您的位置: 网界网 > 网络通信 > 正文

BYOD应用中的识别技术

2012年10月30日 13:29:39 | 作者:H3C徐国祥 | 来源:cnw.com.cn | 查看本文手机版

摘要:只有解决了网络安全问题,企业才能够放心去拥抱BYOD。IT部门希望能够对接入网络的每个元素都能“洞察秋毫”,做到这点的前提就是对各种设备和应用的识别。

标签
H3C
BYOD
应用识别

一、 BYOD[注]的产生和安全

BYOD不是简单意义上员工可以携带自己的设备在企业网络环境中使用,其核心应该是员工可以随时随地使用任何设备,不论是自己的还是企业提供的设备接入企业网络。这必将带给企业网络“四多”的变化:

l 更多的设备需要连接到企业网络;

l 多种网络类型,包括有线、Wi-Fi、VPN等;

l 多种设备类型;

l 多种操作系统。

以上这些不仅导致个人和企业之间的网络界限变得模糊,同时由于语音、视频、远程协作、多媒体文档或页面等应用日益丰富,加上移动接入的需求,要求网络资源的分布能够动态调整。但与之相比,网络安全问题却是企业的IT部门接受BYOD的最大障碍,IT部门希望能够解决如下的问题:

l 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络;

l 能够根据用户、设备、地方、环境等因素实现不同的授权,其中环境是指用设备上硬件、反病毒、操作系统等因素;

l 能够基于应用实现授权,例如,只允许iPad访问Internet,或者使用虚拟桌面;

l 能够保持网络一致性,即整个网络各个部分实施的安全策略是一致的、集中的,而不是独自实施自己的安全策略,从而造成安全漏洞;

l 能够为丢失的数据采取措施。例如,在自带设备[注]下载了企业具有保密性的文档或数据后,一旦自带设备丢失,需要及时发现丢失并擦除其上面的数据。

这些问题的解决关键在于必须能够监控到网络中的每一个元素,而做到这点的前提就是对设备和应用的识别。

二、 终端智能识别

一个网络完整地实施开放的BYOD,以下几个功能必不可少:

l 注册:自带设备的首次连接和自注册;

l 识别:自带设备的识别;

l 认证:能够针对不同用户、设备类型采用不同的认证方式;

l 授权:基于用户、设备类型、接入时间、接入地点、设备环境的授权;

l 监控:网络中所有自带设备的状态、接入时长等要素的实时监控。

其中,对自带设备的类型识别,是BYOD方案中实施差异化认证方式和授权的基础,也是BYOD方案实施的关键。

目前,终端类型多种多样,包括便携式电脑、笔记型电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等,企业可以有选择地允许其中部分类型甚至是一些品牌的设备进入企业网络。通过识别终端的设备类型,企业可以为不同的设备推送不同的终端软件,设置不同的认证方式,或者在Web认证方式下推送适合某种终端类型的页面,也可以限制其访问网络中的敏感数据,或者限制的应用类型等等。

对终端类型的识别,目前主要通过MAC地址的OUI、DHCP的选项、Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统,从而方便整个网络实施一致的识别措施,根据终端类型采取相应的安全策略,也允许管理员能够根据终端的不断发展,制定新的终端类型识别方法。H3C是通过iMC软件系统,思科是通过ISE(Identity Services Engine)系统来实现。通常,这种专门设备或软件系统还集成了认证功能,从而为整个网络提供集中、统一的认证和授权。同时,由于网络流量的复杂性,对终端指纹信息的获取,需要在网络边缘的接入层设备上实施。因此,这种专门的设备或软件系统往往需要与接入层设备进行配合,由边缘的接入层设备根据专门识别设备的控制指令,提取并反馈接入到网络中的终端设备指纹信息,从而完成整个网络对终端设备的类型识别。图1是H3C iMC系统中已定义的智能终端识别模板。

图1 H3C iMC中配置终端识别的类型

12

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

[责任编辑:李夏艳 li_xiayan@cnw.com.cn]