公务员期刊网 精选范文 ip授权范文

ip授权精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的ip授权主题范文,仅供参考,欢迎阅读并收藏。

ip授权

第1篇:ip授权范文

2、在软件首页,点击“我的”选项;

3、在“我的”界面,可以看到会员选项,以及人物名称旁有钻石“未开通”字样,颜色为灰色;

4、点击会员选项,软件界面转到开通页,点击“开通Vip”;

5、月份有一月、三月和十二月的选项,选择需要开通购买的会员的月份;

6、选择支付软件进行购买,确认支付会员购买;

第2篇:ip授权范文

为了保证准确无误地转播赛事,NBC专门成立了独立于NBC news的NBC Olympics,它的全套设备均从美国NBC总部运送到奥运会指定地点。那么,如此特殊的应用和环境,究竟对IT通信设备意味着什么?

特殊的通信环境

此次北京奥运会,NBC投入了2800多名员工,其中包括大量记者和数百名核心现场转播人员。他们之间需要即时准确和方便的通信,以便第一时间将奥运赛事/人物采访以及中国风情等画面转播到全美100多家电视台。NBC Olympics广播与通信运营总监Bob Kiraly表示,此次他们仍旧采用了Avaya统一通信解决方案,支持8月8日至24日举办的北京奥运会赛事转播。

据悉,NBC Olympics的IT应用环境十分独特:每隔两年就需要在一个新地点建立一个完整的企业通信网络,因为它只在4年一届的夏季和冬季奥运会中使用。虽然这个网络的使用时间只有大约1个月的时间,但因为用途是对奥运会转播的支持,因此对高可用性要求极为严格。而且,因为赛事一旦结束,设备就会闲置两年,因此NBC Olympics还需要在高可用性、尖端技术需求以及成本之间仔细权衡。

“我们与Avaya一起理清了这种特殊的通信需求和实施过程。”Bob Kiraly表示,“我们没有时间进行复杂的安装,也绝对不能容忍任何风险。转播人员之间需要的是强大可靠的通信系统,既有助于控制成本,又能使我们的团队以最高效率工作。”

与雅典奥运的区别

其实,NBC Olympics早在2004年转播雅典奥运会时就首次采用了IP通信技术,当时采用了Avaya通信管理器,并用服务器-网关架构连接国际广播中心和场馆转播场所。在转播现场运行自己的通信网络,以及在雅典和美国总部之间采用IP中继帮助NBC Olympics削减了运营成本。同时,集成已有模拟和数字电话使NBC Olympics能够控制新技术实施的速度和成本。但是通信和数据的传送还是通过不同的网络进行的。

而此次北京奥运会,NBC Olympics则完全采用了IP通信技术。IP通信技术的采用立即带来了切实效果:更容易、更快速地搭建网络,网络上所有人都可以使用更强大、更一致的功能。据悉,这套系统共应用了500多部Avaya千兆以太网电话,及200多部Avaya其他不同型号的IP电话,帮助NBC Olympics的IP通信基础设施充分发挥强大功能。

全IP优势凸显

利用Avaya通信管理器,NBC Olympics还开始引入许多新的统一通信应用:当NBC评论员现场观看比赛并随时报道的时候,他可以利用IP电话的语音信箱功能,第一时间将新闻转化为电子邮件发送到任何地方;通过手机分机联动功能,来电时,NBC员工的座机和手机同时振铃,在座机和手机之间实时切换通话;电话的背光照明的显示屏上可以显示团队成员姓名和在线状态,使NBC的员工迅速判断谁是最适合接电话的人……

据Avaya通信总监陈蔚介绍,从系统角度而言,NBC Olympics实现全IP通信的最大好处之一就在于它减小了整个设备的总体积,非常有利于NBC Olympics设备的全球运送。模拟话机要求每一个话机对应模拟板卡上的每一个端口。采用IP电话之后,首先就可以省去模拟程控机机柜,所有IP电话都可以连接在局域网交换机上。而且Avaya目前的通信设备都基于标准服务器,也大大节省了设备重量。此外,NBC Olympic需要数据网和语音的连接,而这种网络不仅需要全球灵活运送,还需要快速安装,一套全IP通信网络可以大大节省NBC Olympic的时间和成本。

链接

Avaya与NBC合作历史

2000年悉尼奥运会:2000年8月28日,Avaya前身朗讯科技企业网络部与NBC Olympics签订合同,将为之后5届奥运赛事提供相关信息系统。在悉尼奥运会上,NBC Olympics将通信服务器部署在NBC的转播中心和支持中心,大约支持700名工作人员,并且与NBC总部连接起来。

2002年盐湖城冬奥会: Avaya通信服务器通过Avaya ECLIPS软件进行升级,NBC Olympics可以使用任何网络进行通信―公共网络、互联网、内部网、外部网或者异步传输模式(ATM),并开始使用Avaya EC500 分机手机联动应用。

第3篇:ip授权范文

随着我国文化产业的发展,对版权的保护也越发严格。人们常说的IP(Intellectual Property),也就是“知识财产”,俨然已成为文化消费市场的热词。

“由于IP概念和IP意识在国内形成时间较短,IP同质化、抄袭、炒作严重、资本盲目投入等一系列泛IP化问题正在显现,IP热后该有些冷思考了。”中国传媒大学广告学院IP跨界传播研究中心副主任郎劲松教授说。

市场火热,但授权混乱、同质化、抄袭等问题迭出

有人说,2017年,我国文化产业全面进入了言必称IP的时代:火爆荧屏的电视剧《三生三世十里桃花》改编自同名网络小说IP;正在上映的影片《嫌疑人X的献身》来源于日本作家东野圭吾的经典小说IP;动漫《进击的巨人》与手游作品的合作,实现了二次元文化和游戏IP的融合……

与此同时,和IP相关的问题日益凸显。一位业内人士告诉记者,对于热门IP而言,授权混乱是最典型的问题。

比如网络小说IP《微微一笑很倾城》,由于授权过多,导致北京大神圈文化科技有限公司和网易游戏之间发生矛盾。前者获得了小说作者授权,开发游戏等衍生产品;而后者旗下一款手游与经作者授权的同名电视剧合作,使用了“微微一笑很倾城”“微微一笑很倾城手游”等关键词进行搜索推广,被前者认为存在仿冒和虚假宣传,构成不正当竞争。

由网络小说《鬼吹灯》改编的两部电影在2015年先后上映,改编网剧在2016年热播,但3部作品分属于不同的制作发行机构。这种同一IP多方改编的情况,也极易引发混乱和纠纷。

此外,IP的同质化和抄袭现象也成为被诟病的主要问题。

2月15日,网络小说《锦绣未央》抄袭案在北京进行了证据交换。该小说涉嫌侵权多部作品,但却在2016年成为大IP,既获得巨大收视效益,又推出了同名漫画和手游,完成了产业链开发。

同样,网剧《热血长安》剧组近日声明,承认该剧第四集抄袭网络小说《张公案》,道歉的同时主动下架第四集,并与涉事编剧解约。

资本炒作,但缺乏统一、专业的价值评价体系

尽管市场存在诸多问题,但近年来,不少资本却仍在狂热追逐,导致版权价格不断飙升。

好看传媒董事长折龙龙说:“目前,整个行业过于浮躁,可能一个IP还没孵化透,就要去打造下一个。”这种做法对行业发展的质量造成了负面影响。

“在传播更加便捷的今天,传播内容的优劣和有趣与否决定了人们关注程度的高低,IP在这方面有吸人眼球的效果,这是资本流入IP领域的重要原因。”中国传媒大学广告学院院长丁俊杰教授分析,“但从结果来看,资本的乱入和对概念的重金炒作造成了今天的乱象,缺乏专业、客观的IP价值评审标准是这一问题的内因。”

北奥盛典文化国际发展有限公司总经理路建康也认为,当前,IP市场最大的问题是对IP缺乏统一界定,缺乏权威、专业的IP价值评价体系。

“数据造假,使得当前IP的商业价值难以预估,”折龙龙表示,再加上国内文学及影视行业集中度低,竞争过于激烈,导致价格偏离。有媒体报道称,2016年IP价格相比往年整体上涨50%左右,部分IP的价格甚至突破了千万元。

概念炒作也是导致IP转化困难的重要原因。丁俊杰说:“有些机构为抢占IP,不惜血本买价格很高的内容,但在市场上并没有得到相应的回报,或者太过于追逐短期商业利益,忽略了IP孵化、转化需要一定时间,使得资金很难周转。而购买价格高于IP在这个阶段的原有价值,使得后期的对接难度很大,从而扰乱了IP市场的公平和理性。”

破解困局,需规范标准、构建平台、推动跨界转化

“从更长期和根本的角度来看,这些问题也说明了当前我国的版权保护和交易系统还有待完善。”丁俊杰认为,“规范标准、构建平台,是解决IP乱象的方向和路径”。

近日,在首弥泄软IP大会暨软IP联盟启动新闻会上,IP跨界传播研究中心主任、爱奇艺首席内容官王晓晖提出“软IP”概念。王晓晖说,英文中的IP实际上可以分为硬IP和软IP,硬IP是基于技术领域的专利,而软IP则侧重于文化产业领域,专指著作权、商标权和其他艺术作品有关的概念权利所赋予的权利。当下国内十分火爆的IP概念,更多是指泛文化产业领域的软IP,主要集中在文学作品中,并由此衍生到影视剧、动漫、游戏等产业。

“目前,国内的很多影视作品已经具备了软IP的特质,但这些作品还只是以影视剧为出发点开发了游戏领域等线上产品,价值开发还未达到顶点。”王晓晖说,“像迪士尼一样开发出更多周边产品,从形象转变为实体,应该成为这些软IP努力的方向。”

第4篇:ip授权范文

DNS工作原理

互联网基于TCP/IP协议构建,任何一个网络资源(比如一个网站)首先要有一个IP地址才能被访问。IP地址相当于网络世界的地址,但由于这个地址是一个32位(IPv4)的数字编码,非常不方便记忆,所以发明了DNS,将人们容易记忆的且有一定特别含义的文字串,如.cn、等转化成IP地址,极大地简化了互联网的访问。

下面通过一个最简单的场景来说明DNS的基本工作原理。当我们需要通过域名访问一个网站时,本质就是需要将域名转换成IP地址;因此我们需要设置至少一个DNS服务器(通常称为LDNS,下文中会详细介绍)。计算机上的DNS客户端向LDNS发出请求;LDNS做为服务器端会通过递归的方式从根域开始逐级解析,最终获得用户需要的IP地址并将IP地址返回给客户端,此时计算机就能向解析出来的IP地址发送HTTP请求。

图1. 互联网用户访问网络资源的基本流程

近期经常发生大型网站DNS的安全事件,下文将详细介绍解析服务所面临的威胁、应对措施,以及相关的防范技术。

DNS的常见安全威胁

从安全的角度来看,对DNS的攻击方式主要包括三大类,一种是流量型拒绝服务攻击,如UDP flood、TCP flood、DNS请求flood,和PING flood等。这种类型的攻击的典型特征是消耗掉DNS服务器的资源使其不能及时响应正常的DNS解析请求,资源的消耗包括对服务器CPU、网络等的消耗。第二种是异常请求访问攻击,如超长域名请求、异常域名请求等,这类型攻击的特点是通过发掘DNS服务器的漏洞 ,通过伪造特定的请求报文,导致DNS服务器软件工作异常而退出或崩溃而无法启动,达到影响DNS服务器正常工作的目的。第三种是DNS劫持攻击,如篡改LDNS缓存内容、篡改授权域内容、ARP欺骗劫持授权域、分光劫持等,这种类型攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答,从而达到影响解析结果的目的。

DNS劫持

域名劫持简单地说就是LDNS由于某种原因缓存了错误的结果,所以也叫做域名服务器缓存污染(DNS Cache Poisoning)。

DNS按工作机制来划分一般可以分为两种。一种是只有缓存(Cache)功能的DNS服务器,这类服务器最典型的就是各个ISP提供的负责解析服务的服务器,通常称为LDNS。LDNS服务器上没有原始的域名解析记录,所有的记录都需要通过查询授权域名服务器来获得,同时根据授权域名服务器返回的结果中给定的过期时间(TTL)来确定这些记录的有效性。在TTL时间内,服务器可以直接将已经获得的结果返回给所有来查询的客户端;TTL时间过期后,再向授权域名服务查询获得最新的结果。另一种是授权域名服务器,上面保存着自己管理的域下的各种解析记录,供LDNS或其它客户端查询。

由于被污染的LDNS会将返回的结果缓存一定时间,并且在这个期间内对所有向它请求的客户端都直接返回错误结果,所以具有非常大的影响力和破坏力。可以把LDNS考虑成一个火车站问询处,它的设立是为了方便旅客了解信息,例如列车会停靠在哪个站台(相当于域名到IP的转换)。但是问讯处的人员在获取这个信息时,本来应该向火车站调度员去询问,而由于某种原因,比如调度员被劫持胁迫,或者与调度员的对话上出现误差,导致其获得的列车停靠站台信息有误,就会造成所有向调度员询问信息的人都获得了错误的结果,从而前往一个错误的站台接站。

DNS劫持理论上可以发生在整个DNS解析过程中的任何一个环节,比如客户到LDNS的访问过程、LDNS访问根域的过程,或者LDNS访问某一级授权域的过程;其中以后两种最为常见。

如何应对DNS劫持

出现域名劫持后,首先要及时确定域名劫持发生的范围及影响程度,确定域名被修改的原因是什么;比如是LDNS的缓冲信息被直接修改?还是某一级的授权域名服务器的记录被修改?或者授权域名服务器所在的网络发生ARP欺骗攻击导致信息出现错误?抑或是在LDNS到授权域名服务器的访问链路上返回结果的报文被直接修改等等。

确定了问题点后,就需要及时修补漏洞,并及时重启被污染的LDNS,以防止错误的解析结果由于TTL缓存继续影响更多的用户访问。

DNS劫持的防范通常用DNSSEC技术,除此之外,ChinaCache(蓝汛)还利用冗余性多重域名的方式降低域名劫持的风险;自主研发的解析验证系统更能为客户带来更安全的服务。

DNS劫持防范与ChinaCache创新技术

目前在业界比较好的方法是使用DNSSEC的方式来防止域名劫持。DNSSEC简单来说就是在LDNS向授权域请求解析时,支持DNSSEC的授权域名服务器会将解析结果进行一次授权加密,LDNS拿到结果后会进行一次解密,同时校验解析结果的完整性,以避免获得的结果是从非授权域获得的,同时还可以避免获得的结果在过程中被篡改。ChinaCache承担上万台设备的DNS解析指向,每天有上亿次解析任务。因此,安全性是ChinaCache DNS服务最重视的环节之一。除了支持DNSSEC来获得解析的安全性以外,ChinaCache还拥有其它专利技术和手段,进一步降低DNS被污染的风险。

第5篇:ip授权范文

关键词 网守 H.323

中图分类号:TN915.05文献标识码:A

1995年,VocalTec公司研究出第一个因特网电话客户端软件,IP语音技术(VoIP,Voice over IP)就使通信方式发生了一场重要的技术变革。IP语音技术是通过互联网传输语音和传真的一种新技术,线路上的传输是以分组交换作为基础。目前通过IP技术的传输数据的网络,随着传输技术的发展使传输变得可靠,因此使用范围越来越广。对于图像、视频等数据的传输,对数据包要求按照顺序到达对端,IP网络不是最好的,在这样的背景下产生了H.323标准。H.323标准是由国际电信联盟(ITU)1996年提出的,两年后了H.323标准的第2版。它是由H.320标准衍生出来的,最主要是对数据的传输按照顺序到达做出了规定。随着IP语音技术的需求越来越大,使得越来越多的公司对其进行研发和应用,随之而来IP电话的网关(Gateway)和网守(Gatekeer)作为其核心技术变得越来越重要。伴随着技术的发展,网守是H.323网络中最重要的成分,即将成为关注的焦点。

1 概念

在H.323标准的网络中,网守是其中最重要的组成部分,即使它不是必须存在的。如果网络中有网守,其他终端设备必须使用它提供的服务。作为网络中的虚拟交换中心的网守,整个区域的呼叫通话都是网守负责管理。在没有网守的网络里用户端之间虽然也可以进行通信,但是在有一定规模运行的网络里,若要实现除了简单通信外更多的功能,则必须要有网守。典型的终端设备是多媒体计算机,它们可以充分利用网络的各种功能,例如视频会议。网守负责整个网逻辑区域的管理,网关负责不同种类网络的连接。当某个网络终端设备试图和另一个进行通话时,它就发送一个请求,网守对这一请求进行应答。应答包括被呼叫终端的IP地址等参数,以建立起可靠的连接。如果是多点连接,网守同样重要。当召开多点会议时,网守就把控制通道转交多点控制器MC(Multipoint Controller),由MC负责控制。这样,网守只需要在终端设备之间或是终端与MC之间简单地传递信令就可以了。用户可以通过数据网络与其他用户或计算机进行通信是通过网关实现的。网守作为一种高效的通话管理工具,它的主要作用有监管网络带宽资源、记录呼叫的信息、管理账号、兼容异种设备,还可以提供授权和认证服务。在大规模的IP电话网络里,必须要网守来管理协调各区域之间的各种信息。

2 功能

2.1 网守在它所管辖的区域里主要的基本功能

(1)转换地址:负责把各个用户或者节点的登记名称更改为计算机能够识别的IP地址。网络里的用户或计算机根据用户的喜好或管理方便,可以自己定义为方便记忆的名字或昵称等,而这些数据都需要转换成IP地址。实现这一功能很容易,只需做一张地址转换表来把用户名和IP地址一一对应,我们还可以根据需要由用户或者网管对名称进行修改,只需及时更新和备份从而方便管理和使用。

(2)控制接入:网守通过接入请求认证的方法来控制接入,它可以按照规定或者需要来接受或者拒绝终端设备的访问。若某一时间段内网络资源比较紧张,网守就会拒绝新的接入来保障目前正在使用的用户接入质量。

(3)控制带宽:网守可以根据网络状况为每个通话分配接入带宽。如果网络中的用户占用的带宽已经达到使用的上限,网守可以拒绝新的呼叫接入。或者通过调整参数例如增大语音数据的压缩比例或者断开原来的接入来控制分配带宽的使用。

(4)整体控制:每个网守负责管辖一定的用户或者区域,在他负责的用户群里,网守都可以为用户提供上述的服务功能。

2.2 网守的其他附属作用

(1)控制用户:如果网络中用户占用的资源已经达到带宽的上限的情况下,网守将通过用户的分级来给一些重要的成员优先权,其可以建立新的呼叫接入或者拒绝普通用户的需求。

(2)信令控制:在用户与用户之间的通信中,网守是通过信令的控制来服务用户的。

(3)接入管理:在网守负责管理的区域里,用户可以根据需求来建立或者拒绝建立新的接入,这些规则可以被灵活定义,例如指定的的时间段、指定的计算及终端、路由器或者网关等等。

(4)呼叫管理:网守通过用户的呼叫列表的状态来确定终端设备的工作状态,如果某一用户已目前正在与其他用户进行通信,无法建立新的连接的情况下网守就不会再为这个用户来建立其他的连接而给接入用户发出忙碌指示。

网守为用户服务是建立在授权的基础上的,授权即是通过认证来完成的,每个新用户都需要先将用户信息传递给网守,网守通过数据库来存储用户信息,这样每个用户对网守发出的指令网守根据用户数据来判断此用户是否已经授权,网守可以选择是否接受用户的指令。用户信息可以由网管直接在网守的配置文件里直接添加,还可以通过指令由网守定期进行扫描自动添加相应的信息以方便管理,还可以通过人机对话来决定是否给某个用户授权或则授权的等级。用户所能实现的功能都是通过用户信息的等级来完成的,例如用户能使用的带宽、呼叫接入的权限等等。在自动扫描过程中,每个用户可能收到几个网守的广播信息,用户可以自己选择在哪台网守登记信息,用户选定以后则登记相应的信息,信息登记结束后,即确定用户由哪台网守负责管理控制和分配用户,网守同样会给用户发送一个确认信息,至此完成注册过程,其他网守即停止再向这个用户发送注册信息。

2.3 网守的发展趋势

目前的传统语音技术已经发展了很长一段时间,技术也比较成熟,能为用户提供多元化的服务,例如语音留言、呼叫转移、语音自助服务、呼叫限制、呼叫等待、呼叫转移等。在H.323标准的网络中,网守需要能融合目前的传统电话网络和新兴的IP电话网络,以方便用户的选择、升级或集成。同时,IP语音技术应尽快开发新业务,以便为用户提供更加全面细致的服务。目前,传统通信方式承载着大量的电话、传真等业务,从技术上讲还是在建设规模上都已经比较成熟完善了。IP网络语音技术还正处在不断发展、完善的阶段。两种模式在未来相当长的一段时间内将会并存,然而随着IP语音技术的发展和完善,IP电话以其价格优势目前主要是抢占了长途电话的话务量,尤其是国际长途电话的话务量。随着IP电话的发展,作为管理者的网守将会在功能和控制方面发挥越来越重要的作用。

第6篇:ip授权范文

【关键词】天网 视频专网 并网 视频监控

中图分类号:TN915.07 文献标志码:A 文章编号:1006-1010(2016)18-0026-07

1 引言

视频监控技术已经成为继刑侦、技侦、网侦之后的第四大侦查手段[1]。全国视频专网(经改造统一组网的称视频专网)组网标准出台前,各地已陆续建设了各自的天网(未经改造组网的称天网)。目前广西视频监控摄像头覆盖率初具规模,区、市、县三级视频监控系统在应用层面已实现联网[2]。视频监控技术已成为广西公安侦查破案、治安防范、指挥调度、提升执法规范化水平和服务群众的主要科技手段。但各地天网未统一组网,分属不同网络。视频资源的共享是通过区、市、县三级视频联网平台以SDK方式和国标GB/T 28181-2011规范在应用层实现联网,采用在不同网段之间的视频联网平台上多个物理网口配置多网段技术,实现不同网络之间的资源共享对接。联网的环节有:模拟对接设备、双网卡联网平台、安全边界接入、不同厂家的联网平台等。视频图像传输环节过多,联网结构过于复杂,造成了以下问题:跨地区的天网之间数据资源无法共享,无法远程跨市、县进行视频监控图像调取;视频监控图像故障需要区、市、县各级层层现场诊断,操作复杂,视频监控系统运行维护效率低。

随着视频监控技术在公安工作中越来越普及,视频监控摄像头越建越多,办案民警对实时调取异地视频监控图像的需求越来越迫切,技术维护部门对异地诊断视频监控系统故障的要求也越来越紧迫,并网工作势在必行。公安部制定并颁布《全国公安机关图像信息联网总体技术方案》后,视频专网并网有了统一的技术要求[3]。为充分发挥视频监控系统的作用,广西在全区范围内开展了视频专网并网工作。由于广西各地的网络线路、网络设备、视频监控联网平台、前端摄像头和网络结构情况都不一样,而网络中的视频监控系统均在使用,并网涉及不同厂家在应用层、网络层和物理线路的调整,存在一定的技术难度。经课题组实地和电话调研,了解到浙江嘉兴市等部分城市已经开展了并网工作,广西是全国唯一开展省级视频专网统一组网并网的省区。

2 并网总体技术方案

根据《全国公安机关图像信息联网总体技术方案》和实际情况制定了《广西视频专网总体架构》,具体如图1所示。

2.1 视频专网

区、市、县三级互联互通承载视频监控系统的专线网络、星形网络、视频专网拓扑如图2所示。

(1)网络拓扑

视频专网采用分层架构设计,划分为骨干层、汇聚层和接入层[4]。

1)骨干层负责各汇聚节点间的互联,高效的数据传输、交换、转发、路由分发。如图2所示,Cisco系列路由器和三层交换机属于骨干层[5]。

2)汇聚层通过接入层网络设备汇集分散的接入点,进行数据交换,并提供流量控制功能[6]。

3)接入层则负责将各种业务接入到网络中,实现业务系统之间的隔离和安全控制等功能,接入层直连前端设备。

网络分层模型架构可减少骨干和接入部分之间的互相影响[7]。业务应用接入变动时,只影响接入设备及接入部分网络,对骨干网络没有影响,从而增强了网络的扩展能力和新业务的接入能力,便于管理和维护。

(2)路由规划

在视频专网中IGP将采用OSPF路由协议,区、市级节点为骨干区域,定义为Area0[8]。同一地市下的县局统一为一个子区域,全区OSPF各市区域ID为行政编码前四位45XX。采用区域划分的优点在于网络结构层次分明,利用网络结构进行规划和调整。在各地核心交换机设备性能允许的情况下,核心交换机与路由器间尽量启用OSPF协议,减少静态路由的配置[9]。在核心交换机性能较低的节点,可采用静态路由方式,在核心交换机上配置静态路由指向出口路由器。

(3)IP地址规划

各地天网采用172.X.X.X、192.X.X.X、10.X.X.X等网段。改造为视频专网上所有设备(包括路由器、交换机、安全信令网关、互联媒体服务器、中心信令控制器、卡口、电子警察、Web应用服务器、DVR硬盘录像机、NVR网络硬盘录像机、IPC前端摄像机等)统一采用45.X.X.X。

一类、二类、三类视频监控资源,内部监控资源和无线视频资源使用不同的IP段。公安各部门在区厅层面对接,由区厅技术部门按需分配。无线专网前端采用VPN方式接入,作为视频专网的一个子网互通。各市根据区厅制定的视频专网IP地址规划再规划各县IP分配。保留部分IP段,今后IP不足时,再根据需要分配。

2.2 视频监控系统联网

(1)平台之间级联关系及数据流走向

视频监控共享平台:区、市、县三级平台逐级级联,上下级之间视频码流调取和浏览通过视频专网传输。平台用于整合公安内外部视频监控资源。

视频专网卡口联网平台:各市、县的电子卡口系统联网汇集到市级视频专网卡口联网平台,最终将卡口数据汇入区公安厅卡口联网平台,实现全区电子卡口系统共享的格局和“一点布控,全网响应”的目标[10]。

内网视频图像联网平台:市、区视频监控共享平台通过安全接入措施与内网内建设的联网平台对接,实现内网调度视频监控图像[11]。县级可通过模拟对接模式与县级视频监控共享平台对接或者通过客户端调取市级的联网平台。

(2)系统之间对接技术规范

SDK对接方式为单向性,无法实现视频监控系统图像的双向调用。区、市、县、基层科所队四级社会视频监控联网系统的联网,社会单位建设监控资源接入社会监控资源整合平台均应按照国标GB/T 28181-2011的要求进行升级改造和联网对接。国标GB/T 28181-2011支持信令与码流标准化,可实现获取对方图像资源的功能[12]。通过权限设定的方式,实现提供图像资源给对方的功能。

(3)安全管理要求

视频监控共享平台和联网平台采用全域统一的授权策略,依据分区、分域授权原则,对用户和视频监控资源进行授权管理。根据所属警种、部门、行政区域、职级、类型等进行分类,对不同用户授予访问和控制相应资源的权限。原则上,资源直接管理者具有最高的资源控制权,但下级平台应向上级平台开放所有资源的访问权限以及最高控制权限。

省级平台负责省级用户、省外用户访问以及地级市平台相互访问授权;市级平台负责本市用户、市外用户访问、县级系统互相访问的授权;县级平台负责本县用户的授权、县外用户访问的授权、下级系统互相访问的授权。

社会单位建设的监控资源需联网接入视频专网,必须通过防火墙或安全隔离网闸等必要的安全设备接入[13]。

3 XY县并网案例

并网前各地情况不一,由于篇幅所限难以在文中一一罗列,下面以比较典型的XY县为例,对并网前后的技术架构进行对比,并介绍割接步骤。

3.1 并网前后技术架构

(1)并网前XY县现状。XY县天网总体架构如图3所示,区、市、县视频专网已联通,YL市和XY县的天网也已联通,视频专网与天网之间网络不通。

视频专网IP段为172.X.X.X;

天网IP段为192.X.X.X;

前端摄像头100个,卡口45个;

视频专网内摄像头及卡口整合到视频监控共享平台;

天网由YL广电公司(1000 M到市局)承建,视频专网线路由区联通公司(100 M到市局)负责;

XY县的卡口先整合到YL市局视频专网卡口联网平台;

视频专网内的县级社会视频监控共享平台使用双网卡双IP段方式与天网内的县级社会治安监控天网平台对接。

(2)并网后,XY县视频专网就变成了图1所示的广西视频专网总体架构目标。

并网后,视频专网与天网融合为一张网,所有设备均用45.X.X.X的IP段。本级视频专网路由器与天网三层交换机通过以太网线直连。

XY县局到YL市局的视频专网使用YL广电公司的1000 M线路传输,原视频专网(中国联通100 M)作为备份。

县级社会视频监控共享平台由双网卡方式变更为单网卡单IP方式与县级社会治安监控天网平台对接。

县级社会视频监控共享平台与县级社会治安监控天网平台重新注册对接,视频码流和卡口数据流向不变。

3.2 并网割接步骤

为实现各类视频业务应用在并网割接过程中平滑过渡,割接过程分为三大步骤:首先网络割接,确保45.X.X.X网段与原172.X.X.X网段共存;然后视频监控系统割接;最后电子卡口系统割接。具体步骤如下:

(1)网络割接

1)XY县局根据YL市局的IP规划和视频监控设备数量,分配一个C类IP地址段(45.A.A.X)。

2)由XY广电公司调整XY县网络结构,将县级天网三层交换机直连至县局视频专网路由Cisco2811。

3)区厅对部署在区厅、YL市、XY县的视频专网路由器进行配置,使172.X.X.X与45.X.X.X互通。

4)XY广电公司在县级天网三层交换机相应端口上配置双IP(172.X.X.X、45.X.X.X),45.X.X.X为主IP,172.X.X.X为第二IP,使天网上两个网段互通。

(2)视频监控系统割接

1)XY县局为视频监控联网平台、摄像头、卡口和服务器进行等设备分配IP地址,具体如表1所示。

2)视频专网共享平台,原使用双网卡(172.X.X.X和192.X.X.X)。修改为使用单网卡,IP为45.X.X.X。

3)修改XY县级天网平台IP(原192.X.X.X)为45.X.X.X。

4)修改摄像头IP为45.X.X.X。

5)县级社会视频监控共享平台与县级社会治安监控天网平台重新注册对接。

6)修改YL市局视频监控共享平台配置,与XY县视频监控共享平台重新对接。

(3)电子卡口系统割接

1)修改XY县卡口前端设备IP为45.X.X.X(原IP为192.X.X.X)。

2)由YL广电公司在YL市天网核心交换机相应端口上配置双IP地址(172.X.X.X、45.X.X.X),45.X.X.X为主IP,172.X.X.X为第二IP,使天网上两个网段互通。

3)修改XY县电子卡口系统IP为45.X.X.X,与YL市电子卡口平台对接。

(4)割接完成

1)由XY县组织相关单位开展各项视频监控应用测试。

2)测试结束一个月后,在XY县天网三层交换机上删除原有IP(192.X.X.X和172.X.X.X),完成割接工作。

4 并网可能遇到的问题及解决方法

(1)部分摄像头修改IP后,无法调取历史录像。这是由于部分系统基于IP检索录像。如要调取原历史录像,需再修改为原来IP。因此须保存好修改前后的IP对照表(如表1所示),并保持网络原IP段与修改后IP段互通至少一个月(录像保存时长一般为一个月)。

(2)卡口系统的数据库为ORACLE RAC集群,修改IP后无法启动。ORACLE RAC集群配置复杂,配置顺序和IP不对,数据库就无法启动。因此需先建设一套新的ORACLE RAC集群,将旧数据导入新库,再修改应用指向新库。

(3)IP修改和重新注册对接造成摄像头的ID变动,并网后,上级系统无法匹配摄像头的维护信息,如地理位置信息、所属单位信息等。因此,在并网前,须备份好数据,如ID变动则根据摄像头名字匹配,根据名字也无法匹配,需人工匹配。

(4)个别地方天网建设不符合安全规范,依托互联网VPN建设。并网后,视频专网与互联网物理连接,存在安全隐患[14],须整改为租用专线重新组网。

(5)并网涉及天网上所有在用设备,需众多厂商软硬件的对接,如沟通不到位,极有可能出现系统无法工作、应用暂停的情况。需与掌握并网整体技术的同志主动联系,与各个单位、厂商沟通协调。在并网过程中相互关联的设备维护人员须同时在场以便进行沟通调试。

(6)部分市、县级天网集成商技术水平较低,无法支持并网工作,大部分县局天网网络管理员对本地天网情况掌握不全,上级需派出技术骨干到当地进行指导培训。

(7)少数系统厂商已破产,没有技术支持,无法开展IP修改后与新系统的对接工作。只能保留现状,新增45.X.X.X网段,逐步淘汰此类系统。

5 结束语

并网后,全区视频监控系统都运行在同一张网内,解决了存在的问题,提升了公安实战能力,提高了工作效率。

(1)视频图像快速调度。原联网方式视频图像传输环节过多,联网结构复杂,视频传输瓶颈在视频监控共享平台,造成视频图像调度慢。并网后,联网方式扁平化,简化了传输环节,提高了视频图像的调度速度。

(2)提升视频图像系统运行维护效率。并网后,通过网络是否可达的方式精确判断摄像头是否在线,可以远程检查诊断,大大缩短故障排除时间。

(3)解决跨区域视频资源共享难题。并网后,全区视频专网互相联通,在视频专网内摄像头及服务器IP均可直达。派出所民警需要调取涉案视频录像时,可取得授权后直接在视频专网内浏览并下载涉案录像,不需再到存储视频录像的市、县进行拷贝。

(4)视频监控调度手段多样化。并网前,调度视频图像必须通过视频监控共享平台,存在单点故障且调度手段单一。并网后,如果视频监控共享平台故障,可通过前端摄像头、DVR或市、县级视频监控平台调取视频监控图像。

(5)视频专网并网后可传输共享各种数据。视频专网遍布大街小巷,为今后建设物联网打下了基础。如在视频专网采集手机卡信息、电子车牌信息等,大大丰富了信息的来源,也为下一步开展大数据应用打下了基础。

视频专网并网带来诸多好处,同时由于视频监控网络接入点暴露于街头路面,也使视频专网信息安全隐患进一步扩大。目前视频专网还缺乏网络安全管理工具,易造成非法侵入、病毒攻击以及视频信息外泄等信息安全问题。视频专网信息安全问题是并网后重点要解决的问题。

参考文献:

[1] 陈晓辉. 实训战视野下武汉城市视频监控系统研究[J]. 开封教育学院学报, 2015(9): 256-257.

[2] 余俊,刘乙丁. 构建平安南宁、智慧南宁[J]. 中国公共安全(综合版), 2013(21).

[3] 杨卓敏,张慧辰,施一珑. 公安公路视频监控大范围联网问题分析[J]. 中国交通信息化, 2015(11): 98-100.

[4] 马莹,李炜. 电力数据网双平面网络架构研究[J]. 科技视界, 2013(23): 147.

[5] 王晖. 一种企业广域网的设计和实现[D]. 武汉: 华中科技大学, 2005.

[6] 苗增启. IPTV承载网方案设计与实现[D]. 北京: 北京邮电大学, 2006.

[7] 任晓炜. 省级气象业务宽带信息网络构建策略[J]. 成都信息工程学院学报, 2005(4): 447-450.

[8] 曲卓. 辽宁省交通厅信息专网升级方案探讨[J]. 北方交通, 2014(5): 115-118.

[9] 李涛. 广西联通客户服务系统网络安全改造方案的设计与实施[D]. 北京: 北京邮电大学, 2007.

[10] 张珀瑜. 智慧安全华明系统的设计与实现[D]. 天津: 天津大学, 2013.

[11] 庄君丰,李上剑. 平安城市视频监控信息内外网交互模式探讨[J]. 中国安防, 2010(9): 83-86.

[12] 李智峰. 社会资源图像系统整合解决技术方案[J]. 消费电子, 2013(6): 8-12.

第7篇:ip授权范文

信息监测和过滤技术是保护IP的一种方法。这项技术能够帮助公司准确搜寻和定位那些涉及IP的敏感数据和其他信息,以便公司从法律、政策、人员、手续和技术等各方面加以保护。要保护好IP,需要一项复杂的技术,能够识别敏感信息及其所有变化形式。目前,许多公司都急需这项内容监测技术来加强保密措施,防止泄漏机密。

IP的概念提供了一个有效地定义重要信息的方式――搜寻、监查并控制管理。通过记录信息传送(如谁在何时何地以怎样的方式发送了何种信息)和内容来监控信息,对公司的IP保护工作很有帮助。同样,企业如果能从大量文件档案中找出所需信息,那么IP保护工作就有了新的意义和深度。

Pro-Tec Data公司在最近一项对客户的采访调查研究中发现,一种反馈系统被用来识别IP资产:企业定义IP,包括典型的和衍生的;运用信息监查技术扫描网络系统,包括服务器、电子邮件和用户机,搜索闲置信息及其实际使用和传输情况;利用搜查结果开发自己的信息识别系统,包括信息使用和传输情况,并区分敏感/非敏感信息和授权/未授权交易。

企业还可以建立捕捉数据库,记录违反信息安全的事件,帮助调查侵权事件。另外,企业可以改进IP监督机制,吸取以往的教训,防止同样的错误。这样,企业就能不断地提高IP保护工作的准确性和有效性。

由此,我们可以清楚地看到,客户可以直接与一个中心数据库相连,捕捉可能涉及侵权的事件,并根据过往信息进行调查。比如,一位工程师使用FTP把他们公司的源代码传到了另一家公司的服务器上。一个客户网站接到报警提示后,信息系统立即开启“捕捉数据库”,查看他在FTP上的一切操作,以及他与收到信息公司的一切通信记录。此外,这个“捕捉数据库”也能记录离线的信息安全事件,比如,记录下可能的员工计划窃取信息后辞职的情况。

第8篇:ip授权范文

iPad的前世今生

唯冠的iPAD诞生于1998年,是其iFamily系列电子产品的一员,名称与苹果公司热销的平板电脑iPad只有字母大小写的差异。唯冠在今年2月23日的浦东法院庭审时,为了证明他们的iPAD一直存在,出示了产于2009年的iPAD电脑作为证据。

然而,唯冠在2009年就已濒临破产,他们出示的这个证据,恰恰揭示了这个中国产品不济的命运。

而同样诞生于2009年的苹果iPad,如今仅在中国内地的年销售额就达108亿人民币,在“商标门”中俨然成为了吸引大众目光的主角。

唯冠的iPAD是internet personal access device(网络个人接入设备)的简称。这是一款拥有可控触操作显示屏的台式电脑,曾在全球10个国家和地区进行了注册。因为技术缺陷,它的触屏操作在干燥的环境下极易出错,所以这款产品昙花一现,并未成为唯冠生产的核心产品。唯冠一直致力于显示器和液晶电视的制造,并一度成为这个领域排名世界前五的制造商。

2003年iPod出世,苹果公司在英国为iPod注册商标时,竟然因名称与iPAD相似被拒绝。苹果公司祭出自己的诉讼法宝,抢先唯冠闲置商标。而当时的唯冠处在发展的高峰期,不想放弃这个商标,积极应诉并反诉苹果。

这出戏剧化的诉讼风波最终以唯冠的退让而落下帷幕。与苹果在英国打了3年的官司之后,唯冠提出撤诉和解。和解的原因,据唯冠发言人透露,是因为唯冠当时无力负担跨国诉讼的费用。

这是两家公司的首次交锋,苹果因此发现了另一个“iPAD”的存在。但在他们眼里,这俨然就是一个没有实际产品的闲置商标。这个强势的业界巨头,以他们惯常的高傲,并没有将唯冠的iPAD当成自己的对手。何况当时苹果产品在唯冠的大本营――东亚和亚太区域只有区区8亿美元的销售额,这也许是个不值得太关注的战场。

2008年的金融危机,让唯冠赖以生存的显示器市场整体大降价,导致公司的销售额缩水60%,损失惨重。此外,唯冠还在中国银行、民生银行等银行及供应商处欠下了20亿人民币的巨债。2009年底,唯冠以3.5万英镑(约合35万元人民币)的价格将iPAD商标卖给了一家名为IP Application Development Litmited (简称IPADL,下称“IP公司”) 的公司;后来iPAD商标经 IP公司转手给了苹果。

接下来发生的事情现在众所周知。唯冠债务重组失败,资产被查封。2011年,平板触控电脑iPad在中国大热,同年底,苹果和唯冠开始对簿公堂至今。

到底谁委屈?

2009年,唯冠试图债务重组、谋求产品转型时,遇到了带着10亿元投资而来的和君创业集团。据和君创业总裁李肃称,他们当时看到了iPhone的火热,并了解到唯冠之前有过做触屏的基础,就想帮助他们债务重 组,专做触屏电脑iPAD。没想到商标已经出售,只得作罢。但李肃发现,当时商标交易的授权方是唯冠的母公司台湾唯冠,授权书上也没有深圳唯冠的公章,所以从这个角度来说,属于深圳唯冠的2个iPAD商标(不同书写格式)并未转至苹果名下。虽然重组事业未竟,但商标的归属问题仍有文章可做。

2011年,和君创业成为了深圳唯冠债权方的人,李肃对本刊记者透露说,“我们是债权银行的代表。”

坊间传说,在唯冠深圳向苹果提出商标权还在自己手中时,苹果公司还是愿意坐下来谈判的。真正让苹果放弃和唯冠谈判的,是八家债权银行查封了唯冠资产这一事实。苹果得知这一消息后,马上单独与各家银行沟通,询问是否愿意出售深圳唯冠所有的商标。在得到肯定答复之后,苹果方面认为拿下商标没有问题,开始正式在中国销售iPad。

但李肃称,苹果未取得正式授权就公然销售iPad的做法触怒了八家银行。“现在八家银行都认为iPad商标是唯冠最值钱的资产,反对让其破产,决定继续清偿。”而清偿的核心,就是苹果能支付多少的转让费。李肃还透露道,银行认为如果苹果愿意一次性掏出4亿美元,八家债权银行将彻底放弃所有的诉讼,如果苹果认为价格应该低一些,双方就需要谈判解决。

现在,恰恰是苹果与银行的这些接触,成为了深圳唯冠用来证明苹果一直承认未正式获得iPAD商标的把柄。几乎与此同时,苹果也将商标归属问题诉诸公堂。

2010年4月,苹果在美国推出iPad的同时,在深圳中级人民法院提讼,要求确认中国地区的iPad商标权归苹果公司所有。2010年5月,苹果再向香港高等法院提讼,主要涉及台湾唯冠和IPADL公司(IP公司)的交易合同。

让深圳唯冠感到委屈的是,他们认定当年的IP公司是苹果给唯冠做的“套”。2009年8月,IP公司的代表找到当时因金融危机损失惨重的唯冠说,“因为你们公司的商标和我们公司的简称很相似,我们想跟你们买商标,他们还说‘我们公司刚设立7天,还没有想好要设计什么,但是请唯冠放心,我们不会和唯冠竞争’,”唯冠公司的代表在新闻会上说。商场如战场,尽管这个不竞争的承诺听起来不靠谱,但唯冠却似乎服下了定心丸,甚至天真地向这家厚道的后辈公司提供了全球各地的iPAD商标注册资料。

当时IP公司出价2万英镑,并对讨价还价的唯冠说,如果嫌不够就通过诉讼方式解决。对于极度缺钱的唯冠来说,iPAD可能的市场价值早已不在考虑之列,“卖了还有钱拿,不然天晓得还要多少律师费”。就这样他们当年12月就在台北签约了,等到2010年1月苹果公司召开iPad全球会后,唯冠才大呼上当,尤其是在得知IP公司只以10英镑的价格把商标卖给苹果时。对于唯冠来说,iPad平板电脑是和他们同领域的产品,也违反了当初不竞争的承诺。

有意思的是,这家所谓的“白手套公司”,也出现在了苹果对唯冠的诉讼团队里。

一个低级错误引发的商战

把IP公司的真假放在一边,这场诉讼的核心问题是:IP公司购买的,到底包不包括中国内地的商标,以及台湾唯冠到底能不能代表深圳唯冠出售商标。因为唯冠所拥有的关于iPAD的十个商标中,有8项在台湾唯冠名下,有2项归深圳唯冠所有。

苹果公司不能理解的是,既然台湾唯冠与深圳唯冠的法人代表及实际控制人都是董事长杨荣山,身为总负责人,杨荣山签署的转让理应是全权有效的。按照中国台湾、香港地区的法律规定,只要有董事长的签字,再盖章确实就OK了。但是中国大陆的商标法规定,在转让的时候必须以公司的公章为准,而不是个人的签字。

所以,深圳唯冠的律师团代表马东晓指出,转让协议的授权书签字人并不是杨荣山,而是台湾公司的法务部处长麦世宏,这就意味着授权需要包括台湾方和深圳方的公章,但授权书上仅有台湾唯冠的公章和杨荣山的 私章。另外,即使是杨本人也不能随意处置唯冠深圳的资产,这就好比老子卖了自己的8间房不说,还顺手把儿子的2间给卖了,是不合法的。

“退一万步说,即使法庭判定唯冠台湾合同合法。也必须在商标局批准转让并公示完之后,苹果才有权使用这个商标。”马东晓解释道,就如同房屋买卖要“过户”完成后才生效。这一过程包括:转让人和受让人共同去商标局办理转移,申请要经过商标局核准,然后公告。说到底,“苹果这样一家伟大的公司,在知识产权上犯了一个低级错误”。2011年末,深圳法院的一审判决宣布苹果败诉。随后苹果提起了向高院的上诉。

既然台湾唯冠不能代表深圳唯冠已经是既定事实,现在苹果和唯冠的争论点就转向了当时的授权有没有深圳唯冠的参与。杨荣山称,尽管授权书上有他的印章,但当时他对于转让了哪些商标并不知情。

对此,一向不声不响的苹果,做出了第二次公开回应。他们发表声明称,深圳唯冠全程参与了当年价值3.5万英镑的转让交易,指责深圳唯冠“陈述不实”。并称,“唯冠在这场商标案中输掉了契约精神。”

在上海浦东法院的审理中,苹果律师提交了一系列电子邮件,其中列出了商标交易的一些细节。邮件显示,英国IP公司与名为袁辉的深圳唯冠员工接洽,袁辉在2009年12月15日的邮件中表示:“麦世宏和我在深圳。但是商标不属于深圳公司,而是台湾公司。因此我们选择将会议安排在台湾召开。”后IP公司以3.5万英镑向台湾唯冠购得全球共10个iPad商标,并按照其指定的台湾电子账号汇款。其后,英国IP公司将这些商标全部转让给美国苹果公司。

这场iPad之战,付过了一次钱的苹果争的是想不通的“理”,而唯冠及其债权人抓的是最后一根稻草。

为利争权

尽管唯冠在庭审中出示了2009年生产的iPAD电脑让苹果无法以“闲置商标”为由申请撤销深圳唯冠的iPAD商标,但苹果当庭指责唯冠产品虚假,“没市场,没客户,员工已解散,还有债主上门”。杨荣山自己也承认,“iPad的价值是苹果创造的”。

对于等着苹果赔款的深圳唯冠和八家银行来说,iPAD的价值与品牌无关,只是变现后的钞票。如果说当年苹果一系列不管是卑鄙还是狡猾的商业运作,都是为了“i”家族整体的品牌价值;那么今天以和君创业为“总协调”的商标维权战,则是为债权人尽量争取利益的资本运作。

不得不说,这次苹果的商标纠纷颇有些阴沟里翻船的意思。当初汉王曾先于苹果在中国注册“i-phone”商标,于是苹果在2009年与汉王签订转让协议,以365万美元获得所有相关的商标著作权。IP公司买卖商标一事,不管是合理的商业策略还是显失公平的机关算尽,苹果的确为了避免商标纠纷做足了准备,没成想还是不能保证万无一失。

第9篇:ip授权范文

关键词:数字化校园;授权访问控制;工作模型

中图分类号:TP309.7 文献标识码:A 文章编号:16727800(2013)009015304

作者简介:张微微(1982-),女,硕士,江苏开放大学城职院教务处实验师,研究方向为计算机网络、网络安全。

0引言

随着各种网络应用迅速出现,用户和主机数量急剧增加,给校园网网络建设工程提出了新的要求,即应用先进的计算机网络技术把高校现有的教学、管理、科研、生活、服务等有关的资源进行整合和集成。为了实现统一的用户管理和后勤服务过程的优化、协调、创新工作模式,完成传统教育模式难以实现的目标,授权认证管理系统的开发势在必行。

授权认证管理系统是数字化校园建设的软件基础平台之一,是校园的各种网络服务和应用系统提供身份认证服务和统一的用户管理平台。授权认证管理系统是一个集中的用户认证管理和集成环境的系统,可管理和分发用户的权限和身份,为不同的应用系统提供统一的用户管理、身份认证、安全保障服务。各应用系统只需保留角色和权限控制功能,用户数据库资源统一保存在认证服务器中,用户和角色的管理由应用系统自行管理。

1系统需求分析

在校园网内的安全威胁行为有用户身份被盗用、IP地址被盗用、网络攻击、私自架设服务器等,网络管理部门需要强有力的身份认证系统对上述行为进行监管。同时,无线局域网(WLAN)在校园的广泛采用更带来了诸如非法接入、窃听、流量分析等新的安全风险[1]。因此,校园网的身份认证系统必须有很高的安全性和可控制性。

另一方面,许多高校有多个校区,在校园网中形成几个独立的域。如果采用全校集中的身份认证系统,大量的认证数据流会造成校区间网络负载的增加,而且唯一的身份认证服务器易形成单点故障,可靠性得不到保证。更好的解决方法是采用分布式认证方式,即各个校区拥有各自区域用户的身份认证服务器,同时又支持用户漫游,而这需要身份认证系统具有跨域认证的能力[2]。

此外,由于无线设备和新业务的进一步发展带来的大量地址需求和IPV4本身的设计缺陷,IPV6协议的应用已经提上日程,许多高校也在这方面进行了研究,故授权访问管理系统对IPV6的支持特性也成为一个不可缺少的需要[3]。

为了解决应用层面的不安全问题,最大限度地减少应用系统中安全隐患,全方位地保证系统安全,需要建设以PKI 技术为核心的安全基础设施。为进一步提高系统的安全性,需要构建一套基于用户名的访问控制和用户审计系统。它可以根据用户的访问认证信息(多种认证手段)对用户进行访问控制授权,使只有特定的许可用户才可以访问到指定服务器的相关业务,而且可以对该用户的访问行为进行日志记录,实现对用户行为审计[4]。实现这种系统的需求是:

①统一的用户身份管理;

②用户访问有关服务器时需要经过身份认证;

③基于用户身份的访问授权控制策略;

④基于用户身份的访问行为的集中审计。

同时,访问认证系统需要具备以下特点:

①安全性——多种认证机制,包括S/Key、Password、SecureID 等,并且可以使用USBKey,实现双因素认证;

②可审计——所有访问活动都记录日志,不可抵赖;

③扩展性——当数据中心有新的服务器时,可以很方便地对新的服务器部署访问控制策略;

④灵活性——多种访问授权控制方式,基于用户、基于IP 、基于时间;

⑤易用性——访问控制系统对用户最好是透明的,即用户不需到访问控制系统登录,访问控制系统可自动获取用户的登录信息;

⑥开放性——与AD 用户管理兼容或整合。

2系统功能分析

授权认证管理功能是IDStarV4.0的核心功能之一,主要使用者是高校信息中心管理员。该功能旨在给管理员提供一个功能全面且易用的管理平台,确保管理员能够管理全校的身份数据及其权限关系,掌握全校身份数据的管理状态和使用状态、审计全校身份数据管理和使用的问题、监控身份管理平台各系统服务的运作状态。

授权认证管理平台主要包括帐号、认证、授权、审计、监控和系统功能这6个功能模块,如图1所示。

具体内容如下所示:

(1)帐号及帐号同步。

帐号身份管理是平台内的一个关键功能项,旨在帮助管理员完成全校身份帐号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。

帐号列表可查询校内所有的身份帐号数据,并提供了对身份帐号数据的所有管理功能。

身份帐号数据的批量导入和导出。

身份帐号数据字段的完整性和实名。

帐号同步功能基于差异视图,管理员可预先配置好一些帐号同步任务,并让这些任务按照事先设置好的时间循环执行,从而满足对身份帐号数据的自动同步和处理。 帐号统计功能主要展现系统内身份帐号数据的所有操作行为的统计项,包括增加、删除和修改帐号的个数,并以图表的形式展现给管理员。同时,帐号统计功能还可提供帐号历史操作细节的查询功能。

(2)认证。

认证模块主要提供对全校身份认证的管理功能,实际的身份认证服务提供并不在此进行。

认证应用用于管理全校已经集成的应用系统,每个集成的应用系统均需要一个认证应用帐号来进行身份认证集成和SSO集成。全校已经集成的应用系统在此功能模块中一目了然。

认证统计主要展现平台帐号的认证情况,包括认证成功和认证失败的情况,同时系统还提供各个认证细节的查询,包括认证的帐号、认证的时间、认证的IP的查询等。

(3)授权及分级授权。

授权主要提供校内身份类型组的管理功能。身份类型组用于区分用户的身份类型。

组管理员可提供增加、删除和修改组的功能,同时还可以实现加帐号入组和从组中删除帐号。

批量操作可使管理员基于Excel文件来完成帐号入组和帐号出组的操作。

授权统计可通过图表展现帐号入组和帐号出组的操作统计,并且提供操作的细节数据的查询,包括操作时间、操作者、操作IP等。

分级授权管理可对系统的管理员进行管理,包括分派、新增和删除管理员。

配置管理主要指整个系统运行需要的参数设置,包括密码策略定义、兼容管理、预留帐号设置等。

(4)审计。

审计是为管理员及时发现问题之用,可发现帐号、认证和授权中出现的一些问题:

帐号审计中的账号包括休眠帐号、孤儿帐号、密码强度不符合要求的帐号和不规范的帐号。

认证审计中的账号包括恶意认证的帐号、密码暴力猜解的帐号和恶意认证的IP地址。

授权审计中的账号包括空组和无组帐号。

差异审计中的账号包括LDAP丢失帐号和数据库丢失帐号。

(5)监控。

监控功能是为管理员提供掌握系统各项服务运行状态的可能性,管理员可实时掌握系统的运行状态。

总体状态分服务器展现各个服务器的总体状态,包括服务器状态、服务器硬件状态和服务器会话状态。

会话状态展现各个服务器上的会话记录状态,并且可提供各个服务器上会话的详细信息,包括帐号、IP地址、最大会话时间、会话空闲时间等信息。

进程状态展现各个服务器上各个进程的健康状况,并可提供详细的历史记录和历史状态。同时,管理员可以在界面上启停各个进程。

服务器状态展现各个服务器的硬盘、CPU和内存的使用状态,并提供详细的历史状态和历史记录。

监控设置主要对监控过程中用到的参数进行设置。

(6)系统。

系统功能主要指对平台运行起支撑作用的功能设置。

日志操作可对用户在平台内的所有操作记录进行查询。

管理员管理可对系统的管理员进行管理,包括分派、新增和删除管理员。

配置管理主要指对整个系统运行需要的参数进行设置,包括密码策略定义、兼容管理、预留帐号设置等。

3系统简要设计

基于需求分析和设计思路,笔者简要设计了授权访问系统的基本功能,授权认证管理系统主要包括4个功能模块,每个模块又包含了几个到十几个不等的功能组,实现了权限管理所需的常用功能。

统一用户及权限管理系统的逻辑结构如图2所示。

4.2分级管理

大学统一身份信息管理、认证系统的管理模块可以创建和管理认证相关的对象。用户、角色、组、策略、服务、组织、子组织以及各种容器等对象都可以通过统一身份认证系统控制台或者批量修改工具方式对其创建、修改和删除。

统一身份认证系统定义了几种默认的管理员,各自有不同的特权来创建和管理组织、组、容器、用户、服务和策略。这些管理员定义在认证服务器内置的 Directory Server 中,这些管理员如表3所示。

5结语

授权认证管理系统的实现需要认证服务端、用户客户端和应用系统之间的良好协作,设计中虽然提出了一个实现的框架,但是,由于应用系统的多样性和灵活性,在具体实现时还有许多工作要做。相信经过逐步完善,该统一身份认证系统可以在数字化校园的信息安全体系中发挥重要的作用,为广大使用者提供便利。

参考文献:

[1]冯启建,王雷.数字化校园的现状与未来[J].河南职工医学院学报,2005(6):1516.

[2]王焱,周林.数字化校园规划设计与实现[J].信息技术,2008(6):3234.

精选范文推荐