何哲文

摘 要： 隨著信息技術、網絡技術的飛速發(fā)展，校園網的應用越來越廣。由于校園網的開放性、互連性，使網絡面臨病毒和來自外部及內部人員的攻擊，安全問題越來越成為人們關注的焦點。為了提高校園網的安全性、加強對校園網的管理，迫切需要一個安全、可靠、高效的認證系統(tǒng)。本文通過對校園網認證系統(tǒng)的要求及對認證系統(tǒng)實現功能的分析，設計了一套安全、可靠、高效的校園網認證系統(tǒng)。

關鍵詞： 中職 校園網 通訊 認證

隨著計算機和因特網日益普及，許多院校都建立了自己的校園網，并通過因特網實現遠距離信息交流和資源共享。由于因特網的開放性、互連性等特征，校園網的安全問題越來越成為人們關注的焦點。

一、中職校園網絡安全現狀及原因

中職校園網絡安全問題主要包括以下幾方面，一是校園網絡安全軟、硬件基礎設施投入不足，沒有建立一套完善的網絡安全系統(tǒng)，大多數學校網絡安全建設和管理費用短缺，網絡設備更新和維護占據了主要經費支出，而網絡安全方面資金投入明顯不足。大多數學校校園網絡沒有建立安全防范系統(tǒng)，安全級別較低。二是學校網絡使用環(huán)境十分混亂，每個學校都為師生提供了公共上網環(huán)境，以方便師生工作和學習。這雖然能夠解決廣大師生網絡使用問題，提高學校信息管理人性化水平，為提高校園信息化水平做出了有益貢獻，但是由于缺乏統(tǒng)一管理和監(jiān)督，學校內部網絡機房的管理十分混亂，存在嚴重的部門條塊分割管理問題。許多網絡機房管理存在諸多缺陷，計算機用戶沒有采用實名登記，導致公共網絡成為校園網重大安全威脅。影響計算機網絡安全的因素很多，有些因素可能是有意的，也可能是無意的，可能是人為的，也可能是非人為的，對于中職校園網絡防止內部有意入侵是很關鍵的。

二、認證系統(tǒng)的目的及意義

隨著校園網應用規(guī)模和范圍的不斷拓寬，校園網的用戶數量不斷增加，因此對校園網的信息安全提出了更高的要求。一方面要保護校園網應用系統(tǒng)的資源不容易受到攻擊，另一方面要保證校園網信息只能是校園網合法用戶使用，另外還要有效阻止校園網信息不被篡改、濫用，確保信息數據的可用性、完整性、一致性?，F實的解決方案是對校園網的應用系統(tǒng)施行用戶認證。

身份認證是網絡安全的基本問題，它的實施將有效地保障用戶的合法權益，大大改善網絡安全管理，在校園網高速發(fā)展形勢下，要滿足大規(guī)模網絡可運營、可管理的要求，身份認證系統(tǒng)日益體現其重要意義。因此，校園網管理者作為一種特殊的網絡提供商，無論出于自身還是用戶的利益，都面臨著身份認證的技術和模式的選擇、改進問題。

三、校園網絡安全管理系統(tǒng)的實現

本系統(tǒng)是為校園網服務的，它一方面保證了校園網的安全，另一方面用于管理校園網。主要功能包括：防止外部攻擊、保護內部網絡、解決網絡邊界的安全問題同時實現流量統(tǒng)計、調控、計費、限制INTERNET訪問對象和對網絡資料的管理等網絡的管理。系統(tǒng)整體結構如圖1如示。

系統(tǒng)的工作流程為：

1.認證與管理服務器剛剛啟動時讀取初始化參數。

2.用戶計算機向認證服務器發(fā)出認證請求。

3.認證服務器讀數據庫用戶信息，回應用戶計算機認證請求。

4.認證服務器將合法用戶表發(fā)給防火墻。

5.每隔一定的時間管理服務器從防火墻取出計費流量信息，處理后寫入數據庫。

6.如果有超支用戶，管理服務器向防火墻發(fā)送用戶退出命令。

7.管理服務器任意時刻可以向數據庫查詢計費系統(tǒng)信息。

8.管理服務器任意時刻可以更改計費系統(tǒng)信息。

9.用戶登錄后隨時可以查詢用戶費用、修改用戶密碼。

10.認證服務器回應用戶查詢用戶費用、修改用戶密碼的請求。

四、校園網安全管理認證系統(tǒng)的實現

用戶認證是校園網絡安全的第一道防線，是校園網絡安全中的關鍵技術之一。用戶認證是指認證客戶在進入系統(tǒng)采用或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)采用基于用戶名和口令的方式確認該對象身份是否真實、合法和唯一。

校園網統(tǒng)一認證系統(tǒng)要求通過對客戶機和用戶進行身份認證，控制用戶通過哪些客戶機，可以對哪些服務器提供的哪些服務進行訪問，系統(tǒng)采用安全可靠的手段保證數據傳輸的安全性（即通過安全加密方式進行認證信息的數據傳輸）。其主要功能為：身份認證、超時認證、分組管理、退出網絡。

1.身份認證

校園網中的有些應用系統(tǒng)需要采取雙重身份認證機制，即用戶通過指定的客戶端向服務器發(fā)出請求，只有已注冊的用戶才能登錄成功，只有登錄成功的用戶才有訪問服務器規(guī)定權限范圍內的服務。用戶在登錄時需要進行客戶機和用戶雙重身份認證，即只有當此用戶和此客戶對此服務器都有訪問權限時才能進行訪問，否則被服務器拒絕。

2.退出網絡

用戶使用完網絡準備退出時，可以主動退出，回到認證頁，認證服務器能夠識別用戶已經通過認證，用戶選擇退出網絡，起始頁可以為認證頁面。當用戶退出網絡時，向防火墻發(fā)送通訊密碼、進網絡、用戶IP、認證服務器接收并處理用戶的退出請求，驗證該請求確為用戶所發(fā)，服務器確認了用戶的退出，同時認證服務器將用戶登錄信息寫入數據庫并通知防火墻將該用戶使用的IP地址與外部網絡斷開。

3.超時認證

為了防止合法用戶在操作過程中臨時離開或操作時間過長，防止合法用戶的不正常使用或非法用戶對應用系統(tǒng)的使用，以應對權用戶在認證通過后有超時限制的要求機制，設計用戶超時認證，即當授權用戶認證通過后，在一定時間范圍內（該時間段是可以根據應用系統(tǒng)的安全級別自行定義）未對服務器作任何操作時，超時后系統(tǒng)將用戶重新認證。用戶計算機如果關機或故障到一定時間（如15分鐘）后，認證服務器發(fā)現用戶不活動，自動處理用戶退出。

4.分組管理

本系統(tǒng)要求將用戶、客戶端和應用系統(tǒng)進行分組管理，即可以對用戶、客戶端和應用系統(tǒng)進行授權管理。對用戶管理包括用戶的注冊、修改用戶屬性、刪除用戶等。認證服務器定期（5～10分鐘）查詢數據庫，看管理端是否修改系統(tǒng)配置參數。認證服務器禁止或允許一個上網賬戶被多個用戶同時用來上網，用戶是否與IP地址綁定等。對應用系統(tǒng)的管理包括增加、刪除、維護等。

用戶認證是校園網絡安全的第一道防線，是網絡安全中的關鍵技術之一。認證服務器為校園網絡安全體系提供用戶認證、用戶退出等工作。通過建立公共認證系統(tǒng)，可以實現不分場所和不分時間方便地訪問校園網。認證系統(tǒng)多種多樣其中不乏比較完善的體系，但是這些方法不是孤立存在的。只有將多種技術結合起來、綜合應用，才能找到最安全的網絡認證方法。如果能夠獲取客戶端更多的物理特征（如CPU的ID＼硬盤序列號等）信息，將會使本系統(tǒng)更為完善，對提高校園網的應用安全效率更高。世界上沒有一種技術能真正保證絕對安全，人的安全意識對Internet的安全具有決定性作用。在建立網絡認證體系的同時，計算機使用者的安全意識的提高、網絡安全制度的建立健全、網絡安全組織體系的建立同等重要。

參考文獻：

[1]徐珉.認證專家信息教程.電子工業(yè)出版社.

[2]于海達.中國學術期刊全文數據庫.對校園網絡安全管理的認識.

[3]沈祥玖.Visual Basic程序設計.中國水利水電出版社.