云计算下的网络安全接入方式研究

陈强

摘 要：云计算在当下发展极为迅速，而云计算下的安全问题也一直备受关注，重要性也更为突出。网络攻击手段与防护措施一直都在以循环螺旋的模式发展，几乎所有的云计算业务都不可能脱离严密的安全策略而独立存在。文章从云计算的业务模型入题，剖析当前环境下网络安全面临的新挑战，说明安全对云计算的重要性，进而阐述云计算的网络准入安全建设方式如何实现安全的网络接入保障。

关键词：云计算;网络安全;网络准入

中图分类号：TP309            文献标志码：A          文章编号：1673-8454（2015）04-0075-02

一、引言

云计算（Cloud Computing）是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算强调资源请求与资源调度的分离，实际处理请求的后台系统与发出请求的最终用户之间是一种松耦合关系。在这种情况下，安全对于云计算服务的重要性是显而易见的。在企业用户眼里，云计算的灵活性、高性价比、高可靠性都有着无可比拟的优势，但如果在安全性上不过关，那么没有一个企业级用户会将自己的内部数据托管到一个存在泄密风险的平台上。

从IaaS到PaaS、SaaS，云计算服务包含的内容越来越多，用户能够接触到的底层信息却越来越少。由于缺少基础架构的细节信息，用户会对接入云服务的过程提出更高的安全要求，如果云服务提供商无法满足这些标准，可能直接导致失去用户。可见，完善的安全机制是云服务能够落地的前提条件，云计算的任何一个环节对安全防护都提出了相当高的要求。

与安全的重要性相对应的是相关领域发展的滞后。云计算的安全机制是一个非常庞大的课题，几乎没有机构或厂家能够从上到下一手包揽所有细节，因此业界也缺乏一个统一的思路来指导安全建设，加上云计算产业本身也处于一个高速发展的阶段，远远没有定型，大家对云计算安全架构的意见也就更加发散。

目前为止，在云计算安全方面最有影响力的组织是CSA（Cloud Security Alliance——云计算安全联盟）。CSA成立于2009年，是一个致力于推动云计算安全最佳实践的公开组织，CSA的最高目标是提出一套最优的云计算安全建设指导方案。

网络安全是整体安全的一部分，对于云服务来说，网络是输送服务的途径，因此对网络的保障非常重要。CSA明确提出了云服务的挑战很大一部分来自于“怎样安全地从云中存取数据”，在这种情况下，数据传输隧道的建立和防护是必不可少的。而VPN通道可以用来保护数据的私密性，即使这些数据在公网上传输。

除了对网络传输管道本身的保护，对网络资源的获取也是云服务安全的重要内容。其中用户身份验证就是最为关键的一部分。授权的用户身份是云计算安全的基础，如果非法用户获得了访问数据中心资源和设备的权限，那么所有的安全保障措施都岌岌可危。基于此，可以将复杂的网络安全策略划分为准入和加密两个维度。本文将主要围绕准入展开云计算下网络安全接入方式的研究，并介绍不同的准入方式进行对比。

二、网络准入的技术分类

随着云计算的不断深入，越来越多的企业业务系统由传统的C/S架构向B/S架构迁移，以往访问后台数据需要安装专用软件，IT部门控制客户端软件的许可发放，就能够大致控制访问用户的范围。而在B/S架构中，用户只需要一个Web浏览器即可登录系统。

另一方面，智能手机、平板电脑和WiFi的流行推动了BYOD（Bring Your Own Device——携带自己的设备办公）的兴起。越来越多的人开始在办公场所使用自己的无线移动设备进行公司的业务系统访问，这对数据安全造成了严重威胁。于是，对网络的准入控制被重新提上IT部门日程，只有合法的用户才能够介入网络。

控制用户接入网络的技术伴随网络本身的诞生和发展已经衍生出多个派别，每种方式都有自己的特点和使用场景，很难说哪种方式在技术实现和最终效果上技高一筹，取得绝对的领先地位。在当下的实际环境中，常见的认证准入方式包括二层准入、三层准入、客户端准入三种。

1.二层准入

目前大部分网络利用DHCP协议为用户接入设备进行IP地址的分发。二层准入就是用户在获得三层IP地址之前必须通过的认证，用户在接入网络之初，需要通过二层连接进行认证数据交互，以确保接入身份的合法性。

二层准入的代表实现方式就是802.1x。802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口，认证通过以后，正常的数据可以顺利地通过以太网端口。802.1x的认证流程可以归纳为以下四步。

（1）端口初始化。作为认证设备的接入交换机探测到有一个客户端连接到一个端口后，会马上把这个端口置于“未授权”状态，处于“未授权”状态的端口除了802.1x报文不会转发其他任何流量。

（2）EAP初始化。交换机会定时向一个二层广播地址发出EAP请求信令，开启了802.1x的终端设备在连接上交换机后会保持侦听发往这个二层地址的信号，如果侦测到则回复一个包含自己ID的EAP应答。交换机收到后会通知后台认证服务器。

（3）EAP协商。由于EAP按照实现方式不同分为好几类，所以在开始用户身份认证之前需要协商一个双方都支持的EAP类型来进行后续的流程。

（4）用户身份验证。用户身份信息经由交换机发往认证服务器，根据认证服务器的判断结果，交换机反馈认证成功或者失败的报文。如果成功则交换机端口开放，用户获得访问网络的权限，如果失败则无法进行网络访问。

二层准入所有的流程都在二层环境下完成，客户端与交换机之间不会进行IP层面的信令交互。经过多年的发展，802.1x+RADIUS的实现方式已经发展成为一个功能非常强大的准入方案。

二层准入的最大优势就是成熟，市场接受程度很高。不管认证方式还是认证服务器都能找到多家产品支持。802.1x主要具有以下三个特点：①完全公开的架构：802.1x的每一个部分均有相应的国际标准，便于企业用户自由选择软硬件，不受制于特定厂家。②成熟的技术标准：802.1x是一项非常成熟的技术，已经部署在成千上万的园区网中。几乎每一台交换机和每一台终端设备都支持802.1x，用户的部署风险和成本大幅降低。③完善的认证和授权机制：802.1x支持密码验证、单点登录、支持所有主流服务器，可以满足大部分用户的需要。

2.三层准入

随着无线终端的推广和普及，802.1x在某些方面渐渐显得力不从心，三层准入方式就在这种环境下应运而生。三层准入即Web认证，认证过程通过一个Web页面完成。配置了Web认证的交换机在做三层准入认证时大致分为以下几个步骤。

（1）交换机端口进入有限接入状态。进行Web认证的接入交换机不会完全屏蔽端口，相反会将这个端口放入一个可以转发数据的vLan。但仅能实现一些基本的数据转发服务，如DHCP、DNS等。

（2）客户端触发认证流程。当交换机端口进入有限转发的状态后就可以正式对客户端设备进行验证了。由客户端设备网卡向DHCP请求IP地址，或发送ARP报文时交换机会将设备记录入册并开启一Web计时器。

（3）用户身份认证。客户端设备获得IP地址后，用户通过浏览器自动发起HTTP请求，交换机截取请求并重定向到预先设置好的认证页面上，通过用户名、密码等信息的输入最终确定认证是否成功。

近年来Web认证的发展非常迅速，特别是在无线等环境下得到了大规模的部署。相较于二层准入，三层准入具备轻便、简单的优势，主要有零客户端、使用简单、安全性较弱、不支持单点登录、不支持机器认证等特点。

3.客户端准入及其特点

除了二、三层准入认证之外，还有一种认证方式就是客户端认证。客户端认证表现方式非常多样，涉及厂家产品也较多。绝大部分产品还会集合终端安全管理等功能，一方面从操作系统接受802.1x的认证流程，一方面对操作系统做健康检查。

客户端准入认证的功能最为全面，并且安全性最高。但最大问题在于实现方式的不统一，各厂家从实现原理到界面都千差万别。由于没有公开标准，导致兼容性及平台过度均有问题，此外部署复杂、维护工作量大也是其主要问题。

三、结论

企业网的准入是一项非常特殊的技术，最终用户的体验决定一个项目的成败。每种准入认证方式均有其优缺点，在云计算的大环境下，我们更应该根据实际需要做出相应的选择。但针对完美的网络准入方案，我们希望其具备可延续性、高可用性、灵活性、整合性等特点。

参考文献：

[1]徐立冰.腾云——云计算和大数据时代网络技术揭秘[M].北京：人民邮电出版社，2013.（编辑：鲁利瑞）