学习和正常生活。因此,加强宿舍网络的管理,确保宿舍网络稳定高效、稳定地运行,同时对学生上网进行适当的策略约束,成为一项重要的课题。
2 学生宿舍网络的现状
首先大学生宿舍网络的信息点较为密集,一幢楼内可能拥有几百个网络用户。这些用户的上网时间往往比较集中,各种各样的网络应用形成巨大的数据流量。其次高校学生处于求知阶段,求知欲望高,探索能力强。互联网上大量的信息,对大学生有着巨大的吸引力,很容易在网络视频、网络游戏、网络聊天等方面花费过多时间。最后,学生网络安全防护能力参差不齐,安全意识普遍比较薄弱,计算机一旦感染病毒,将在宿舍网内广泛传播,对网络性能造成较严重的影响,甚至造成网络的瘫痪。
3 网络访问控制简介
网络访问控制是一套用于保障网络及结点安全的协议集合。控制主体根据控制策略或权限对客体或资源进行不同授权的访问,限制对关键资源的访问,防止非法用户进入系统以及合法用户对资源的非法使用。作为一种安全产品,网络访问控制的目标可以包括三个方面:
一是降低网络攻击风险。网络访问控制可以通过策略的定制,防止不安全的终端访问网络资源,同时还可以防止这种终端影响其他周边计算机。
二是增强安全策略的制定。网络访问控制提供网络管理员定义策略的接口,如允许访问网络的用户角色、计算机类型、终端软件名称等,同时还可以在网络设备(路由器、交换机等)强化实施这种策略。
三是支持身份和访问管理。网络访问控制在基于IP地址制定访问控制的基础上,提供了基于角色的访问控制的功能,在访问控制方面更加灵活。
访问控制的过程:如图1所示,网络访问发起者首先向访问控制实施单元提交访问请求,该请求被转发到访问控制决策单元。决策单元根据管理员制定的策略对请求进行审核判定,并把决策结果反馈给访问控制的实施单元。访问控制实施单元根据反馈结果决定是否允许这个访问请求,如果用户的请求符合策略要求,则允许进行网络访问,否则将拒绝用户访问目标单元。
目前访问控制包括强制型访问控制MAC(Mandatory Access Control)、自主型访问控制DAC(Discretionary Access Control)和基于角色的访问控制RBAC(Role-Based Access Control)等三种类型。其中DAC不利于实现统一的全局访问控制,MAC授权的可管理性较差,RBAC技术克服了DAC和MAC的不足,同时可以减少授权管理的复杂性,为网络管理员提供更高效的访问策略实施环境,这种模式适合对学生宿舍网络访问控制的实施。
4 学生宿舍网络访问控制系统的设计
4.1 访问控制的管理单元结构
传统的访问控制系统一般采用由一个网络管理员设置访问控制,实施集中式管理模式,每个学生上网帐号都可以集中监控,但是对于宿舍网来说,由于管理对象多达几千人,要实现快速并大量修改设置访问权限时,管理者的工作压力是很大的。因此,在宿舍网络管理上引入了分布式管理模式。这种模式以宿舍为基本管理单元,依次构成楼层单元、楼宇单元、生活区单元等层次,与学生日常管理结构相同。同时将网络访问控制权依次交给各级管理单元的管理者,将原来一个网管难以胜任的工作分解到多个网络管理员,简化了监控、授权管理的工作任务。同时管理者拥有相对独立的管理单元,他们的管辖范围受到相应管理单元的限制。
4.2 访问控制系统中角色的定义
从网络管理的角度,根据权限级别可以将用户分为四类:
第一:一般用户,指经常在宿舍进行网络访问的普通学生。
第二:楼层管理员。负责在相应楼层进行访问控制的网络管理员。这类角色应该相对固定,并具有一定的网络管理技术。
第三:宿舍楼网管。负责特定宿舍楼网络访问控制的管理员。这个管理员主要负责对全楼学生上网情况进行监控,同时指导各楼层管理员开展访问控制策略的实施。
第四:网络中心管理员。负责学生宿舍网络进出口的监控,同时制定全局性的网络访问控制策略。该角色是访问控制系统中的最核心管理层。
4.3 基于角色的访问控制系统的总体结构
图中身份认证服务器负责通过学号对上网学生的身份进行认证。访问控制服务器向学生用户提供访问控制规则,响应用户请求。管理控制台以图形化界面定义角色和权限,实现用户到角色、角色到权限的控制。数据库用来存放上网学生的用户集、角色集、权限集等信息。授权服务器主要负责对数据库的管理,如读取、写入、修改等操作。与管理控制台一起组成基于角色的访问控制管理系统。
5 结语
本文分析了学生宿舍网络运行的基本情况和主要问题,指出实施访问控制管理的必要性。讨论了网络访问控制的原理、过程,比较了常见的访问控制的类型。最后结合宿舍网络管理实际,完成了基于角色的校园宿舍网络访问控制系统的三个主要单元的设计。
参考文献
[1]陈利.基于端口的网络访问控制应用模式[J]计算机工程,2009.(16)90-92.
[2]陈军冰,王志坚.校园网角色访问控制研究[J].计算机工程与设计,2006. (20):381-389.
[3]乔颖,须德,戴国忠.一种基于角色访问控制(RBAC)的新模型及其实现机制.计算机研究与发展,2000.7(1):37~44.
[4]何海云,张春.基于角色的访问控制模型分析.计算机工程,1999.25(8):41-44.
