校園網(wǎng)的訪問控制模式研究

摘要：建立適用于校園網(wǎng)中所有應(yīng)用的訪問控制模式，能夠進(jìn)一步提高各個(gè)系統(tǒng)應(yīng)用的靈活性和可用性，為教育網(wǎng)絡(luò)化數(shù)字化的學(xué)校發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。文章分析了校園網(wǎng)的各種數(shù)字資源及其使用的方法，討論了多種訪問方式，提出一種可靠的訪問控制模式保證校園網(wǎng)內(nèi)各種應(yīng)用的安全。

O引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)在教育中的深入應(yīng)用，學(xué)校越來越多地使用校園網(wǎng)進(jìn)行辦公、教學(xué)、學(xué)習(xí)等等，師生員工也越來越離不開計(jì)算機(jī)網(wǎng)絡(luò)。通過校園網(wǎng)共享的學(xué)校資源有數(shù)字圖書、電子期刊、試題庫(kù)、教學(xué)素材庫(kù)、共享軟件資源等。數(shù)字化資源的共享范圍大小、共享程度高低已成為衡量學(xué)校綜合實(shí)力的重要指標(biāo)之一，數(shù)字化資源也已成為學(xué)校的戰(zhàn)略資源。隨著學(xué)校信息化建設(shè)的發(fā)展，各種信息管理系統(tǒng)也轉(zhuǎn)移到校園網(wǎng)上，使教務(wù)管理、辦公系統(tǒng)、科研教研管理、學(xué)生信息管理、師資培訓(xùn)等管理系統(tǒng)也成為數(shù)字化資源的重要組成部分。隨著教育的發(fā)展以及優(yōu)質(zhì)教學(xué)資源的共享，學(xué)校有多個(gè)校區(qū)已經(jīng)成為當(dāng)前普遍現(xiàn)象。學(xué)校規(guī)模的擴(kuò)大，已有越來越多的教職員工和學(xué)生通過互聯(lián)網(wǎng)使用校園網(wǎng)。解決校外師生的遠(yuǎn)程安全訪問校園網(wǎng)內(nèi)電子數(shù)字資源已經(jīng)成為資源共享的一個(gè)重要問題。本文通過研究校園網(wǎng)的互聯(lián)模式，分析各種數(shù)字化資源的使用和共享的方式，設(shè)計(jì)了一種學(xué)校數(shù)字化資源安全訪問控制模式，以方便資源共享，進(jìn)一步推動(dòng)學(xué)校的信息化。

1校園網(wǎng)互聯(lián)模式

學(xué)校部署的網(wǎng)絡(luò)邏輯上是一個(gè)整體，通過防火墻與Internet連接。多數(shù)學(xué)校使用交換機(jī)連接各個(gè)職能部門、信息中心、圖書館、實(shí)驗(yàn)室、學(xué)生宿舍和教師公寓。學(xué)校通過光纖把多個(gè)校區(qū)連接起來形成單一的校園網(wǎng)，多個(gè)校區(qū)之間的核心交換機(jī)直接連接，形成頂層的校園網(wǎng)，從而使校園網(wǎng)形成層次結(jié)構(gòu)，也方便了通過路由器與外界的互聯(lián)。校園網(wǎng)與外界之間設(shè)置的防火墻能夠保障校園網(wǎng)免受外部的不安全訪問。學(xué)校各個(gè)開放的應(yīng)用通常布置在校園網(wǎng)的路由器與防火墻之間，其重要的數(shù)字資源和各種應(yīng)用則放在學(xué)校內(nèi)部的局域網(wǎng)中，受到防火墻的保護(hù)。校園網(wǎng)的出口之一為中國(guó)教育科研計(jì)算機(jī)網(wǎng)絡(luò)CERNET。有的學(xué)校為了加快訪問公網(wǎng)和國(guó)外網(wǎng)絡(luò)的速度，設(shè)置有另外—個(gè)出口連接電信網(wǎng)絡(luò)或其他廣域網(wǎng)絡(luò)。

2數(shù)字資源的訪問研究

學(xué)校的數(shù)字資源分布在校園網(wǎng)的多個(gè)局域網(wǎng)中，多數(shù)資源可以在校園網(wǎng)中通過C／S模式使用。校園網(wǎng)外部用戶則需要通過MODEM方式登錄到系統(tǒng)的遠(yuǎn)程服務(wù)器上，通過校驗(yàn)認(rèn)證進(jìn)入系統(tǒng)后使用資源。當(dāng)前互聯(lián)網(wǎng)的上網(wǎng)模式多數(shù)為各種寬帶，校外用戶不可能擁有兩種模式；慢速的MODEM，也限制了很多資源的使用，比如多媒體課件資源和視頻資源。為此，對(duì)學(xué)校資源的訪問必須采用開放的方式，使所有校園網(wǎng)絡(luò)用戶通過互聯(lián)網(wǎng)能直接使用學(xué)校數(shù)字資源和各種管理系統(tǒng)。數(shù)字資源共享方式與資源的屬性有很大的關(guān)系，比如電子文件共享可以采用FTP的模式，戶名和密碼認(rèn)證。

當(dāng)前校園網(wǎng)的訪問控制，多數(shù)采用用戶名和密碼的簡(jiǎn)單認(rèn)證方式。在開放的網(wǎng)絡(luò)中，該方式安全性很差，采用共享的黑客軟件可以非常容易地獲取用戶名和密碼，盜用學(xué)校的各種數(shù)字資源。為了保護(hù)知識(shí)產(chǎn)權(quán)，提高數(shù)字資源的安全共享，多數(shù)系統(tǒng)服務(wù)采用指定IP地址范圍的方式限定網(wǎng)絡(luò)用戶，校外用戶IP地址分布范圍大而且分散，使該服務(wù)不容易實(shí)現(xiàn)。以上這些都限制了學(xué)校數(shù)字資源的遠(yuǎn)程共享和各種應(yīng)用。

為了數(shù)字資源的安全共享，應(yīng)在校外用戶與共享資源之間建立一個(gè)安全的通道，而且該通道的成本比較低，使用也方便。對(duì)此，最為簡(jiǎn)單的方式是采用虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)是把數(shù)據(jù)封裝在隧道協(xié)議中，通過已有的公網(wǎng)建立隧道，實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的聯(lián)接。它是邏輯上獨(dú)立于公網(wǎng)的專用網(wǎng)絡(luò)。但虛擬專用網(wǎng)技術(shù)需要通過特殊設(shè)計(jì)的硬件和軟件直接共享虛擬的加密通道，也需要為每個(gè)局域網(wǎng)的資源提供一個(gè)專門的硬件服務(wù)器提高該模塊功能，需要專用安全協(xié)議支持。這些條件對(duì)于獨(dú)立的校外用戶來說幾乎是不可能的。為此需要研究出符合校外用戶訪問校內(nèi)共享資源的合適方式。

3安全訪問控制模式

當(dāng)前已經(jīng)越來越普遍地使用PKI提供的安全訪問機(jī)制，它的部署比較方便，應(yīng)用了數(shù)字證書的認(rèn)證機(jī)制，設(shè)置了安全的訪問通道。我們?cè)谘芯縋KI的基礎(chǔ)上，設(shè)計(jì)了校園網(wǎng)的訪問控制模式。該系統(tǒng)分為三個(gè)層次，層次之間都有安全防護(hù)系統(tǒng)，只有通過合理的認(rèn)證才能通過防護(hù)層。校園網(wǎng)的內(nèi)部局域網(wǎng)部署了各種應(yīng)用系統(tǒng)和各種數(shù)字資源，在內(nèi)部網(wǎng)絡(luò)可以采用指定IP地址的方式進(jìn)行訪問，外部網(wǎng)絡(luò)則需要通過校園網(wǎng)的認(rèn)證進(jìn)行訪問?；ヂ?lián)網(wǎng)用戶可以直接使用校園網(wǎng)的各種開放資源，但是不能直接訪問內(nèi)部局域網(wǎng)保護(hù)的各種資源，除非通過校園網(wǎng)用戶管理中心頒發(fā)的數(shù)字證書的認(rèn)證。校園網(wǎng)資源的重要性可以通過評(píng)估分類。校園網(wǎng)內(nèi)部的用戶也可以提高安全訪問級(jí)別，采用認(rèn)證方式訪問共享數(shù)字資源。校外用戶必須在計(jì)算機(jī)上安裝專門的客戶端認(rèn)證套件才可以透明地、方便地進(jìn)行認(rèn)證和安全訪問校園網(wǎng)共享資源。

3.1校園網(wǎng)用戶管理中心

校園網(wǎng)用戶管理中心是安全訪問控制模式的基礎(chǔ)，它為校園用戶頒發(fā)數(shù)字證書，提供保證數(shù)據(jù)的機(jī)密性、文件的不可否認(rèn)性、數(shù)據(jù)的完整性等功能。如果與其他學(xué)校的校園網(wǎng)用戶管理中心統(tǒng)一用戶管理，就可以在學(xué)校之間交叉認(rèn)證，使多所學(xué)校的資源可以安全共享。如果和其他組織相互認(rèn)證，可以進(jìn)一步擴(kuò)大使用的范圍，如各種電子交易等等。數(shù)字證書以及用戶私鑰，是絕對(duì)需要保密的數(shù)據(jù)，系統(tǒng)采用PIN進(jìn)行初步的保護(hù)。

3.2認(rèn)證應(yīng)用服務(wù)器

認(rèn)證應(yīng)用服務(wù)器是校園網(wǎng)數(shù)字資源共享和各種應(yīng)用安全訪問的核心，它采用資源目錄形式進(jìn)行管理，每個(gè)目錄項(xiàng)代表一種可以共享的資源或各種應(yīng)用信息。在校園網(wǎng)用戶管理中心的支持下，認(rèn)證應(yīng)用服務(wù)器為用戶提供登錄服務(wù)，為合法用戶建立安全通道，代理傳遞客戶請(qǐng)求到共享資源服務(wù)器或各種應(yīng)用服務(wù)器，把獲取的數(shù)據(jù)安全傳遞到客戶端解析處理。

3.3客戶端認(rèn)證套件

客戶端認(rèn)證套件是安裝在校外用戶計(jì)算機(jī)中截獲網(wǎng)絡(luò)通信的嵌入式軟件，專門為用戶訪問學(xué)校共享資源或使用各種應(yīng)用服務(wù)提供安全通信保證。當(dāng)用戶不用學(xué)校共享資源時(shí)可以關(guān)閉該軟件，也可以通過設(shè)置使該軟件功能透明。當(dāng)用戶訪問學(xué)?？刂频墓蚕碣Y源時(shí)，把用戶數(shù)字證書和用戶的私有鑰匙導(dǎo)入軟件中，連接認(rèn)證應(yīng)用服務(wù)器，選擇要訪問的資源，即可使用普通的客戶端軟件。

3.4訪問控制過程

校外用戶使用學(xué)校數(shù)字資源或應(yīng)用服務(wù)時(shí)，需要通過Web方式登錄到認(rèn)證應(yīng)用服務(wù)器，由客戶端認(rèn)證套件和認(rèn)證應(yīng)用服務(wù)器的登錄模塊配合完成訪問控制。其詳細(xì)過程如下。

(1)校外用戶客戶端認(rèn)證套件連接認(rèn)證應(yīng)用服務(wù)器，通過服務(wù)器的公開密鑰安全地把客戶的數(shù)字證書相關(guān)信息傳遞到服務(wù)器，由認(rèn)證應(yīng)用服務(wù)器向校園網(wǎng)用戶管理中心查看其合法性和有效期。

為了保證客戶端的安全訪問，在客戶計(jì)算機(jī)訪問校內(nèi)網(wǎng)絡(luò)共享資源之前，特定的安全模塊強(qiáng)制掃描這臺(tái)計(jì)算機(jī)，采用實(shí)時(shí)防病毒軟件、防火墻檢驗(yàn)其安全性?？蛻舳说牟僮飨到y(tǒng)及應(yīng)用軟件必須是經(jīng)過核準(zhǔn)的，客戶端還要安裝好所有的關(guān)鍵安全更新組件，才可以登錄認(rèn)證應(yīng)用服務(wù)器。這樣可以避免木馬或網(wǎng)絡(luò)蠕蟲帶來的安全隱患。

(2)通過認(rèn)證，認(rèn)證應(yīng)用服務(wù)器產(chǎn)生用于對(duì)稱加密的鑰匙和加密算法名稱以及資源目錄清單，采用數(shù)字證書中的公開鑰匙加密，傳遞到客戶端。并保存該用戶的數(shù)字證書，以便客戶再次登錄時(shí)，節(jié)省認(rèn)證時(shí)間。

(3)校園網(wǎng)用戶把認(rèn)證數(shù)據(jù)用私有鑰匙解開，獲取對(duì)稱加密算法和加密鑰匙。

(4)客戶選擇要使用的資源或應(yīng)用，用協(xié)商的對(duì)稱加密算法加密并傳遞到認(rèn)證應(yīng)用服務(wù)器。

(5)認(rèn)證應(yīng)用服務(wù)器根據(jù)接收到資源服務(wù)項(xiàng)和用戶ID，確認(rèn)其使用權(quán)限。如果用戶可以使用，則生成該用戶訪問資源或應(yīng)用服務(wù)的一個(gè)在線服務(wù)模塊，代理用戶請(qǐng)求共享資源或服務(wù)，并把資源使用的界面?zhèn)鬟f到客戶端。為了更好定位和管理共享的數(shù)字資源和應(yīng)用服務(wù)，認(rèn)證應(yīng)用服務(wù)器采用了輕型目錄服務(wù)LDAP協(xié)議，實(shí)現(xiàn)了臨時(shí)在線模塊與共享資源服務(wù)器之間的數(shù)字通信。

(6)客戶確定不再使用資源或應(yīng)用服務(wù)時(shí)，該在線服務(wù)模塊撤銷，否則一直提供代理服務(wù)。為了提高安全性，該代理模塊每隔一定時(shí)間，產(chǎn)生一個(gè)新的對(duì)稱加密鑰匙。當(dāng)用戶退出一個(gè)資源或應(yīng)用服務(wù)時(shí)，認(rèn)證應(yīng)用服務(wù)器再次向用戶提供可用資源目錄。如果用戶不再使用校園網(wǎng)共享數(shù)字資源或服務(wù)時(shí)，則終止客戶端與認(rèn)證應(yīng)用服務(wù)器之間的連接。

本校園網(wǎng)的訪問控制模式可以保障師生員工在校外安全使用校園網(wǎng)共享資源或各種應(yīng)用。對(duì)于校園網(wǎng)中儲(chǔ)存的重要信息，僅僅依靠認(rèn)證應(yīng)用服務(wù)器的控制和構(gòu)筑堅(jiān)固的邊界防火墻可能仍不夠安全，此時(shí)可以作進(jìn)一步的認(rèn)證，杜絕非法用戶的資源訪問。比如，可強(qiáng)制校外客戶端采用可選的雙因子驗(yàn)證套件，綜合校園網(wǎng)用戶管理中心與目錄服務(wù)以及服務(wù)器網(wǎng)絡(luò)策略來執(zhí)行客戶端驗(yàn)證和授權(quán)。

4結(jié)束語(yǔ)

校園網(wǎng)中共享數(shù)字資源或應(yīng)用對(duì)于開放環(huán)境下的教研、學(xué)習(xí)活動(dòng)是非常重要的。本文提出的校園網(wǎng)訪問控制方案比較容易部署，使用簡(jiǎn)單方便。多個(gè)學(xué)校的小批量測(cè)試證明，在強(qiáng)大的認(rèn)證應(yīng)用服務(wù)器的支持下，上百個(gè)校外用戶同時(shí)訪問時(shí)，本文提出的訪問控制模式基本達(dá)到設(shè)計(jì)目標(biāo)。如果有幾千甚至幾萬(wàn)個(gè)校外用戶的同時(shí)訪問，認(rèn)證應(yīng)用服務(wù)器可采用集群系統(tǒng)，通過多個(gè)認(rèn)證應(yīng)用服務(wù)器之間平衡代理請(qǐng)求，為共享的數(shù)字資源或應(yīng)用提供較高的安全性和可用性。該方案的延伸可以解決學(xué)校之間資源的共享，減少重復(fù)建設(shè)，優(yōu)化資源配置，使資源的利用率最大化。