基于SSL,VPN技术的跨域校园网接入系统的研究与应用

����ا~��jب�ל�z%��z���g���'�v�M朅�� �ez�����&��컾6�M�)���@n�ki�U<�^r薈2m�v��H�k���X��)���h��,���ǜ��������ް*&n)�w���'�v��朅��r�ez�jjn�w�Š�{^��'��-��ڝ�!j�����[bq����2m����y�'v+b�{az��z�ޱ�r��ȧ�$�T�my�g�Z ��+y�b��az)�z�h���q����޷ +���[bq����'���z֧uؠ�֥��(����Z�)���J{,(��jjn�w�Š�s&ޮ�.�ǒH�k���UO6ל�z%����?�����"https://www.ituiya.com/k/xuexi/" target="_blank" class="keylink">学习和交流、以及随时访问校园网内部的资源时增加了实践难度，降低了执行效率，同时也导致教学和科研受到难以估量的重大影响。

针对以上校园网多校区互联问题，传统的解决方法，一般是在校区之间架设专线实现覆盖，但其费用较高，或者是通过建立校园内部专有的拨号网络系统，只是安全性又较差。基于此，研究发现将VPN 领域中一项较新技术——基于安全套接字层（SSL）协议的 VPN 技术应用到校园网系统中，不但能够有效解决互联和安全问题，还可以针对教师和学生在校外不能使用专用资源这一问题提供现实理想方案，且能进一步显著降低校园网建设成本和周期，具有较好的普适性应用价值。

1 VPN技术

VPN（虚拟专用网，Virtual Private Network）技术就是利用公共网络建立虚拟的对内部专用网络进行远程访问的技术。使用该技术，用户不再需要专门架设长距离真实专用数据线路，只是利用现有的因特网资源建立一个临时安全的网络连接，或者通过特定的网络通道，将散布于不同区域的局域网连接成一个逻辑上的专用网络来传输私有数据。常见的做法是在每一个办公场所建立一个防火墙，同时通过因特网在这些区域建立隧道。充分利用VPN相关协议的安全性来建立隧道，能够将任何两处办公场所之间的所有流量都聚集到一个支持认证和加密的安全关联（security association ，SA）上，而且SA是单向的，在两个对等之间存在两个SA，这就保证了完整性控制和保密性[1]。VPN技术允许外部用户加入到内部网络，在外部用户和 VPN 服务器之间建立一条加密隧道，将原始数据包进行加密，加密后再添加新的协议包头封装，如此使得只有知道密钥的通信双方才能够解密数据包，进而保证了数据包在公共媒质上传送的时候，不会被非 VPN 用户截取，就如同外部用户是直接联入内部网络中一样，不仅减少了远程用户数据传输时间传输费用，而且结构简单易于维护、实现方案多样，并具有良好的扩展性。因此，VPN技术现已广泛适用于远程办公和企业之间的通信[2]。

2基于SSL协议的VPN技术

根据实现技术的不同，VPN技术可以分为第二层（链路层）隧道协议PPTP、LZF、LZTP和第三层（网络层）隧道协议GRE、IPsec，以及工作在高层的SSL等。各分类层之间的区别在于用户的数据包在隧道传输中分别使用协议的不同。其中，基于SSL协议的VPN技术是目前最佳应用的主流VPN技术。该协议工作在传输层，安装配置简单，实施成本较低，与操作系统兼容性好，对应用程序与应用程序之间的安全连接具有强劲保护，在访问控制的支持程度、抗攻击能力、病毒入侵、与防火墙配合以及对下一代网络支持特性等方面具有现实可行的操作优势。本文校园网VPN系统的组建就是基于此协议。

2.1 SSL VPN技术的实现原理

SSL VPN是一种新型的远程接入技术，能使网络浏览器或专用的客户端和内部资源提供一个安全可靠的连接[3]。通过对数据包进行封装，采用SSL/TLS协议与加密算法、身份认证等构建VPN，在网络中形成一个外部用户客户端到SSL VPN网关之间的加密隧道。在实现过程中，用户通过客户端浏览器内建的安全套接层（Secure Socket Layer）封包处理功能，利用SSL技术对访问数据进行加密，并将加密后的数据发送到SSL VPN网关，此网关将接收到的加密信息进行解密，而后再转发到网络内部的VPN服务器，采用网络封包转向的方式，让用户在远程计算机执行应用程序，读取网络内部服务器数据，从而在应用层保护了数据的安全性。

2.2 SSL VPN技术的特点

SSL VPN是工作在应用层（基于HTTP协议）和TCP层之间的远程接入技术，适合应用于远程分散移动用户的安全接入[1]。与其他VPN技术相比，有诸多优点，现做如下解析：

（1）客户端简单易用，不需要在客户端安装特定软件。同时又支持多种浏览器连接因特网，通过网页将可访问到内部网络的各种类型资源；

（2）提供远程安全接入，通常在网络防火墙后放置一个SSL代理服务器，当用户在客户端浏览器上输入一个URL后，则建立一对应连接，SSL代理服务器通过该连接对用户身份进行合法性验证，然后将连接映射到不同的应用服务器上。同时，SSL代理服务器的使用也能够较好地抵御外部系统和病毒攻击；

（3）通过对加密隧道进行细分和用户级别的鉴权，可以对特定内部网络资源实现细粒度的访问控制；

（4）穿越所有NAT和防火墙设备，用户能够从任何地方远程接入到内部网络；

（5）维护灵活方便，增添VPN设备无需更改现有网络结构，具有易扩展性。

3 SSL VPN技术在多校区校园网中的应用

3.1陇南师专校园网概况

陇南师专校园网采用H3C公司的万兆路由核心交换机LS-9508-N-H3，通过中国教育和科研计算机网（CERNET），并和中国公用INTERNET骨干网相连接，当需要从外部获取校园内部网络资源时，则是通过开放的路由访问来获得实现的。2013年12月，陇南农校和成县职业中专并入陇南师专，校园面积增加一倍多，已经分为本部、东校区、南校区、北校区等四个部分，其中，新并入的东校区和北校区均与本部相隔较远距离。校园网计算机用户多达2 000多台，并且分布延伸至每个校区办公室、教学楼、图书馆、实训室和家属区等主要场所。同时，校园网上运行的服务器可具体涵盖有：WWW服务器、Mail服务器、DNS服务器、网上办公系统服务器、图书馆数据库服务器等。此外，在Internet与校园网之间安装了防火墙，避免校园网内部遭受来自互联网的非法入侵。陇南师专校园网络拓扑结构如图1所示。

校园网中运行的各类典型应用管理系统主要包括着：教务管理系统、资产管理系统、图书馆管理系统、电子邮件系统、FTP系统等。各院系、职能部门的二级网站30个，日常工作基本实现计算机管理和网络办公。但是，由于受网络安全和其他客观因素的影响，目前校内专有资源的访问只能在本部和南校区IP地址范围内允许专用访问。例如：住在分校区和校外的教师以及出差在外的教师需要使用校内应用系统来执行和实施办公、学生成绩录入和图书馆数字资源查阅时；学生于闲暇中需要使用精品课程平台和网络教学资源进行来开展和推进学习时，都将无法实现。而且，随着校园网建设的不断完善，这类专有资源的服务将会越来越多，势必会影响教学活动的正常实现和运行。

3.2校园网SSL VPN系统设计

根据SSL VPN技术的原理、特点和对校园网分校区使用专有资源的需求分析，将SSL VPN技术应用于校园网，则能以最低廉的成本把各个校区的局域网构建成内联网VPN，从而实现对校园网内专有资源访问的安全扩展，既能高端全面解决对校园网多校区互联问题，也可为今后在校园网上开发更多的应用资源提供安全保障。校园网SSL VPN系统需要综合考虑在安全接入和Clientless等方面的特性。通过在本部校园网上配置SSL VPN服务器，分校区用户客户端首先从SSL VPN服务器上面下载Applet，其后瘦客户端通过SSL与SSL VPN服务器建立安全连接。用于SSL VPN服务器与分校区及校外客户端连接通过防火墙时，防火墙设置只允许443端口，同时能对访问数据进行安全处理。而在SSL VPN服务器对访问数据按照策略进行控制鉴别后，才能和校园网的应用服务器建立安全连接，并把外网的数据重定向到校园的应用网服务器，这样就在分校区和校外用户客户端到校园网专有服务器之间建立一条加密传输数据的信道。校园网SSL VPN系统设计结构如图2所示。

3 3 SSL VPN服务器设计

在校园网SSL VPN系统中，SSL VPN服务器发挥关键作用的核心设备，可以在分校区及校外用户和校园网应用服务器之间构建了一条安全的加密信道。SSL VPN服务器的功能实现主要表现在如下2个方面：其一，对分校区及校外用户客户端来说，将提供如同服务器的作用，能够在客户端与服务器之间提供基于数字证书的两者身份的验证，相当于一个安全地网关；其二，相对于校园网中不同的应用服务器来说，即需要向应用服务器递交客户端相的访问请求，相当于一个客户端。

SSL VPN服务器的模块设计是采用了B/S和C/S两者相结合的方式，B/S属于客户端与 SSL VPN服务器之间的结构方式，而C/S则属于SSL VPN服务器与应用服务器之间的结构方式[4]。

3.4客户端支持

客户端在整个校园网SSL VPN系统中的作用十分重要，SSL VPN服务器的功能只有在客户端的支持下才能真正实现。其本质原因则在于SSL VPN采用Clientless模式。这种模式主要工作过程就是用户选择客户端浏览器（IE等）使用HTTP协议访问方式与SSL VPN服务器进行连接，当通过服务器相关的认证之后，再从服务器上下载Applet或是Activex，并在客户端上运行。与私有协议比较，为了确保通信双方的协商，客户端与服务器必须要统一联合起来进行使用。

4 结束语

通过SSL VPN技术解决陇南师专校园网跨域接入遇到的问题，能较好地满足分校区及校外用户对校园网各种资源的访问需求。该项技术仅仅需要通过一台放置在校园内部的设备，因而这是一种低成本、高安全性、简便易用的VPN解决方案，非常适合以Web应用为主、有大量客户端的高校网络。文中的设计解决了知识共享、资源共享等技术上的难题，具有进一步研究和开发应用的可拓展空间，必将吸引更多的用户和开发人员投身其中。SSL VPN技术在校园网中的应用促进了校园网适应高校数字化建设的发展补发，而且充分发挥了高校在大数据时代的先导作用，从而具有积极有益的现实意义。

参考文献：

[1]思科系统（中国）网络技术有限公司.下一代网络安全[M]. 北京：北京邮电大学出版社，2006：116-117.

[2]杜理明. 基于SSL VPN技术的校园网远程访问设计[J].甘肃高师学报，2011， 16（5）：48-50.

[3] 杨文凯.SSL VPN安全关键技术研究[D]. 成都：西南交通大学，2010.

[4]万钦.基于SSL协议的VPN在校园网中的应用与实现[D]. 南昌：南昌大学，2011.

推荐访问:校园网 接入 研究 系统 技术