BYOD应用中的识别技术

一、BYOD的产生和安全

BYOD不是简单意义上员工可以携带自己的设备在企业网络环境中使用，其核心应该是员工可以随时随地使用任何设备，不论是自己的还是企业提供的设备接入企业网络。这必将带给企业网络“四多”的变化：

更多的设备需要连接到企业网络；

多种网络类型，包括有线、Wi-Fi、VPN等；

多种设备类型；

多种操作系统。

以上这些不仅导致个人和企业之间的网络界限变得模糊，同时由于语音、视频、远程协作、多媒体文档或页面等应用日益丰富，加上移动接入的需求，要求网络资源的分布能够动态调整。但与之相比，网络安全问题却是企业的IT部门接受BYOD的最大障碍，IT部门希望能够解决如下的问题：

能够掌控哪些用户、使用何种设备、在什么地方允许接入网络；

能够根据用户、设备、地方、环境等因素实现不同的授权，其中环境是指用设备上硬件、反病毒、操作系统等因素；

能够基于应用实现授权,例如，只允许iPad访问Internet，或者使用虚拟桌面；

能够保持网络一致性，即整个网络各个部分实施的安全策略是一致的、集中的，而不是独自实施自己的安全策略，从而造成安全漏洞；

能够为丢失的数据采取措施。例如，在自带设备下载了企业具有保密性的文档或数据后，一旦自带设备丢失，需要及时发现丢失并擦除其上面的数据。

这些问题的解决关键在于必须能够监控到网络中的每一个元素，而做到这点的前提就是对设备和应用的识别。

二、终端智能识别

一个网络完整地实施开放的BYOD，以下几个功能必不可少：

注册：自带设备的首次连接和自注册；

识别：自带设备的识别；

认证：能够针对不同用户、设备类型采用不同的认证方式；

授权：基于用户、设备类型、接入时间、接入地点、设备环境的授权；

监控：网络中所有自带设备的状态、接入时长等要素的实时监控。

其中，对自带设备的类型识别，是BYOD方案中实施差异化认证方式和授权的基础，也是BYOD方案实施的关键。

目前，终端类型多种多样，包括便携式电脑、笔记型电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等，企业可以有选择地允许其中部分类型甚至是一些品牌的设备进入企业网络。

通过识别终端的设备类型，企业可以为不同的设备推送不同的终端软件，设置不同的认证方式，或者在Web认证方式下推送适合某种终端类型的页面，也可以限制其访问网络中的敏感数据，或者限制的应用类型等等。

对终端类型的识别，目前主要通过MAC地址的OUI、DHCP的选项、Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统，从而方便整个网络实施一致的识别措施，根据终端类型采取相应的安全策略，也允许管理员能够根据终端的不断发展，制定新的终端类型识别方法。H3C是通过iMC软件系统，思科是通过ISE（Identity Services Engine）系统来实现。通常，这种专门设备或软件系统还集成了认证功能，从而为整个网络提供集中、统一的认证和授权。同时，由于网络流量的复杂性，对终端指纹信息的获取，需要在网络边缘的接入层设备上实施。因此，这种专门的设备或软件系统往往需要与接入层设备进行配合，由边缘的接入层设备根据专门识别设备的控制指令，提取并反馈接入到网络中的终端设备指纹信息，从而完成整个网络对终端设备的类型识别。图1是H3C iMC系统中已定义的智能终端识别模板。

三、应用识别

智能终端的发展催生了其上的应用层出不穷。企业不仅需要能够控制用户所访问的目的网络，还需要进一步限制终端所能使用的应用类型。例如，企业要求员工如果使用自带的iPad，则仅能访问Internet。主要应用类型包括：

简单文本或超文本消息

因特网浏览

即时消息

Email

语音呼叫

视频播放

在线游戏

语音视频

各种专门的网络工具

传统网络利用ACL五元组来实现对接入用户访问范围的授权。然而，要实现基于应用的授权，ACL这种方式在一些情况下不能更为细致的区分各种应用，也不能跟踪动态产生的连接。例如，FTP服务中数据通道的端口是由服务器动态分配的；H.323中的RTP数据通道是双方动态协商的。对于这些应用，必须跟踪整个会话过程，才能跟踪其动态产生的数据通道，采取相应的策略。

BYOD方案中对应用的识别也不同于一般的状态防火墙，它需要配合授权产生效果。正如前文所写，BYOD授权需要基于用户、设备类型、接入时间、接入地点、设备环境等因素。因此，应用识别也需要针对用户、设备类型来进行，即需要跟踪每个用户在每个设备上各种会话状态。目前，H3C、Aruba都提供了基于用户的状态防火墙，能够识别每个用户在每个设备上各种会话状态。
应用识别后采取的策略可以是允许或限制其数据流，也可以是限制该应用的网络带宽，或是修改该应用的QoS流标识，使之满足在整个网络的QoS策略。例如，部分员工需要优先保障VoIP服务，而另一部分员工则需要优先使用RFID定位服务，那么可以将这两种用户的这些应用识别出来，检查并修改这些业务流的802.1p、DSCP、WMM（Wi-Fi MultiMedia）优先级，使之符合整个网络的QoS策略，并形成端到端的部署。图2显示对Voice应用的识别并调整其QoS策略的过程。

应用识别后采取的策略也包括日志记录。企业在实施BYOD带来效益提高的同时，也需要将网络行为更加详细地进行记录，以满足网络安全和审查需要。既能够针对每用户、每设备的应用识别和跟踪记录，也可以监控某些关键业务的性能。例如，对VoIP业务，需要监控其流量大小、呼叫时长、异常失败等情况使整个网络更为可见。

四、结束语

随着智能终端的发展，BYOD成为不可阻挡的趋势，企业网络必须适时应变，考虑如何融合BYOD。在融合BYOD的过程中，传统网络中基于用户角色的认证和授权已经不能满足网络安全的需要，需要实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权，从而使得设备类型识别成为网络必不可少的功能部件之一。同样，对每用户、每设备的应用识别，让每个用户的网络活动处于被授权、记录之下，是BYOD方案更为详尽的安全需求，也是实施更为细致的QoS策略，更详尽地监控网络性能的需要。以BYOD为契机，推动网络业务更为丰富化，更详细的应用识别或环境识别将成为企业网络的下一步需求。