网络访问控制系统的设计与实现

开篇：润墨网以专业的文秘视角，为您筛选了一篇网络访问控制系统的设计与实现范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要本文首先简要介绍了对网络访问控制系统的概念，再结合Portal认证，分析基于接入认证的网络访问控制系统模块设计、认证系统设计及实现各个模块的关键函数。

【关键词】网络访问控制系统 接入认证 Portal认证 系统设计与实现

随着计算机技术和网络技术的发展，互联网在各行各业都有较为深入的应用，各类网络流媒体软件日益盛行，政府、企业、个人的隐私信息和机要文件都通过网络共享和传输。伴随着网络技术应用产生的网络安全问题也越来越突出，而且技术进步与网络安全行为发展呈正相关，危害计算机安全的行为会随着不断进步的网络技术不断更新和进步。强化对网络资源访问的控制力度，保护计算机安全，几乎成为所有研究人员重点研究项目。为了满足人们保护网络安全的需求，网络访问控制技术应运而生。

1 网络访问控制概述

1.1 网络访问控制

网络访问控制是指根据已有的网络安全策略，当某个网络设备连接到网络安全策略保护的网络设备时，系统会根据网络安全策略辨别接入网络设备的身份，如果接入网络设备不服从安全网络策略则将不服从的设备隔离，直到不服从的网络设备变为服从状态。网络访问控制技术的目的在于防止病毒或者其它黑客技术威胁企业网络安全，受网络访问控制技术保护的网络设备只允许合法和可信任的PDA、服务器等终端设备接入网络。

1.2 Portal系统认证设计

由于接入认证技术是网络管理和运营的基础，如用户认证授权、控制网络服务质量问题和用户访问网络安全问题都需要接入认证技术参与，接入认证技术一直是网络访问控制系统设计的重点研究方向。因而本文主要介绍基于接入认证技术的网络访问控制系统设计。Portal认证技术是一种极具优势的接入认证技术，尤其在简化认证程序上，Portal认证技术无需安装认证软件即可完成接入认证，认证操作简单。因此，本文主要介绍基于Portal协议的网络访问控制系统设计。

该网络访问控制系统主要依靠Portal认证模块去实现访问控制功能。Portal认证模块的功能在于接受并处理Portal服务器报文，再根据Portal服务器做出相应的反映，并通过Radius认证服务器确认用户身份，再将身份认证结果反馈至服务器页面。基于Portal协议认证系统访问控制系统认证过程如下：用户在Portal Web认证主页输入认证信息后，Portal Kernal模块将认证报文传送至设备上的Portal认证处理模块，再根据接入设备的配置差异，Portal认证处理模块选择与之匹配的认证方式验证接入设备的身份是否服从安全策略。认证方式类型较多，常见的认证模式有local认证、Radius认证、tancacs认证三种，第一种认证方式无需专业的认证服务器，后两种则需要专门的认证服务器。例如radius认证，radius认证在Portal认证过程中会构造基于radius认证的报文及远程radius服务器交换，直到完成身份认证。

2 基于Portal协议的网络访问控制系统总体设计

整个系统结构包括直接认证、二次地址方式认证、下线模块、支持分布式模块以及心跳模块，该系统在整个 Portal 系统中处于接入设备交换机上。

2.1 直接认证模块设计

直接认证模块支持多种认证方式，如Portal client与接入设备BAS直连的二层认证方式、三层认证方式。该模块设计包括直接认证、直接认证异常流程两个主要组成流程。直接认证流程设计形式简单，但Portal client只通过BAS二层交换实现互联，Portal client单一的互联方式造成组网方式单一，灵活性不高。直接认证异常流程处以Portal认证失败情况，基于Portal协议的网络访问控制系统Portal认证过程发生的异常情况通常发生在定时器效果范围内未收到报文，例如握手交互失败流程，当Portal服务器发出握手请求，却未得到回应报文、远程radius认证服务器为回应认证结果，导致认证失败。

2.2 二次地址认证模块

该模块主要包括两个流程，分别为二次地址认证正常流程及认证异常流程，其中二次地址认证防止正常流程通道为私网IP地址通过私网IP认真虽然可以减少占用公网IP地址，但是该认证流程非常复杂，而且这种做法造成组网方式的灵活性不高。二次地址方式认证流程与直接认证方式流程在验证用户合法性上有一定的相同点，它们的验证流程相同。但是二次地址认证在成功认证身份后不再使用私网IP地址，而是申请公网IP地址访外网，否则无法成功访问。二次地址认证异常流程是指如果用户通过身份合法性验证后，用户丢弃原有私网IP地址，但是用户并未获得公网IP地址，此时BAS直接向Portal服务器发送下线报文。

2.3 下线模块设计

下线模块将用户下线分为用户主动下线和强制用户下线。主动下线为设备接收Portal服务器的下线请求后，回应服务器的请求，用户下线。通常情况下，只要用户想要下线，服务器一定允许用户的下线请求，并没有成功下线和失败下线的说法。因此，当Portal服务区收到下线请求后，不需要等待BAS确认，即可同时用户下线成功;强制下线是指根据命令切断用户连接，或者由其它原因引起的用户异常。其流程为BAS向Portal服务器发送用户已下线的通知报文，服务器接收下线通知报文后向BAS发送确认接收的报文以及通知用户连接网络失败。在某些情况下，Portal服务器向BAS和用户发送的报文及通知无法被BAS和用户接收。

2.4 心跳模块设计

心跳模块设计包括用户级心跳、服务级心跳两个流程。心跳级流程用于解决用户长期无法下线的情况，BAS和Portal服务都保存了用户的在线信息，但是用户下线后BAS会首先感知用户已下线，但是portal服务器却不能及时察觉。导致用户下线后，Portal服务器仍认为用户处于在线状态。心跳级流程的原理Portal服务器和BAS定期同步用户信息，BAS将portal服务器发送的信息与不存在用户列表信息进行比对，如果Portal服务器接收BAS回应报文，则提示用户已下线，portal服务器则及时清除不存在应用，并对用户做下线处理。服务及流程用于解决用户无法正常下线问题，操作方法为利用循环超时定时器处理逃生心跳报文。循环超时器对检测并接收心跳报文后做出相应的反应。如通定时器。如定时器未接收BAS逃生心跳报文，则关闭portal认证，所用IP地址用户均可访问网络。如若此时接收逃生心跳报文，则恢复认证模式，则保留合法在线用户，提出不合法在线用户。

2.5 支持分布式模块设计

该模块功能主要有两个，一是数据同步;二是主备倒换功能。数据同步的目标为保证主板和备板数据一致，包括实时备份和批量备份。实时备份是指主板数据发生变化时，comsh进程同时数据同步进程HA，HA再将数据传送至Portal备进程，由Portal备进程在备板上完成数据存储。批量备份流程为：备板启动后，为达到与主板数据一致，Portal主进程将Portal业务相关的所有数据传送到备板的Portal备进程让，然后再完成批量备份。主备倒换是指主板故障后，备板升级为主板，并接替主板所有的功能。

3 基于Portal协议的网络访问控制系统的实现

3.1 直接认证模块的实现

在直接认证模块中，它不仅需要来自Portal服务器的认证报文，还需要来自Radius认证服务器的认证报文，只有两个服务器共同交互才能得到认证结果。因而直接认证模块实验需要四个关键函数去分别处理不同的信息、请求或报文。四个关键函数及其功能如下：负责接收和处理信息的函数PORTAL_directauthen_RevInfoReq、处理握手请求的报文REQ_CHALLENGE的PORTAL_directauthen_RevChallege、接收并处理认证请求报文REQ_AUTH的函数PORTAL_directauthen_RevAuthReqFromPortal以及函数PORTAL_directauthen_RevAuthResFromAAA。

3.2 二次地址认证模块的实现

二次地址认证模块也需要以上四个关键函数去实现，但是用户的IP认证后发生变化，因而需要增加相应函数处理IP地址变化。增加函数PORTAL_seco-ndauthen_SendIpChange和PORTAL_secondauthen_RevIpChange，分别处理相应的报文。

3.3 下线模块实现

下线模块的主动下线和强制下线需要不同的函数进行处理，主动下线需要处理来自Portal服务器的下线请求报文，需使用PORTAL_logout_InitLogout函数处理;而对于来自Portal服务器的相应报文，则需要函数PORTAL_logout_SendFourceLogoutReq以及函数PORTAL_logout_SendFourceLogoutReq处理。

3.4 心跳模块和支持分布是模块实现

心跳模块包含的用户级心跳和服务级心跳分别使用函数PORTAL_heartbeat_RevUserHeart和PORTAL_heartbeat_RevServerHeart处理。分布是模块中数据同步和主备倒换采用函数PORTAL_sync_RealtimeTrans、PORTAL_sync_BatchTrans和PORTAL_sync_DataRecover设计实现。

3.5 支持分布式模块设计

支持分布式模块要完实现主备板数据同步及倒换。均是交换机设备上的数据处理，而不涉及报文处理，因此，支持分布式模模块设计的实现与其它模块设计的实现有很大的不同。实现支持分布式模块设计有3个关键函数，一是数据实时同步函数PORTAL_sync_RealtimeTrans;二是主板将数据传输至备板保存的函数PORTAL_sync_BatchTrans;三是回收主板数据资源、将备板数据从DBM写入内存的函数PORTAL_sync_DataRecover。

4 结语

总体上讲，接入认证模式是一较为简单的访问控制系统设计模式，尤其是Portal认证模式，它的接入认证方式更加简便，其优点也是其它认证方式无法比拟的，当前也有许多研究人员将研究重点集中在Portal认证模式上。相信随着研究深入，Portal认证模式将大规模应用于网络控制访问系统设计与实现。

参考文献

[1]李娅琳，孙扬扬.浅析计算机网络访问控制技术研究[J].无线互联科技，2013（04）.

[2]彭新光，武黎安.网络访问控制技术的比较研究[J].保密科学技术，2012（02）.

[3]雷佩莹，张志安，张晓蓉.多域网络访问控制模型与安全策略管理[J].煤炭技术，2012（12）.

[4]MihaelaIon，GiovanniRussello，BrunoCrispo.Design and implementation of a confidentiality and access control solution for publish/subscribe systems[J].Computer Networks，2012（05）.

[5]裴巍，张曦岚，薛连双，宋文姝.建立分布式的互联网设备安全访问控制系统[J]. 电信网技术，2011（06）.

[6]孙鹏建，张思悦，刘川意，王枞.基于属性的云存储访问控制系统的设计与实现[J].计算机科学与应用，2013（03）.

[7]Gao Fuxiang，YaoLan，BaoShengfei，Yu Ge. Design and implementation of file access and control system based on dynamic Web[J].Wuhan.

作者简介

楼树美（1981-），浙江省龙游县人。工学学士。现为信阳职业技术学院讲师，主要从事计算机数据库的研究和开发。

李淑玉（1981-），女，河南省信阳市人。硕士研究生学历。现为信阳职业技术学院讲师，主要从事计算机网络及数据库开发。

作者单位

信阳职业技术学院数学与计算机科学学院 河南省信阳市 464000