来源:网络世界 更新时间:2012-04-13
《世界是平的》是美国《纽约时报》专栏作家托马斯。弗里德曼今年最轰动的著作,继早年的《凌志汽车与橄榄树》之后,弗里德曼再一次将全球化的平坦之路呈现在全球读者面前,只不过,这次的主角是IT。
的确,IT产业将全球供应连与市场结合到一起。记者无意去研究宏观IT环境,不过当记者把全部精力投入到安全上面的时候,有趣的结果产生了:安全也是平的。
从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日至、网管系统,看似独立的安全产品已经出现了改变,无论是从早先的安全联动、802.1X还是近期的私有安全协议、安全与企业AD整合,都体现出了一个趋势:安全是密切相连的,是“你中有我,我中有你”。
还记得记者上期写的《悬棋落子----做信息安全必修的五步绝招》一文么?其中信息安全的第一要素就是制定“企业安全规范”,而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合,涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。
换句话说,安全已经不是传统上的单一设备,或者像某些厂商所讲的那种独立于网络的设备。事实上,近三年的发展已经证明,日后信息安全将会逐渐以用户需求的系统方案为核心,而在这套完整的安全方案之内,各部分都是有机联系的,之间呈现一种技术与需求交织的扁平网状关系。
因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候,记者则开始关注信息安全的平坦化了。同时为了让更多的读者了解信息安全的现状,记者专门打造了“安全是平的”系列专题,与大家一起研究信息安全的新技术与新应用。
作为本系列的开篇之作,记者从“身份认证与内网安全”入手。这一对密不可分的安全要素,已经成为了当前安全界最热门的话题,很多企业用户对于两者的关联与部署充满了疑问,而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家,与读者一起分享其中的心得。
大势所趋:从双因数认证入手
目前在信息安全界,有三大技术趋势:第一,可信计算;第二,身份认证与内网安全;第三,统一威胁管理(UTM)。根据IDC在今年1月份的统计报告,目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006----2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。
在身份认证过程中,传统上都是基于用户账户名和密码的做法。根据美国《Network World》今年8月份的调查结果,超过60%的企业已经对传统的认证方式不放心了,而有超过40%的企业打算在年内建立双因数认证机制。
所谓双因数认证,是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示,随着各种间谍软件、键盘记录工具的泛滥,不少企业的IT人员发现,仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权,通过建立证书系统来进行客户端的认证工作。
另外,采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说,安全证书的生成可以提取其他一些信息,比如网卡MAC地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时,第一步是认证系统产生用户名和密码,第二步则是系统收集笔记本的特征,进而提取具备唯一性的信息,以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器,从而实现对客户端唯一性登录的检查,以便杜绝私有设备进入企业网。
根据美国和中国的统计,超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外,大部分网络银行服务业采用了证书模式。
对此,招商银行的IT工程师透露说,目前招商银行已经在专业版网上银行系统中采用安全数字证书,并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书,银行和用户各有一份公钥和私钥,用户仅仅需要记忆一个密码就可以使用了。
而新华人寿保险集团的IT经理向记者表示,USB Key的证书认证模式在新华人寿已经全部实现了,主要还是为日常的OA服务。而改项目的实施方CA的安全专家介绍说,现在很多大型企业已经开始采用证书系统,像新华人寿这样的企业,对系统数据流安全非常关注,特别是很多到桌面、到用户文件的内容。
除了数字证书,还有一种双因数认证方式,即动态令牌。动态令牌根据基于时间的算法,每分钟都产生一个5-6位的认证串号。在客户端,用户通过一个类似电子表的硬件,计算出每分钟产生的令牌串号。那么用户登录系统,只要输入用户名和相应时间段的串号,就可以安全登录。
有意思的是,记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程,其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟,因此成本较高,目前一个动态令牌的客户端硬件都要在三百元人民币左右。
精明用户:混合认证模式
的确,纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是,其带来的IT管理问题,也无法忽视。
美国《Network World》的安全编辑撰文指出,美国很多年营业额在1.5亿到10亿美元的中型企业用户,很多都不考虑双因数认证的问题。因为他们认为,双因数认证系统不仅难于配置,而且花费在购买和实施上的资金比也较高,特别是其管理和维护的复杂度也过高。
回到国内,记者发现类似的问题确实也有不少。这个问题的关键在于,这些中型企业恰好处于市场的成长期,用户的账号像兔子繁殖一样增加,因此认证需要的安全预算和人力不成正比。在此模式下,部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。
不过,这并不意味着认证安全无法解决。事实上,很多企业已经开始行动了。在此,记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。
顾名思义,“混合认证”就是把传统的身份认证与双因数认证进行了整合,以求获得最佳性价比。在此,请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中,将对人的认证和对机器的认证进行了有机结合。在OA办公领域,采用的都是传统的“用户名+密码”的方式,而在分散各地的 ATM机器中,采用了双因数认证,通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证,从而确保了安全监管的需求。
“我们通过这种混合认证模式,即保证了OA系统的简单、高效,同时又在安全的基础上,降低了企业网的运营成本”福建兴业银行的IT安全负责人解释说,“这是把有钱的资金用在生产网上。”
对于类似的认证,确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言,如果国内企业普遍采用了混合认证模式,那么可以极大地规范企业网中的隐性安全问题,包括一些私有设备和无线设备的准入控制,都可以低成本地解决。
事实上,中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上,没有哪个国家的人比中国人更喜欢发短信了。”因此,利用短信进行安全认证也成为了一大特色。
短信认证的成本很低,客户端只需要一部手机,服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码,这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出,短信认证虽然安全、成本低,但是其无法与企业目录服务(AD)进行整合,因此易用性受到挑战。
平坦安全:内网安全之美
前面讲过了,目前安全界的趋势是平坦化。一套认证系统做的再强大,如果仅仅孤立存在,仍然无法带来更多的价值。事实上,认证系统越来越成为内网安全的一个子系统,它确保了企业网在出现安全问题的时候,内网安全机制能够最终定位到具体的设备或者具体的人员上。
要知道,把安全问题落实到点上,是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示,以前企业配置了IDS,结果一旦网络出现问题,IDS就会不停的报警,然后给网管人员发出一大堆的可疑IP地址信息。网管不是计算机,让他从一堆IP地址中定位某一台设备,简直是在自虐。
利用认证系统,首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围,才有定位的可能性。
目前,不少安全厂商已经开始完善自身的内网安全技术,并与身份认证系统做到有机结合。王景辉介绍说,他们已经把防水墙(SOC)、DCBI 认证系统、IDS、防火墙结合在一起组成了DCSM内网安全管理技术,作为3DSMP技术的具体化。而在DCSM技术中,已经提出了五元素控制:即用户名、用户账号、IP地址、交换机端口、VLAN绑定在一起,进一步去做访问控制。
在此基础上,内网安全机制就可以根据IDS/IPS的报警,对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒,比如发现该用户扫描特定端口号,就可以判断感染了蠕虫病毒。这时候,DCBI控制中心就会进行实时告警。如果告警无效,系统就可以阻断某个用户的网络连接。由于通过完整的认证过程,系统可以知道用户所在交换机端口和所在的VLAN,封杀就会非常精确。
不难看出,一套安全的认证系统,在内网安全方案中扮演着网络准入控制NAC的角色。据Cisco的安全工程师介绍,一套完善的认证机制与内网安全管理软件组合在一起,就可以实现丰富的准入控制功能。特别的是,一般此类管理软件本身不需要安装,只要通过服务器进行分发,就可以推给每一台试图接入网络的计算机上。
而Juniper的安全产品经理梁小东也表示,把认证系统与内网安全系统结合起来,可以确保总体的网络设计更加安全,而且通过内置的安全协议,可以最大程度地让更多的安全产品,如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况,选配不同的模块,具备了安全部署的灵活性。
在采访的过程中,记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的,虽然企业用户都拥有完善的基础设施,包括全套防病毒系统,可是近两年的状况却是,病毒大规模爆发的次数不但没有减少,反而更多了,而且大量安全事件都是从内网突破的。
因此总结起来看,要实现一套完善的内网安全机制,第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为,去判断是否存在某种攻击,或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后,让系统合理地执行很重要。传统上封堵IP的做法,对于现在的攻击和病毒效果不好,因为现在的攻击和病毒MAC地址和IP地址都可以变化。因此有效的方式,就是在安全认证通过以后,系统就可以定位到某一个IP的用户是谁,然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候,就可以避免阻断整个IP子网的情况。此外,通过利用802.1X协议,整套安全系统可以把交换机也互动起来,这样就可以更加精确地定位发生安全事件的客户机在哪里。
系统整合:平坦概念出炉
近年来,在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题,其根源还是多重账户密码现象。要知道,无论是多么完善的认证系统,或者认证系统与内网安全技术结合的多么好,用户都难以避免多账户密码的输入问题。
登录账户、密码,邮件账户、密码,办公账户、密码等等,多账户多密码的问题已经引起企业IT人员的重视。因为人们难以记忆不同的账户名和密码,而这往往导致安全隐患的出现。事实上,在2004年8月欧洲的InfoSecurity大会期间,有70%的伦敦的往返者欣然地和其他在会议中的人士共享他们的登录信息,其初衷仅仅是为了少记忆一点账户名和密码。
为此,将安全认证、内网安全、包括VPN信息中的账户密码统一起来,已经是不可忽视的问题了。王景辉介绍说,目前各家厂商都希望将认证系统、内网安全设备,包括VPN、UTM等,与企业的AD整合到一起。他认为,这样做绝对是一个很好的思路。
因为目前企业用AD的很多,微软的产品多,因此安全技术中的所有模块都可以进行整合,包括认证系统与AD的深度开发。在很多情况下,让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的,而且相当麻烦。
合理的方法是与用户既有的认证系统结合起来,而目前使用最多的就是域账号。对此,企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户,从而实现单点登录(Single Sign On)。
从更大的方面说,整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的,现在的整体安全技术,最起码都要做到与AD结合,做到与Radius认证结合,因为这两个是最常用的。
有意思的是,根据美国《Network World》和本报在2005年的统计,无论是中国用户还是美国用户,企业网中部署AD的都相当多,从中也反映出Windows认证的规模最广。但要把 AD与内网安全进行整合,目前最大挑战在于,安全厂商必须对微软的产品特别了解,需要一定的技术支持才能做相应的开发。
以新华人寿的认证系统为例,传统的Windows登录域界面已经被修改,而新的界面已经与后台的AD和企业邮件系统作了整合,一次登录就可以实现访问所有的应用。
此外,根据用户的具体需求,王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者了解到,目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此,他们在部署其它安全设备的时候,不能另起炉灶再搞一套,否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作,一起做认证接口的数据交换----安全厂商负责认证信息提交,CA厂商负责认证与返还信息。最后,与CA证书结合后的安全系统,同样可以实现一次性的三点认证(身份、域、VPN)。
记者注意到,美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念,他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起,就可以形成最完善的UIM体制。
他们的理由也很简单----认证几乎无可避免:很多应用使用权力分配的或者所有权的认证方法和数据库,因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。
针对此问题,国内安全厂商的看法是,UIM很重要,可以解决企业用户的认证管理问题,不过从更大的内网安全方向看,UIM仍不是全部。颜世峰的看法是,一套完善的内网安全技术,至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络,其中包括用户身份认证与接入设备的准入控制管理;第二,网络终端管理NTM。它解决企业办公终端的易用性、统一管理、终端安全等问题;第三,网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行,自动发现网络故障、自动解决并报警。
看到了么,一套身份认证系统,就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全的平坦化了,但请记住,平坦才刚刚开始。
平坦的安全缺乏标准
安全是平的,但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全,各个国家都没有对应的通用标准。事实上,即便是802.1X协议,各个安全厂家之间也无法完全通用。
对内网安全技术来说,现在国内外没有一个厂商大到有很强的实力,把不同的专业安全厂商的产品集成到一起,因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州数码自己定义的协议SOAP。
业界需要标准,但是没有。王景辉无奈地向记者表示,各家厂商不得不定义自己的通信接口和密钥协商机制,其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为,目前的状态可以满足市场需求。
记得有印象,早在2000年就有人提出统一安全标准的问题,但是做不到。退一步说,目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资,要让过去的设备能用起来。但现在的情况是,还没有等协议出来,过去的设备已经过时了,从这个角度上说,统一所有厂家的安全协议没有价值。
而且,中国政府在安全上是有自己的想法的,国际厂商出一个协议,不一定能够认同。像以前的WAPI事件,就是一个例子。
摸索中的身份管理
由于目前的工具、框架和标准还不成熟,部署全面的身份管理系统几乎是不可能的。但这并不意味着人们不能通过针对单一登录、双因素认证、自动配置或基于角色的访问控制的项目来完成身份管理的某些部分。
这正是今年Burton Group Catalyst大会的中心话题。在大会上,CEO Jamie Lewis指出,自去年大会后,业界主要在应用框架和工具领域取得了进展。不过,他补充说,这些框架还没有达到1.0状态,可能在相当长的时间内不会为黄金时代的来临做好准备。
但是,Lewis说:“有理由持谨慎乐观的态度。” CA、HP、IBM、Juniper、Microsoft、Novell和Oracle等主要厂商对身份管理作出了承诺。Sarbanes-Oxley法案等法规正在促使企业加强他们的内部控制。在线顾客认证已经成为涉及新银行法规和与身份偷窃以及在线欺诈相关的安全问题的热门话题。鉴于目前还没有一种完全合一的身份管理产品,各公司稳扎稳打,尝试利用部分产品来解决特殊问题。
例如,加拿大卡尔加里市TransCanada Pipeline公司有3000名用户,这些用户以前平均拥有13种口令,口令问题占帮助台呼叫的20%。据技术设计师Martin Vant Erve说,这家公司开始部署单一登录和双因素认证技术来提高安全性、方便用户的使用以及减少帮助台呼叫。
TransCanada选择了来自Passlogix公司的名为V-Go的单一登录产品,并采用了RSA SecureID(已经被公司20%的员工使用)提供的双因素认证。
Vant Erve谨慎地实施这一部署,成立了多个试验小组,甚至在开始时让用户自愿报名使用。最后,全公司接受了这个项目。该项目达到了两个目标:改进了安全性;方便了用户在公司3000种应用和网站间的导航。不过,Vant Erve发现帮助台呼叫增加了。他表示,“我忘了我的令牌现在成了人们打电话的3个主要原因之一。”
据Toro公司企业信息服务副总裁Michael Drazan说,遵从性是推动这家公司部署基于角色的访问控制的因素。
他当时有很多问题需要解决。首先,他的安全团队将大部分时间用于应付口令问题;其次,Drazan还面临一个财务上的限制:他不想把更多的钱用在安全上,因为他的主要战略目标是将IT资源用于帮助推动业务的发展,而非用在运营上。
因此,Drazan着手实施一项基于角色的访问控制项目。该项目基于Sun的Java System Access Manager和Prodigen的 Contouring Engine,对日志文件进行筛选,发现人们使用什么应用。例如,如果一位雇员访问12个应用但从来没有使用其中的9个应用,那么可以在与这位雇员、安全团队和数据所有者商量后,创建一个减少访问的新角色。
该公司采取了逐个应用实施的方式,已经完成了其核心SAP和Ariba应用的访问控制。Drazan说,SAP交易访问减少了63%,审计没遇到问题,安全管理减少了,其安全预算也没有增加。他说,下一步工作是将基于角色的访问控制扩展到交易员、批发商和供应商。
参加这次大会的其他用户强调了建立身份管理的困难。UBS公司经理William Gebhardt表示,当他尽全力建立安全的在线金融服务系统时,必须在安全可用性与成本之间取得平衡。例如,如果他减少令牌的尺寸,可以省钱,但他的老年客户可能看不清屏幕上的字。他说公司应当从建立身份管理架构入手,开始实施身份管理项目。但他接着说:“这将是相当困难的工作。”
联合的魅力——利用EAP结合PKI实现网络接入控制
为了保证网络资源的安全可控,网络接入控制已经成为当前主要的安全环节。其中,采用网络身份鉴别协议EAP同PKI技术相结合,成为了集通用、安全、高性价比于一身的做法。
网络,无论是局域网、城域网还是广域网,都是一种资源,而资源就需要保护,不能任何人、任何设备都随意接入。随着WLAN的迅速发展,网络接入变得更简单,但无线在带来方便性的同时,也使得网络接入的安全问题显得日益突出。
目前业界的看法是,网络接入控制是保证网络安全的一个重要环节,而接入控制的关键是身份鉴别。在已有的各种身份鉴别方法中,PKI是被公认为最安全有效的。而网络身份鉴别协议EAP同PKI的结合,能够实现安全的网络接入控制。
协议决定安全
PKI是Public Key Infrastructure-公钥基础设施的简称,它是一种基于公开密码学的信息安全技术和体系。在公开密码技术中,信息加密涉及一对密钥(公钥和私钥)。为了安全发布公钥防止假冒,公钥及公钥持有人姓名等信息被放在X509格式的数字证书中,并且数字证书由一个权威的、可信的第三方数字签名,该可信的第三方称为CA-Certification Authority。通过数字证书可以实现身份鉴别、信息保密及数字签名。
EAP是为点对点协议(PPP)设计的身份鉴别协议,它采用Request/Response方式,这点同RADIUS非常类似。EAP涉及三个实体: Peer、Authenticator及Authentication Server。这里的Peer即待接入的终端设备,如计算机;Authenticator是网络接入设备,如接入服务器、交换机、无线接入点AP等; Authentication Server用于完成用户的身份鉴别。
在采用EAP协议后,Peer就会连接到Authenticator,而Authenticator会向Peer发出EAP请求,要求Peer提交身份信息,Peer响应身份信息后,Peer与Authentication Server之间交换信息,完成身份鉴别。身份鉴别成功后,Peer即可接入到Authenticator,并连到网络上。
在这个过程中,Authenticator与Authentication Server是从功能上划分为二个实体,实际上Authentication Server与Authenticator可在一个设备上实现。当这两个功能在不同设备上实现时,Authenticator相当于Peer和 Authentication Server之间鉴别信息交换的桥梁。如果需要,Authenticator将实现EAP与其他身份鉴别协议间的转换。当这两个功能分开实现时, Authenticator与Authentication Server之间可走RADIUS协议。
新协议的基础
PKI是目前实际身份鉴别的最好技术,这是因为PKI不但能够实现身份鉴别,而且能够同密钥协商机制有机地结合,实现数据链路层的信息加密。据专家介绍,目前国际上基于PKI的EAP身份鉴别方法有许多种,对于国内用户来说,比较有现实意义的主要集中在EAP-TLS和PEAP两种技术上(目前也有EAP -TTLS技术)。
EAP-TLS是一个IETF标准。TLS即传输层安全(Transport Layer Security),也称为SSL。它原本是一种传输层的安全协议,主要实现两个功能:身份鉴别与信息加密。TLS可实现基于证书的单向身份鉴别(只鉴别服务器)和双向身份鉴别(同时鉴别客户端与服务器)。TLS在完成身份鉴别的同时,还交换密钥信息,通过密钥信息可导出会话密钥用于信息加密。
需要指出的是,在这里TLS并不是作为一个安全传输层协议跑在TCP/IP层之上,而是将TLS的Handshake Record直接嵌套在EAP数据包中,作为EAP Request/Response的数据来传送,通过TLS的Handshake Record完成单向或双向的身份鉴别。EAP-TLS只利用了TLS的身份鉴别功能,并没有利用TLS建立的加密通道。
为了能够进一步利用TLS建立的安全通道交换EAP身份鉴别信息,IETF随后出台了PEAP(Protected EAP Protocol)标准草案。PEAP不但通过EAP Request/Response数据包传送TLS的Handshake Record完成身份鉴别,并且完成身份鉴别后进一步通过TLS的Data Record再传送EAP身份鉴别协议。
这就是说,在使用PKI数字证书进行的身份鉴别协议中,EAP-TLS必须使用客户端证书完成客户端的身份鉴别,而PEAP则可以使用客户端证书,也可以不使用客户端证书,这是因为该协议可在建立起来的TLS加密通道的基础上,进一步采用其他的身份鉴别协议,如口令身份验证、动态口令身份验证等。这种做法既利用了PKI安全的优点,又兼顾了目前口令鉴别应用广泛、简单的特点。
“强强联合”促应用
对于EAP 结合PKI实现网络的接入控制,主要可以根据控制环境分为三类。
第一,PPP网络连接
这是目前国内用户应用非常广泛的接入方式,大部分家庭和很多中小企业的互联网接入均采用这种模式。在这种接入环境下,客户端身份鉴别的对象可以是终端设备(比如Modem),使用设备数字证书进行身份鉴别,只有授权的设备才能接入,身份鉴别的对象也可以是人,使用个人数字证书进行身份鉴别,只有授权的用户才能接入。
第二,PPPoE的接入
如果网络接入设备,如交换机、接入服务器,支持PPPoE(PPP over Ethernet)协议,那么这种网络也可以使用基于PKI的EAP身份鉴别。同样地,数字证书可以是与用户绑定,只有授权的用户才能接入,也可以是同终端设备绑定,只有授权的设备才能接入。
第三,802.1X基于端口的访问控制
无疑,802.1X是针对点对点LAN,或者逻辑上具有点对点链接的LAN(WLAN)而设计的一种基于端口的访问控制协议。这里说的端口,主要是指设备与LAN的接入点。所谓基于端口的访问控制,即控制其他设备通过点对点链接连到要访问的端口,并通过端口交换数据,获得该端口提供的服务。这里的端口可以是一个交换机的端口,也可以是一个无线局域网接入点AP的逻辑端口,还可以是一个计算机、服务器与LAN的连接端口(有线或无线的)。
从技术上说,802.1X可以把每个LAN端口进一步地在逻辑上分为不受控的端口(Uncontrolled Port)和受控的端口(Controlled Port)。不受控的端口用于交换控制与管理信息(如身份鉴别信息),受控的端口用于交换数据,只有通过身份鉴别后,其他设备才能访问该端口交换数据。
那么,如果802.1X使用EAPOL(EAP Over LAN)进行身份鉴别,在802.1X中Peer称为Supplicant。与EAP相比,EAPOL允许待接入Supplicant(终端设备)发起身份鉴别请求。据悉,IEEE目前正在逐步完善无线局域网的安全标准802.11i,该标准采用802.1X进行身份鉴别。而Wi-Fi联盟则推出了一个针对802.11i的过渡标准WPA(Wi-Fi Protected Access)。WPA支持的鉴别协议包括EAP-TLS、PEAP和EAP-TTLS等。所以说,对于支持802.1X的网络接入,都可以使用PKI数字证书技术实现安全身份鉴别。
从国内的情况看,PKI作为保证信息安全的一种成熟技术,目前已在很多领域获得了广泛的应用,并日益受到人们的重视。基于PKI的身份鉴别具有其他身份鉴别技术无法替代的优点。可以预见的是,将来在各种网络接入控制中,PKI无疑会获得越来越多的应用与发展机会。
单点登录化繁为简
单点登录优化了上海移动与合作伙伴的交流,促进了业务的发展,同时还降低了上海移动的管理成本,大大减轻了管理员的工作负担。
目前,上海移动正在进行业务流程的整合工作,其中企业应用集成(EAI)是一个重点,上海移动的目标是实现从C/S结构向B/S结构的转变。以上海移动的运维支撑系统(OSS)门户为例,其中有网管应用、OA应用和电子运维系统等应用,上海移动的战略合作伙伴、分包公司通过这个门户来访问不同的应用。
难题:访问不同应用
一个现实的情况是,用户往往在多个应用中均拥有独立的账号和口令,许多情况下,为了便于记忆,用户不得不将账号和口令写在纸上,这样的做法使这些账号和口令的安全性受到了极大影响。同时,经常有用户忘记口令而要求重置,这也加大了管理员的工作负担。
另外,管理员需要在不同的应用中维护独立的用户身份和存取管理,这是很麻烦的工作。例如有新员工加入企业以后,管理员需要在每一个应用中添加此用户信息,根据此用户的角色分配不同的权限;当用户的角色发生变化时,需要在不同的应用中修改此用户的权限。
上海移动的工程师曹玮说:“以前,登录不同的应用要输入不同的用户名和密码,非常烦琐。”为了保证应用中核心资产信息的安全,并便于合作伙伴访问不同应用,上海移动决定对这些应用的访问进行整合,实现统一的身份管理和安全的单点登录(Single-Sign On,SSO),同时对用户进行高度个性化的设置。上海移动对单点登录解决方案的要求是:
● 必须能够将企业中所有的用户账号统一起来,一个用户在访问所有应用时只使用同一个账号,同时在一个应用中认证过后,再访问其他应用时不需要再次认证,简化用户的使用环境。
● 解决方案必须通过集中的基于策略的方法,使管理员可以很容易地维护系统以及对访问权限进行快速地更改和更新。这样,安全管理的成本就得到了降低,企业也可以快速地对各种安全事件做出反应。
“单点登录解决方案还必须能够快速高效整合现有的应用程序。”曹玮说,“因为这些应用程序开发时间较早,每个应用都需要维护自己的一套用户身份和权限管理系统,这给开发人员带来了一大堆难题。”
开发人员需要在所有的应用中写入认证和访问管理代码,这加大了应用的开发量,延长了开发周期。例如需要考虑不同用户访问不同的内容,还要兼容不同的认证方式,包括:目录口令认证、SecurID令牌认证、数字证书认证等。而这些代码往往由于开发人员的疏忽或者未经过彻底的测试,很可能存在较大的安全隐患和漏洞。另外,当企业的组织结构发生重大变化或者并购时,这些应用由于无法满足新的业务策略,往往需要修改程序。所以新的解决方案需要将开发人员从重复而烦琐的开发任务中解脱出来,只要开发应用界面和功能模块,不用考虑复杂的认证和存取管理,从而加快电子商务计划的推出和更新速度。
解题:单点+双因素
在一次和RSA公司交流的过程中,上海移动接触到了ClearTrust解决方案。ClearTrust解决方案的设计目的就是把用户管理与Web访问管理结合起来,从而为用户提供一个综合身份管理系统。它使企业能够以较低的成本进行有效的用户管理,同时保护对局域网、外联网、门户网站和交互基础架构内 Web应用的访问,利用透明的单点登录访问获得更好的用户体验。
以上海移动为例,利用ClearTrust解决方案实现单点登录之后,如果一个用户具有访问OA应用的权限,那么在登录门户后,该用户就可以通过门户直接访问OA应用,而不需要再次输入密码。
RSA ClearTrust软件正是上海移动寻求的理想门户应用整合解决方案,于是双方立即开展了合作。上海移动现有的应用程序有些运行在BEA WebLogic应用架构上,有些则运行在Web服务器平台上;操作系统也是既有Unix环境,也有Windows环境,集成起来比较复杂,这也正是曹玮担心的地方。ClearTrust用实际表现打消了曹玮的疑虑。ClearTrust实现了与复杂的多供应商运行环境的紧密整合,其中包括Web服务器和应用服务器,从而提供了真正意义上统一的安全管理解决方案。
当初上海移动的系统集成商在开发各个应用程序的时候已经定义好LDAP的规划,对用户的存储和属性都有严格的要求。ClearTrust可以和现有的LDAP规划兼容,这样就彻底避免了需要另外创建一套用户数据的麻烦,充分利用了现有的LDAP投资。
曹玮认为,单点登录优化了上海移动与合作伙伴的交流,促进了业务的发展,并提升了员工的工作效率。同样重要的是,降低了上海移动的管理成本,大大减轻了管理员的工作负担。现在,管理员对用户的创建和管理变得异常简单。通过一个统一的用户管理界面,管理员修改完账号信息后,所有的身份和权限就会自动同步到各自应用程序中。
除了实施单点登录,上海移动还考虑到了另外一个问题,那就是登录门户的用户的密码管理问题。曹玮说:“静态密码存在着太多的漏洞,攻击者有很多手段获得静态密码,离职员工所掌握的密码也可能带来隐患。如果不能很好地管理密码,可能会有大量的非法登录,这样不但不能起到信息传递的作用,相反,可能造成一些商业信息的泄露。所以,一定要有措施来保证登录者的身份。”
恰好,RSA能够提供双因素认证解决方案,从而帮助上海移动解决了后顾之忧。RSA SecurID 双因素认证技术是基于你所知道的东西(密码),以及你所拥有的东西(例如硬件令牌)建立的。RSA SecurID硬件令牌提供比静态密码和重复使用密码更强的安全和保护,它是一个比较小的设备,能够很容易地串在钥匙环上,并且每60秒就能产生一个新的和独特的一次性动态密码,用户可以把动态密码和他们的个人识别码一起输入。由于动态密码每隔一分钟就会更新,因此黑客没有足够的时间来进行破解。
动态密码系统由用户端的密码令牌和应用系统端的认证服务器软件组成。认证服务器软件是一个企业级认证软件解决方案,可以支持几百万个用户和几百个同时在线的用户。认证服务器软件是整个系统的核心部分,与应用系统服务器通过局域网相连,对所有上网用户进行身份认证。用户登录应用系统时,依据安全算法,认证系统会在密码令牌的专用芯片和认证服务器上同时生成动态密码,经过比较,若双方密码相同,则为合法用户,否则为非法用户,确保其高度安全性。
上海移动已经向其各类合作伙伴分发了RSA SecurID硬件令牌,提供双因素认证服务。曹玮说:“上海移动的管理层非常支持采用双因素认证解决方案,合作伙伴们也都感到使用起来既方便又安全。”
智能卡能做更多的事
目标:消除网络口令
到明年1月,Chevron公司在全世界200个国家和1800个办公机构中的用户手中将只剩下惟一一种能用于登录网络并获得资源访问权的手段,这就是 Chevron SmartBadge。SmartBadge是一张带三块芯片的塑料卡,可以支持办公室门禁和网络访问、桌面登录和面向近3000种应用的单点登录。
口令的最终消亡是该公司4年来不懈努力的结果,也是一项具有里程碑意义的事件。在这段时间里,这家石油业巨头一直在广泛建设SmartBadge系统及其基础设施,这套系统可以在单张卡片上支持双因素验证,并以此作为企业身份、隐私和安全标准。
其他公司也将门禁和网络访问权集合到证章中,但Chevron却将桌面登录、数字签名认证和加密,还有单点登录等功能也集合到证章中,并且在业界中处于领先的地位。
Chevron公司信息技术分公司新兴技术小组主任Edmund Yee说:“该项目已经实施了很长时间,我们希望通过循序渐进的方式来达到可实现的阶段性目标,然后再逐步推广到全公司范围内。”
Yee和该项目的系统集成商Schlumberger公司都坚信自己采取的是正确的方法,而且双方还用了一年的时间对治理和策略标准进行了详细的定义。 Schlumberger公司经理Greg Salyards说:“这种安全技术使用户能够安全地进入系统并且获得数字签名、驱动器加密和数据加密。该技术能够触及企业的业务流程并且帮助用户进行正式的事件审查和建立认可。”
Salyards认为,SmartBadge使Chevron公司能够将关键的企业决定从书面形式转化为数字记录。另外,这项技术的另外一个结果是,Chevron公司将每月约4000个口令重置数量减少了70%。
Salyards指出,在这套系统中,如果不算服务的话,每位用户的卡片、读卡器和软件成本约为50美元。Chevron不愿透露公司在SmartBadge的总体支出和节省下来的总体成本,但Yee指出,这个项目带来的投资回报是立竿见影的。
安全新起点
Yee说,在2000年时Chevron公司开始更新服务器、桌面机和网络安全技术。在差不多一年之后,当Chevron与Texaco合并时,由于需要为新员工制作证章,该项目开始逐渐升温。另外,911事件也加快了这个项目的发展步伐。当时,Chevron公司的董事会开展了一项双因素验证研究,目的是改善公司的安全体系。
2001年11月,SmartBadge初期测试项目开始启动,相对于目前的正式项目来说,这个初期测试项目属于整个项目的第三阶段。在2002年,公司开始大规模签发证章,到2004年初,整个项目全面启动。
Chevron公司的完善的基础设施包括:Schlumberger的身份处理安全平台(Identity Process Security Platform)卡片管理系统、充当权威用户信息来源的活动目录基础设施和建立在Windows平台上的公共密钥基础设施,其中包括证书权限。
员工可以通过Chevron商业及不动产服务部门得到SmartBadge,员工的身份信息被嵌入到卡片中的两块门禁访问芯片中。在得到卡片后,最终用户将自己的SmartBadge插入桌面机或笔记本的读卡器中,然后就可以输入一次性的口令来激活卡片管理系统。
系统接下来会提出一系列的问题,只有用户正确回答这些问题后,系统才会完成卡片与最终用户之间的绑定,并且将数字证书下载至卡片的第三块芯片上,使卡片具备登录、加密和数字签名等功能。Chevron公司IT系统中的信息可以确保卡片只能发给激活服务的用户本人。在激活完成之后,这些卡片就可以帮助用户登录至网络及其桌面系统。
桌面机登录被集成到一种称为v-Go的单点登录软件中。该软件由Passlogix公司提供,它使SmartBadge成为最终用户访问网络资源的惟一凭证。为了提高安全性,v-Go将SmartBadge中的最终用户的身份证书与v-Go应用口令列表绑定在一起。这种方法可以为这类敏感的列表提供全面的保护,无论是内部的管理员还是外来的黑客,都不可能了解列表中的具体信息。
由于卡片丢失的情况是不可避免的,因此为了应付这种情况,Chevron今年在卡片管理系统中部署了一种定制的紧急访问扩展能力。它允许那些忘记自己 PIN的最终用户通过离线方式访问自己的机器,而且还可以在SmartBadge卡片丢失或损坏时为用户提供临时替换卡。
临时卡系统类似一种信息亭式的工作站,可以立即或在48小时之内为用户提供新的卡片。这套系统在发卡时需要双重的验证,也就是将员工的数据与指定的经理提供的信息结合起来。这种系统签发的临时SmartBadge卡可以使用户具备网络访问权,但有效期仅为14天。另外,对于那些已经丢失的卡片,卡片管理系统会吊销其登录证书,并且收回其加密证书。
Yee认为,整个项目中最大的挑战之一就是在初期获得行政高层的支持。他说:“经过不懈的努力,我和12人核心小组终于建成了SmartBadge基础设施。当我们将所有这一切摆在行政高层面前时,我们很容易就说服了他们,让他们相信这个项目是切实可行的。”
Yee还与公司的人力资源部门进行了沟通,让他们清楚地知道,SmartBadge可以成为惟一的权威数据来源,完全可以替代原有的 130套系统。最终,Yee使用一种元目录将人力资源系统中的数据关联起来,并且提供给活动目录,同时还使用一种工具来帮助用户管理该目录中属于自己的那部分数据。
Yee说,其他的挑战主要是定义规则;工作流程和过程;通过服务连接将数据映射到其他系统;管理变化;设计用于支持无口令登录的远程访问。建立一个测试环境可以将部署后的技术故障、容量问题和软件错误减少到最低程度。
然而,他承认在公司中的确还保留着一些口令。这些口令主要是Windows系统中必须使用的口令,如管理员用于访问某些工具时要用到的“运行”(Run as)特性。另外,一些远程访问系统,如Outlook Web Access,也不能支持智能卡。另外,Chevron公司还需要将其Linux桌面系统集成到活动目录中。到明年年初时,这些问题都将得到妥善的解决。
Chevron公司还准备超越该项目原有的部署范围,对SmartBadge进行扩展,其中就包括证章供应服务。明年,公司计划增加联合认证功能,到2007年时还准备在活动目录中增加基于角色的访问控制,同时实施的还有联合访问和策略管理。