構(gòu)建實名制用戶的教育城域網(wǎng)

摘要：越來越多的教育城域網(wǎng)用戶通過移動設(shè)備接入，并且往往不止一個移動設(shè)備，因而會出現(xiàn)同一用戶上網(wǎng)使用多個IP以及IP地址經(jīng)常改變的問題。因此，需要在教育城域網(wǎng)中進行基于實名制用戶的安全管理，通過在教育城域網(wǎng)中進行實名制用戶的接入、訪問控制和日志審計的方案，構(gòu)建了一個基于實名制用戶的教育城域網(wǎng)，保障了教育城域網(wǎng)用戶健康上網(wǎng)和符合安全監(jiān)管的要求。

關(guān)鍵詞：教育城域網(wǎng) 實名制 用戶認證

隨著智能手機等移動設(shè)備的發(fā)展和BYOD的盛行，越來越多的老師、學生將移動設(shè)備帶入并接入教育城域網(wǎng)，這也給教育城域網(wǎng)管理人員帶來了同一個用戶上網(wǎng)使用的多個IP 的問題；同時受設(shè)備移動的影響，還面臨IP 地址經(jīng)常改變的問題。同時，教育城域網(wǎng)對互聯(lián)網(wǎng)訪問內(nèi)容的控制特別是針對學生的上網(wǎng)訪問行為，需要進行適度的管控，引導學生健康地上網(wǎng)。如何基于老師、學生進行實名制認證和根據(jù)用戶身份分權(quán)限訪問教育網(wǎng)內(nèi)部資源，而非傳統(tǒng)基于IP的訪問控制和日志審計。

因此，需要在教育城域網(wǎng)中進行用戶的實名制用戶認證，并通過進行實名制用戶的訪問策略和權(quán)限的控制，和進行上網(wǎng)行為的實名制日志審計，構(gòu)建一個安全的基于實名制用戶的教育城域網(wǎng)。構(gòu)建實名制用戶的教育城域網(wǎng)，首先需要在用戶接入教育城域網(wǎng)時進行用戶認證，認證成功后根據(jù)該用戶所屬用戶組進行資源的權(quán)限、流量的訪問策略控制，并對該用戶的上網(wǎng)行為進行日志審計，方便日后進行查找和溯源。

一、實名制用戶接入

從教育城域網(wǎng)來看，無論是從內(nèi)到外部的訪問，還是來自外部的訪問，都需要進行有效的控制。而控制的前提是授權(quán)，即在運行的范圍內(nèi)，通過許可的方式，監(jiān)測并控制不同系統(tǒng)間的訪問活動。當不同業(yè)務系統(tǒng)進行互訪，訪問者也需要提交身份信息，經(jīng)身份認證后，方可按照許可的權(quán)限進行訪問，從而杜絕了非授權(quán)的訪問。一般的用戶認證有以下幾種方法：

1.通過802.1X實現(xiàn)基于用戶的網(wǎng)絡(luò)準入控制，采用基于二層的認證方式，對教育網(wǎng)用戶的接入的合法性進行認證。802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口（access port）訪問教育網(wǎng)。在獲得交換機或教育網(wǎng)提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

2.通過PPPoE在分配IP地址的同時，可以對教育城域網(wǎng)用戶進行接入控制、驗證以及計費等。PPPoE是以太網(wǎng)上的點對點協(xié)議，是將點對點協(xié)議（PPP）封裝在以太網(wǎng)（Ethernet）框架中的一種網(wǎng)絡(luò)隧道協(xié)議。由于協(xié)議中集成了PPP協(xié)議，所以實現(xiàn)了傳統(tǒng)以太網(wǎng)不能提供的身份驗證、加密以及壓縮等功能，也可用于纜線調(diào)制解調(diào)器（cable modem）和數(shù)字用戶線路（DSL）等以太網(wǎng)協(xié)議向用戶提供接入服務的協(xié)議體系。

3.通過Web+Portal認證，在用戶訪問教育城域網(wǎng)受保護的網(wǎng)絡(luò)資源時，首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是獲取到的IP地址并不能訪問教育網(wǎng)，在認證通過前只能訪問特定的IP地址，這個地址通常是Portal服務器的IP地址。用戶在登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認證。這種認證方法不僅能夠在教育網(wǎng)準入時提供用戶認證，還可以在需要提升用戶權(quán)限時進行第二級或多級的用戶認證。

4.通過VPN技術(shù)遠程接入網(wǎng)絡(luò)時，如常用的SSL VPN、IPSec VPN等，這些VPN技術(shù)自身就帶有用戶認證功能，如在鏈路層通過PPP協(xié)議族提供的用戶認證，在網(wǎng)絡(luò)層依靠IPSec的AH機制來實現(xiàn)認證，認證后教育網(wǎng)用戶通過VPN對數(shù)據(jù)傳輸進行加密。

同時，在教育城域網(wǎng)中建議采用Radius、LDAP、MS AD等專業(yè)認證服務器進行用戶數(shù)據(jù)庫的集中管理，通過集中的用戶數(shù)據(jù)庫管理，可以解決用戶在不同的教育網(wǎng)業(yè)務系統(tǒng)中使用多套用戶名及密碼的問題，并為單點登錄（SSO）提供支持。

二、實名制用戶訪問控制

在用戶接入教育城域網(wǎng)之后，根據(jù)接入用戶的身份及所屬用戶組，進行不同業(yè)務系統(tǒng)的權(quán)限訪問控制、上網(wǎng)行為控制、流量管理控制，從而進行教育網(wǎng)實名制用戶訪問和控制。

1.對實名制用戶進行業(yè)務訪問控制，根據(jù)實際情況劃分安全域及業(yè)務系統(tǒng)，將教育網(wǎng)分不同用戶類型進行防護，并設(shè)置細粒度的安全策略如設(shè)置基于源、目的IP、實名制用戶、用戶組、應用訪問類型等進行控制，防止非授權(quán)的訪問。

2.對實名制用戶進行上網(wǎng)行為控制，根據(jù)不同用戶類型進行上網(wǎng)行為管控，如對學生上網(wǎng)進行URL分類和訪問控制，引導學生健康上網(wǎng)。

3.對實名制用戶進行流量管理，根據(jù)不同用戶和應用進行多層次的流量管理，實現(xiàn)細粒度的流量管理，保障教學、辦公等關(guān)鍵業(yè)務的帶寬，限制P2P、網(wǎng)絡(luò)下載等大量占用帶寬的應用流量。

通過在教育城域網(wǎng)中進行實名制用戶的訪問控制，使教育網(wǎng)管理人員能夠根據(jù)校領(lǐng)導、教師、職工、家屬、學生的不同身份，來制定不同業(yè)務系統(tǒng)的安全策略，使得安全策略更具有針對性。

三、實名制用戶日志審計

在教育城域網(wǎng)中，隨著接入用戶不斷增加，日志的數(shù)量也不斷增加，需要保證能對產(chǎn)生海量日志進行實名制審計，尤其針對校園網(wǎng)用戶的上網(wǎng)會話信息、NAT信息、URL訪問信息需要進行實名制日志審計，符合監(jiān)管部門的要求并能及時進行查詢。

在教育城域網(wǎng)中，即使通過用戶認證接入，用戶信息也是在認證服務器上集中管理，而日志審計設(shè)備上無法關(guān)聯(lián)到用戶信息，導致記錄的日志只有相應的IP信息，卻沒有關(guān)聯(lián)用戶信息。因此，在日志審計和查找時候需要在不同的設(shè)備上查找，在認證服務器上查找IP和用戶對應關(guān)系，在日志審計設(shè)備上查找該IP相關(guān)的日志信息，從而得到用戶的相關(guān)日志。而這種關(guān)聯(lián)的方法，往往耗費了大量的時間和精力。

如何應對這種需要手動關(guān)聯(lián)和查找問題呢？在實名制用戶的教育城域網(wǎng)建設(shè)中，可以規(guī)劃將用戶認證服務器和安全訪問控制、日志審計等設(shè)備進行聯(lián)動，讓其他進行實名制用戶控制、審計的設(shè)備從用戶認證服務器上自動獲取相應的IP和用戶綁定信息，自動同步用戶信息。這樣，進行日志審計時就可以在日志中自動關(guān)聯(lián)出用戶信息，進行實名制用戶的日志審計，無須管理人員進行多個設(shè)備間信息的查找和關(guān)聯(lián)，提升了運維和管理的效率。

通過上述在教育城域網(wǎng)中進行實名制用戶的接入、訪問控制和日志審計的方案，構(gòu)建了一個基于實名制用戶進行安全管理的教育網(wǎng)。做到了以人為中心、網(wǎng)絡(luò)設(shè)備作為工具，真正做到“以人為本”的安全管理，既保障了教育網(wǎng)用戶健康上網(wǎng)，又符合了國家安全監(jiān)管的要求。

參考文獻：

[1]吳娟，林紅.分布式用戶認證為單點登錄護航[J].中國教育網(wǎng)絡(luò)，2010，（10）.

[2]黃藝海，胡君.日志審計系統(tǒng)設(shè)計與實現(xiàn)[J].計算機工程，2006，（22）.

[3]實名審計及權(quán)限管理在網(wǎng)絡(luò)管理中應用[DB/OL].