3A技术 斩断伸向内网的黑手
万钟
IDC最近发布的中国信息安全市场的发展趋势最新分析报告中显示,信息安全产品中增长最快的产品是用户认证(3A)产品,其增长率达到60%,目前,它正在成为各个政府和企业内部网中防范黑手的必备工具之一。
在多数的网络用户心中,基于Radius的认证、授权和审计(3A)系统是一个非常庞大的安全体系,主要用于大型网络运营商,而政府网内部和企业内部 不需要这么复杂的安全管理系统。但是,随着网络宽带技术的发展和网络用户数量的不断增加,实际上企业内部的网络同样需要一套功能完善的3A系统。
应用安全性3A软件,是为了保密网控制用户访问、防止信息泄密、防止网络资源被滥用的,它是基于人的管理。现在,内部计算机用户滥用网络资源造成信息 泄密的行为是一种非常普遍的现象,据统计,80%的攻击来自企业内部,对内部用户访问互联网进行控制是保障网络安全运行的重要手段。
内部网络的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上就是禁止和放行,是一种粗颗粒的访问控制;内部的网络管理,无论是内 容上还是层次上,都更加复杂和广阔,它通常要针对用户的具体情况来设置,其主要内容包括:你是谁、你属于什么组、该组的访问权限是什么、国内和国外域的划 分、记录完整的访问日志、基于内容的控制和过滤、基于时间和流量的访问控制、应用的控制等。
中网3A产品专利技术延展传统认证
一般用户对拨号访问比较熟悉。一个用户要上网,户需要进行认证、授权和审计记账。这个时候的授权主要是对IP地址进行控制,允许访问哪些IP地址和端口,不可以访问哪些IP地址和端口。
中网公司的3A产品对传统授权的概念进行了扩充。它既可以对互联网访问进行授权,也可以对文件、目录、主机和域进行授权。前者一般是对内部用户访问 Internet进行的访问控制,后者一般是对Web访问进行认证授权。随着对Web应用中的授权功能需求的不断增长,一次登录或一站式服务(SSO)的 应用和产品将会越来越多。特别是电子政务系统中认证和授权机制的实现,为Web内容以及文件、目录、主机的访问提供了完善的安全控制机制
中网AAA通用认证平台是2002年国家创新技术重点支持项目,它拥有自主知识产权,结合了多项专利技术,包括空中认证 (Authentication on Fly)和绿色通道技术,它支持通用平台和各种协议,是集接入、认证、计费、授权、用户管理和各种安全特性为一体的新一代计费网关系统。它采用了先进的 B/S的管理方式,无需其他安全管理软件即可实现方便和完善的管理工作。
支持网络三层认证方式
中网的3A认证平台克服了传统认证的局限性。通常网络七层的代理可以提供认证功能,但认证效率低,只能对HTTP用户进行认证;网络五层的会话认证, 认证数量也有限;基于登录系统的认证,无法接受大规模的认证;基于连接建立的认证,受物理端口的限制。中网的3A认证产品实现了网络三层的透明认证技术, 保证了网络的效率达到线速,而且不受网络端口的局限,是一种理想的认证方式。
图一
图二
它认证和计费的方式是基于用户身份认证的,并对用户使用网络的时间、地址和流量进行统计。它以每个用户的用户名作为惟一的标识(当然用户名可以和IP /MAC地址/VLAN ID等参数绑定),不管用户在哪个网口接入,都可以实现统一的审计和计费。用户可以一次性注册,其后通过账号/密码认证上网。同时,系统根据账号/密码以 及其他用户客户端提供的信息(MAC地址、VLAN ID等)认证身份,按其当时所用的IP地址计算时长或网络流量完成计费。
它可以针对各种宽带接入方式为用户提供接入服务(或共享上网)、为接入的用户分配内部网IP地址、为上网用户分配Internet IP地址,并为用户工作站提供安全认证客户端软件,提供与BAS通信和认证功能,保证接入用户身份认证的安全性。中网安全认证客户端支持 Win9x/Win2000/WinNT/WinXP。
采用空中认证技术
目前的认证技术各有优缺点,如PPPoE、DHCP和802.1x,都无法完全满足用户的需求。中网公司采用了中网公司专利的空中认证 (Authentication on Fly)技术。该技术克服了上述认证技术的缺点,从认证网关的内核中实现了3A机制。它的主要特点如下:
图3 中网AAA通用平台
认证计费系统设计方案的核心思想是中心认证、集中策略分发、动态策略定义、管理计费分离、支持集群技术。其插件的设计使用可以实现跨三层用户MAC的 地址管理制,绑定用户。在动态策略定义中,它采用了区别于传统防火墙安全策略,其规则集适用所有用户数据区,其最大不同之处在于策略的自定义功能,即全动 态的,每个用户可以自己定义自己的安全访问策略。而且用户可以自定义MAC集,例如:限制办公室或家中几台电脑可使用本账号,这样实现类似电话防盗打功 能。访问限制,因为收费策略的特殊性,所以用户可以自定义访问限制,例如限制访问国外站点或者其他收费站点,限制某些黄色、非法站点,保护健康上网。访问 时间限制,可以自定义允许上网时间段。例如,晚上8:00~12:00、中午12:00~13:00等。
以绿色通道技术为特色
现有流行的几种宽带接入认证技术都存在性能较低,无法承担大量并发用户数的问题,原因在于这些技术在审核每个数据包的安全性的工作量过于繁重。如果用 户数量为Cn,为每个网络用户平均制定的安全策略为Pn,每个数据包到达认证网关时都须进行Cn × Pn条规则的审核,当并发用户数达到一定数量时,认证网关的性能将急剧下降。如图所示,如果机场为所有的乘客只提供一条统一的红色通道(如图一所示),每 个乘客都必须经过所有安全检查,导致检查的效率比较低。为此,中网独创了认证网关绿色通道技术(如图二所示),该技术为每个用户在认证网关上建立一条专用 通道,当该用户的数据包到达时,认证网关将只检查其对应的安全策略和管理规则,于是将认证网关检查的规则数减少为Cn + Pn 条,大大减轻了认证网关的工作负荷,大大提高认证网络的通信能力,使其理论上能承担超过6万个并发用户数。
基于Radius的3A体系回答了哪些问题
·你是谁(确定用户)
·怎么确认你是谁(知道什么,有什么物理证据,用来检查真伪,防抵赖)
·你能干什么和不能干什么(控制使用权限)
·完整的日志纪录(审计和记账)
·目录服务(用户信息)
·业务和组织管理(部门信息,业务分类)
·支持其他的应用。
万钟
IDC最近发布的中国信息安全市场的发展趋势最新分析报告中显示,信息安全产品中增长最快的产品是用户认证(3A)产品,其增长率达到60%,目前,它正在成为各个政府和企业内部网中防范黑手的必备工具之一。
在多数的网络用户心中,基于Radius的认证、授权和审计(3A)系统是一个非常庞大的安全体系,主要用于大型网络运营商,而政府网内部和企业内部 不需要这么复杂的安全管理系统。但是,随着网络宽带技术的发展和网络用户数量的不断增加,实际上企业内部的网络同样需要一套功能完善的3A系统。
应用安全性3A软件,是为了保密网控制用户访问、防止信息泄密、防止网络资源被滥用的,它是基于人的管理。现在,内部计算机用户滥用网络资源造成信息 泄密的行为是一种非常普遍的现象,据统计,80%的攻击来自企业内部,对内部用户访问互联网进行控制是保障网络安全运行的重要手段。
内部网络的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上就是禁止和放行,是一种粗颗粒的访问控制;内部的网络管理,无论是内 容上还是层次上,都更加复杂和广阔,它通常要针对用户的具体情况来设置,其主要内容包括:你是谁、你属于什么组、该组的访问权限是什么、国内和国外域的划 分、记录完整的访问日志、基于内容的控制和过滤、基于时间和流量的访问控制、应用的控制等。
中网3A产品专利技术延展传统认证
一般用户对拨号访问比较熟悉。一个用户要上网,户需要进行认证、授权和审计记账。这个时候的授权主要是对IP地址进行控制,允许访问哪些IP地址和端口,不可以访问哪些IP地址和端口。
中网公司的3A产品对传统授权的概念进行了扩充。它既可以对互联网访问进行授权,也可以对文件、目录、主机和域进行授权。前者一般是对内部用户访问 Internet进行的访问控制,后者一般是对Web访问进行认证授权。随着对Web应用中的授权功能需求的不断增长,一次登录或一站式服务(SSO)的 应用和产品将会越来越多。特别是电子政务系统中认证和授权机制的实现,为Web内容以及文件、目录、主机的访问提供了完善的安全控制机制
中网AAA通用认证平台是2002年国家创新技术重点支持项目,它拥有自主知识产权,结合了多项专利技术,包括空中认证 (Authentication on Fly)和绿色通道技术,它支持通用平台和各种协议,是集接入、认证、计费、授权、用户管理和各种安全特性为一体的新一代计费网关系统。它采用了先进的 B/S的管理方式,无需其他安全管理软件即可实现方便和完善的管理工作。
支持网络三层认证方式
中网的3A认证平台克服了传统认证的局限性。通常网络七层的代理可以提供认证功能,但认证效率低,只能对HTTP用户进行认证;网络五层的会话认证, 认证数量也有限;基于登录系统的认证,无法接受大规模的认证;基于连接建立的认证,受物理端口的限制。中网的3A认证产品实现了网络三层的透明认证技术, 保证了网络的效率达到线速,而且不受网络端口的局限,是一种理想的认证方式。
图一
图二
它认证和计费的方式是基于用户身份认证的,并对用户使用网络的时间、地址和流量进行统计。它以每个用户的用户名作为惟一的标识(当然用户名可以和IP /MAC地址/VLAN ID等参数绑定),不管用户在哪个网口接入,都可以实现统一的审计和计费。用户可以一次性注册,其后通过账号/密码认证上网。同时,系统根据账号/密码以 及其他用户客户端提供的信息(MAC地址、VLAN ID等)认证身份,按其当时所用的IP地址计算时长或网络流量完成计费。
它可以针对各种宽带接入方式为用户提供接入服务(或共享上网)、为接入的用户分配内部网IP地址、为上网用户分配Internet IP地址,并为用户工作站提供安全认证客户端软件,提供与BAS通信和认证功能,保证接入用户身份认证的安全性。中网安全认证客户端支持 Win9x/Win2000/WinNT/WinXP。
采用空中认证技术
目前的认证技术各有优缺点,如PPPoE、DHCP和802.1x,都无法完全满足用户的需求。中网公司采用了中网公司专利的空中认证 (Authentication on Fly)技术。该技术克服了上述认证技术的缺点,从认证网关的内核中实现了3A机制。它的主要特点如下:
图3 中网AAA通用平台
认证计费系统设计方案的核心思想是中心认证、集中策略分发、动态策略定义、管理计费分离、支持集群技术。其插件的设计使用可以实现跨三层用户MAC的 地址管理制,绑定用户。在动态策略定义中,它采用了区别于传统防火墙安全策略,其规则集适用所有用户数据区,其最大不同之处在于策略的自定义功能,即全动 态的,每个用户可以自己定义自己的安全访问策略。而且用户可以自定义MAC集,例如:限制办公室或家中几台电脑可使用本账号,这样实现类似电话防盗打功 能。访问限制,因为收费策略的特殊性,所以用户可以自定义访问限制,例如限制访问国外站点或者其他收费站点,限制某些黄色、非法站点,保护健康上网。访问 时间限制,可以自定义允许上网时间段。例如,晚上8:00~12:00、中午12:00~13:00等。
以绿色通道技术为特色
现有流行的几种宽带接入认证技术都存在性能较低,无法承担大量并发用户数的问题,原因在于这些技术在审核每个数据包的安全性的工作量过于繁重。如果用 户数量为Cn,为每个网络用户平均制定的安全策略为Pn,每个数据包到达认证网关时都须进行Cn × Pn条规则的审核,当并发用户数达到一定数量时,认证网关的性能将急剧下降。如图所示,如果机场为所有的乘客只提供一条统一的红色通道(如图一所示),每 个乘客都必须经过所有安全检查,导致检查的效率比较低。为此,中网独创了认证网关绿色通道技术(如图二所示),该技术为每个用户在认证网关上建立一条专用 通道,当该用户的数据包到达时,认证网关将只检查其对应的安全策略和管理规则,于是将认证网关检查的规则数减少为Cn + Pn 条,大大减轻了认证网关的工作负荷,大大提高认证网络的通信能力,使其理论上能承担超过6万个并发用户数。
基于Radius的3A体系回答了哪些问题
·你是谁(确定用户)
·怎么确认你是谁(知道什么,有什么物理证据,用来检查真伪,防抵赖)
·你能干什么和不能干什么(控制使用权限)
·完整的日志纪录(审计和记账)
·目录服务(用户信息)
·业务和组织管理(部门信息,业务分类)
·支持其他的应用。
584
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
