远程访问高校信息资源安全策略研究
发布时间:2015-07-11 10:02
摘 要 信息资源已成为各高校的战略资源,其安全性越来越受到各高校的重视。分析了高校各种数字资源及其使用的方法,研究了通过网络远程安全共享的各种方式,本文提出一种可靠方便的策略实现高校信息资源在开放网络中的安全远程使用。
关键词 高校信息资源;安全策略;远程访问
随着高校网络的建设,越来越多的信息资源被放置到校园网络[1]中共享使用,比如如数字图书、购买的电子期刊网络、购买的国内外各种专业数据库、网络课程数据库、课程试题库、学校数字文化数据库、电子讲义、教学素材库、教学网站等。信息资源的交流能力与水平以及信息资源的共享程度也已成为衡量一所高校综合实力的重要指标之一,信息资源已成为高校的战略资源。随着高校的信息化建设,学校各种信息管理系统采用网络模式,也使教务、OA、财务、后勤、科研、学生、人力资源等管理系统也成为信息资源,方便了校园网络用户使用。随着高校规模的扩大和经济的发展,许多教职员工和与学生住在学校外面,教与学的活动没有时间的限制特性,如何解决在校外师生的远程安全访问学校的信息资源已经成为校园网应用发展的一个关键点。本文通过研究高校网络的常用出口结构,分析各种信息资源的使用和共享的方式,设计了一种比较合适当前高校信息资源远程安全访问策略和机制,可以促使学校信息资源的共享,推动教学和科学研究的发展。
1 高校校园网互联体系结构
高校网络基本上使用了当前最新的网络技术连接学校的各个职能部门、研究室、实验室、学生宿舍和教师公寓。多校区的高校,多数也是通过部署单模光纤把校区连接起来形成一个单个的校园网络。校园网的拓扑结构有很多种,当前最多的是核心交换机方式的千兆以太网或万兆以太网络,形成一个星型的拓扑结构。网络的出口都有中国教育科研计算机网络CERNET,方便地访问各个高校与科研院所的资源;通过向清华大学网络中心的教育网总出口购买流量的方式可以访问各个公共网络和国外网络。有的学校为了加快访问公网和国外网络的速度,设置另外一个接口连接电信网络或其他广域网络,如图1所示。
图1 高校网络互联模式
2 高校信息资源远程访问研究
高校的信息资源分布在各个职能部门、院系以及研究部门和信息中心,部署在各个局域网中。很多资源直接把应用界面模块提供给通过校园内部用户使用。外部网络的用户如果要使用局域网的资源,要以电话线方式登录到系统的远程服务器上,通过用户名和密码的校验认证后,进入系统后使用资源。因为当前家庭或学生外部宿舍都采用小区宽带、光纤入户或XDSL等模式连接到公共网络,不可能切换到另外一种拨号方式使用学校的资源,同时该方式网络速度也比较慢,限制了很多资源的使用,比如多媒体课件资源和视频资源的播放。为此学校的各种资源访问必须采用开放的形式,能够被所有校园网络用户可以通过互联的外部网络直接使用学校信息资源和各种管理系统系统。
基于TCP/IP网络的远程资源共享方式与资源的属性有很大的关系,比如文件共享可以采用FTP的模式,用户名和密码认证使用FTP工具软件即可;EMAIL可以通过设置POP3和SMTP协议服务器,采用各种电子邮件客户端来使用;各种信息管理系统也可以设置WEB模式提供通过外网的访问;其他的资源必须采用专门的客户端软件,访问控制信息资源的服务器才可以共享学校的资源。
当前通过网络共享高校资源的方式以可用性为目的,几乎都是简单的用户名和密码方式的简单认证。在开放的网络中,该方式几乎没有什么安全性可言。懂得简单网络安全的人可以非常容易的盗用高校的网络资源,比如CNKI、万方数据库、国内外的各种专业数据库或者实验室研究室的数据和成果。为了保护知识产权,提高信息资源的安全共享,多数系统服务采用指定IP地址范围的形式限定网络用户,而采用公共网络远程访问用户其IP地址几乎是变化的,即使IP地址固定也会因为远程使用用户比较分散不容易控制;这些都限制了安全远程共享学校的信息资源,造成学生的学习与生活、教师科研人员的教学与研究变非常不方便。
为了提高信息资源的安全共享,应为校外用户与共享资源之间建立一个安全的通道,而且该通道的成本比较低,使用方便。最为简单的形式是采用VPN(Virtual Private Network,虚拟专用网)技术。VPN利用隧道技术,把数据封装在隧道协议中,通过已有的公网建立隧道,从而实现点到点或端到端的联接,构建在逻辑上独立于公网的专用网络。但VPN需要通过特殊设计的硬件和软件直接共享的IP网所建立虚拟的加密通道连接,也需要为每个局域网的资源提供一个专门的硬件服务器,或者交换机、路由器提供的VPN功能模块,需要IPSec协议支持。这些限制了校外用户对校内信息资源的访问。
对于WEB形式的信息资源可以采用SSL的方式加以控制,但是对于高校资源的使用来说,用户一般是需求数据量很大,安全造成效率低,该方式只能局限于WEB形式。为此需要研究出符合校外用户访问校内共享资源合适的方式,以不改变用户使用习惯,可以方便安全高效的完成信息资源共享为目标。
3 安全远程访问机制
数字证书可以为网络应用提供相互认证,也可以建立安全的通道进行交互,在此基础上设计了高校信息资源安全远程访问系统,其逻辑结构如图2。该系统分为两部分,公共网络中的校园网用户系统和校园网的共享资源服务系统。认证服务器为用户和共享资源之间建立安全通道,该设计仅仅需要增加一个客户端过滤软件、设置一个CA中心和多个认证服务器即可完成高校资源的安全共享。
图2 安全远程访问逻辑图
3.1 CA中心
CA中心是安全访问的基础,它为校园用户颁发数字证书,能够使网络中不同应用可以相互认证,提供数据的机密性、文件的不可否认性、数据的完整性等功能。如果与其他高校的CA中心交叉认证,就可以在校际之间相互认证,提供学校之间安全服务的一种形式。如果和其他组织相互认证,可以进一步扩大使用的访问,比如电子银行、网上购物等等。数字证书是网络用户的身份证,用户还有一个与数字ID相配套的私钥匙,代表个人信息,是绝对需要保密的数据,为了保护通常用一个软件加壳,通过认证用户的PIN来使用它。
3.2 认证服务器
认证服务器是高校数字资源远程安全访问机制的核心,它有一个资源目录,每个目录项代表一种可以共享的资源,还包括可以共享该资源的用户列表。它提供客户登录服务,为合法用户建立一个安全的通道,代理传递客户请求到共享资源服务器,把获取的数据安全传递到客户端解析处理,并提供计费服务。
校外用户使用学校数字资源时,实现要登录到认证服务器(域名或IP是公开的)。登录的具体过程是由客户端过滤软件和认证服务器的登录模块配合完成的:(1)客户端连接认证服务器,把客户的数字身份证传递到服务器,由认证服务器向CA中心查看该用户是否为该网络的合法用户、是否在有效期内。(2)如果通过校验,则认证服务器产生用于对称加密的钥匙和加密算法名称以及资源目录清单,采用用户数字证书中的公开钥匙加密,传递到客户端,并短时间保存该用户的数字证书,当客户再次登录的时候,节省认证的时间。(3)客户接收数据用私有钥匙解开,则知道采用那种对称加密算法和加密钥匙。从而在客户端和认证服务器之间建立一个安全通道。(4)客户选择接收到的资源清单中服务项目,附加上客户D用对称密钥加密传递到认证服务器。(5)认证服务器接收到资源服务项和用户ID,确认该用户是否有权限使用该资源,如果在用户队列中存在,则生成该用户访问资源的一个在线服务模块请求共享资源,把资源使用的界面传递到客户端,即该在线服务模块代理用户请求共享服务,采用安全的方式与客户端通信。只有客户退出一个资源共享使用,其相应的在线服务模块才撤销,否则一直提供一个代理服务。为了提高安全性,该代理模块每隔一定时间,产生一个新的对称加密钥匙。
当用户退出一个资源服务时,认证服务器再次提供资源目录清单给用户选择,如果用户不再使用其他共享资源时,则终止客户端与服务器之间的连接。
认证服务器生成临时在线模块代理用户请求共享资源服务器,这些网络传输是在防火墙保护的校园网内部,基本上无需再增加安全服务。为了更好定位和管理共享的数字资源,认证服务器采用了轻型目录服务LDAP协议实现了临时在线模块与共享资源服务器之间的数字通信,标准化网络连接。
3.3 客户端过滤软件
客户端过滤软件是安装在校外用户计算机中截获网络通信的嵌入式软件,专门为用户访问学校共享资源服务的安全通信。当用户不用学校共享资源时可以关闭该软件,也可以通过设置使该软件功能透明,不过滤任何信息,也就不对其他网络应用产生任何影响。当用户访问学校控制的共享资源时,把用户数字证书和用户的私有钥匙导入软件中,连接认证服务器即可,从而可以选择要访问资源即可使用普通的客户端软件。
教学和科研人员可以在家或出差在外通过公共网络使用实验室的资源,那里可能储存了价值连城的知识产权和技术财富,仅仅采用认证服务器的控制和构筑坚固的边界防火墙也可能将实验室暴露在严重的安全危机之中,为此需要采用深层次的认证,避免无权限的校外用户访问资源。为此在校外用户认证过程的(5)中强制客户端过滤软件采用一个可选的双因子验证,基于数字证书系统,除了用户名和密码对外,还需要智能识别卡,以某种实物形式的授权证明,综合CA与共享服务器的目录服务和网络策略服务来执行客户端验证和授权功能,客户端中该模块使用如图3的界面。
木马和网络蠕虫造成校外用户的不安全,为了保证客户端的合法访问以保护资源,可以在客户计算机可以访问任何校内网络共享资源之前,以特定的模块强制先扫描这台计算机,以检验其安全性,所运行的操作系统及其应用软件必须是经过了核准的,并且还要安装好了所有的关键安全更新,才可以登录认证服务器。
图3 客户端双因子验证模块
4 结束语
高校的数字资源是对于教学和科研是非常重要的资源,如何提高通过公网来共享校内资源是当前校园网应用研究的热点。本文提出方案部署比较容易、使用方便,已经在后勤工程试验室内通过项目验证,在几十个校外用户同时访问时基本达到设计的目标。为了应付成百上千甚至几万校外用户的同时访问,认证服务器可以采用集群系统,在几个认证服务器之间平衡代理请求,为资源共享提供安全性和可用性。该方案的延伸可以解决高校之间资源的共享,以减少重复投人和建设,优化资源配置,取长补短、优势互补,使资源的利用效率达到最大化。
参考文献
[1] 胡骏、李星. 校园网信息资源搜索引擎的研究与实现. 计算机工程与设计 [J]. 2006年24期. 4629-4631
刘向民. 远程访问技术及应用. 电脑与电信[J]. 2006年07. 65-68
魏广科. VPN技术及其应用的研究. 计算机工程与设计[J] , 2005年03期. 714-715
胡博,程晓荣等. 数字证书在时间戳服务系统中的应用研究. 华北电力大学学报[J]. 2005年04期. 79-81
孙授卿. 一种基于LDAP的网管体系结构. 青岛大学学报(自然科学版)[J]. 2005年04期.76-79