鞏林立

【摘要】VPN技術(shù)應(yīng)用于遠(yuǎn)程教育系統(tǒng)的構(gòu)建中,既可以保證數(shù)據(jù)安全,又可以節(jié)省遠(yuǎn)程用戶的訪問(wèn)費(fèi)用,同時(shí)可以在VPN上開(kāi)展不同形式的遠(yuǎn)程教學(xué)。文章結(jié)合實(shí)際,探討高校遠(yuǎn)程教育VPN網(wǎng)絡(luò)平臺(tái)的實(shí)現(xiàn)過(guò)程。

【關(guān)鍵詞】VPN;遠(yuǎn)程教育;遠(yuǎn)程教育平臺(tái)

【中圖分類號(hào)】 G40-057 【文獻(xiàn)標(biāo)識(shí)碼】A【論文編號(hào)】1009—8097(2009)12—0130—03

一 引言

遠(yuǎn)程教育具有用戶數(shù)量多、分布范圍廣、接入方式多樣化的特征,如何保證遠(yuǎn)程教育得以順利開(kāi)展,是構(gòu)建遠(yuǎn)程教育系統(tǒng)時(shí)應(yīng)該考慮的主要問(wèn)題[1]。隨著Internet的迅速發(fā)展,各種寬帶接入方式的出現(xiàn),虛擬專用網(wǎng)技術(shù)(VPN)也應(yīng)運(yùn)而生。VPN是利用開(kāi)放的公眾網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道,將遠(yuǎn)程的站點(diǎn)、伙伴、移動(dòng)辦公人員等連接起來(lái),并且提供安全的端到端的數(shù)據(jù)通信,是一種虛擬技術(shù)。把VPN技術(shù)應(yīng)用于遠(yuǎn)程教育系統(tǒng)的構(gòu)建中,既可以保證數(shù)據(jù)安全,又可以節(jié)省遠(yuǎn)程用戶的訪問(wèn)費(fèi)用,同時(shí)可以在VPN上開(kāi)展不同形式的遠(yuǎn)程教學(xué)。本文結(jié)合實(shí)際,探討高校遠(yuǎn)程教育VPN網(wǎng)絡(luò)平臺(tái)的實(shí)現(xiàn)過(guò)程[2]。

二 建設(shè)目標(biāo)

總體目標(biāo)是利用VPN技術(shù)建立一個(gè)基于Internet的遠(yuǎn)程教育系統(tǒng)的私有網(wǎng)絡(luò),實(shí)現(xiàn)在該VPN網(wǎng)絡(luò)平臺(tái)上,遠(yuǎn)程教育各個(gè)管理應(yīng)用系統(tǒng)數(shù)據(jù)的安全傳輸,以及對(duì)接入用戶身份的有效認(rèn)證和方便控制。尤其在對(duì)教師、學(xué)員等移動(dòng)用戶的接入身份認(rèn)證上,需要將VPN系統(tǒng)和高校遠(yuǎn)程教育應(yīng)用系統(tǒng)的身份認(rèn)證模塊無(wú)縫整合,實(shí)現(xiàn)VPN接入和應(yīng)用系統(tǒng)用戶身份的集中管理和統(tǒng)一控制,極大方便系統(tǒng)管理員管理和用戶使用。

三 系統(tǒng)設(shè)計(jì)

在我校遠(yuǎn)程教育系統(tǒng)信息中心,通過(guò)千兆光纖連接到互聯(lián)網(wǎng)。由于中心網(wǎng)點(diǎn)是整個(gè)系統(tǒng)的核心,要確保高可靠性,所以在出口處部署2臺(tái)100/1000M自適應(yīng)級(jí)安全網(wǎng)關(guān),實(shí)現(xiàn)雙機(jī)熱備功能。對(duì)于分支機(jī)構(gòu),根據(jù)各分支機(jī)構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機(jī)構(gòu)。對(duì)于老師這類移動(dòng)用戶,采用“USB KEY”硬件方式進(jìn)行身份認(rèn)證,通過(guò)配套的安全客戶端軟件實(shí)現(xiàn)遠(yuǎn)程移動(dòng)安全接入[3]。對(duì)于學(xué)員這類移動(dòng)用戶,采用“用戶名+密碼”純軟件方式進(jìn)行身份認(rèn)證(在安全客戶端啟動(dòng)界面上輸入),結(jié)合安全客戶端軟件實(shí)現(xiàn)遠(yuǎn)程移動(dòng)安全接入(如圖1)。

圖1 系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D

1 服務(wù)端

在網(wǎng)絡(luò)的出口處,部署VPN安全網(wǎng)關(guān)(安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)來(lái)保護(hù)大學(xué)遠(yuǎn)程教育系統(tǒng)和下屬市、縣遠(yuǎn)程教育系統(tǒng)內(nèi)網(wǎng)的安全通訊、安全傳輸)[4]。另外,安全網(wǎng)關(guān)可以提供高可靠性的雙機(jī)熱備功能,可以在主設(shè)備發(fā)生故障時(shí),備份網(wǎng)關(guān)自動(dòng)快速進(jìn)行狀態(tài)切換,確保系統(tǒng)工作不中斷。安全網(wǎng)關(guān)可以實(shí)現(xiàn)以下幾方面功能:

(1) 和遠(yuǎn)地分支機(jī)構(gòu)網(wǎng)絡(luò)邊界部署的VPN安全網(wǎng)關(guān)或安全客戶端建立VPN加密隧道,確保數(shù)據(jù)傳輸安全;并能夠通過(guò)VPN通訊策略的靈活設(shè)置,根據(jù)用戶要求實(shí)現(xiàn)對(duì)指定網(wǎng)段/范圍/IP地址的PC的應(yīng)用系統(tǒng)數(shù)據(jù)傳輸進(jìn)行加密保護(hù)。

(2) 對(duì)總部?jī)?nèi)網(wǎng)的防火墻防護(hù):安全網(wǎng)關(guān)具備優(yōu)良的狀態(tài)檢測(cè)防火墻功能,可以防御外網(wǎng)對(duì)內(nèi)部主機(jī)的端口掃描、各種DoS/DDoS攻擊等惡意攻擊行為,還可以抵御各種常用的應(yīng)用層攻擊。另外,可以通過(guò)VPN安全網(wǎng)關(guān)上的訪問(wèn)控制策略,對(duì)內(nèi)網(wǎng)PC進(jìn)行嚴(yán)格的基于“五元組+時(shí)間”的訪問(wèn)控制[5]。如:為確保安全性,可對(duì)允許上網(wǎng)的PC進(jìn)行IP和MAC綁定,并通過(guò)網(wǎng)關(guān)中的安全策略設(shè)置對(duì)這些PC的數(shù)據(jù)流進(jìn)行狀態(tài)檢測(cè),以確保不能被仿冒;也可以使用網(wǎng)關(guān)中的“用戶上網(wǎng)認(rèn)證”功能,使用戶在使用瀏覽器上網(wǎng)瀏覽時(shí),首先要通過(guò)網(wǎng)關(guān)的訪問(wèn)密碼認(rèn)證;禁止某些URL網(wǎng)址的訪問(wèn)等[6]。

(3) 安全網(wǎng)關(guān)具備八個(gè)等級(jí)的QoS控制功能,能夠?yàn)閂OIP和視頻等需要優(yōu)先的網(wǎng)絡(luò)應(yīng)用保留帶寬和優(yōu)先處理,這樣當(dāng)網(wǎng)絡(luò)擁擠時(shí),也能夠保障VOIP和視頻的暢通和話音質(zhì)量。安全網(wǎng)關(guān)能夠?qū)⒃L問(wèn)控制策略與保留帶寬綁定,并能為這些應(yīng)用設(shè)定優(yōu)先級(jí),共有8個(gè)處理等級(jí)可以設(shè)置。

2 各地分支機(jī)構(gòu)

可以根據(jù)各分支機(jī)構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)或安全客戶端系統(tǒng)(配合USB KEY)到各駐外機(jī)構(gòu)。具有子網(wǎng)的各駐外機(jī)構(gòu)采用ADSL或者其他寬帶方式(如Cable Modem、FTTB等)接入Internet。建議在有一定規(guī)模的局域網(wǎng)出口處,部署中低端型號(hào)的安全網(wǎng)關(guān),如:SGW25A或SGW25B;建議在僅有少數(shù)終端的分支機(jī)構(gòu)(如辦事處),在需要聯(lián)入遠(yuǎn)程教育網(wǎng)的終端上安裝安全客戶端軟件(與USB KEY配合使用),并與上網(wǎng)代理軟件或NAT軟件配合構(gòu)成軟件網(wǎng)關(guān),從而和總部聯(lián)網(wǎng)實(shí)現(xiàn)VPN加密通訊(如圖2)。

圖2 中等規(guī)模分支機(jī)構(gòu)網(wǎng)絡(luò)示意圖

可根據(jù)用戶的網(wǎng)絡(luò)接入帶寬和網(wǎng)絡(luò)規(guī)模,選擇合適的安全網(wǎng)關(guān)產(chǎn)品。對(duì)于規(guī)模較小的網(wǎng)點(diǎn),可以采用安全客戶端軟件加硬件USB KEY實(shí)現(xiàn)和總部的互連(如圖3)。

圖3 小規(guī)模分支機(jī)構(gòu)網(wǎng)絡(luò)示意圖

3 教師和學(xué)員等移動(dòng)用戶

遠(yuǎn)程教育系統(tǒng)的用戶數(shù)目龐大,主要包括教師和學(xué)員。

對(duì)于大數(shù)量的用戶,需要有一個(gè)很好的組織方式,方便管理和維護(hù),并且和應(yīng)用系統(tǒng)能夠無(wú)縫整合,實(shí)現(xiàn)VPN接入身份認(rèn)證和應(yīng)用系統(tǒng)身份認(rèn)證完全實(shí)現(xiàn)統(tǒng)一:統(tǒng)一管理、單點(diǎn)登錄[7]。對(duì)于教師,由于數(shù)量較少,人員比較穩(wěn)定,而且使用的系統(tǒng)與內(nèi)部管理關(guān)聯(lián)緊密,所以需要更高的安全性。建議采用安全客戶端配套USB KEY來(lái)解決教師和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通。

對(duì)于學(xué)員,由于數(shù)量龐大,而且分布在全國(guó)各地,不便進(jìn)行現(xiàn)場(chǎng)支持,而且穩(wěn)定性相對(duì)較差,所以建議采用純軟件版的安全客戶端系統(tǒng)實(shí)現(xiàn)和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通,同時(shí)通過(guò)“帳戶名+口令”的方式進(jìn)行VPN接入身份認(rèn)證;并且通過(guò)定制,實(shí)現(xiàn)VPN接入的“帳戶名+口令”與應(yīng)用系統(tǒng)的“帳戶名+口令”完全一致,實(shí)現(xiàn)單點(diǎn)登錄。

根據(jù)上述方法,一種對(duì)用戶(教師和學(xué)員)實(shí)現(xiàn)統(tǒng)一管理的方法,可采用LDAP目錄來(lái)保存用戶信息,所有的用戶信息都保存在LDAP服務(wù)器上[8]。

LDAP是Lightweight Directory Access Protocol的縮寫(xiě),基于X.500標(biāo)準(zhǔn),但是簡(jiǎn)化了很多并且可以根據(jù)需要定義。與X.500不同的是LDAP支持TCP/IP,這是訪問(wèn)Internet所必須的。通過(guò)LDAP可以訪問(wèn)存儲(chǔ)在LDAP目錄中的信息。LDAP目錄采用樹(shù)型層次結(jié)構(gòu)來(lái)存儲(chǔ)數(shù)據(jù),就象DNS的主機(jī)名一樣,LDAP目錄中記錄的的標(biāo)志名(Distinguished Name)用來(lái)讀取單個(gè)記錄,并回溯到目錄樹(shù)的頂部。

大多數(shù)的LDAP服務(wù)器都為讀密集型的操作進(jìn)行專門(mén)的優(yōu)化。因此,當(dāng)從LDAP服務(wù)器中讀取數(shù)據(jù)的時(shí)候會(huì)比從關(guān)系型數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)快一個(gè)數(shù)量級(jí)。也是因?yàn)閷ｉT(mén)為讀的性能進(jìn)行優(yōu)化,大多數(shù)的LDAP目錄服務(wù)器并不適合存儲(chǔ)需要經(jīng)常改變的數(shù)據(jù)。對(duì)于學(xué)員組織結(jié)構(gòu)這樣需要經(jīng)常查詢,但是很少修改的信息,非常適合存儲(chǔ)在LDAP目錄中。

LDAP允許根據(jù)需要使用ACL(訪問(wèn)控制列表)來(lái)控制對(duì)數(shù)據(jù)的讀寫(xiě)權(quán)限,指定不同的用戶可以擁有不同的操作權(quán)限,實(shí)現(xiàn)用戶信息的分級(jí)管理。

針對(duì)我校遠(yuǎn)程教育網(wǎng)的情況,LDAP目錄用來(lái)存儲(chǔ)學(xué)院的學(xué)員信息,LDAP目錄可以根據(jù)學(xué)院的組織結(jié)構(gòu)來(lái)組織。LDAP目錄以學(xué)院為根目錄,以不同的系為下一級(jí)目錄,如果有需要,每個(gè)系可形成再下一級(jí)的目錄,最后的記錄項(xiàng)保存學(xué)員的相關(guān)信息。同時(shí),通過(guò)使用LDAP的ACL,允許學(xué)院的管理員對(duì)所有用戶信息有讀寫(xiě)權(quán)限,而系管理員只對(duì)本系的用戶信息有完全的讀寫(xiě)權(quán)限。

采用LDAP目錄來(lái)存儲(chǔ)用戶信息,可以根據(jù)學(xué)院組織結(jié)構(gòu)來(lái)組織用戶,方便地實(shí)現(xiàn)用戶的分級(jí)管理,減少管理員的工作量。當(dāng)用戶通過(guò)VPN客戶端請(qǐng)求連接到安全網(wǎng)關(guān)時(shí),先以SSL方式連接到SGW25C安全網(wǎng)關(guān),并上傳“帳戶名和密碼”,安全網(wǎng)關(guān)從LDAP服務(wù)器獲取用戶的相關(guān)信息,并校驗(yàn)用戶身份。如果用戶身份校驗(yàn)通過(guò),安全客戶端將和安全網(wǎng)關(guān)通過(guò)IKE協(xié)商建立VPN隧道,通過(guò)隧道訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器。LDAP服務(wù)器由應(yīng)用系統(tǒng)管理員進(jìn)行管理。

四 結(jié)束語(yǔ)

遠(yuǎn)程教育平臺(tái)的發(fā)展日新月異,新技術(shù)在遠(yuǎn)程教育中的應(yīng)用更是層出不窮,如何選擇最佳的技術(shù)和開(kāi)發(fā)方案,并遵循合理的開(kāi)發(fā)規(guī)范來(lái)設(shè)計(jì)現(xiàn)代遠(yuǎn)程教育平臺(tái),一直是業(yè)界研究的熱點(diǎn)。VPN具有較高的安全性,良好的擴(kuò)展性,靈活的控制策略,強(qiáng)大的管理功能等優(yōu)勢(shì),隨著技術(shù)的進(jìn)一步發(fā)展,VPN還能夠提供QoS服務(wù)質(zhì)量保證,支持各種多媒體業(yè)務(wù),因此,VPN在遠(yuǎn)程教育中將會(huì)得到更廣泛的應(yīng)用[9]。

————————

參考文獻(xiàn)

[1] 姜慶.MPLSVPN在現(xiàn)代遠(yuǎn)程教育中的應(yīng)用[J].軟件導(dǎo)刊(教育技術(shù)),2008,(7):62-64.

[2] 高海英等.VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社.2004.

[3] 肖曉梅.利用VPN實(shí)現(xiàn)高校校園網(wǎng)的遠(yuǎn)程訪問(wèn)[J].中國(guó)教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技術(shù)在高校圖書(shū)館遠(yuǎn)程訪問(wèn)中的應(yīng)用[J].現(xiàn)代情報(bào),2008,(4):82-84.

[5] 劉衛(wèi)國(guó).VPN技術(shù)在高校圖書(shū)館的應(yīng)用[J].圖書(shū)館工作與研究,2007,(6):39-41.

[6] 朱偉珠.利用VPN技術(shù)實(shí)現(xiàn)高校圖書(shū)館資源共享[J].情報(bào)科學(xué),2007,(7):1058-1061.

[7] 王春海,張曉莉,田浩編著.VPN網(wǎng)絡(luò)組建案例實(shí)錄[J].北京:科學(xué)出版社,2008.

[8] (美)Richard Deal著,姚軍玲,郭稚暉譯.Cisco VPN完全配置指南[M].北京:人民郵電出版社,2007.

[9] 蔣艷萍.基于VPN技術(shù)的遠(yuǎn)程教育中的教學(xué)、教務(wù)管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京化工大學(xué),2004.