国内高校Eduroam 管控策略 | 网管技巧

国内越来越多的高校加入Eduroam联盟的同时也带来管理上的诸多问题。为此,Eduroam需要从网络、账号等方面进行管理控制,保障Eduroam的健康发展

Eduroam(Education Roaming)是专门用于教育和科研机构跨域之间的全球无线漫游认证服务,目前覆盖了近90个国家或地区,加入Eduroam的机构或组织可以使用自己的账号密码在Eduroam联盟内其他组织或机构免费登录Eduroam无线网络。

Eduroam采用标准的802.1x认证模式,采用与域名系统相同的层级结构,通过Radius转发的方式,实现全球范围内的认证信息的传递及网络接入的管理。

2015年中国大陆高校首次加入Eduroam联盟,截至目前,大陆高校有近100所加入了或正在加入Eduroam漫游联盟。

随着国内高校加入Eduroam联盟越来越多,校际间互访的也越来越便利,带来师生校际之间的互访交流越来越多,特别是地理距离很近的高校,但同时也带来管理上的其他问题,如账号交换带来的信息安全问题、网络安全攻击问题、网络资源恶意下载问题等。为此,Eduroam的管理需要从网络、账号等方面进行管理控制,保障Eduroam的健康发展。

网络权限管理

Eduroam作为全球漫游网络,提供外来访客对网络的访问,用于连接互联网,且按照Eduroam联盟的免费、自由、开放的理念,网络提供者不应对外来用户进行过多网络接入限制,必然导致网络接入控制策略与自身校园网络存在差异,无法做到与本机构内网络的精确管理。

为此,结合网络性质与管理策略,Eduroam网络应该是一个访客网络,所具有的权限也应该是仅仅提供互联网络访问

按照Eduroam统一标准,加入联盟的结构需要开通独立的无线SSID,名称统一为Eduroam,并配置802.1x认证方式。由于是独立的无线标识,可以通过实现后端逻辑网络的相对独立,这也为Eduroam网络的权限管理提供了充足的条件。

因此,Eduroam开通独立的SSID,后端使用独立的地址段,与校园网络进行区分,对互联网访问使用独立的公网IP地址,并将Eduroam的用户网关隔离到校园网出口外侧,实现的效果为Eduroam接入用户的访问权限仅仅为互联网接入用户,但访问校园网的权限与互联网用户权限相同。

采取上述最小网络访问权限策略后,Eduroam接入用户将无法利用接入地的校园网用户身份恶意下载电子文献、攻击校园网及信息系统,有效解决Eduroam用户对校园网络所带来的安全隐患。

用户准出管理

随着高校信息化的发展,统一身份认证是必然的趋势,当前许多高校已经实现了统一身份认证或正在实现统一身份认证,登录网络的账号密码与登录信息系统的账号密码的统一导致账号关联的个人信息越来越多,对账号的安全性也提出了更高的要求。

由于Eduroam采取的是免费策略,而绝大部分高校师生上网采取收费策略,必然导致部分师生为了节省网费而产生交换账号使用的行为,甚至存在部分账号通过类似账号交换中介组织泄漏给其他人,且账号安全不可控,将会产生个人敏感信息泄漏的风险。

为此,各个学校应该加强账号的准出管理。如根据对账号的信任程度,采取默认开放或关闭的策略,按需出访。

用户准入管理

与用户准出管理不同,准入机制是网络提供者对网络接入者的管理,由于网络提供者无法通过接入者账号进行身份的识别,因此无法进行精确的管理,且Eduroam奉行免费、开放、自由的理念,网络提供者不大可能实现默认黑名单机制。

在实际Eduroam运维中,网络提供者可能会遇到账号被盗用、恶意使用网络等非正常情况。为此,网络提供者可以建立黑名单机制,将存在问题的用户账号列入黑名单,并根据实际情况对账号采取临时关闭、长期关闭、以及永久关闭等措施,保障网络提供者的网络安全和用户账号安全等

黑名单机制

绝大部分机构对Eduroam进行严格管理,保障了Eduroam成员之间的网络安全及信任关系,但也存在部分机构对用户账号管理不严,没有尽到联盟成员的义务,损害了联盟内其他机构的利益,影响了其他机构的网络安全,导致与联盟之间的信任关系的破坏,基于维护Eduroam联盟成员的整体利益,可以由上级转发机构将该成员域名加入黑名单,暂停认证报文转发,甚至取消联盟成员资格等。

策略实施

国内大部分高校Eduroam的对接采用Freeradius软件,并通过配置Radius转发实现。在这个架构中,本地Radius转发服务器是中心节点,准出准入的认证转发均须经过该节点,故也是控制策略实施的节点。

为了实现控制策略,可以通过配置Freeradius软件中的policy.conf文件,增加账号特征过滤策略,实现黑白名单的功能,具体配置如下:

通过配置样例,可以实现对test@upc.edu.cn单个账号和以@xxx.edu.cn结尾的整个机构账号的限制准入准出访问。根据配置文件,可以使用正则表达式实现对不同特征的账号和机构进行认证控制,满足Eduroam漫游的网络及账号安全的管理。

通过对Eduroam的网络权限控制、用户的准入和准出管理,辅助黑名单机制,能有效保障Eduroam整套系统的运行稳定与网络安全,建立充分的信任关系,满足正常合法用户的便利接入,阻断非法用户的接入,为正常的学术交流活动提供高效的网络保障。

(作者单位为中国石油大学(华东)网络及教育技术中心)

本文刊载于《中国教育网络》杂志2017年10月刊

【回顾】数据库安全专题

浙江大学:整合数据库的软件和硬件 | 网络安全

高校数据库安全策略 | 网络安全

中国人民大学:审计保证数据完整性 | 网络安全

MongoDB 赎金事件给我们带来了什么启示? | 网络安全

保障高校数据库安全需定时巡检 | 网络安全


(0)

相关推荐

  • 网络设备运行维护怎么管理权限策略和流量

    制造业网络设备,制造行业用户多,需求有差别,合理分配上网权限流量显的很重要,也有利于管理,追查和防范网络风险. 一般的防火墙,路由器,交换机都没有相应的网管功能,即使有策略设置,也不好设置,命令复杂, ...

  • 访问控制安全管理策略

    访问控制管理是为了防止信息及信息(资产)系统未经授权的访问,信息系统包括各种应用系统.操作平台.数据库.中间件.网络设备.安全系统和设备等. 01. 访问控制业务需求 访问授权与控制是对访问信息资源的 ...

  • “干货”来了!你能借鉴的高校安全证书配置 | 网管技巧

    高校中的重点保护对象 在高校里,一般需要给这些服务配置安全证书:统一身份认证&单点登录服务.邮件服务.SSL-VPN.部分安全性要求较高的Web应用(如财务系统.科研系统等).一些需要在手机A ...

  • 高考物理计算题答题策略之解题技巧

    计算题一般都包括对象.条件.过程和状态四要素. 对象是物理现象的载体,这一载体可以是物体(质点).系统,或是由大量分子组成的固体.液体.气体,或是电荷.电场.磁场.电路.通电导体,或是光线.光子和光学 ...

  • 国内高校招聘过程中,严格要求博士毕业生的第一学历为“985”或者“双一流”以上学校,合理吗?

    关于北大清华有句顺口溜,金本科水硕士烂博士,在一定程度上可以很好的解释这种现象. 以我所知道的一所高校为例,他们在招聘时非985高校博士毕业生不要,当然,这只是一个前提条件,还要在国际期刊上表论文达到 ...

  • 建设工程招标采购风险及管控策略

    建设工程招标采购风险及管控策略 2020-08-24 17:58:38·水利工程质量检测 招标采购主要指招标方按照提前制定的采购条件和项目需求在媒介平台上面发布招标信息,通过法定的程序和方式吸引潜在投 ...

  • 国内高校中,哪所大学是名校的分界线?

    一档(SSS):清华大学.北京大学: 二档(SS):华五人加科学院加国防科大, 复旦大学.上海交通大学.中国科学技术大学.浙江大学.南京大学.中国人民大学.中国科学院大学.中国人民解放军国防科技大学: ...

  • 国内高校将迎来大洗牌,从四个角度看高校格局,将会有这四大变化

    文|小田老师谈教育 专注高考和大学教育资讯,教育时事分享,热心教学,以心谈心 大家都知道,国内现存三种高校体系,985高校39所.211大学112所.双一流高校137所.对于前两者分类的含义在圈子里也 ...

  • 国内权威基金评级机构晨星网,评出来最新的...

    国内权威基金评级机构晨星网,评出来最新的"冠军"了 最牛逼的积极配合型,竟然是兴全合润混合,五年内评级都是5颗星,感觉比张坤的易方达蓝筹还好一点. 持仓也出来了,第一重仓股还是中国 ...

  • 5所以电力为特色的二本高校,进国网有优势,录取分数还不高

    电气"双龙四虎"?电气双龙:武汉大学(原武汉水利电力大学).华北电力大学:电气四虎:清华大学,浙江大学,华中科技大学和西安交通大学. 随着大学生毕业生就业难的趋势越发明显,国网工作 ...

  • 缠论的选股策略以及买点技巧

    今天的文章涉及到两个知识点,所以文章会比较长,内容会比较丰富,希望大家花点时间看完,看完后也希望对你有所帮助. 先来讲解下缠论的选股策略,我用图表的形式也会让大家更直观的浏览. 一.好股票结构的必要条 ...