《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > BYOD應(yīng)用中的識別技術(shù)
BYOD應(yīng)用中的識別技術(shù)
來源:cnw.com.cn
H3C徐國祥
摘要: 只有解決了網(wǎng)絡(luò)安全問題,,企業(yè)才能夠放心去擁抱BYOD。IT部門希望能夠?qū)尤刖W(wǎng)絡(luò)的每個元素都能“洞察秋毫”,,做到這點的前提就是對各種設(shè)備和應(yīng)用的識別,。
關(guān)鍵詞: H3C 應(yīng)用識別 BYOD
Abstract:
Key words :

一、 BYOD的產(chǎn)生和安全

BYOD不是簡單意義上員工可以攜帶自己的設(shè)備在企業(yè)網(wǎng)絡(luò)環(huán)境中使用,,其核心應(yīng)該是員工可以隨時隨地使用任何設(shè)備,,不論是自己的還是企業(yè)提供的設(shè)備接入企業(yè)網(wǎng)絡(luò)。這必將帶給企業(yè)網(wǎng)絡(luò)“四多”的變化:
l 更多的設(shè)備需要連接到企業(yè)網(wǎng)絡(luò);
l 多種網(wǎng)絡(luò)類型,,包括有線,、Wi-Fi、VPN等;
l 多種設(shè)備類型;
l 多種操作系統(tǒng),。
以上這些不僅導(dǎo)致個人和企業(yè)之間的網(wǎng)絡(luò)界限變得模糊,,同時由于語音、視頻,、遠(yuǎn)程協(xié)作,、多媒體文檔或頁面等應(yīng)用日益豐富,加上移動接入的需求,,要求網(wǎng)絡(luò)資源的分布能夠動態(tài)調(diào)整,。但與之相比,,網(wǎng)絡(luò)安全問題卻是企業(yè)的IT部門接受BYOD的最大障礙,IT部門希望能夠解決如下的問題:
l 能夠掌控哪些用戶,、使用何種設(shè)備、在什么地方允許接入網(wǎng)絡(luò);
l 能夠根據(jù)用戶,、設(shè)備,、地方、環(huán)境等因素實現(xiàn)不同的授權(quán),,其中環(huán)境是指用設(shè)備上硬件,、反病毒、操作系統(tǒng)等因素;
l 能夠基于應(yīng)用實現(xiàn)授權(quán),例如,,只允許iPad訪問Internet,,或者使用虛擬桌面;
l 能夠保持網(wǎng)絡(luò)一致性,即整個網(wǎng)絡(luò)各個部分實施的安全策略是一致的,、集中的,,而不是獨自實施自己的安全策略,從而造成安全漏洞;
l 能夠為丟失的數(shù)據(jù)采取措施,。例如,,在自帶設(shè)備下載了企業(yè)具有保密性的文檔或數(shù)據(jù)后,一旦自帶設(shè)備丟失,,需要及時發(fā)現(xiàn)丟失并擦除其上面的數(shù)據(jù),。
這些問題的解決關(guān)鍵在于必須能夠監(jiān)控到網(wǎng)絡(luò)中的每一個元素,而做到這點的前提就是對設(shè)備和應(yīng)用的識別,。
二,、 終端智能識別
一個網(wǎng)絡(luò)完整地實施開放的BYOD,以下幾個功能必不可少:
l 注冊:自帶設(shè)備的首次連接和自注冊;
l 識別:自帶設(shè)備的識別;
l 認(rèn)證:能夠針對不同用戶,、設(shè)備類型采用不同的認(rèn)證方式;
l 授權(quán):基于用戶,、設(shè)備類型、接入時間,、接入地點,、設(shè)備環(huán)境的授權(quán);
l 監(jiān)控:網(wǎng)絡(luò)中所有自帶設(shè)備的狀態(tài)、接入時長等要素的實時監(jiān)控,。
其中,,對自帶設(shè)備的類型識別,是BYOD方案中實施差異化認(rèn)證方式和授權(quán)的基礎(chǔ),,也是BYOD方案實施的關(guān)鍵,。
目前,終端類型多種多樣,,包括便攜式電腦,、筆記型電腦,、掌上電腦、智能手機,、電子閱讀器,、IP電子相機等等,企業(yè)可以有選擇地允許其中部分類型甚至是一些品牌的設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò),。通過識別終端的設(shè)備類型,,企業(yè)可以為不同的設(shè)備推送不同的終端軟件,設(shè)置不同的認(rèn)證方式,,或者在Web認(rèn)證方式下推送適合某種終端類型的頁面,,也可以限制其訪問網(wǎng)絡(luò)中的敏感數(shù)據(jù),或者限制的應(yīng)用類型等等,。
對終端類型的識別,,目前主要通過MAC地址的OUI、DHCP的選項,、Web訪問請求中的User-agent字段等信息中提取特征字段來進(jìn)行,。一般采取專門的設(shè)備或軟件系統(tǒng),從而方便整個網(wǎng)絡(luò)實施一致的識別措施,,根據(jù)終端類型采取相應(yīng)的安全策略,,也允許管理員能夠根據(jù)終端的不斷發(fā)展,制定新的終端類型識別方法,。H3C是通過iMC軟件系統(tǒng),,思科是通過ISE(Identity Services Engine)系統(tǒng)來實現(xiàn)。通常,,這種專門設(shè)備或軟件系統(tǒng)還集成了認(rèn)證功能,,從而為整個網(wǎng)絡(luò)提供集中、統(tǒng)一的認(rèn)證和授權(quán),。同時,,由于網(wǎng)絡(luò)流量的復(fù)雜性,對終端指紋信息的獲取,,需要在網(wǎng)絡(luò)邊緣的接入層設(shè)備上實施,。因此,這種專門的設(shè)備或軟件系統(tǒng)往往需要與接入層設(shè)備進(jìn)行配合,,由邊緣的接入層設(shè)備根據(jù)專門識別設(shè)備的控制指令,,提取并反饋接入到網(wǎng)絡(luò)中的終端設(shè)備指紋信息,從而完成整個網(wǎng)絡(luò)對終端設(shè)備的類型識別,。圖1是H3C iMC系統(tǒng)中已定義的智能終端識別模板,。
 

圖1 H3C iMC中配置終端識別的類型
三、 應(yīng)用識別
智能終端的發(fā)展催生了其上的應(yīng)用層出不窮。企業(yè)不僅需要能夠控制用戶所訪問的目的網(wǎng)絡(luò),,還需要進(jìn)一步限制終端所能使用的應(yīng)用類型,。例如,企業(yè)要求員工如果使用自帶的iPad,,則僅能訪問Internet,。主要應(yīng)用類型包括:
l 簡單文本或超文本消息
l 因特網(wǎng)瀏覽
l 即時消息
l Email
l 語音呼叫
l 視頻播放
l 在線游戲
l 語音視頻
l 各種專門的網(wǎng)絡(luò)工具
傳統(tǒng)網(wǎng)絡(luò)利用ACL五元組來實現(xiàn)對接入用戶訪問范圍的授權(quán)。然而,,要實現(xiàn)基于應(yīng)用的授權(quán),,ACL這種方式在一些情況下不能更為細(xì)致的區(qū)分各種應(yīng)用,也不能跟蹤動態(tài)產(chǎn)生的連接,。例如,F(xiàn)TP服務(wù)中數(shù)據(jù)通道的端口是由服務(wù)器動態(tài)分配的;H.323中的RTP數(shù)據(jù)通道是雙方動態(tài)協(xié)商的,。對于這些應(yīng)用,,必須跟蹤整個會話過程,才能跟蹤其動態(tài)產(chǎn)生的數(shù)據(jù)通道,,采取相應(yīng)的策略,。
BYOD方案中對應(yīng)用的識別也不同于一般的狀態(tài)防火墻,它需要配合授權(quán)產(chǎn)生效果,。正如前文所寫,,BYOD授權(quán)需要基于用戶、設(shè)備類型,、接入時間,、接入地點、設(shè)備環(huán)境等因素,。因此,,應(yīng)用識別也需要針對用戶、設(shè)備類型來進(jìn)行,,即需要跟蹤每個用戶在每個設(shè)備上各種會話狀態(tài),。目前,H3C,、Aruba都提供了基于用戶的狀態(tài)防火墻,,能夠識別每個用戶在每個設(shè)備上各種會話狀態(tài)。
應(yīng)用識別后采取的策略可以是允許或限制其數(shù)據(jù)流,,也可以是限制該應(yīng)用的網(wǎng)絡(luò)帶寬,,或是修改該應(yīng)用的QoS流標(biāo)識,使之滿足在整個網(wǎng)絡(luò)的QoS策略,。例如,,部分員工需要優(yōu)先保障VoIP服務(wù),而另一部分員工則需要優(yōu)先使用RFID定位服務(wù),那么可以將這兩種用戶的這些應(yīng)用識別出來,,檢查并修改這些業(yè)務(wù)流的802.1p,、DSCP、WMM(Wi-Fi MultiMedia)優(yōu)先級,,使之符合整個網(wǎng)絡(luò)的QoS策略,,并形成端到端的部署。圖2顯示對Voice應(yīng)用的識別并調(diào)整其QoS策略的過程,。
 

圖2:Voice應(yīng)用調(diào)整QoS策略的過程
應(yīng)用識別后采取的策略也包括日志記錄,。企業(yè)在實施BYOD帶來效益提高的同時,也需要將網(wǎng)絡(luò)行為更加詳細(xì)地進(jìn)行記錄,,以滿足網(wǎng)絡(luò)安全和審查需要,。既能夠針對每用戶、每設(shè)備的應(yīng)用識別和跟蹤記錄,,也可以監(jiān)控某些關(guān)鍵業(yè)務(wù)的性能,。例如,對VoIP業(yè)務(wù),,需要監(jiān)控其流量大小,、呼叫時長、異常失敗等情況使整個網(wǎng)絡(luò)更為可見,。
四,、 結(jié)束語
隨著智能終端的發(fā)展,BYOD成為不可阻擋的趨勢,,企業(yè)網(wǎng)絡(luò)必須適時應(yīng)變,,考慮如何融合BYOD。在融合BYOD的過程中,,傳統(tǒng)網(wǎng)絡(luò)中基于用戶角色的認(rèn)證和授權(quán)已經(jīng)不能滿足網(wǎng)絡(luò)安全的需要,,需要實現(xiàn)基于用戶、設(shè)備類型,、接入時間,、接入地點、設(shè)備環(huán)境的認(rèn)證和授權(quán),,從而使得設(shè)備類型識別成為網(wǎng)絡(luò)必不可少的功能部件之一,。同樣,對每用戶,、每設(shè)備的應(yīng)用識別,,讓每個用戶的網(wǎng)絡(luò)活動處于被授權(quán)、記錄之下,,是BYOD方案更為詳盡的安全需求,,也是實施更為細(xì)致的QoS策略,更詳盡地監(jiān)控網(wǎng)絡(luò)性能的需要。以BYOD為契機,,推動網(wǎng)絡(luò)業(yè)務(wù)更為豐富化,,更詳細(xì)的應(yīng)用識別或環(huán)境識別將成為企業(yè)網(wǎng)絡(luò)的下一步需求。
 
此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。