何哲文

摘 要： 隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，校園網(wǎng)的應(yīng)用越來越廣。由于校園網(wǎng)的開放性、互連性，使網(wǎng)絡(luò)面臨病毒和來自外部及內(nèi)部人員的攻擊，安全問題越來越成為人們關(guān)注的焦點。為了提高校園網(wǎng)的安全性、加強對校園網(wǎng)的管理，迫切需要一個安全、可靠、高效的認證系統(tǒng)。本文通過對校園網(wǎng)認證系統(tǒng)的要求及對認證系統(tǒng)實現(xiàn)功能的分析，設(shè)計了一套安全、可靠、高效的校園網(wǎng)認證系統(tǒng)。

關(guān)鍵詞： 中職 校園網(wǎng) 通訊 認證

隨著計算機和因特網(wǎng)日益普及，許多院校都建立了自己的校園網(wǎng)，并通過因特網(wǎng)實現(xiàn)遠距離信息交流和資源共享。由于因特網(wǎng)的開放性、互連性等特征，校園網(wǎng)的安全問題越來越成為人們關(guān)注的焦點。

一、中職校園網(wǎng)絡(luò)安全現(xiàn)狀及原因

中職校園網(wǎng)絡(luò)安全問題主要包括以下幾方面，一是校園網(wǎng)絡(luò)安全軟、硬件基礎(chǔ)設(shè)施投入不足，沒有建立一套完善的網(wǎng)絡(luò)安全系統(tǒng)，大多數(shù)學校網(wǎng)絡(luò)安全建設(shè)和管理費用短缺，網(wǎng)絡(luò)設(shè)備更新和維護占據(jù)了主要經(jīng)費支出，而網(wǎng)絡(luò)安全方面資金投入明顯不足。大多數(shù)學校校園網(wǎng)絡(luò)沒有建立安全防范系統(tǒng)，安全級別較低。二是學校網(wǎng)絡(luò)使用環(huán)境十分混亂，每個學校都為師生提供了公共上網(wǎng)環(huán)境，以方便師生工作和學習。這雖然能夠解決廣大師生網(wǎng)絡(luò)使用問題，提高學校信息管理人性化水平，為提高校園信息化水平做出了有益貢獻，但是由于缺乏統(tǒng)一管理和監(jiān)督，學校內(nèi)部網(wǎng)絡(luò)機房的管理十分混亂，存在嚴重的部門條塊分割管理問題。許多網(wǎng)絡(luò)機房管理存在諸多缺陷，計算機用戶沒有采用實名登記，導(dǎo)致公共網(wǎng)絡(luò)成為校園網(wǎng)重大安全威脅。影響計算機網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的，可能是人為的，也可能是非人為的，對于中職校園網(wǎng)絡(luò)防止內(nèi)部有意入侵是很關(guān)鍵的。

二、認證系統(tǒng)的目的及意義

隨著校園網(wǎng)應(yīng)用規(guī)模和范圍的不斷拓寬，校園網(wǎng)的用戶數(shù)量不斷增加，因此對校園網(wǎng)的信息安全提出了更高的要求。一方面要保護校園網(wǎng)應(yīng)用系統(tǒng)的資源不容易受到攻擊，另一方面要保證校園網(wǎng)信息只能是校園網(wǎng)合法用戶使用，另外還要有效阻止校園網(wǎng)信息不被篡改、濫用，確保信息數(shù)據(jù)的可用性、完整性、一致性?，F(xiàn)實的解決方案是對校園網(wǎng)的應(yīng)用系統(tǒng)施行用戶認證。

身份認證是網(wǎng)絡(luò)安全的基本問題，它的實施將有效地保障用戶的合法權(quán)益，大大改善網(wǎng)絡(luò)安全管理，在校園網(wǎng)高速發(fā)展形勢下，要滿足大規(guī)模網(wǎng)絡(luò)可運營、可管理的要求，身份認證系統(tǒng)日益體現(xiàn)其重要意義。因此，校園網(wǎng)管理者作為一種特殊的網(wǎng)絡(luò)提供商，無論出于自身還是用戶的利益，都面臨著身份認證的技術(shù)和模式的選擇、改進問題。

三、校園網(wǎng)絡(luò)安全管理系統(tǒng)的實現(xiàn)

本系統(tǒng)是為校園網(wǎng)服務(wù)的，它一方面保證了校園網(wǎng)的安全，另一方面用于管理校園網(wǎng)。主要功能包括：防止外部攻擊、保護內(nèi)部網(wǎng)絡(luò)、解決網(wǎng)絡(luò)邊界的安全問題同時實現(xiàn)流量統(tǒng)計、調(diào)控、計費、限制INTERNET訪問對象和對網(wǎng)絡(luò)資料的管理等網(wǎng)絡(luò)的管理。系統(tǒng)整體結(jié)構(gòu)如圖1如示。

系統(tǒng)的工作流程為：

1.認證與管理服務(wù)器剛剛啟動時讀取初始化參數(shù)。

2.用戶計算機向認證服務(wù)器發(fā)出認證請求。

3.認證服務(wù)器讀數(shù)據(jù)庫用戶信息，回應(yīng)用戶計算機認證請求。

4.認證服務(wù)器將合法用戶表發(fā)給防火墻。

5.每隔一定的時間管理服務(wù)器從防火墻取出計費流量信息，處理后寫入數(shù)據(jù)庫。

6.如果有超支用戶，管理服務(wù)器向防火墻發(fā)送用戶退出命令。

7.管理服務(wù)器任意時刻可以向數(shù)據(jù)庫查詢計費系統(tǒng)信息。

8.管理服務(wù)器任意時刻可以更改計費系統(tǒng)信息。

9.用戶登錄后隨時可以查詢用戶費用、修改用戶密碼。

10.認證服務(wù)器回應(yīng)用戶查詢用戶費用、修改用戶密碼的請求。

四、校園網(wǎng)安全管理認證系統(tǒng)的實現(xiàn)

用戶認證是校園網(wǎng)絡(luò)安全的第一道防線，是校園網(wǎng)絡(luò)安全中的關(guān)鍵技術(shù)之一。用戶認證是指認證客戶在進入系統(tǒng)采用或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)采用基于用戶名和口令的方式確認該對象身份是否真實、合法和唯一。

校園網(wǎng)統(tǒng)一認證系統(tǒng)要求通過對客戶機和用戶進行身份認證，控制用戶通過哪些客戶機，可以對哪些服務(wù)器提供的哪些服務(wù)進行訪問，系統(tǒng)采用安全可靠的手段保證數(shù)據(jù)傳輸?shù)陌踩裕赐ㄟ^安全加密方式進行認證信息的數(shù)據(jù)傳輸）。其主要功能為：身份認證、超時認證、分組管理、退出網(wǎng)絡(luò)。

1.身份認證

校園網(wǎng)中的有些應(yīng)用系統(tǒng)需要采取雙重身份認證機制，即用戶通過指定的客戶端向服務(wù)器發(fā)出請求，只有已注冊的用戶才能登錄成功，只有登錄成功的用戶才有訪問服務(wù)器規(guī)定權(quán)限范圍內(nèi)的服務(wù)。用戶在登錄時需要進行客戶機和用戶雙重身份認證，即只有當此用戶和此客戶對此服務(wù)器都有訪問權(quán)限時才能進行訪問，否則被服務(wù)器拒絕。

2.退出網(wǎng)絡(luò)

用戶使用完網(wǎng)絡(luò)準備退出時，可以主動退出，回到認證頁，認證服務(wù)器能夠識別用戶已經(jīng)通過認證，用戶選擇退出網(wǎng)絡(luò)，起始頁可以為認證頁面。當用戶退出網(wǎng)絡(luò)時，向防火墻發(fā)送通訊密碼、進網(wǎng)絡(luò)、用戶IP、認證服務(wù)器接收并處理用戶的退出請求，驗證該請求確為用戶所發(fā)，服務(wù)器確認了用戶的退出，同時認證服務(wù)器將用戶登錄信息寫入數(shù)據(jù)庫并通知防火墻將該用戶使用的IP地址與外部網(wǎng)絡(luò)斷開。

3.超時認證

為了防止合法用戶在操作過程中臨時離開或操作時間過長，防止合法用戶的不正常使用或非法用戶對應(yīng)用系統(tǒng)的使用，以應(yīng)對權(quán)用戶在認證通過后有超時限制的要求機制，設(shè)計用戶超時認證，即當授權(quán)用戶認證通過后，在一定時間范圍內(nèi)（該時間段是可以根據(jù)應(yīng)用系統(tǒng)的安全級別自行定義）未對服務(wù)器作任何操作時，超時后系統(tǒng)將用戶重新認證。用戶計算機如果關(guān)機或故障到一定時間（如15分鐘）后，認證服務(wù)器發(fā)現(xiàn)用戶不活動，自動處理用戶退出。

4.分組管理

本系統(tǒng)要求將用戶、客戶端和應(yīng)用系統(tǒng)進行分組管理，即可以對用戶、客戶端和應(yīng)用系統(tǒng)進行授權(quán)管理。對用戶管理包括用戶的注冊、修改用戶屬性、刪除用戶等。認證服務(wù)器定期（5～10分鐘）查詢數(shù)據(jù)庫，看管理端是否修改系統(tǒng)配置參數(shù)。認證服務(wù)器禁止或允許一個上網(wǎng)賬戶被多個用戶同時用來上網(wǎng)，用戶是否與IP地址綁定等。對應(yīng)用系統(tǒng)的管理包括增加、刪除、維護等。

用戶認證是校園網(wǎng)絡(luò)安全的第一道防線，是網(wǎng)絡(luò)安全中的關(guān)鍵技術(shù)之一。認證服務(wù)器為校園網(wǎng)絡(luò)安全體系提供用戶認證、用戶退出等工作。通過建立公共認證系統(tǒng)，可以實現(xiàn)不分場所和不分時間方便地訪問校園網(wǎng)。認證系統(tǒng)多種多樣其中不乏比較完善的體系，但是這些方法不是孤立存在的。只有將多種技術(shù)結(jié)合起來、綜合應(yīng)用，才能找到最安全的網(wǎng)絡(luò)認證方法。如果能夠獲取客戶端更多的物理特征（如CPU的ID＼硬盤序列號等）信息，將會使本系統(tǒng)更為完善，對提高校園網(wǎng)的應(yīng)用安全效率更高。世界上沒有一種技術(shù)能真正保證絕對安全，人的安全意識對Internet的安全具有決定性作用。在建立網(wǎng)絡(luò)認證體系的同時，計算機使用者的安全意識的提高、網(wǎng)絡(luò)安全制度的建立健全、網(wǎng)絡(luò)安全組織體系的建立同等重要。

參考文獻：

[1]徐珉.認證專家信息教程.電子工業(yè)出版社.

[2]于海達.中國學術(shù)期刊全文數(shù)據(jù)庫.對校園網(wǎng)絡(luò)安全管理的認識.

[3]沈祥玖.Visual Basic程序設(shè)計.中國水利水電出版社.