基于BYOD网络安全的身份关联接入机制

韩强

摘  要：为了实现和保障BYOD安全接入网络，采用目前较为流行的动态口令身份认证方式，由网络管理员设置程序算法来实现软件动态口令的方法。首先用户身份中随机生成的账户和密码，实现动态口令认证，接着检测接入BYOD授权设备，实现一种身份关联的接入机制，从而提高网络安全使用的功能。

关键词：身份关联;BYOD;网络安全;接入机制;账号管理;安全检测

中图分类号：TP393.08       文献标志码：A         文章编号：2095-2945（2020）16-0017-02

Abstract： In order to realize and guarantee BYOD's secure access to the network， this paper uses the popular dynamic password authentication method at present， and uses the network administrator to set program algorithm to realize the software dynamic password. Firstly， account and password generated randomly in user identity are used to realize dynamic password authentication. Then， access to BYOD authorization device is detected， and an identity-related access mechanism is realized， so as to improve the function of network security.

Keywords： identity association; BYOD; network security; access mechanism; account management; security detection

引言

当前随着 BYOD（Bring Your Own Device）的出现，单位中各部门员工可以利用手机设备在任何地点，任何时间访问资源、处理业务[1]。同时BYOD得益于智能终端网络功能的日益强大以及5G网络的逐步完善，BYOD网络的迅速普及已遍及人们生活、娱乐、工作等各方面[2]。这是新时代办公的一种潮流，也给工作带来新体验。然而若设备中携带病毒，即一旦接入公司网络便可能攻击网络系统[3]。有关数据显示，随着 BYOD网络不断的发展，不成熟的 IT 策略正在将各种各样的敏感信息置于风险之中。因此我们需要一套完整安全网络机制，来解决移动设备接入的安全管理。

身份认证，也称身份验证，身份确认通常采用“用户名+口令”的方式来接入网络。但是非法用户通过字典或穷举方法侵入、也可通过数据包侦听或分析协议以及口令重放等方式接入[4]。此方式存在安全隐患，若物理证件丢盗，则信息泄露。综上所述，本文提出一种身份关联方式接入网络，其实也是一种动态口令认证方式，只需程序代码设置，不需添加任何物理器件，实现操作方便，网络安全性高。

1 设计方案

网络安全注重从源头抓起，针对每一个上网者来讲，网络管理员对其设置身份关联，给网络中每一位员工分配单独的账号及密码，他们每次接入网络，必须使用该账号和密码（当然账号与密码也可以设置），这样针对外来访客BYOD设备来讲，接入后若想访问内网或外网，必须通过身份关联接入（即与该接待员工关联到一起），从而达到可追踪，可多方控制的管理效果。这时网络管理者通过SDN监控来访者的网络行为，所有行为都记录于数据库中，若发现异常行为，网络管理者可采取限制或防御策略，实现接入安全，具体方案如图1所示。

2 接入模块设计

网络安全接入机制关键点是保证外来BYOD设备安全接入网络，因此在整个网络接入设计中必须对接入者的身份进行安全认证，这就要设计接入模块管理认证登录过程。不管是共有设备登录，还是私有设备登录，都必须进行登录方式的判断，如验证密码，同时记录他们的登录信息、操作记录，包括账号密码的加密或解密行为等，所有网络行为都必须记录在数据库模块中，包括账号密码数据库、主机信息数据库、操作记录数据库等，具体的身份关联接入设计模块如图2所示。

3 机制实现

网络使用者（单位职员或来访者）的请求会被转发到内网SDN，从而实现关联身份认证，身份认证内容包括用户身份的申请认证、生成账户、登录认证、操作日志、行为审计等。为了实现这一系列的安全检测，把网络中本职员接入认证信息称作主账号，把访者BYOD接入网络的认证信息为授权账号，同时为了方便管理，把主账号和授权账号统一规定采用不同的位数，例如主账号规定是8位的字符串，授权账号规定是18位制。下面分别介绍这两种账号具体的实现生成机制。

3.1 主账号的生成机制

网络中的主账户是网络管理员按照生成规则自动分配的，要求每一位职员分配账户名和初始密码必须是唯一的，职员通过其账户名及初始密码登录到内网后再进行账户密码的自行修改，那么主账户的生成机制是该网络管理员的操作首要任务，其生成流程如图3所示。

3.2 生成授权账户

授权账号生成规则是根据主账户的信息来生成的，其账号生成流程如图4所示，首先获取与其关联的主账户的信息（账号与密码），生成访问时间的10位数字，表示时间数字按秒数表示，接着随机产生8位的随机数（1到18的随机数），然后取出对应18位中的8位索引值，加上10位访问时间数字共生成18位账号，这样的信息包括访问时间数字、职员账号、授权账号，从而实现网络安全机制。

3.3 身份关联接入判断

当网络系统接收到接入请求时，系统会判断其的认证方式，根据账号的不同进行安全接入认证。当然认证判断的依据主要是接入账号的信息，如上面所说的8位主账户、18位授权账号。如果账户是8位，则直接接入网络，反之，则通过身份关联接入网络。身份关联接入首先检测职员的信息，通过之后再检测BYOD授权账号信息，也就是说对于外来BYOD接入设备来说，接入网络账号、密码由职员控制，申请授权于该设备才登录接入。用户使用时必须与其的账户密码关联许可才能接入网络。从而实现授权设备接入网络时，检测验证主账户的合法性以及授权BYOD设备的合法性。若两者都合法，该授权账号有效，该设备才能成功接入网络，否则接入失败。

3.4 安全管理分析

身份关联接入的安全性体现在于授权权限和接入权限，网络管理员通过设备管理功能显示出接入设备的详细信息、职员用户、来访者、BYOD设备接入网络的信息，包括接入IP地址、接入时间、离开时间等，也可以监控到接入网络后使用资源情况：CPU的使用率、内存使用率、IO 使用率、带宽使用率。若出现导常接入，如不能接入的称为黑名单、直接接入的称为白名单，网络管理员可对其进入编辑、删除等操作。

4 结束语

身份关联接入网络，主要实现了外来访客和BYOD设备接入网络时，必须同时判断检验职员主账户与其所授权账户，两者同时符合才能安全接入，若有其中一个不符合条件，则接入失败，这就给企业的网络安全提供了双重保障，这样不仅有效地控制外来设备以及来访者安全接入网络，而且还能方便準确地对接入用户的操作进行追踪审计。

参考文献：

[1]陈林.支持软件定义网络的网关安全接入技术研究与实现[D].成都：电子科技大学，2018：14-29.

[2]黄寿孟.基于超网络模型的混合教学知识传播研究[J].信息与电脑：理论版，2019（5）：37-39.

[3]黄寿孟.基于Flex的数据通信技术研究与应用[J].中国现代教育装备，2016（17）：12-15.

[4]曲大鹏，吴松林，何俊，等.针对BYOD的网络入口边界安全研究[J].计算机应用研究，2018（9）：2785-2788.