网络访问控制系统的设计与实现.docVIP

网络访问控制系统的设计与实现 　　摘 要本文首先简要介绍了对网络访问控制系统的概念，再结合Portal认证，分析基于接入认证的网络访问控制系统模块设计、认证系统设计及实现各个模块的关键函数。 　　【关键词】网络访问控制系统 接入认证 Portal认证 系统设计与实现 　　随着计算机技术和网络技术的发展，互联网在各行各业都有较为深入的应用，各类网络流媒体软件日益盛行，政府、企业、个人的隐私信息和机要文件都通过网络共享和传输。伴随着网络技术应用产生的网络安全问题也越来越突出，而且技术进步与网络安全行为发展呈正相关，危害计算机安全的行为会随着不断进步的网络技术不断更新和进步。强化对网络资源访问的控制力度，保护计算机安全，几乎成为所有研究人员重点研究项目。为了满足人们保护网络安全的需求，网络访问控制技术应运而生。 　　1 网络访问控制概述 　　1.1 网络访问控制 　　网络访问控制是指根据已有的网络安全策略，当某个网络设备连接到网络安全策略保护的网络设备时，系统会根据网络安全策略辨别接入网络设备的身份，如果接入网络设备不服从安全网络策略则将不服从的设备隔离，直到不服从的网络设备变为服从状态。网络访问控制技术的目的在于防止病毒或者其它黑客技术威胁企业网络安全，受网络访问控制技术保护的网络设备只允许合法和可信任的PDA、服务器等终端设备接入网络。 　　1.2 Portal系统认证设计 　　由于接入认证技术是网络管理和运营的基础，如用户认证授权、控制网络服务质量问题和用户访问网络安全问题都需要接入认证技术参与，接入认证技术一直是网络访问控制系统设计的重点研究方向。因而本文主要介绍基于接入认证技术的网络访问控制系统设计。Portal认证技术是一种极具优势的接入认证技术，尤其在简化认证程序上，Portal认证技术无需安装认证软件即可完成接入认证，认证操作简单。因此，本文主要介绍基于Portal协议的网络访问控制系统设计。 　　该网络访问控制系统主要依靠Portal认证模块去实现访问控制功能。Portal认证模块的功能在于接受并处理Portal服务器报文，再根据Portal服务器做出相应的反映，并通过Radius认证服务器确认用户身份，再将身份认证结果反馈至服务器页面。基于Portal协议认证系统访问控制系统认证过程如下：用户在Portal Web认证主页输入认证信息后，Portal Kernal模块将认证报文传送至设备上的Portal认证处理模块，再根据接入设备的配置差异，Portal认证处理模块选择与之匹配的认证方式验证接入设备的身份是否服从安全策略。认证方式类型较多，常见的认证模式有local认证、Radius认证、tancacs认证三种，第一种认证方式无需专业的认证服务器，后两种则需要专门的认证服务器。例如radius认证，radius认证在Portal认证过程中会构造基于radius认证的报文及远程radius服务器交换，直到完成身份认证。 　　2 基于Portal协议的网络访问控制系统总体设计 　　整个系统结构包括直接认证、二次地址方式认证、下线模块、支持分布式模块以及心跳模块，该系统在整个 Portal 系统中处于接入设备交换机上。 　　2.1 直接认证模块设计 　　直接认证模块支持多种认证方式，如Portal client与接入设备BAS直连的二层认证方式、三层认证方式。该模块设计包括直接认证、直接认证异常流程两个主要组成流程。直接认证流程设计形式简单，但Portal client只通过BAS二层交换实现互联，Portal client单一的互联方式造成组网方式单一，灵活性不高。直接认证异常流程处以Portal认证失败情况，基于Portal协议的网络访问控制系统Portal认证过程发生的异常情况通常发生在定时器效果范围内未收到报文，例如握手交互失败流程，当Portal服务器发出握手请求，却未得到回应报文、远程radius认证服务器为回应认证结果，导致认证失败。 　　2.2 二次地址认证模块 　　该模块主要包括两个流程，分别为二次地址认证正常流程及认证异常流程，其中二次地址认证防止正常流程通道为私网IP地址通过私网IP认真虽然可以减少占用公网IP地址，但是该认证流程非常复杂，而且这种做法造成组网方式的灵活性不高。二次地址方式认证流程与直接认证方式流程在验证用户合法性上有一定的相同点，它们的验证流程相同。但是二次地址认证在成功认证身份后不再使用私网IP地址，而是申请公网IP地址访外网，否则无法成功访问。二次地址认证异常流程是指如果用户通过身份合法性验证后，用户丢弃原有私网IP地址，但是用户并未获得公网IP地址，此时BAS直接向Portal服务器发送下线报文。 　　2.3 下线模块设计