第四章 結合身分認證之校園 IP 管理系統(CIASPA)
4.2 CIASPA 架構
我們為了讓使用者容易使用且不用多做額外的教育訓練,也讓管網者能對 IP 位址 的管理更能即使掌控,所以將系統分割成兩個子系統:IP 位址申請子系統與網路安全管 理子系統。而其主要的核心功能由下列六個模組所組成:網頁認證模組、IP 位址註冊模 組、來賓帳號管理模組、IP 位址使用列表模組、IP 位址控管模組與 IP 位址歷史紀錄模 組,其系統架構如圖 4-2。
圖 4 - 2 CIASPA 系統架構圖
接著我們將對此六個模組的工作內容與設計理念做深入的說明。
1、網頁認證模組(Captive Portal Module, CPM):
工作內容:
(1)阻斷未申請者的網路使用權。
(2)強制導向到認證的網頁。
(3)提供跨校 Email 認證機制。
(4)IP 位址與 MAC 位址綁定。
(5)檢查申請有效時間。
設計理念:
使用者在未申請之前,都無法使用網路權,為了不增加使用者申請的負擔,本 系統採用網頁認證,使用者只要打開網頁,就會自動導向認證的網頁中,減少操作 上的不便,其流程如圖 4-3。在認證方面,則是透過學校原有的 Email 帳號密碼來 認證,不必額外記住其他帳號密碼,亦可以設定同時使用跨校 Email 認證服務和來 賓帳號認證機制,方便校外人員到校研習使用,如圖 4-4。在 IP 位址與 MAC 位址管 理方面,為了避免使用者私下更動自己的 IP 位址,本系統在 IP 位址申請後,立即 將使用者的 IP 位址與 MAC 位址透過靜態 arp 進行綁定作業。最後,系統會定期檢查 每個 IP 位址的申請有效時間,期限到了,則關閉網路使用權,並解除 IP 位址與 MAC 位址綁定,讓此 IP 位址可以被重新申請。
圖 4 - 3 網頁認證流程圖
圖 4 - 4 CPM 之認證來源
2、IP 位址註冊模組(IP Register Module, IPRM):
工作內容:
(1)自動抓取使用者 IP 位址和 MAC 位址。
(2)判斷 IP 位址和 MAC 位址是否重複。
(3)設定申請時效。
(4)紀錄使用者的單位。
(5)註冊後開通自動化,不需人工開通。
(6)註冊完,網頁自動導向原本網址。
設計理念:
為了方便使用者申請作業,本系統在網頁認證後,會自動透過伺服器網頁資訊 抓取使用者 IP 位址和透過 arp 指令取得 MAC 位址,避免使用者輸入錯誤以減少申 請難度,所以在註冊 IP 位址時,使用者只需選擇申請的時效和輸入使用單位即可,
之後系統會馬上進行程序的處理,防火牆會自動開通網路使用權並將申請資訊記錄 起來,IP 位址資訊資料表結構如表 4-1。最後在網頁呈現註冊成功和下次申請時間 等訊息,也會在設定的時間內自動導向使用者原本想去的網址,如圖 4-5。
欄位名稱 欄位型態 欄位說明
ip char IP 位址
mac char MAC 位址
user_id varchar 使用者帳號
where_use varchar 使用單位
use_net char 是否有網路使用權
no_use_time datetime 重新認證時間 表 4 - 1 IP 位址資訊資料表結構
圖 4 - 5 註冊後網頁自動導向示意圖
3、來賓帳號管理模組(Guest Account Management Module, GAMM):
工作內容:
(1)設定來賓帳號有效期限與開通後的使用時間。
(2)建立、查詢與列印來賓帳號。
設計理念:
校園網路使用權受到管制之後,將會面臨到他校的老師到校參加研習時而無法 使用網路的問題,除了跨校 Email 帳號認證之外,如果參加研習的老師是來自較多 不同的學校情況下,此模組可以產生來賓帳號供予短時間的使用。管理者可以設定 來賓帳號的命名,然後以此命名加流水號的方式進行發放,也可以設定來賓帳號的 有效期限和開通後的使用時間,避免被重複使用產生資安問題,如圖 4-6,建立完成 的來賓帳號會受到有效期限和是否開通而被系統自動刪除,增加帳號管理的方便 性。來賓帳號資料表結構如表 4-2。
圖 4 - 6 來賓帳號管理流程
欄位名稱 欄位型態 欄位說明
user_name varchar 來賓帳號 user_passwd varchar 密碼
where_use varchar 使用單位(用途)
have_use char 是否開通
use_time datetime 開通後可用多久 no_use_time datetime 開通後失效時間 del_time datetime 此帳號有效時間
表 4 - 2 來賓帳號資料表結構
4、IP 位址使用列表模組(IP Using List Module, IPULM):
5、IP 位址控管模組(IP Control Module, IPCM):
工作內容:
圖 4 - 7 IP 位址管控模組流程
6、IP 位址歷史紀錄模組(IP Log Module, IPLM):
工作內容:
(1)列出過往所有 IP 位址的使用紀錄。
(2)可依時間、IP 位址與帳號排序。
設計理念:
使用者取得 IP 位址並不是永遠固定的,所以系統必須保留 IP 位址曾被哪位使 用者在哪使用過,這樣日後要處理資安問題時,才可以有明確的依據可循。IP 位址 歷史紀錄資料表結構如表 4-4。
欄位名稱 欄位型態 欄位說明
ip char IP 位址
mac char MAC 位址
user_id varchar 使用者帳號
where_use varchar 使用單位
start_time datetime 網路權開通時間 end_time datetime 網路權結束時間
表 4 - 4 IP 位址歷史紀錄資料表結構