大學(xué)生宿舍網(wǎng)絡(luò)RBAC的設(shè)計(jì)初探

【摘要】以完善大學(xué)生宿舍的網(wǎng)絡(luò)管理模式及功能為目的，從大學(xué)生宿舍網(wǎng)絡(luò)的特點(diǎn)、對(duì)其現(xiàn)狀的分析、以及網(wǎng)絡(luò)管理的角度入手，論述了大學(xué)生宿舍網(wǎng)絡(luò)運(yùn)行中經(jīng)常出現(xiàn)的一些問題與弊端，分析進(jìn)行訪問控制的必要性。提出通過在分布式網(wǎng)絡(luò)管理平臺(tái)的部署并設(shè)計(jì)基于角色的網(wǎng)絡(luò)訪問控制系統(tǒng)，為學(xué)生宿舍網(wǎng)絡(luò)訪問控制的實(shí)施提供可行方案。

【關(guān)鍵詞】宿舍網(wǎng)絡(luò)RBAC分布式系統(tǒng)設(shè)計(jì)

【中圖分類號(hào)】TN711【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1009-8585(2011)05-0-02

1 引言

隨著高校信息化、網(wǎng)絡(luò)化的發(fā)展，校園網(wǎng)已經(jīng)延伸到學(xué)生宿舍，為大學(xué)生拓展視野，獲取最新知識(shí)和豐富業(yè)余文化生活帶來了極大的便利，已經(jīng)并將繼續(xù)深刻改變學(xué)生的生活。學(xué)生宿舍網(wǎng)絡(luò)的管理是校園網(wǎng)管理的一個(gè)重要領(lǐng)域，具有用戶數(shù)量多、數(shù)據(jù)流量大、安全隱患多等較突出的特點(diǎn)，同時(shí)學(xué)生用戶自我約束力較弱，容易產(chǎn)生網(wǎng)絡(luò)濫用，影響學(xué)習(xí)和正常生活。因此，加強(qiáng)宿舍網(wǎng)絡(luò)的管理，確保宿舍網(wǎng)絡(luò)穩(wěn)定高效、穩(wěn)定地運(yùn)行，同時(shí)對(duì)學(xué)生上網(wǎng)進(jìn)行適當(dāng)?shù)牟呗约s束，成為一項(xiàng)重要的課題。

2 學(xué)生宿舍網(wǎng)絡(luò)的現(xiàn)狀

首先大學(xué)生宿舍網(wǎng)絡(luò)的信息點(diǎn)較為密集，一幢樓內(nèi)可能擁有幾百個(gè)網(wǎng)絡(luò)用戶。這些用戶的上網(wǎng)時(shí)間往往比較集中，各種各樣的網(wǎng)絡(luò)應(yīng)用形成巨大的數(shù)據(jù)流量。其次高校學(xué)生處于求知階段，求知欲望高，探索能力強(qiáng)。互聯(lián)網(wǎng)上大量的信息，對(duì)大學(xué)生有著巨大的吸引力，很容易在網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)聊天等方面花費(fèi)過多時(shí)間。最后，學(xué)生網(wǎng)絡(luò)安全防護(hù)能力參差不齊，安全意識(shí)普遍比較薄弱，計(jì)算機(jī)一旦感染病毒，將在宿舍網(wǎng)內(nèi)廣泛傳播，對(duì)網(wǎng)絡(luò)性能造成較嚴(yán)重的影響，甚至造成網(wǎng)絡(luò)的癱瘓。

3 網(wǎng)絡(luò)訪問控制簡介

網(wǎng)絡(luò)訪問控制是一套用于保障網(wǎng)絡(luò)及結(jié)點(diǎn)安全的協(xié)議集合。控制主體根據(jù)控制策略或權(quán)限對(duì)客體或資源進(jìn)行不同授權(quán)的訪問，限制對(duì)關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)以及合法用戶對(duì)資源的非法使用。作為一種安全產(chǎn)品，網(wǎng)絡(luò)訪問控制的目標(biāo)可以包括三個(gè)方面:

一是降低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。網(wǎng)絡(luò)訪問控制可以通過策略的定制，防止不安全的終端訪問網(wǎng)絡(luò)資源，同時(shí)還可以防止這種終端影響其他周邊計(jì)算機(jī)。

二是增強(qiáng)安全策略的制定。網(wǎng)絡(luò)訪問控制提供網(wǎng)絡(luò)管理員定義策略的接口，如允許訪問網(wǎng)絡(luò)的用戶角色、計(jì)算機(jī)類型、終端軟件名稱等，同時(shí)還可以在網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)等)強(qiáng)化實(shí)施這種策略。

三是支持身份和訪問管理。網(wǎng)絡(luò)訪問控制在基于IP地址制定訪問控制的基礎(chǔ)上，提供了基于角色的訪問控制的功能，在訪問控制方面更加靈活。

訪問控制的過程:如圖1所示，網(wǎng)絡(luò)訪問發(fā)起者首先向訪問控制實(shí)施單元提交訪問請(qǐng)求，該請(qǐng)求被轉(zhuǎn)發(fā)到訪問控制決策單元。決策單元根據(jù)管理員制定的策略對(duì)請(qǐng)求進(jìn)行審核判定，并把決策結(jié)果反饋給訪問控制的實(shí)施單元。訪問控制實(shí)施單元根據(jù)反饋結(jié)果決定是否允許這個(gè)訪問請(qǐng)求，如果用戶的請(qǐng)求符合策略要求，則允許進(jìn)行網(wǎng)絡(luò)訪問，否則將拒絕用戶訪問目標(biāo)單元。

目前訪問控制包括強(qiáng)制型訪問控制MAC(Mandatory Access Control)、自主型訪問控制DAC(Discretionary Access Control)和基于角色的訪問控制RBAC(Role-Based Access Control)等三種類型。其中DAC不利于實(shí)現(xiàn)統(tǒng)一的全局訪問控制，MAC授權(quán)的可管理性較差，RBAC技術(shù)克服了DAC和MAC的不足，同時(shí)可以減少授權(quán)管理的復(fù)雜性，為網(wǎng)絡(luò)管理員提供更高效的訪問策略實(shí)施環(huán)境，這種模式適合對(duì)學(xué)生宿舍網(wǎng)絡(luò)訪問控制的實(shí)施。

4 學(xué)生宿舍網(wǎng)絡(luò)訪問控制系統(tǒng)的設(shè)計(jì)

4.1 訪問控制的管理單元結(jié)構(gòu)

傳統(tǒng)的訪問控制系統(tǒng)一般采用由一個(gè)網(wǎng)絡(luò)管理員設(shè)置訪問控制，實(shí)施集中式管理模式，每個(gè)學(xué)生上網(wǎng)帳號(hào)都可以集中監(jiān)控，但是對(duì)于宿舍網(wǎng)來說，由于管理對(duì)象多達(dá)幾千人，要實(shí)現(xiàn)快速并大量修改設(shè)置訪問權(quán)限時(shí)，管理者的工作壓力是很大的。因此，在宿舍網(wǎng)絡(luò)管理上引入了分布式管理模式。這種模式以宿舍為基本管理單元，依次構(gòu)成樓層單元、樓宇單元、生活區(qū)單元等層次，與學(xué)生日常管理結(jié)構(gòu)相同。同時(shí)將網(wǎng)絡(luò)訪問控制權(quán)依次交給各級(jí)管理單元的管理者，將原來一個(gè)網(wǎng)管難以勝任的工作分解到多個(gè)網(wǎng)絡(luò)管理員，簡化了監(jiān)控、授權(quán)管理的工作任務(wù)。同時(shí)管理者擁有相對(duì)獨(dú)立的管理單元，他們的管轄范圍受到相應(yīng)管理單元的限制。

4.2 訪問控制系統(tǒng)中角色的定義

從網(wǎng)絡(luò)管理的角度，根據(jù)權(quán)限級(jí)別可以將用戶分為四類:

第一:一般用戶，指經(jīng)常在宿舍進(jìn)行網(wǎng)絡(luò)訪問的普通學(xué)生。

第二:樓層管理員。負(fù)責(zé)在相應(yīng)樓層進(jìn)行訪問控制的網(wǎng)絡(luò)管理員。這類角色應(yīng)該相對(duì)固定，并具有一定的網(wǎng)絡(luò)管理技術(shù)。

第三:宿舍樓網(wǎng)管。負(fù)責(zé)特定宿舍樓網(wǎng)絡(luò)訪問控制的管理員。這個(gè)管理員主要負(fù)責(zé)對(duì)全樓學(xué)生上網(wǎng)情況進(jìn)行監(jiān)控，同時(shí)指導(dǎo)各樓層管理員開展訪問控制策略的實(shí)施。

第四:網(wǎng)絡(luò)中心管理員。負(fù)責(zé)學(xué)生宿舍網(wǎng)絡(luò)進(jìn)出口的監(jiān)控，同時(shí)制定全局性的網(wǎng)絡(luò)訪問控制策略。該角色是訪問控制系統(tǒng)中的最核心管理層。

4.3 基于角色的訪問控制系統(tǒng)的總體結(jié)構(gòu)

圖中身份認(rèn)證服務(wù)器負(fù)責(zé)通過學(xué)號(hào)對(duì)上網(wǎng)學(xué)生的身份進(jìn)行認(rèn)證。訪問控制服務(wù)器向?qū)W生用戶提供訪問控制規(guī)則，響應(yīng)用戶請(qǐng)求。管理控制臺(tái)以圖形化界面定義角色和權(quán)限，實(shí)現(xiàn)用戶到角色、角色到權(quán)限的控制。數(shù)據(jù)庫用來存放上網(wǎng)學(xué)生的用戶集、角色集、權(quán)限集等信息。授權(quán)服務(wù)器主要負(fù)責(zé)對(duì)數(shù)據(jù)庫的管理，如讀取、寫入、修改等操作。與管理控制臺(tái)一起組成基于角色的訪問控制管理系統(tǒng)。

5 結(jié)語

本文分析了學(xué)生宿舍網(wǎng)絡(luò)運(yùn)行的基本情況和主要問題，指出實(shí)施訪問控制管理的必要性。討論了網(wǎng)絡(luò)訪問控制的原理、過程，比較了常見的訪問控制的類型。最后結(jié)合宿舍網(wǎng)絡(luò)管理實(shí)際，完成了基于角色的校園宿舍網(wǎng)絡(luò)訪問控制系統(tǒng)的三個(gè)主要單元的設(shè)計(jì)。

參考文獻(xiàn)

[1]陳利.基于端口的網(wǎng)絡(luò)訪問控制應(yīng)用模式[J]計(jì)算機(jī)工程，2009.(16)90-92.

[2]陳軍冰，王志堅(jiān).校園網(wǎng)角色訪問控制研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2006. (20):381-389.

[3]喬穎，須德，戴國忠.一種基于角色訪問控制(RBAC)的新模型及其實(shí)現(xiàn)機(jī)制.計(jì)算機(jī)研究與發(fā)展，2000.7(1):37～44.

[4]何海云，張春.基于角色的訪問控制模型分析.計(jì)算機(jī)工程，1999.25(8):41-44.