入地点、设备环境的授权;

* 监控:网络中所有自带设备的状态、接入时长等要素的实时监控。

其中,对自带设备的类型识别,是实施安全、可管理无线校园网的关键

目前,终端类型多种多样,包括便携式电脑、笔记本电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等,网络管理员可以有选择地允许其中部分类型甚至是一些品牌的设备进入学校网络。通过识别终端的设备类型,管理员可以为不同的设备推送不同的终端软件,设置不同的认证方式,或者在Web认证方式下推送适合某种终端类型的页面,也可以限制其访问网络中的敏感数据,或者限制的应用类型等等。

对终端类型的识别,目前主要通过MAC地址的OUI、DHCP的选项,Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统,从而方便整个网络实施一致的识别措施,根据终端类型采取相应的安全策略,也允许管理员能够根据终端的不断发展,制定新的终端类型识别方法。H3C是通过iMC软件系统来进行终端智能识别的。图1是H3C iMC系统中已定义的智能终端识别模板。

三、 基于场景的策略授权

智能终端的发展催生了其上的应用层出不穷,我们势必要随时随地使用终端访问网络。管理员不仅需要能够控制用户所访问的目的网络,还需要进一步限制终端使用的场景。传统网络利用ACL五元组来实现对接入用户访问范围的授权。然而,要实现更加精细化的授权,ACL这种方式在一些情况下不能更为细致的区分各种场景。对于这种情况,必须精确管理用户的接入时间、地点、位置等多种元素,才能精细的管理,采取相应的策略。如图2,学校在大规模无线部署后常常有这样的疑问,如何以有限的资源(网络、带宽等)让学生能得到更好的体验,如何能平衡学生学习、娱乐的关系使之在特定的时间地点能更好的体验无线网络带来的便捷。例如学校要求学生在上课时间只允许使用自带的PC访问校内,而禁止手持终端访问无线网络以便学生能专注于学习、科研,更合理的使用无线网络。而下课时间则可以让学生使用任何终端(手机、PC等)访问校内和校外资源,尽情的体验无线带来的方便快捷。

四、结束语

随着智能终端的发展,校园无线网络必须适时应变,考虑如何与复杂多样的智能终端进行融合。在融合过程中,传统网络中基于用户角色的认证和授权已经不能满足网络安全的需要,需要实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权,从而使得设备类型识别成为网络必不可少的功能部件之一。同样,对每个用户、每个设备的应用识别,让每个用户的网络活动处于被授权、记录之下,是最新校园无线方案更为详尽的安全需求,也是实施更为细致的QoS策略,更详尽地监控网络性能的需要。以此为契机,推动网络业务更为丰富化,更详细的应用识别或环境识别将成为高校无线网络的下一步需求。

(戴 爽)endprint

一、智能终端识别技术的产生

随着高校无线网络的逐步建设,覆盖范围以及使用人群的扩大,无线不再仅仅是一种简单的接入方式,其核心应该是可以随时随地使用任何设备,不论是自己的还是学校提供的设备接入校园网络。这必将带给学校网络“四多”的变化:

* 更多的设备需要连接到网络;

* 多种网络类型,包括有线、WiFi、VPN等;

* 多种设备类型;

* 多种操作系统。

上述变化不仅导致个人和网络之间的网络界限变得模糊,同时由于语音、视频、远程协作、多媒体文档或页面等应用在学校的日益丰富,加上移动接入的需求,要求网络资源的分布能够动态调整。但与之相比,网络安全问题却是学校网络管理者难题,网络管理者需要考虑如何能解决以下的问题:

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络;

* 能够根据用户、设备、地方、环境等因素实现不同的授权,其中环境是指用设备上硬件、反病毒、操作系统等因素;

* 能够基于应用实现授权,例如,上课时间只允许PC访问校园网内部;

* 能够保持网络一致性,即整个网络各个部分实施的安全策略是一致的、集中的,而不是独自实施自己的安全策略,从而造成安全漏洞;

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素,而做到这点的前提就是对设备和应用的识别。

二、 终端智能识别

学校在部署大规模的无线网络方案,在考虑安全问题的同时以下几个功能必不可少:

* 注册:自带设备的首次连接和自注册;

* 识别:自带设备的识别;

* 认证:能够针对不同用户、设备类型采用不同的认证方式;

* 授权:基于用户、设备类型、接入时间、接入地点、设备环境的授权;

* 监控:网络中所有自带设备的状态、接入时长等要素的实时监控。

其中,对自带设备的类型识别,是实施安全、可管理无线校园网的关键

目前,终端类型多种多样,包括便携式电脑、笔记本电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等,网络管理员可以有选择地允许其中部分类型甚至是一些品牌的设备进入学校网络。通过识别终端的设备类型,管理员可以为不同的设备推送不同的终端软件,设置不同的认证方式,或者在Web认证方式下推送适合某种终端类型的页面,也可以限制其访问网络中的敏感数据,或者限制的应用类型等等。

对终端类型的识别,目前主要通过MAC地址的OUI、DHCP的选项,Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统,从而方便整个网络实施一致的识别措施,根据终端类型采取相应的安全策略,也允许管理员能够根据终端的不断发展,制定新的终端类型识别方法。H3C是通过iMC软件系统来进行终端智能识别的。图1是H3C iMC系统中已定义的智能终端识别模板。

三、 基于场景的策略授权

智能终端的发展催生了其上的应用层出不穷,我们势必要随时随地使用终端访问网络。管理员不仅需要能够控制用户所访问的目的网络,还需要进一步限制终端使用的场景。传统网络利用ACL五元组来实现对接入用户访问范围的授权。然而,要实现更加精细化的授权,ACL这种方式在一些情况下不能更为细致的区分各种场景。对于这种情况,必须精确管理用户的接入时间、地点、位置等多种元素,才能精细的管理,采取相应的策略。如图2,学校在大规模无线部署后常常有这样的疑问,如何以有限的资源(网络、带宽等)让学生能得到更好的体验,如何能平衡学生学习、娱乐的关系使之在特定的时间地点能更好的体验无线网络带来的便捷。例如学校要求学生在上课时间只允许使用自带的PC访问校内,而禁止手持终端访问无线网络以便学生能专注于学习、科研,更合理的使用无线网络。而下课时间则可以让学生使用任何终端(手机、PC等)访问校内和校外资源,尽情的体验无线带来的方便快捷。

四、结束语

随着智能终端的发展,校园无线网络必须适时应变,考虑如何与复杂多样的智能终端进行融合。在融合过程中,传统网络中基于用户角色的认证和授权已经不能满足网络安全的需要,需要实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权,从而使得设备类型识别成为网络必不可少的功能部件之一。同样,对每个用户、每个设备的应用识别,让每个用户的网络活动处于被授权、记录之下,是最新校园无线方案更为详尽的安全需求,也是实施更为细致的QoS策略,更详尽地监控网络性能的需要。以此为契机,推动网络业务更为丰富化,更详细的应用识别或环境识别将成为高校无线网络的下一步需求。

(戴 爽)endprint

猜你喜欢
自带无线网络终端
X美术馆首届三年展:“终端〉_How Do We Begin?”
滤波器对无线网络中干扰问题的作用探讨
通信控制服务器(CCS)维护终端的设计与实现
周迅:天才,自带拨乱反正的能量
“好卖的产品 自带营销力。”
好的爱情自带成长属性
多功能北斗船载终端的开发应用
无线网络的中间人攻击研究
TD-LTE无线网络高层建筑覆盖技术研究与应用
ABB Elastimold 10kV电缆终端及中间接头