主动安全网络架构设计

刘建兵 王振欣 石永杰

1(北京北信源软件股份有限公司 北京 100195) 2(中国石油西北销售公司 兰州 730060)

上一篇文章[1]追溯了网络安全问题的根源来自于传统网络架构的缺陷，并基于社会控制原理类比分析了网络安全和社会安全，发现传统局域网架构缺少社会控制3个要素，将社会控制3要素映射成网络控制3要素，并将其融入网络架构，让网络内生安全能力成为网络架构的进化方向，基于这种技术路径改进传统网络架构，设计新的网络架构，以提升网络的安全能力.网络和安全的一体化、网络内生安全能力，将在全域共识安全策略、安全策略统一管控、接入边界管控、接入设备身份认证、全网资产管理、整合安全管理资源等方面获得新特性，为安全管理提供全新技术手段，提供解决网络安全问题的新思路.本文将承接这一思路，构建主动安全网络架构，叙述新架构构成，将密码学技术应用于新架构之中，以及社会控制3要素如何融入传统架构、传统架构到新结构转换等.

1 传统网络架构的组成及要素

传统网络架构(如图1所示)是将网络定位成信息通路，作为信息通路承载各种业务应用数据的网络本身没有安全功能和能力；信息系统安全能力需要旁路或外挂的安全应用提供支撑；旁路或外挂的安全功能分散[2]，安全管控不集中，安全功能协同联动少，难以达到预期的安全防护效果.为了应对不断演化的威胁和攻击，需要传统网络架构进行结构进化，使得网络架构本身内生安全能力[3]，并在全面兼容集成传统安全应用能力基础上实现网络安全统一管控，实现网络安全的主动协同防御[4]，以有效应对不断变化的威胁和攻击.

图1 传统网络架构示意图

1.1 传统网络架构的组成

源于传统网络架构的信息通路定位，传统网络架构设计上主要考虑了业务应用的通信需求，在网络安全方面考虑很少.

局域网设计可以采用环形、星型、网状等多种物理拓扑结构，但在逻辑上遵循“分层网络设计模型”，该模型已经成为网络设计的事实标准，该模型在逻辑上将局域网分为“核心层”“汇聚层”和“接入层”3个层级[5]，大型复杂网络都是以该模型为参照通过多模块组合形成的，针对业务、管理、运维等需求，一般以模块化的思想设计网络架构，在模块设计上，每个模块进行分层设计，采用2层或者3层架构[6].

核心层是一个高速的交换式骨干，开放最短路径优先协议(OSPF)，这一层不对数据包/帧进行任何的处理，以提高包交换的速度.核心层的主要功能是在网络的各个汇聚层设备之间提供高速的连接.汇聚层是核心层和接入层之间的分界点.它能帮助定义和区分核心层.汇聚层的功能是对网络的边界进行定义.对数据包/帧的处理应该在这一层完成.可以将汇聚层汇总为提供基于策略连接的层.数据包的处理、过滤、路由总结、路由过滤、路由重新分配、VLAN间路由选择、策略路由和安全策略是汇聚层的一些主要功能.接入层是本地终端用户被许可接入网络的点.该层除了完成高密度用户接入功能外，也可以使用访问列表或者过滤器来满足特定用户的需要.在接入层中，交换机被称为边缘设备，2层交换机在接入层中起非常重要的作用.

传统网络架构中，核心层功能和安全完全无关，只在汇聚层和接入层可以实施部分简单静态安全策略[7]，实质上这2层的安全策略是面向网段的以IP地址为根据的策略，因其没有对IP地址使用者的验证能力，导致安全策略是静态的、粗线条的、非智能的，难以应对IP地址变换、接入位置变换等情况，不得不以补丁式、外挂式的其他安全设备来弥补安全策略的要求.

1.2 网络架构及安全要素

传统网络架构无法提供更高级的安全能力，网络应用的安全要求不得不由其他的安全技术和产品来弥补.基于传统网络架构，随着安全需求的增加逐步形成了当前的网络安全架构[8]，各色网络安全设备悉数登场，防火墙、入侵检测、入侵防御、DDOS防护、身份认证、防病毒、扫描器、补丁分发、终端管理等不一而足.这些安全要素极大地丰富了网络安全技术家族，从不同的层面和角度提供适应不同安全需求的功能，五花八门，目不暇接.

2 传统网络架构对安全的处理

2.1 安全处理方式

构建于传统网络架构上的信息系统，其天然的开放性造成这样的事实，即无论是否是信息系统的相关者，都天然拥有访问信息系统的基本条件，也就是网络访问的可达性，而随后产生的系统安全问题再采取补救措施来解决.这好比曾经出现过的不检票的电影院，不管有票无票都可以先进来，是否允许观影，再通过查票清除无票者，其有效性、效率比之检票入场的方式必然是低下的.如此明显的反制方式长期存在于属于高科技信息安全领域是难以理解和具有讽刺意味的.

为了应对信息系统安全问题，保护网内资源，在传统网络架构上以外挂、旁路和补丁方式附加了多种安全设备，包括防火墙、入侵检测、流量审计、身份认证、行为管理、边界准入、终端管理、补丁管理等，如图2所示.

图2 传统网络架构安全防护示意图

传统网络架构在安全防护方面采取的主要措施如下：

1) 互联网出口旁路部署抗拒绝服务器攻击设备，引流检测攻击并回注；

2) 互联网出口部署防火墙，进行分区的安全防护和防病毒、URL、垃圾邮件、文件、内容等方面的安全检测防护；

3) 核心交换机旁路或外挂入侵检测、行为管理、流量审计等安全应用，从不同角度进行安全威胁攻击的检测和防护；

4) 管理区部署安全管理应用，包括统一运维管理、入网资产管理等；

5) 数据中心部署安全应用，为入网终端提供病毒防护、补丁分发、认证准入等安全服务；

6) 终端安装客户端软件，与服务器配合，实现防病毒、补丁分发、认证准入等安全机制.

传统网络架构通过部署在多个位置的安全应用，实现网络安全防护[9].安全应用除了防火墙部署在网络通路的主路径上，其他的安全防护设备都是旁路或者外挂部署；部署管理区的安全管理系统对各种安全设备进行统一运维管理；数据中心部署的安全应用与安装在终端的客户端软件交互，实现终端安全认证、补丁分发和准入.这些附加在网络架构上的安全功能试图弥补网络架构的安全缺陷，但是这些安全措施都是从不同的角度、不同的侧面解决细分的具体安全问题，本身缺乏整体性，相互之间缺乏协同性，名为各司其职，实为各自为政，特别是在多厂商的情况下，多个安全产品标准不一，难以集成和协同，统一管理困难，实际效果事倍功半，这就是传统网络架构下对安全问题的处理方式和现状.

2.2 安全防护的问题

在传统网络架构下信息系统安全防护方式为旁路和外挂的安全设备、系统和应用各自部署，分别检测，安全防护能力分散、安全管控不集中，安全功能协同联动少，导致安全防护达不到预期效果，带来了影响安全防护效果的重要问题：

1) 安全认证不严格、不彻底.现有认证方式，终端在未认证前，已经可以穿过网络访问数据中心的安全应用，若安全应用被攻陷，攻击者实质上已经渗透进了内网.

2) 现有的终端认证方式中，用户、设备、账号存在多对多的映射关系，网络安全分析追溯时难以唯一定位锁定设备，影响安全攻击链的分析与追溯[10].

3) 现有安全设备、安全应用各自为政，功能未相互配套，安全能力未形成统一安全智慧，各安全设备和应用无法相互联动配合，未形成实质的协同防御体系[11].

4) 网络安全策略离散纸面化，未形成策略的统一制定、管理和执行控制中心，安全防护未在统一安全策略下如章如法地有序进行，导致安全防护效果不佳、安全响应效率不高.

综合来看，传统网络架构对安全的处理方式、安全防护不彻底，技术上未充分整合集成各种安全技术的安全能力；管理上未形成安全资源、安全策略的统一管控中心，安全防护的主动性、协同性无法提高，安全防护效率效果与实际安全防护需求有明显差距.

3 主动安全网络架构的组成

3.1 架构组成

提供全局的、整体的、网络安全一体化的安全能力，集成附加安全产品的安全能力是提高信息网络整体安全能力的关键，是主动安全网络架构的设计目标.

主动安全网络架构组成如图3所示.

图3 主动安全网络架构组成

主动安全网络架构通过接入层边界认证机的内嵌认证技术[12]，在网络边缘建立全网接入设备的严格认证准入机制，实现全局性的身份验证和网络安全一体化能力；通过在网络架构上增加管控中心统一管控网络准入和访问策略，实现访问策略根据接入设备身份动态部署到边界认证机，实现全网访问控制的全局统一一体化管理，并开放集成协议，为附加安全系统提供集成架构.

3.2 总体结构

主动安全网络架构采用密码技术作为安全能力的基础支撑，通过数据中心的IPK(identity public key)密钥平台，引入国密技术，全面支撑主动安全网络架构整体运行.

主动安全网络架构包括认证客户端、边界认证机、管理控制服务器、IPK密钥平台，以及紧密集成的传统安全服务，如图4所示.边界认证机是在接入交换机中内嵌了认证、准入和安全访问控制能力的新型网络安全设备，是网络安全架构的认证、准入和安全策略执行部件.管理控制服务器是统一管控中心，是集成全网安全智慧、对网络资源、安全策略统一管控的操作管理部件，二者在架构中起至关重要作用.

图4 主动安全网络架构总体结构

终端接入网络边界认证机，通过安装在终端上的认证客户端软件与边界认证机进行认证报文的交互，完成并维持接入设备的认证状态.

边界认证机内嵌安全认证功能，与管理控制服务器进行认证信息和安全策略等消息的交互.

管理控制服务器与边界认证机进行认证报文和安全策略等信息的交互，进行资产管理、安全策略管理、安全控制管理，并充分集成融合与其他安全应用(如防病毒、流量分析等)的安全能力.

IPK密钥平台对ASN(active security network)架构提供密钥支撑，以设备MAC为物理特征标识生成设备的唯一组合标识CID(combination ID)，通过密钥种子与CID计算生成设备公私钥，通过密钥支撑整个架构安全运行.

3.3 安全特性

主动安全网络架构作为一种新型主动安全网络架构，关注认证Authentication、资产Asset、访问控制Access、审计Audit这4个关键要素，以访问控制策略为核心，以态势感知为信息综合，兼顾IT管理的众多要素，包括防病毒、终端管理的全部内容，并兼容扫描探测、流量分析等安全防护内容.

相对于传统的4A的访问端和认证端2层认证架构[13]，ASN将认证和准入能力建构在网络接入层，使得网络直接参与到认证过程中来，在身份认证的基础上动态部署网络访问控制策略，实现的是访问端、接入层和认证控制端的3层架构，将认证和管理控制分离，在网络边缘完成认证、准入和访问策略控制功能，在管理控制端完成数据管理和审计管理；依托网络边界实现了分布式架构.由于ASN将网络接入层纳入整体安全架构，和网络融为一体，因此ASN架构成为网络安全基础设施的一部分，而不是4A架构的安全应用.此外，ASN的管理控制中心提供开放的集成协议，提供对传统安全产品的集成能力.如此，ASN从更深的层面应对网络安全，将网络安全能力回归网络，改变补丁式、外挂式的安全解决方式，可以取得更全面更便捷更高效更直接的安全效果.

采用ASN架构可以获得如下的安全新特性：

1) 全网统一的认证和准入.得益于ASN架构接入层的安全控制能力，可以完成对所有接入设备(包括台式机、笔记本等通用电脑，平板、手机等移动设备，打印机、摄像头等哑终端)的身份认证和准入，对于PC类拥有通用操作系统的接入端，ASN可以提供基于国密算法的接入认证；哑终端设备在移植认证协议后也可以实现基于国密算法的接入认证，不支持ASN协议的设备可以采用基于MAC地址的认证方式.

2) 访问控制策略应用的新特性.ASN与分布式的网络接入层相融合，动态定位访问端接入位置，主动实时部署安全策略，实现了安全策略的动态主动移动性和访问对象的跟随性，改变了传统访问控制策略静态部署，使安全策略随着访问端身份移动，访问到哪里策略到哪里.

3) 容忍访问者安全缺陷.安全策略的动态主动性和移动跟随性，直接带来了对接入设备的安全缺陷，提供实时保护能力，对于配置缺陷和安全漏洞，缺少补丁，存在恶意代码网络攻击行为等接入设备缺陷，预置的安全策略在接入的瞬间即提供保护作用，可以有效阻止网络和接入设备之间双向的漏洞利用和攻击.

4) 综合发挥其他安全能力的作用.通过充分集成融合其他安全应用的安全智慧和能力，以其提供的问题线索快速形成有效的访问控制规则，快速部署到网络边界，使其他安全能力成为ASN的耳目，达到有效阻止不安全或不合规网络行为的目的，ASN将全部安全能力融合为有机整体，更充分发挥整体作用.

ASN架构赋予网络天然的网络安全能力，让原本和网络分离的安全能力回归网络，改变补丁式、外挂式的安全解决方案，安全沉入网络底层，成为网络基础设施的有机组成部分，实现网络和安全一体化、通信和安全一体化.新架构增加集中式资产、认证、策略和审计一体化中央管控核心，作为网络安全的智慧大脑，统一协同网络安全管理和技术工作，实现网络安全主动协同防御.

4 主动安全网络架构的功能

4.1 IPK密钥平台

IPK标识公钥体系属于非对称的公钥密码体系，基于成熟的标识公钥密码技术，实现了标识与密钥的关联[14].标识公钥体系中不需要第三方数字证书，是将网络中设备、终端或系统的唯一标识CID作为计算密钥对的因子，通过密钥种子与因子进行数学计算生成设备对应公私钥，是方便灵活、低成本、高强度的新型密钥系统.

IPK密钥平台为所有需要接入网络的设备(不能安装认证客户端的终端除外)生成公钥和私钥.平台以通用计算机类终端、边界认证机、第三方安全系统/平台、管理控制服务器的MAC生成的CID为因子，通过密钥种子与CID进行数学计算生成各自对应的公钥和私钥，为架构运行提供全面的密钥支撑.

边界认证机、第三方平台/系统到管理控制服务器的认证过程、终端到边界认证机认证都通过国产SM2[15]算法，采用对应的公私钥进行认证报文的加解密完成整个认证过程；边界认证机、第三方平台/系统到管理控制服务器注册认证后，生成分组密钥(对称密钥)，用SM4[16]算法进行业务数据的加解密保护.同一局域网的边界认证及通过国产SM2算法，采用对应的公私钥进行团体密钥的加密传输[17]，采用SM4算法和团体密钥实现业务数据加密传输，如图5所示.

图5 主动安全网络架构密钥支撑

4.2 认证客户端

主动安全网络架构下，对于通用计算机类终端，安装认证客户端软件.认证客户端软件支持Window，Linux等操作系统.认证客户端主要功能如下：

认证客户端软件导入了终端计算机私钥，通过私钥对边界认证机发送的加密认证报文进行解密，并将解密后信息发送给边界认证机，完成认证过程.

终端上线认证成功后，管理控制服务器中预置的安全策略下达至边界认证机，终端上的安全策略由边界认证机转发至终端，实现终端网络行为访问控制.

4.3 边界认证机

ASN采用分布式边缘计算架构，以边界认证机代替接入交换机.边界认证机内嵌认证(embedded authenitication server, EAS)与接入终端交互进行终端的认证和准入；边界认证机内嵌安全通信模块，用来完成与管理控制服务器的安全交互，包括边界认证机注册、认证、终端认证信息查询、终端信息上报、安全策略接收转发和执行等功能.

边界认证机主要功能如图6所示:

图6 主动安全网络架构边界认证机功能

1) 边界认证机到管理控制服务器上注册认证，利用标识公钥机制生成的公私钥进行认证报文的加解密，以完成认证过程.

2) 边界认证机注册认证成功后，如果管理控制服务器上存在MAC黑名单，则会下发到边界认证机，用以后续禁止相关终端认证.

3) 边界认证机在管理控制服务器注册认证成功后，同一局域网的边界认证机之间进行相互认证并分发团体密钥(对称密钥)，为后续局域网终端认证信息的同步作准备.

4) 终端接入边界认证机，边界认证机监测到MAC地址后，向管理控制服务器查询认证信息，并使用该终端公钥与终端通过SM2算法进行认证报文的加解密交互，完成认证过程；认证成功后，边界认证机打开网络通路，允许终端通信；终端首次认证成功后，边界认证机对终端进行周期认证.

5) 终端认证后，边界认证机会向管理控制服务器申请在线终端的访问控制策略，接收到管理控制服务器下发的策略后，在本边界认证机执行的在本地生效执行，需下达给终端的转发到终端，由认证客户端执行.

4.4 管理控制服务器

ASN架构的核心部件管理控制服务器是网络集中式资产、认证、策略和审计一体化中央管控核心，作为企业级集中统一的网络安全智慧大脑，作为网络资源管理和控制、网络安全策略管理平台集中管理所有接入到网络的IT资产，统一对接入资产进行认证与准入控制，统一动态配置安全策略，集中管理访问日志，同时是传统安全能力的集成汇接平台.

管理控制服务器主要功能如图7所示:

图7 主动安全网络架构管理控制服务器功能

管理控制服务器具体功能如下：

1) 对边界认证机、第三方平台/系统进行注册认证，并对边界认证机资产进行管理；

2) 边界认证机注册认证成功后，向边界认证机下发MCL策略，为后续终端认证使用；

3) 终端认证过程中，响应边界认证机对终端认证的查询信息，接收边界认证机发送的终端认证结果信息，对终端的上线离线情况实时感知监控；

4) 在管理控制服务器上管理全部接入设备的身份信息，管理、编辑和维护预置精细化的安全策略，为边界认证机提供认证支持；

5) 通过开放集成协议与接口与第三方系统/平台进行安全策略的交互，通过统一的策略优化算法将来自第三方安全平台的安全信息转化为边界认证机可执行的策略格式，依据上线终端的情况，向对应的边界认证机或终端快速部署安全策略.

5 总 结

主动网络安全架构增强了网络安全防护的有效性，提高了网络安全融合能力，从实质上提高了安全策略和资源控制的统一性、灵活性和便捷性，解决了传统网络安全防护的问题，包括：入网设备严格彻底认证；资产管理的准确性和真实性；设备标识唯一，安全分析追溯唯一锁定；集成传统安全应用安全能力和智慧，联动安全设备和应用；形成全面、统一、精简的安全策略；安全策略部署的动态主动和高效自动化；实现网络安全主动协同防护，提高安全防护效率效果.

主动安全网络架构使网络内生安全能力，结构协调、功能耦合、相互配套，像人体内在免疫系统一样，可随敌而动、随变而应，主动动态地进行协同防御，显著提高安全防护管理和技术水平.