Research on Big Data Cloud Computing Technology and Communication Security
                  大数据云计算技术与通信安全研究


             过身份进行鉴别之后，可以将用户根据角色施加不同的策略，包括分配所处的
             VLAN，分配所对应的 IP 地址信息，分配所对应的访问控制列表等。与设备的
             一些特性结合，可以将基于用户身份的认证与传统的对端口、IP 地址、MAC 地
             址的绑定结合起来，甚至由 DHCP 分配 IP 地址的环境下仍可以成功绑定。

                 举例而言 IBNS 应可以实现如下功能：可以尝试的是与各种方式的加密结
             合，如 IP Sec、MAC sec、IEEE802.11i 等；与各种方式的访问控制紧密结合，像
             VLAN、ACL、防火墙、业务控制、网络准入控制（NAC）等；丰富的可定制
             策略，像一日之内某个时段以及一周内某几天的能访问哪些服务的限制。

                 鉴于此，网络基础设施应整合必要的协议支持，像局域网设备必须支持
             MAC sec 等。另外其他用来接入用户的局域网交换机、VPN 集中器、无线控制器、
             防火墙等设备也应支持统一的 IBNS。
                 身份的识别授权和审计的虚拟化要适应灵活的云服务接入，则无论用户接

             入云服务是在局域网接入、VPN 接入、拨号接入、无线接入或 SOHO（例如
             Internet）接入，都应可透明的基于 IBNS 的服务，可以采取因地制宜且集中管理的
             认证授权方式。这要求集中的能够支持多种协议的 AAA 服务器，支持 RADIUS、
             TACACS、TACACS+、Kerberos 等，并支持丰富的外部数据库连接，如 AD、

             LDAP、Oracle 等。
                 为了充分保证区域安全通信，客户端必须能够统一一体化，像无论用户是
             使用智能 PDA、手机，还是笔记本、台式机，无论是访问局域网、WLAN，还
             是广域网、4G 网，无论是需要身份认证（例如用户名和密码）、还是进行健康

             性检查和识别（例如有无补丁和病毒侵害），都是使用唯一的客户端登录软件实
             现，无须多个不同种类的客户端软件。因此客户端软件必须做到以上功能的全
             一体化。
                 区域内有权限接入的用户应进行自动化管理，用户身份数据信息应建立统一

             的平台进行管理，使用 AD、LDAP 等通用标准的目录数据结构库。基于用户身
             份的认证是用户身份标识的关键，在网络不同应用区域所发生的认证过程，都应
             当归口统一的用户信息管理。
                 用户的维护调整，应与安全智能管理中心和运维管理平台实现自动化联动，

             相关配置调整发生后，其他与之关联的 NAC、ACL、网络管理权限等随之自动
             调整，并有翔实的审计记录。用户的基本设置，可以实现基于 Web 的自服务。


             62