高校教學網(wǎng)絡終端準入控制系統(tǒng)設計

陸 立 華

(西北工業(yè)大學 計算機學院, 陜西 西安 710129)

隨著信息技術的發(fā)展,高校教育教學以及學習方式都發(fā)生了一定的改變.高校教學網(wǎng)絡終端使得學生獲取信息的渠道多種多樣,能夠根據(jù)自己的需求以及能力對教學進行調(diào)整.但是,高校教學網(wǎng)絡終端在為信息傳播帶來巨大便利的同時,也暴露了很多的安全問題,高校教學網(wǎng)絡終端用戶各類信息丟失和泄露的情況時有發(fā)生,其中網(wǎng)絡緩存信息被篡改事件發(fā)生的數(shù)量更是極速增長,該問題已經(jīng)引起了人們的高度重視[1].

高校內(nèi)部對于外來電腦以及智能終端接入內(nèi)網(wǎng)的行為沒有全面進行認證控制,使得外來人員能夠輕而易舉地將終端接入校內(nèi)網(wǎng)絡,使得高校隱秘信息泄露,惡意用戶的接入使網(wǎng)絡服務器被惡意攻擊,造成嚴重的后果.常見防泄漏結(jié)構(gòu)不能有效解決這一現(xiàn)象,傳統(tǒng)未篡改緩存信息準入控制系統(tǒng)普遍忽略備份恢復,造成未篡改緩存信息準入效果不佳的結(jié)果[2].本文為解決上述問題設計了一種新的高校教學網(wǎng)絡終端緩存信息準入控制系統(tǒng).高校教學網(wǎng)絡終端是為無線應用而設計的一種低成本網(wǎng)絡終端,隨著無線WIFI技術的發(fā)展,私自增加外聯(lián)WIFI設備接入終端上網(wǎng)的行為更加難以控制,本系統(tǒng)在高校教學網(wǎng)絡終端中設計了一個緩存信息備份恢復模塊,以此來彌補傳統(tǒng)系統(tǒng)只能在緩存信息被篡改時起到防護作用的不足.網(wǎng)絡準入控制指的是按照預先設定的準入策略,對用戶身份進行驗證,對終端的健康狀態(tài)、運行狀況以及用戶上網(wǎng)行為進行檢測,提出了緩存信息提取方法,通過該方法實現(xiàn)對未篡改緩存信息的提取,并運用MD5算法對緩存信息提取結(jié)果進行加密處理,以此來保證緩存信息的安全性,減小信息被篡改的概率,提高緩存信息準入控制的準確率.根據(jù)實驗結(jié)果可以得出,所提系統(tǒng)實用性較高,功能完善,可利用性強.

1 教學網(wǎng)絡終端準入控制系統(tǒng)設計

控制系統(tǒng)設計原則包括3個方面,分別是接入限制、主動控制以及動態(tài)調(diào)整.接入限制指的是學生在享受網(wǎng)絡服務之前必須確保一定的網(wǎng)絡安全程度,避免個別用戶的網(wǎng)絡安全隱患造成整個網(wǎng)絡結(jié)構(gòu)的破壞;主動控制指的是對于學生端以及系統(tǒng)的網(wǎng)絡安全狀態(tài)進行主動監(jiān)測,一旦有疑似安全隱患出現(xiàn),相應的控制反饋系統(tǒng)會被啟動,從而對整個網(wǎng)絡系統(tǒng)做出及時的糾錯與調(diào)整,保證網(wǎng)絡安全運行;動態(tài)調(diào)整指的是對整個高校網(wǎng)絡進行安全狀態(tài)分析,針對相應的安全隱患制定應對策略,使得其他安全設備的調(diào)整具有一定的動態(tài)智能性.

網(wǎng)絡準入控制一般系統(tǒng)包括3個邏輯部件,分別為接入請求設備、網(wǎng)絡準入控制器以及網(wǎng)絡準入服務器等.接入請求設備指的是訪問網(wǎng)絡的受控實體,裝有準入控制代理的終端設備,比如iPad、筆記本電腦以及手機等.主要作用是連接網(wǎng)絡結(jié)構(gòu),進行協(xié)商工作,對終端健康狀態(tài)信息進行采集.準入設備的組成包括多個安全組件,是一個客戶端軟件集.網(wǎng)絡準入控制器用來對用戶終端的訪問權進行限制,并將相關信息轉(zhuǎn)入網(wǎng)絡準入服務器進行檢測,檢測包括兩部分,一是準入之前,二是準入之后.準入前檢測是在終端擁有網(wǎng)絡權限的基礎上進行的,準入后檢測的作用主要是監(jiān)控網(wǎng)絡及終端的運行情況.根據(jù)檢測提供的準入控制決策信息,進行準入控制操作;網(wǎng)絡準入服務器指的是控制系統(tǒng)的決策單位.網(wǎng)絡管理者制定相關準入策略,服務器依照策略,按照控制器轉(zhuǎn)入的對應安全信息,對終端的網(wǎng)絡健康狀態(tài)進行評估,將作出的準確決策轉(zhuǎn)回準入控制器.

1.1 系統(tǒng)硬件設計

當前,已存在的緩存信息準入控制系統(tǒng)硬件主要包括漏洞掃描模塊、入侵檢測模塊、安全配置模塊和防火墻保護模塊等[3],其中,安全配置模塊和漏洞掃描模塊起到緩存信息在被篡改之前的防范作用,防火墻保護模塊和入侵檢測模塊在緩存信息正在被篡改時對其進行保護,阻止正在發(fā)生的攻擊行為.以上模塊可以在一定程度上防止高校教學網(wǎng)絡終端篡改緩存信息準入情況的發(fā)生,但僅靠上述系統(tǒng)以及這些已有模塊不足以對緩存信息實行全面的保護,因此,設計了緩存信息數(shù)據(jù)遠程備份模塊和緩存信息數(shù)據(jù)遠程備份恢復模塊[4].

(1) 緩存信息數(shù)據(jù)遠程備份模塊.實現(xiàn)高校教學網(wǎng)絡終端緩存信息的遠程備份和保證本地數(shù)據(jù)的完整性是緩存信息數(shù)據(jù)遠程備份模塊的主要功能,客戶端和網(wǎng)絡終端是緩存信息數(shù)據(jù)遠程備份模塊的主要組成部分.其中,客戶端主要功能是保存?zhèn)浞菸募?網(wǎng)絡終端的功能是保存遠程數(shù)據(jù)源[5].當客戶端發(fā)起一個應用請求之后,遠程備份模塊生成請求命令,并對該請求進行處理.通過TCP/IP協(xié)議對這些命令進行封裝處理,為了確保緩存信息數(shù)據(jù)在傳輸過程中的穩(wěn)定性,由FTP/FTPS協(xié)議對其進行傳輸.網(wǎng)絡終端收到數(shù)據(jù)包之后將原命令和數(shù)據(jù)解析出來,然后遠程備份模塊會根據(jù)請求命令完成對緩存信息數(shù)據(jù)的備份[6],如圖1所示.

圖1 緩存信息數(shù)據(jù)遠程備份流程Fig.1 Cache information data remote backup process

(2) 緩存信息數(shù)據(jù)遠程備份恢復模塊.本地備份系統(tǒng)與遠程備份系統(tǒng)是緩存信息恢復模塊的兩大組成部分,緩存信息數(shù)據(jù)壓縮與加密、緩存信息數(shù)據(jù)遠程備份與恢復、多種版本管理是遠程備份恢復模塊的幾大功能.其中,本地備份系統(tǒng)通過快照技術來實現(xiàn)作用,當緩存信息數(shù)據(jù)正在被篡改或用戶發(fā)送查看請求時,高校教學網(wǎng)絡終端通過快照技術將緩存信息快照發(fā)送至用戶界面供其瀏覽,該步驟有利于完成對系統(tǒng)的實時修復[7].在高校教學網(wǎng)絡終端的頁面和快照文件在同一時刻被破壞時,僅僅依靠本地備份系統(tǒng)無法完成對已篡改緩存信息的恢復,為了進一步保障高校教學網(wǎng)絡終端中緩存信息的安全,針對上述問題設計了一種遠程備份恢復模塊,將該模塊安裝在高校教學網(wǎng)絡終端上,此時管理員需要選定一個備份策略,備份策略主要包括差量備份、完全備份和增量備份.差量備份與增量備份的主要區(qū)別為:增量備份判斷數(shù)據(jù)更新標準的基礎是上一份備份檢查點,且會對從上次完全備份或者增量備份后經(jīng)過修改的文件進行備份,差量備份是依據(jù)完全備份檢查點,僅對上次完全備份后經(jīng)修改的文件進行備份.備份策略包含備份對象、備份方法、備份頻率、保存時間等.根據(jù)管理員選定的備份策略實現(xiàn)對緩存信息數(shù)據(jù)備份的恢復.

備份策略中,完全備份具有備份量大的特點,會產(chǎn)生占用空間大的問題;差量備份的時間效率較高,但是空間利用率不高,增量備份的空間利用率較高,但是時間效率不高[8].根據(jù)上述分析可知,單一的備份策略不具備完整性,因此要設計一個備份策略選定方式,高校按照數(shù)據(jù)的重要程度、數(shù)據(jù)管理方式的不同制定與之相對應的備份策略.具體備份策略選擇方式,一是根據(jù)數(shù)據(jù)的留存時間以及可獲取性充分考慮備份介質(zhì)的類型,組織結(jié)構(gòu)根據(jù)備份的規(guī)模而定,確定一個最佳的備份時間,結(jié)合回復操作的位置、時間以及影像備份的數(shù)據(jù)壓縮,根據(jù)信息的特征盡量將生產(chǎn)性操作中的干擾程度降到最低;二是針對文件的位置、大小以及數(shù)目,確定備份策略,組織結(jié)構(gòu)的異構(gòu)平臺眾多,且支持方案多種多樣,備份過程必須在各個異構(gòu)平臺相互協(xié)作下完成,用相互作用以及內(nèi)容的完整性進行解釋說明,因為當文件系統(tǒng)含有很多小文件時,文件大小也會影響備份過程;三是備份策略的選擇也依賴備份所用的介質(zhì),在備份大量小文件的時候,若磁帶系統(tǒng)的啟動和停止操作時間過長,也會對備份性能造成影響,因此必須保證啟動停止操作時間適中.用戶可以根據(jù)自身條件選擇最適合自己的備份策略,備份恢復模塊工作流程如圖2所示.

1.2 系統(tǒng)軟件設計

(1) 緩存信息提取.傳統(tǒng)高校教學網(wǎng)絡終端緩存信息準入控制系統(tǒng)采用802.1 x技術,對所有緩存信息數(shù)據(jù)進行提取,該方法在對緩存信息數(shù)據(jù)進行提取時,需要根據(jù)系統(tǒng)內(nèi)硬盤序列號、MAC地址等屬性特點,對緩存信息進行特定標識處理,在結(jié)合系統(tǒng)CPU參數(shù)的條件下,標識緩存信息的大致位置,該方法不能實現(xiàn)對緩存信息的全面提取[9].

圖2 備份恢復系統(tǒng)模塊Fig.2 Module of backup recovery system

為解決上述問題,提出基于粗糙集的緩存信息提取方法,該方法的基本思想是經(jīng)某種預先確定好的非線性映射將輸入向量映射到高維空間之中.具體提取過程如下.

假設2種不確定的緩存差異化信息數(shù)據(jù)樣本集為{x,y},其中,x∈R,y∈{0,∞},通過非線性映射φ將樣本信息數(shù)據(jù)從原空間映射到高維特征空間φi=(φ1,φ2,φ3,…,φn)中,通過式(1)可以獲得高維特征空間中的最優(yōu)緩存信息數(shù)據(jù)集,

y=ωφ(x)a.(1)

其中,ω表示權系數(shù)向量;a表示閾值.

運用粗糙集求解式(2)描述的優(yōu)化問題,

(2)

其中,參數(shù)C表示錯分懲罰因子;ζ表示松弛變量.

對于粗糙集來說,參數(shù)C是允許調(diào)整的,取不同的參數(shù)值,對應的緩存信息泛化能力也不同.

目前,基于粗糙集的緩存信息提取方法,普遍使用固定的參數(shù)值,采用網(wǎng)格搜索實現(xiàn)對信息參數(shù)的優(yōu)化提取.粗糙集運用波段型網(wǎng)絡節(jié)點的差異化所對應的數(shù)據(jù)集進行參數(shù)優(yōu)化和分類,實現(xiàn)對高校教學網(wǎng)絡終端緩存信息的有效提取.

(2) 基于MD5算法的緩存信息加密處理.MD5算法(message digest algorithm 5),是計算機中應用較廣的雜湊算法之一,高度離散和不可逆是MD5加密算法的特點,該算法可以將任意長度的字節(jié)串轉(zhuǎn)換成一定長度的十六進制整數(shù),具體做法就是按照512位進行分組,并將其劃分成16個32位的子分組,最后輸出4個十六進制32位分組的級聯(lián)數(shù)字,該算法在抗差分和抗分析方面優(yōu)于其他算法[10].

使用符合PKCS#1標準的MD5算法對高校教學網(wǎng)絡終端緩存信息進行加密處理,密匙的長度選取為1024 bit,按照PKCS#1標準將加密所需要的明文增加至128 byte,明文的長度可以選擇為1-117 byte.對超出的長度要按照分段的方式進行分割,同樣,當數(shù)據(jù)長度無法達到8 byte的倍數(shù)時要對其進行補充處理,當數(shù)據(jù)長度大于248 byte的時候進行分割處理[11-12].MD5算法在處理性能上具有較大優(yōu)勢,MD5算法所需的循環(huán)次數(shù)較多,MD5算法中的大數(shù)量級和多層循環(huán)嵌套,可以通過展開循環(huán)操作對計算時間進行縮短,一個循環(huán)體采用的循環(huán)次數(shù)保持在5～10之間.在實現(xiàn)MD5算法時對于指令跳轉(zhuǎn)語句使用盡可能減少,并減少CPU執(zhí)行代碼尋址時間.在執(zhí)行MD5算法時,定義變量與執(zhí)行算法的CPU寄存器長度一致,使得整個代碼中的數(shù)值計算速度提高.減少MD5算法中的變量個數(shù),使得整個計算機框架CPU內(nèi)存讀取與寫作時間均低于平均水平.其中開銷最小的加密算法為DES算法.I/O時間開銷在測試結(jié)果中占有較大比重,因此PXD中DES算法與RSA算法的實測性能差異體現(xiàn)在對高校教學網(wǎng)絡終端緩存信息數(shù)據(jù)加密的過程中.融合于混沌理論給出離散混沌系統(tǒng)Logistic用戶信息資源傳輸加密的映射關系[13-14],得到用戶信息資源傳輸加密序列密碼,利用Logistic公式多次迭代獲得加密密文,在此基礎上完成對高校教學網(wǎng)絡終端緩存信息的加密,具體的步驟如下.

xn+1表示離散混沌系統(tǒng)Logistic的映射關系,利用式(3)可以得出

(3)

其中:ρ表示混沌序列,該序列具有隨機性;X表示高校教學網(wǎng)絡終端緩存信息數(shù)據(jù)的原始狀態(tài);X(n)表示混沌序列參數(shù)的敏感性;xi表示混沌信號,這里的混沌信號是最大周期下的混沌信號;β表示隨機參數(shù),K表示映射請求參數(shù).

當β處在固定取值范圍之間時,系統(tǒng)當前狀態(tài)為混沌狀態(tài),此時將X代表的初始狀態(tài)與隨機參數(shù)β設置為種子密鑰,通過式(4)可以得出緩存信息數(shù)據(jù)的序列密碼

xk=f(xn)ZΔK.(4)

其中:f(xn)表示維數(shù);Z表示混沌變量的連續(xù)值;ΔK表示混沌迭代的置亂性.

ψ表示混沌序列概率分布的密度函數(shù),式(5)可以融合Logistic映射,由周期分岔可以進入到混沌序列

(5)

其中:P(π)表示偽隨機序列;I表示混沌序列軌跡點的均值;φ表示目標函數(shù);θ表示量化值;τ表示概率變化參量.

ε(n,m)表示通過置換后緩存信息的加密密文,式(6)可以描述緩存信息傳輸加密過程.

孝是指人們發(fā)自內(nèi)心的對父母長輩的一種尊敬、關心和體貼。它是儒家道德準則中的第一項內(nèi)容，也就是所謂的“百行孝為先”。 《論語》指出：“弟子入則孝，出則弟，謹而信泛愛眾而親仁?！睂τ谛⒌睦斫?，《論語》做了詳實的論述，指出：“父在，觀其志；父沒，觀其行；三年無改于父之道，可謂孝矣?！币簿褪钦f，一個人，當他父親在世時，觀察其志向；去世后，觀察行為；三年后仍不改父親的原則，就履行了孝道?！吧轮远Y；死，葬之以禮，祭之以禮?！薄案改肝ㄆ浼仓畱n。”即，父母在世時或去世后，按照禮節(jié)侍奉或埋葬、祭祀他們；只讓父母憂愁生病之事，其他均不應該讓父母憂愁擔心。

(6)

式(6)中,λ表示緩存信息加密結(jié)果,μ表示混沌變量的連續(xù)值,ΔK表示加密過程的復雜度.

式(7)為解密端的Logistic映射方程式,映射結(jié)果X′可描述為

(7)

其中:γ表示混沌二進制序列密碼;νj表示對緩存信息進行解密后的結(jié)果;v表示解密端的隨機參數(shù).

γmin表示序列密碼的最小周期,式(8)可以得出具體的緩存信息加密過程.

(8)

綜上所述,基于MD5算法完成了對高校教學網(wǎng)絡終端緩存信息的加密處理.

2 實驗驗證與結(jié)果分析

為了驗證高校教學網(wǎng)絡終端緩存信息準入控制系統(tǒng)的實用性價值,設計如下對比實驗.以兩臺同時配備VC6.0開發(fā)平臺和WinPcap驅(qū)動軟件的計算機作為實驗對象,測試系統(tǒng)硬件平臺是P4-3.0GHZ,2GB內(nèi)存以及250G硬盤計算機,實驗時間設置為30 min.以信息抽取準確率、準入成功率和用戶滿意度作為實驗指標對傳統(tǒng)系統(tǒng)和所提系統(tǒng)進行對比分析.

2.1 緩存信息抽取率對比

以30 min作為實驗時間,分別驗證該段時間內(nèi),應用本文設計系統(tǒng)、文獻[3]系統(tǒng)和文獻[4]系統(tǒng)緩存信息抽取率的變化情況,對緩存信息的抽取不可能達到完全抽取,因此將緩存信息抽取率上限設定為70%,具體實驗結(jié)果如圖3所示.

分析圖3可知,隨著實驗時間的增加,應用本系統(tǒng)后,緩存信息抽取率呈現(xiàn)先上升、再下降的變化趨勢,實驗時間處于20～25 min之間時,緩存信息抽取率達到最大值84%,超過目標上限數(shù)值70%;應用文獻[3]系統(tǒng)后,緩存信息抽取率呈現(xiàn)持續(xù)上升的趨勢,實驗時間處于25～30 min之間時,緩存信息抽取率達到最大值52%,該值遠低于本系統(tǒng).文獻[4]系統(tǒng)的緩存信息抽取率同樣低于本系統(tǒng),通過上述數(shù)據(jù)可知,本系統(tǒng)緩存信息抽取率較高,可以對緩存信息實現(xiàn)較為準確的抽取.

圖3 不同系統(tǒng)緩存信息抽取率對比圖

2.2 準入成功率對比

同樣以30 min作為實驗時間,分別驗證在該段時間內(nèi),文獻[3]系統(tǒng)和本系統(tǒng)準入成功率方面的對比情況,具體實驗結(jié)果如圖4所示.

圖4 不同系統(tǒng)準入成功率對比圖

分析圖4可知,隨著實驗時間的增加,應用本系統(tǒng)后,未篡改緩存信息成功率呈現(xiàn)逐漸上升、再下降的變化趨勢,實驗時間處于20～25 min之間時,準入成功率達到最大值86.77%;應用文獻[3]系統(tǒng)后,未篡改緩存信息成功率大致呈現(xiàn)穩(wěn)定、下降、上升、下降的變化趨勢,實驗時間處于20～25 min之間時,準入成功率達到最大值50%,遠低于本系統(tǒng).上述數(shù)據(jù)說明本系統(tǒng)準入成功率比傳統(tǒng)系統(tǒng)高,并且本系統(tǒng)的準入成功率在實驗時間內(nèi)整體呈穩(wěn)定上升趨勢.

2.3 用戶滿意度對比

同樣是在30 min的實驗時間內(nèi),給出傳統(tǒng)系統(tǒng)和本系統(tǒng)在用戶滿意度方面的對比情況,滿意值為0～100,值越高代表滿意度越高,具體實驗結(jié)果如表1所示.

表1 不同系統(tǒng)的用戶滿意度對比

分析表1中數(shù)據(jù)可知,用戶對本系統(tǒng)的滿意度高于文獻[3]系統(tǒng)和文獻[4]系統(tǒng),說明采用本系統(tǒng)對高校教學網(wǎng)絡終端緩存信息篡改情況進行準入控制時,更容易滿足用戶的實際需求,說明本系統(tǒng)應用性較強.

3 結(jié) 語

為解決傳統(tǒng)系統(tǒng)緩存信息抽取率低、準入成功率不高的問題,設計一個高校教學網(wǎng)絡終端緩存信息準入控制系統(tǒng).

為了解決當前未篡改緩存信息系統(tǒng)中對于備份重視程度不夠的問題,提出了緩存信息數(shù)據(jù)遠程備份與恢復模塊,并提出了基于粗糙集的緩存信息提取方法,完成對未篡改緩存信息控制系統(tǒng)的硬件設計.本系統(tǒng)以多版本控制技術管理備份緩存信息數(shù)據(jù)為基礎,按照用戶端的需求對數(shù)據(jù)進行不同時期以及版本的備份.采用基于MD5算法的緩存信息加密處理技術對備份數(shù)據(jù)進行加密.實驗結(jié)果顯示,本系統(tǒng)可以高效的備份和修復高校教學網(wǎng)絡終端緩存信息數(shù)據(jù),能降低緩存信息被篡改的幾率,對于緩存信息被篡改問題來說不失為一個快速高效的解決手段.

未來筆者將以該控制系統(tǒng)作為研究基礎,對各項控制弊端進行改進設計,力求在短時間內(nèi),提升對高校教學網(wǎng)絡終端緩存信息準入控制系統(tǒng)的有效應用.