張建偉

(寶雞文理學院 物理與光電技術(shù)學院，陜西 寶雞 721016)

0 引 言

在局域網(wǎng)規(guī)劃初期，安全體系就應(yīng)該作為必不可少的重要組成進行詳細設(shè)計。網(wǎng)絡(luò)安全體系的建設(shè)目標基本上可以總結(jié)為：(1)保護網(wǎng)絡(luò)系統(tǒng)的可用性；(2)保護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；(3)防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；(4)防范入侵者的惡意攻擊與破壞；(5)保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性；(6)防范病毒的侵害；(7)實現(xiàn)網(wǎng)絡(luò)的安全管理。

對于局域網(wǎng)進行安全設(shè)計時首先要以提高網(wǎng)絡(luò)系統(tǒng)安全性為目標，其次還要保證局域網(wǎng)上的應(yīng)用系統(tǒng)的安全性滿足相應(yīng)標準[1]。對服務(wù)器、個人終端、網(wǎng)絡(luò)接入設(shè)備、防火墻在內(nèi)的所有參與到局域網(wǎng)服務(wù)過程中的節(jié)點進行分析研究，判斷出網(wǎng)絡(luò)系統(tǒng)安全存在的薄弱點，關(guān)鍵詞為“準入準出”。

文中基于“統(tǒng)一身份認證”這一普遍使用的“準入準出”的技術(shù)，以寶雞文理學院局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計和建設(shè)為實例，討論了統(tǒng)一身份認證技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用。

1 統(tǒng)一身份認證的設(shè)計思想

1.1 設(shè)計思想

統(tǒng)一身份認證平臺的主要作用是判斷訪問者是否具有相應(yīng)的權(quán)限，該平臺是保障局域網(wǎng)安全的重要部分，也是各種應(yīng)用系統(tǒng)的基礎(chǔ)平臺。統(tǒng)一身份認證能夠?qū)τ脩舻纳矸葸M行識別，用戶需要輸入相應(yīng)的身份代碼或者是賬戶密碼才能夠被允許連接網(wǎng)絡(luò)，如果用戶不能夠完成身份認證將被拒絕接入局域網(wǎng)，因此該平臺可以增加局域網(wǎng)應(yīng)用系統(tǒng)的安全性。

首先，從用戶角色來看，學校中絕大多數(shù)人都屬于局域網(wǎng)用戶，主要包括學生、教師、行政人員、系統(tǒng)管理與開發(fā)者。由于身份的不同這些人在所擁有的局域網(wǎng)權(quán)限有所差異，相對而言學生的權(quán)限最低，系統(tǒng)管理人員的權(quán)限最高。用戶在使用局域網(wǎng)之前需要經(jīng)過身份認證，經(jīng)過身份認證之后不同的用戶群就會被賦予不同的權(quán)限，這對于增強局域網(wǎng)的安全性具有非常重要的意義。

其次，從連接方式來看，用戶連接互聯(lián)網(wǎng)的方式主要分為無線連接、有線連接以及VPN(虛擬專用網(wǎng))連接等，這與用戶所使用的設(shè)備和所在環(huán)境有關(guān)。如果針對不同的連接方式來采用不同的認證系統(tǒng)會造成資源浪費而且不利于局域網(wǎng)的管理，因此通過統(tǒng)一認證平臺來完成認證是提高認證效率的必要途徑。

第三，從應(yīng)用系統(tǒng)來看，局域網(wǎng)內(nèi)的應(yīng)用系統(tǒng)種類比較豐富，包括一卡通系統(tǒng)、教務(wù)系統(tǒng)、OA系統(tǒng)等等，這些系統(tǒng)都是教師或者學生頻繁使用的，如果用戶在登錄不同的系統(tǒng)進行認證時需要輸入不同的賬戶密碼，就非常不方便，顯然降低了用戶的體驗感。以寶雞文理學院為例，教務(wù)系統(tǒng)、調(diào)課系統(tǒng)、網(wǎng)絡(luò)認證系統(tǒng)、一卡通系統(tǒng)都有各自的登錄賬戶和密碼，作為老師要記住超過4個以上的賬戶名及密碼，實在不方便且影響工作效率；換個角度，針對多個應(yīng)用的多個認證平臺將會使得管理人員的工作量明顯增加，在這種情況下管理人員就沒有多余的精力去處理其他類型的網(wǎng)絡(luò)安全問題，使得局域網(wǎng)的安全性遭受嚴重的威脅。

綜上，構(gòu)建統(tǒng)一認證平臺可以提高管理的效率，而且用戶使用不同的應(yīng)用系統(tǒng)時只要輸入統(tǒng)一賬號信息就能夠獲得認證，而且獲取的權(quán)限也會根據(jù)用戶身份的不同而有所差異。統(tǒng)一認證平臺的功能主要分為四個部分，分別是用戶身份認證、用戶信息的管理、用戶權(quán)限的授予管理以及安全管理體系[2]。該平臺提供的服務(wù)種類涉及多個方面，用戶通過該平臺能夠完成角色定位以及權(quán)限授予。

1.2 具體功能設(shè)計

(1)集中管理用戶信息。

在進行認證管理之前必須要保證所有使用局域網(wǎng)的用戶信息都完成標記儲存工作，因為用戶輸入賬號和密碼之后該平臺會向數(shù)據(jù)庫調(diào)取相關(guān)信息來判斷用戶的身份，以此完成認證工作。因此必須要保證目錄服務(wù)的準確性。

(2)滿足全部在線應(yīng)用系統(tǒng)的授權(quán)要求。

統(tǒng)一的身份認證平臺并非單純地判斷用戶是否具備連接局域網(wǎng)的權(quán)限，還能夠使得用戶需要使用不同應(yīng)用系統(tǒng)時也完成相應(yīng)的認證。如學生用戶需要登錄教務(wù)管理系統(tǒng)，在輸入賬戶密碼之后請求信息不會由教務(wù)管理系統(tǒng)來承擔，而是上傳到身份認證系統(tǒng)中進行認證，該平臺對用戶的賬戶進行識別，判斷其身份所屬類別并賦予相應(yīng)的權(quán)限。雖然應(yīng)用系統(tǒng)的種類各有不同，但是其身份認證都是由統(tǒng)一身份認證平臺來完成，極大提高了認證的效率和準確性。

(3)能及時準確地對用戶信息進行修改。

學校內(nèi)部人員的流動性比較大，而且教師群體的職位以及職稱等級都在發(fā)生變化，在教育改革不斷深化的背景下，很多高校都在進行機構(gòu)的整合，這些管理方案的實施會使得用戶的身份發(fā)生變化，隨之也會引起用戶權(quán)限的改變。為了保證學校各項工作的順利開展，必須要確保數(shù)據(jù)庫中的用戶信息與實際狀態(tài)吻合，通過統(tǒng)一身份認證平臺能夠保證在短時間內(nèi)完成身份信息的更新，而且權(quán)限也會隨用戶身份認證結(jié)果的變化而發(fā)生變化。

(4)局域網(wǎng)的認證接入方式豐富，由于業(yè)務(wù)種類的不同要求進行認證的標準也有所差異，如果用戶要訪問核心數(shù)據(jù)庫就要進行最高級別的認證，多樣化的認證方式能夠節(jié)約系統(tǒng)的開發(fā)費用。

(5)統(tǒng)一認證平臺要與現(xiàn)有的服務(wù)器進行無縫對接，用戶在認證時提交的賬戶信息會被傳輸?shù)絃DAP、RAUIUS等服務(wù)器中進行處理，當認證系統(tǒng)的數(shù)據(jù)庫得到賬戶信息后就會判斷該用戶的身份。

2 系統(tǒng)架構(gòu)

系統(tǒng)架構(gòu)如圖1所示，其核心為用戶數(shù)據(jù)庫以及目錄服務(wù)。學校中具有使用局域網(wǎng)權(quán)限的所有人員的信息都會被記錄在數(shù)據(jù)庫以及目錄服務(wù)器內(nèi)，而且所有的用戶信息會在同一時間全部儲存到服務(wù)器以及數(shù)據(jù)庫之中，如果管理員不希望將數(shù)據(jù)存放在這兩個組件中也能夠?qū)ζ溥M行設(shè)置。此外還可進行異構(gòu)系統(tǒng)的賬號整理，基于中心認證服務(wù)CAS，面向教師與學生的認證服務(wù)(主要提供WEB服務(wù)、SSO服務(wù)等)。集中身份管理平臺具有自動發(fā)現(xiàn)、雙向同步、身份拓撲等特點[3-4]。

圖1 統(tǒng)一認證平臺架構(gòu)

2.1 目錄服務(wù)

(1)用戶數(shù)據(jù)模型。

用戶數(shù)據(jù)模型的主要作用就是讓系統(tǒng)中的用戶信息與真實值對應(yīng)，盡量降低存在差別的可能性。因為學校的人事變動以及院系配置等都隨著學校的相關(guān)決策而發(fā)生改變，這些改變導致的最終結(jié)果就是用戶身份以及權(quán)限發(fā)生了很大的變化，如果用戶在現(xiàn)實生活中的身份提高，他登錄各應(yīng)用系統(tǒng)時享有的權(quán)限也應(yīng)該發(fā)生很大的變化，如果這種變化沒有在認證系統(tǒng)中及時更新就會給學校師生的工作造成不便。文中設(shè)計的用戶數(shù)據(jù)模型能夠很好地解決這一問題，關(guān)鍵詞為“靈活”。

表1 用戶數(shù)據(jù)模型

統(tǒng)一身份認證管理系統(tǒng)中的數(shù)據(jù)模型如表1所示。統(tǒng)一身份認證平臺包括的能力主要為：賦予用戶訪問權(quán)限或是限制其訪問權(quán)限；對資源內(nèi)的用戶信息進行管理，基礎(chǔ)管理主要包括用戶信息的增添與刪除；根據(jù)用戶在學校中的具體身份來進行角色定位，根據(jù)角色的變化來調(diào)整用戶訪問權(quán)利[5]。

(2)用戶身份數(shù)據(jù)庫LDAP。

身份管理是進行局域網(wǎng)安全管理的重要基礎(chǔ)，也是集成用戶的有效途徑。目錄服務(wù)在管理信息系統(tǒng)中占據(jù)著重要的地位，而且目錄服務(wù)也是進行用戶身份管理的主要方式。文中設(shè)計的目錄服務(wù)主要就是用于儲存用戶數(shù)據(jù)信息，通過完整的數(shù)據(jù)信息來支撐各項管理工作的進行。

基于目錄服務(wù)來完成用戶集中身份庫的設(shè)計，并結(jié)合身份管理技術(shù)使得身份庫和應(yīng)用系統(tǒng)之間能夠建立數(shù)據(jù)交互通道，保證各項認證服務(wù)的順利進行，而在創(chuàng)建身份庫的過程中不會對系統(tǒng)框架造成任何影響，這種處理方式能夠提高身份認證以及權(quán)限賦予的準確性[6]。

(3)統(tǒng)一身份庫實名制管理。

在全校范圍建立局域網(wǎng)統(tǒng)一身份庫實名管理制度需要創(chuàng)建兩套目錄系統(tǒng)，第一套承擔的主要功能是提供認證服務(wù)來保證Policy服務(wù)器的正常運行。對該目錄系統(tǒng)進行設(shè)計的方法與集中身份庫的設(shè)計有較大的區(qū)別，主要目的是使得用戶認證流程得到簡化，以此來提高效率和用戶體驗；第二套目錄系統(tǒng)其實就是用戶身份庫。能夠?qū)⒔虅?wù)系統(tǒng)、學籍系統(tǒng)、辦公系統(tǒng)、一卡通系統(tǒng)、校園醫(yī)保系統(tǒng)等多個應(yīng)用系統(tǒng)進行集成，確保用戶信息的同步更新速度符合要求。

2.2 用戶(角色)管理

隨著計算機網(wǎng)絡(luò)技術(shù)的逐漸普及，現(xiàn)階段無論是教學還是辦公領(lǐng)域都開始采用信息技術(shù)來提高效率，足以見得局域網(wǎng)對于學校正常工作的開展具有非常重要的意義，對于局域網(wǎng)進行改進和優(yōu)化都要以提高用戶滿意度為前提。

學校內(nèi)有很多組織機構(gòu)，也可以被看作是一個局域網(wǎng)用戶，對該類用戶的管理需要采用分層管理的方式完成，而且分層管理實施過程中要充分考慮學校的組織結(jié)構(gòu)特征。在弄清學校組織結(jié)構(gòu)形式的基礎(chǔ)上，通過身份認證平臺來完成用戶管理工作。組織是一個由組織單元、區(qū)域集合而成的團體，而且在組織內(nèi)部的權(quán)限劃分也非常明確，各部門之間的權(quán)限保持高度的獨立性。

學校內(nèi)部人群種類主要包括學生、教師、行政職員以及領(lǐng)導干部等，而且這些人群分屬在各部分內(nèi)。據(jù)統(tǒng)計該校所有教職工以及學生的人數(shù)大約為23 000人，如果要求系統(tǒng)對每個人進行授權(quán)認證將會增加設(shè)計的難度以及工作量，而且會使得局域網(wǎng)運行速度變慢。所以應(yīng)該按照特定的標準來對人群進行類別劃分，以此降低管理以及維護的難度。一般情況下分類標準是用戶角色定位的差異。

用戶提交相關(guān)認證請求之后統(tǒng)一身份認證就能夠確定用戶的具體身份以及與該身份對應(yīng)的權(quán)限。不同的角色定位擁有的權(quán)限有很大的差異，而且用戶在被系統(tǒng)完成角色識別后，相關(guān)的權(quán)限就會對該用戶開放，而且角色的調(diào)整會導致權(quán)限的變換，這也是避免相關(guān)人員行使權(quán)利范圍之外的操作來對局域網(wǎng)以及學校工作造成影響。

角色管理的主要優(yōu)勢在于能夠在很大程度上降低管理員的工作量，這也是系統(tǒng)設(shè)計的主要要求之一。管理員只要對若干角色加以定義，不用面對數(shù)以萬計的個人用戶。表2為局域網(wǎng)各系統(tǒng)的角色權(quán)限設(shè)計，一共涉及七個應(yīng)用系統(tǒng)，四種角色。

表2 局域網(wǎng)各系統(tǒng)的角色權(quán)限表

2.3 同步管理

根據(jù)上文的介紹可以知道身份認證平臺內(nèi)保存的用戶數(shù)據(jù)處于不斷變化的狀態(tài)，應(yīng)用系統(tǒng)對于數(shù)據(jù)庫中用戶信息的調(diào)用與該系統(tǒng)的功能有很大的關(guān)系，用戶認證系統(tǒng)相對于其他系統(tǒng)來說對于信息的調(diào)用最為簡單，該系統(tǒng)不會修改數(shù)據(jù)庫內(nèi)的數(shù)據(jù)信息。

如教務(wù)管理系統(tǒng)中學生的成績也屬于用戶信息的一部分，在教師上傳成績之后在該系統(tǒng)中應(yīng)該將變化的數(shù)據(jù)信息顯示出來。這里所指的修改用戶信息不是直接修改底層數(shù)據(jù)庫內(nèi)的相關(guān)信息，主要是針對教務(wù)系統(tǒng)內(nèi)的數(shù)據(jù)完成修改。由于局域網(wǎng)應(yīng)用系統(tǒng)種類繁多，所以在某一信息更新之后一定要將更新之后的數(shù)據(jù)信息傳輸?shù)浇y(tǒng)一身份認證系統(tǒng)中替換原始數(shù)據(jù)，而且由于信息之間具有很強的關(guān)聯(lián)性，因此其他應(yīng)用系統(tǒng)內(nèi)的信息也要隨之更新。

統(tǒng)一身份認證主要是基于目錄服務(wù)器來完成相應(yīng)的用戶數(shù)據(jù)管理工作，為了保證管理的效率符合設(shè)計要求，必須要推行分級管理制度，依靠組織、組、角色以及用戶等多個層次來完成身份管理。

統(tǒng)一身份認證系統(tǒng)主要的權(quán)責范圍是確保用戶在不同系統(tǒng)內(nèi)保存的數(shù)據(jù)信息符合實際情況，或者說是符合預先設(shè)定完成的對應(yīng)關(guān)系，如果系統(tǒng)檢測到在多種不同系統(tǒng)內(nèi)存在的信息不符合該對應(yīng)關(guān)系就會對用戶信息進行檢查，判斷出最新信息然后讓其他系統(tǒng)內(nèi)的信息隨之發(fā)生改變，主要的操作可以分為刪除，添加以及修改等。

在設(shè)計寶雞文理學院校園統(tǒng)一身份認證時選擇統(tǒng)一用戶身份庫作為數(shù)據(jù)來源的主要途徑，而且該身份庫還有一個非常重要的功能就是保證各系統(tǒng)內(nèi)身份信息的同步更新。

認證平臺通過資源適配器來將應(yīng)用系統(tǒng)以及身份同步管理內(nèi)的用戶身份信息進行集成，而該資源適配器主要來源于用戶管理系統(tǒng)(IM)。IM提供的資源適配器種類非常豐富，主要包括LDAP適配器、關(guān)系型數(shù)據(jù)庫表適配器等[7]。適配器的主要作用是建立系統(tǒng)之間基于用戶信息的映射關(guān)系，以此來保證某一系統(tǒng)內(nèi)用戶信息的更新會導致其他系統(tǒng)內(nèi)對應(yīng)的數(shù)據(jù)也會更新，這大大降低了管理人員的工作量。

如果要在某個業(yè)務(wù)系統(tǒng)中完成了新用戶的增加操作，系統(tǒng)會按照預先設(shè)定完成的業(yè)務(wù)規(guī)則將該部分增加的信息傳輸?shù)浇y(tǒng)一身份庫內(nèi)，使得其他業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)信息也能夠完成即時更新。這種數(shù)據(jù)信息的同步更新能夠通過數(shù)據(jù)交換來完成，而且同步的準確性以及速度都非常高。

用戶身份同步(中心身份庫至各業(yè)務(wù)系統(tǒng))示意圖如圖2所示[8]。

圖2 用戶身份同步示意圖

2.4 認證過程

局域網(wǎng)系統(tǒng)的種類以及其附帶的基本屬性很多，這主要受多方面因素的影響，如硬件設(shè)備型號以及制造商也屬于系統(tǒng)的特征屬性之一。而且現(xiàn)階段可供選擇的技術(shù)標準也非常多，不同標準的適用范圍以及特點有很大的差異，在這種情況統(tǒng)一身份認證如果僅接受一種認證方式將不能夠滿足用戶的需求。現(xiàn)階段比較多的網(wǎng)絡(luò)認證方法包括動態(tài)口令、802.1X、用戶名/口令、RF卡等，這主要是由于各系統(tǒng)的安全標準有所差異。所以統(tǒng)一認證平臺的接入環(huán)節(jié)應(yīng)兼容支持多種認證方式。

統(tǒng)一身份認證的邏輯圖如圖3所示[9-11]。

圖3 用戶統(tǒng)一認證示意圖

過程說明：

(1)網(wǎng)絡(luò)用戶如果要與局域網(wǎng)連接，就必須先完成用戶接入認證，以此來通過系統(tǒng)的身份審核，如果審核通過就被允許接入網(wǎng)絡(luò)。由于用戶所處環(huán)境以及連接的設(shè)備有所差異，主要的認證方式包括無線認證、WEB認證、802.1x認證以及VPN認證等。

(2)用戶提出認證請求之后，認證設(shè)備會把該請求信息傳輸?shù)秸J證服務(wù)器內(nèi)進行審核，審核的主要方式就是將該數(shù)據(jù)與儲存數(shù)據(jù)進行對比判斷用戶是否具有準入資格，若具備，用戶就能夠順利通過認證。若認證服務(wù)器無法找到與請求信息相匹配的儲存信息，認證系統(tǒng)就會將該請求信息與中央用戶數(shù)據(jù)庫內(nèi)的信息進行匹配，若匹配成功則代表認證通過，若無法完成匹配則代表用戶信息錯誤，拒絕該用戶的接入請求。

(3)在局域網(wǎng)內(nèi)，用戶要進入到其他應(yīng)用系統(tǒng)內(nèi)就需要進行進一步的認證，判斷該用戶的身份是否有資格進入到該系統(tǒng)內(nèi)，若進行數(shù)據(jù)信息的匹配之后得出該用戶擁有進入該系統(tǒng)的資格，就允許該用戶獲取該系統(tǒng)內(nèi)的資源信息，如果沒有通過信息匹配則說明該用戶還沒有獲得進入該系統(tǒng)的權(quán)限，在這種情況下系統(tǒng)會在界面上提示用戶不具備準入權(quán)限。

2.5 授權(quán)管理

從上文的分析中可以知道，統(tǒng)一身份認證平臺是整個局域網(wǎng)安全體系的核心，學校所有的應(yīng)用系統(tǒng)認證都必須建立在統(tǒng)一身份認證平臺授權(quán)的基礎(chǔ)之上。由于各應(yīng)用系統(tǒng)的資源類型以及訪問用戶種類有所差異，因此為了保證局域網(wǎng)的安全性，應(yīng)該制定出數(shù)種權(quán)限管理模式來滿足認證要求。認證系統(tǒng)為B/S架構(gòu)[12]的SAM+網(wǎng)絡(luò)認證計費管理平臺。在線訪問地址為http://218.195.119.145:8080/sam/。

如果系統(tǒng)支持統(tǒng)一授權(quán)功能，就能夠依靠數(shù)據(jù)集成法將各類信息和參數(shù)標準都集成到身份認證系統(tǒng)中，然后對這些數(shù)據(jù)信息進行統(tǒng)一授權(quán)處理，這種處理方式的優(yōu)點在于授權(quán)效率非常高。進行統(tǒng)一授權(quán)的處理方式需要執(zhí)行SOA架構(gòu)技術(shù)標準來完成，系統(tǒng)內(nèi)部的所有功能都根據(jù)RSS集成服務(wù)、API集成服務(wù)、Portlets集成服務(wù)以及URL資源功能服務(wù)的標準來實現(xiàn)相應(yīng)的功能，而且統(tǒng)一授權(quán)系統(tǒng)還能夠進行細粒度資源訪問控制，主要針對文件、網(wǎng)頁以及數(shù)據(jù)庫字段進行相應(yīng)的控制操作，避免無訪問權(quán)限的用戶能夠獲取權(quán)限范圍之外的資源[13]。

分級授權(quán)[14]也是一種選擇方式，在這種授權(quán)模式下統(tǒng)一身份認證系統(tǒng)以及授權(quán)中心的職能范圍被縮減，這兩者只需要制定用戶與其系統(tǒng)訪問范圍之間的對應(yīng)關(guān)系，不需要去設(shè)置各應(yīng)用系統(tǒng)內(nèi)部對于用戶具體的訪問限制，而且分級授權(quán)模式下應(yīng)用系統(tǒng)獲取的權(quán)限明顯提高，由它們來為用戶定義詳細的權(quán)限。

總的來說，每個學校的具體現(xiàn)狀有所不同，很多學校在構(gòu)建局域網(wǎng)統(tǒng)一認證平臺時都通過分級授權(quán)和統(tǒng)一授權(quán)結(jié)合的形式來進行，這種結(jié)合的方式更加靈活方便。

3 結(jié)束語

局域網(wǎng)各個應(yīng)用系統(tǒng)的用戶認證主要由統(tǒng)一身份認證平臺來完成，因此該平臺具有非常重要的地位。在進行局域網(wǎng)安全管理的過程中一定要針對該平臺進行全方位的管理，保證該平臺處于穩(wěn)定的運行狀態(tài)。文中以寶雞文理學院局域網(wǎng)為例，對該平臺的設(shè)計方案以及相關(guān)系統(tǒng)的配置進行了描述。局域網(wǎng)的“準入”工作主要分為兩部分，分別是用戶身份認證以及設(shè)備安全性排查，只有當這兩個部分全部符合要求之后用戶才能夠通過認證。從管理以及技術(shù)的角度研究了提高局域網(wǎng)安全管理水平的方法，在完成安全管理的框架建設(shè)之后將安全策略以及技術(shù)結(jié)合起來，以大幅提高網(wǎng)絡(luò)的安全性。