校園網的訪問控制模式研究

摘要：建立適用于校園網中所有應用的訪問控制模式，能夠進一步提高各個系統應用的靈活性和可用性，為教育網絡化數字化的學校發展奠定堅實的基礎。文章分析了校園網的各種數字資源及其使用的方法，討論了多種訪問方式，提出一種可靠的訪問控制模式保證校園網內各種應用的安全。

O引言

隨著計算機網絡在教育中的深入應用，學校越來越多地使用校園網進行辦公、教學、學習等等，師生員工也越來越離不開計算機網絡。通過校園網共享的學校資源有數字圖書、電子期刊、試題庫、教學素材庫、共享軟件資源等。數字化資源的共享范圍大小、共享程度高低已成為衡量學校綜合實力的重要指標之一，數字化資源也已成為學校的戰略資源。隨著學校信息化建設的發展，各種信息管理系統也轉移到校園網上，使教務管理、辦公系統、科研教研管理、學生信息管理、師資培訓等管理系統也成為數字化資源的重要組成部分。隨著教育的發展以及優質教學資源的共享，學校有多個校區已經成為當前普遍現象。學校規模的擴大，已有越來越多的教職員工和學生通過互聯網使用校園網。解決校外師生的遠程安全訪問校園網內電子數字資源已經成為資源共享的一個重要問題。本文通過研究校園網的互聯模式，分析各種數字化資源的使用和共享的方式，設計了一種學校數字化資源安全訪問控制模式，以方便資源共享，進一步推動學校的信息化。

1校園網互聯模式

學校部署的網絡邏輯上是一個整體，通過防火墻與Internet連接。多數學校使用交換機連接各個職能部門、信息中心、圖書館、實驗室、學生宿舍和教師公寓。學校通過光纖把多個校區連接起來形成單一的校園網，多個校區之間的核心交換機直接連接，形成頂層的校園網，從而使校園網形成層次結構，也方便了通過路由器與外界的互聯。校園網與外界之間設置的防火墻能夠保障校園網免受外部的不安全訪問。學校各個開放的應用通常布置在校園網的路由器與防火墻之間，其重要的數字資源和各種應用則放在學校內部的局域網中，受到防火墻的保護。校園網的出口之一為中國教育科研計算機網絡CERNET。有的學校為了加快訪問公網和國外網絡的速度，設置有另外—個出口連接電信網絡或其他廣域網絡。

2數字資源的訪問研究

學校的數字資源分布在校園網的多個局域網中，多數資源可以在校園網中通過C／S模式使用。校園網外部用戶則需要通過MODEM方式登錄到系統的遠程服務器上，通過校驗認證進入系統后使用資源。當前互聯網的上網模式多數為各種寬帶，校外用戶不可能擁有兩種模式；慢速的MODEM，也限制了很多資源的使用，比如多媒體課件資源和視頻資源。為此，對學校資源的訪問必須采用開放的方式，使所有校園網絡用戶通過互聯網能直接使用學校數字資源和各種管理系統。數字資源共享方式與資源的屬性有很大的關系，比如電子文件共享可以采用FTP的模式，戶名和密碼認證。

當前校園網的訪問控制，多數采用用戶名和密碼的簡單認證方式。在開放的網絡中，該方式安全性很差，采用共享的黑客軟件可以非常容易地獲取用戶名和密碼，盜用學校的各種數字資源。為了保護知識產權，提高數字資源的安全共享，多數系統服務采用指定IP地址范圍的方式限定網絡用戶，校外用戶IP地址分布范圍大而且分散，使該服務不容易實現。以上這些都限制了學校數字資源的遠程共享和各種應用。

為了數字資源的安全共享，應在校外用戶與共享資源之間建立一個安全的通道，而且該通道的成本比較低，使用也方便。對此，最為簡單的方式是采用虛擬專用網技術。虛擬專用網是把數據封裝在隧道協議中，通過已有的公網建立隧道，實現點到點或端到端的聯接。它是邏輯上獨立于公網的專用網絡。但虛擬專用網技術需要通過特殊設計的硬件和軟件直接共享虛擬的加密通道，也需要為每個局域網的資源提供一個專門的硬件服務器提高該模塊功能，需要專用安全協議支持。這些條件對于獨立的校外用戶來說幾乎是不可能的。為此需要研究出符合校外用戶訪問校內共享資源的合適方式。

3安全訪問控制模式

當前已經越來越普遍地使用PKI提供的安全訪問機制，它的部署比較方便，應用了數字證書的認證機制，設置了安全的訪問通道。我們在研究PKI的基礎上，設計了校園網的訪問控制模式。該系統分為三個層次，層次之間都有安全防護系統，只有通過合理的認證才能通過防護層。校園網的內部局域網部署了各種應用系統和各種數字資源，在內部網絡可以采用指定IP地址的方式進行訪問，外部網絡則需要通過校園網的認證進行訪問。互聯網用戶可以直接使用校園網的各種開放資源，但是不能直接訪問內部局域網保護的各種資源，除非通過校園網用戶管理中心頒發的數字證書的認證。校園網資源的重要性可以通過評估分類。校園網內部的用戶也可以提高安全訪問級別，采用認證方式訪問共享數字資源。校外用戶必須在計算機上安裝專門的客戶端認證套件才可以透明地、方便地進行認證和安全訪問校園網共享資源。

3.1校園網用戶管理中心

校園網用戶管理中心是安全訪問控制模式的基礎，它為校園用戶頒發數字證書，提供保證數據的機密性、文件的不可否認性、數據的完整性等功能。如果與其他學校的校園網用戶管理中心統一用戶管理，就可以在學校之間交叉認證，使多所學校的資源可以安全共享。如果和其他組織相互認證，可以進一步擴大使用的范圍，如各種電子交易等等。數字證書以及用戶私鑰，是絕對需要保密的數據，系統采用PIN進行初步的保護。

3.2認證應用服務器

認證應用服務器是校園網數字資源共享和各種應用安全訪問的核心，它采用資源目錄形式進行管理，每個目錄項代表一種可以共享的資源或各種應用信息。在校園網用戶管理中心的支持下，認證應用服務器為用戶提供登錄服務，為合法用戶建立安全通道，代理傳遞客戶請求到共享資源服務器或各種應用服務器，把獲取的數據安全傳遞到客戶端解析處理。

3.3客戶端認證套件

客戶端認證套件是安裝在校外用戶計算機中截獲網絡通信的嵌入式軟件，專門為用戶訪問學校共享資源或使用各種應用服務提供安全通信保證。當用戶不用學校共享資源時可以關閉該軟件，也可以通過設置使該軟件功能透明。當用戶訪問學校控制的共享資源時，把用戶數字證書和用戶的私有鑰匙導入軟件中，連接認證應用服務器，選擇要訪問的資源，即可使用普通的客戶端軟件。

3.4訪問控制過程

校外用戶使用學校數字資源或應用服務時，需要通過Web方式登錄到認證應用服務器，由客戶端認證套件和認證應用服務器的登錄模塊配合完成訪問控制。其詳細過程如下。

(1)校外用戶客戶端認證套件連接認證應用服務器，通過服務器的公開密鑰安全地把客戶的數字證書相關信息傳遞到服務器，由認證應用服務器向校園網用戶管理中心查看其合法性和有效期。

為了保證客戶端的安全訪問，在客戶計算機訪問校內網絡共享資源之前，特定的安全模塊強制掃描這臺計算機，采用實時防病毒軟件、防火墻檢驗其安全性。客戶端的操作系統及應用軟件必須是經過核準的，客戶端還要安裝好所有的關鍵安全更新組件，才可以登錄認證應用服務器。這樣可以避免木馬或網絡蠕蟲帶來的安全隱患。

(2)通過認證，認證應用服務器產生用于對稱加密的鑰匙和加密算法名稱以及資源目錄清單，采用數字證書中的公開鑰匙加密，傳遞到客戶端。并保存該用戶的數字證書，以便客戶再次登錄時，節省認證時間。

(3)校園網用戶把認證數據用私有鑰匙解開，獲取對稱加密算法和加密鑰匙。

(4)客戶選擇要使用的資源或應用，用協商的對稱加密算法加密并傳遞到認證應用服務器。

(5)認證應用服務器根據接收到資源服務項和用戶ID，確認其使用權限。如果用戶可以使用，則生成該用戶訪問資源或應用服務的一個在線服務模塊，代理用戶請求共享資源或服務，并把資源使用的界面傳遞到客戶端。為了更好定位和管理共享的數字資源和應用服務，認證應用服務器采用了輕型目錄服務LDAP協議，實現了臨時在線模塊與共享資源服務器之間的數字通信。

(6)客戶確定不再使用資源或應用服務時，該在線服務模塊撤銷，否則一直提供代理服務。為了提高安全性，該代理模塊每隔一定時間，產生一個新的對稱加密鑰匙。當用戶退出一個資源或應用服務時，認證應用服務器再次向用戶提供可用資源目錄。如果用戶不再使用校園網共享數字資源或服務時，則終止客戶端與認證應用服務器之間的連接。

本校園網的訪問控制模式可以保障師生員工在校外安全使用校園網共享資源或各種應用。對于校園網中儲存的重要信息，僅僅依靠認證應用服務器的控制和構筑堅固的邊界防火墻可能仍不夠安全，此時可以作進一步的認證，杜絕非法用戶的資源訪問。比如，可強制校外客戶端采用可選的雙因子驗證套件，綜合校園網用戶管理中心與目錄服務以及服務器網絡策略來執行客戶端驗證和授權。

4結束語

校園網中共享數字資源或應用對于開放環境下的教研、學習活動是非常重要的。本文提出的校園網訪問控制方案比較容易部署，使用簡單方便。多個學校的小批量測試證明，在強大的認證應用服務器的支持下，上百個校外用戶同時訪問時，本文提出的訪問控制模式基本達到設計目標。如果有幾千甚至幾萬個校外用戶的同時訪問，認證應用服務器可采用集群系統，通過多個認證應用服務器之間平衡代理請求，為共享的數字資源或應用提供較高的安全性和可用性。該方案的延伸可以解決學校之間資源的共享，減少重復建設，優化資源配置，使資源的利用率最大化。