随着高校数字校园建设工作的推进, 各高校逐步实现了教学网络化、教育手段现代化, 教学关键数据共享化极大提高了高校教学管理的效率, 促进了教学质量的提高。但同时, 因为数据的开放性和共享特性, 数字校园建设需要安全的网络环境作为基础, 首当其冲的就是对用户进行身份认证。
目前, 网络身份认证的实现方式很多, 主要有AAA认证、802.1x、MAC地址认证、portal认证、端口安全认证等, 通过对每种认证方式的理解再结合学院的实际情况, 我们将能够选出比较合适的认证方式进行部署。
AAA是Authentication、Authorization、Accounting (认证、授权、计费) 的简称, 是网络安全的一种管理机制, 提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构, 客户端运行于NAS上, 服务器上则集中管理用户信息。NAS对于用户来讲是服务器端, 对于服务器来说是客户端。
当用户想要通过某网络与NAS建立连接, 从而获得访问其它网络的权利或取得某些网络资源的权利时, NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器 (RADIUS服务器或HWTACACS服务器) , RADIUS协议或HWTACACS协议规定了NAS与服务器之间如何传递用户信息。
RADIUS (Remote Authentication Dial-In User Service, 远程认证拨号用户服务) 是一种分布式的、客户端/服务器结构的信息交互协议, 能保护网络不受未授权访问的干扰, 常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制, 并规定使用UDP作为封装RADIUS报文的传输层协议 (UDP端口1812、1813分别作为认证、计费端口) 。
802.1X协议是一种基于端口的网络接入控制协议 (port based network access control protocol) 。“基于端口的网络接入控制”是指, 在局域网接入设备的端口这一级, 对所接入的用户设备通过认证来控制对网络资源的访问。
802.1X系统为典型的Client/Server结构, 包括三个实体:客户端 (Client) 、设备端 (Router) 和认证服务器 (Server) 。
客户端是位于局域网段一端的一个实体, 由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备, 用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL (Extensible Authentication Protocol over LAN, 局域网上的可扩展认证协议) 。
设备端是位于局域网段一端的另一个实体, 对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备, 它为客户端提供接入局域网的端口, 该端口可以是物理端口, 也可以是逻辑端口。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法, 它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后, 即启动对该用户的认证操作。认证过程中, 不需要用户手动输入用户名或者密码。若该用户认证成功, 则允许其通过端口访问网络资源, 否则该用户的MAC地址就被添加为静默MAC。在静默时间内, 来自此MAC地址的用户报文将被丢弃处理。
Portal认证通常也称为Web认证。未认证用户上网时, 设备强制用户登录到特定站点, 用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时, 必须在门户网站进行认证, 只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站, 输入用户名和密码进行认证, 这种开始Portal认证的方式称作主动认证。反之, 如果用户试图通过HTTP访问其他外网, 将被强制访问Portal认证网站, 从而开始Portal认证过程, 这种方式称作强制认证。
Portal的典型组网方式由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
安装于用户终端的客户端系统, 为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
交换机、路由器等宽带接入设备的统称, 主要有三方面的作用:在认证之前, 将用户的所有HTTP请求都重定向到Portal服务器。在认证过程中, 与Portal服务器、安全策略服务器、认证/计费服务器交互, 完成身份认证/安全认证/计费的功能。在认证通过后, 允许用户访问被管理员授权的互联网资源。
接收Portal客户端认证请求的服务器端系统, 提供免费门户服务和基于Web认证的界面, 与接入设备交互认证客户端的认证信息。
与接入设备进行交互, 完成对用户的认证和计费。
与Portal客户端、接入设备进行交互, 完成对用户的安全认证, 并对用户进行授权操作。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制, 是对已有的802.1x认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问, 通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式, 让设备学习到合法的源MAC地址, 以达到相应的网络管理效果。启动了端口安全功能之后, 当发现非法报文时, 系统将触发相应特性, 并按照预先指定的方式进行处理, 既方便用户的管理又提高了系统的安全性。
在对五种主要认证技术进行了解后, 就需要根据学员的实际情况和具体需求来选择某一种或几种认证技术进行身份认证的实施。
目前, 学院共有师生员工6千人, 其中, 学生宿舍通过本地电信网络进行验证和接入互联网。因此, 学院网络接入安全主要考虑的是教职工办公网络身份认证方式的选择。
学院教职员工由于普遍信息素养较差, 难以掌握复杂认证的应用, 他们最关心的是身份认证会不会给他们带来额外的技术要求, 会不会影响他们的日常应用, 网络访问会不会被监控, 个人隐私会不会被泄漏。
从保障网络接入安全的角度考虑, 如何实现所有接入用户的身份验证、审计, 降低客户端本身安全隐患对学院网络的威胁成为用户接入身份验证策略选择的首要考虑条件, 同时, 也要为院外领导、专家及友好院校的同志来校考察、交流提供方便的网络接入方式。
综合以上情况, 学院采用mac地址认证和protal认证方式共同完成接入设备、用户的认证和安全管理。教职员工办公电脑的位置、使用者、mac地址都相对比较固定, 因此, mac地址认证能较好地满足学院教职员工信息素养普遍较低的现实情况。Mac地址认证在办公电脑接入网络之后由认证服务器和被认证设备自动完成, 整个过程完全不需要用户介入, 也不需用户安装任何客户端或者软件, 对普通用户是完全透明的。Mac地址认证比较繁琐的一点就是在认证服务启用之前, 需要管理员手动统计合法设备的mac地址并将其手动录入认证服务器合法设备mac地址表。
Protal认证可以用来较好地解决无线接入设备的认证。通过protal认证的强制重定向功能, 无线用户在接入学院无线网络时都会进入protal认证主页, 认证失败的用户将只能访问学院开放的极少数服务, 比如学院网站和新闻服务;认证成功的普通用户将可以访问学院绝大部分开放的服务及访问外部网络。Protal认证另外的一个好处是可以在protal认证主页上提供一些必要的软件下载或者显示重要公告, 可以更加方便地将某些重要信息告诉每一位采用无线上网方式的接入用户。
经过三个月的试用, mac+protal的组合方案确实能够比较好地实现学院办公区域网络的认证工作, 能够满足当前的应用需求。但是该方案也存在问题, mac地址认证仅能满足对设备进行认证, 但随着系部的合并以及系部公用电脑的出现, mac地址认证就无法对接入的用户身份进行认证, 存在着安全隐患。数字校园建设与管理中心考虑在下一步建设工作中采用其他的认证技术及对教职员工展开计算机使用技能培训来解决目前所面临的问题, 最终达到对网络接入及安全的高可控、高度自动化及全方位的管理。
推荐阅读:
论地方文献资源的数字化建设问题09-24
试论高校学生评教工作的理性思考论文07-10
学校管理中数字化管理平台的具体应用论文05-23
数字化工作流程在报纸印刷中的应用07-26
数字校园建设总结09-09
为什么选择民办高校06-12
数字化校园汇报07-06
数字化校园校长论坛06-08
