摘 要：基于SSL協(xié)議的VPN技術具有簡單易行，實施成本低，安全性高的特點。結(jié)合隴南師專校園網(wǎng)多校區(qū)互聯(lián)及共享網(wǎng)絡資源的情況，采用SSL VPN技術實現(xiàn)跨域校園網(wǎng)互聯(lián)及數(shù)字資源共享的使用和研究。

關鍵詞：校園網(wǎng)；網(wǎng)絡資源；SSL協(xié)議；VPN技術

中圖分類號：TP317 文獻標識碼：A 文章編號：2095-2163（2016）02-

Research and application of the inter-domain campus network access

based on SSL VPN

DU Liming

（Physics and information technology Department， Longnan Teachers College， Chengxian Gansu 742500，China）

Abstract：VPN technology based on SSL protocol is simple， low cost， high security features. Combined with Longnan teachers college campus network interconnection and sharing of multi campus cyber source condition， the paper researches using SSL VPN technology to realize the inter-domain campus network of multi campus Internet and digital resources sharing.

Keywords： campus network；cyber source；SSL protocol；VPN technology

0 引 言

近年來，我國高校數(shù)字化建設得到了快速迅猛的發(fā)展。校園網(wǎng)作為一種整體應用性的教育資源，已然成為每所學校高度關注和重視的基礎建設項目。目前，大多數(shù)高校均已創(chuàng)建了由各家分系統(tǒng)所組成的一體化校園網(wǎng)絡基礎平臺，具體包括：電子辦公系統(tǒng)、教務管理系統(tǒng)、學生管理系統(tǒng)、科研管理系統(tǒng)、人事管理系統(tǒng)、財務管理系統(tǒng)等。實施目的即是將教學資源、圖書館資源、購買的各種數(shù)據(jù)版權資源、連同學校及院系自建資源等都分類集成到校園網(wǎng)，從而為學校師生搭建了一個具備綜合信息服務、配備豐富教育資源、以及教學與科研提檔升級的新型交流平臺。但是隨著辦學規(guī)模的不斷擴大，很多學校都已劃分成多片校區(qū)，有些校區(qū)甚至是跨地域的，這種狀況則使得不同校區(qū)師生在進行工作、學習和交流、以及隨時訪問校園網(wǎng)內(nèi)部的資源時增加了實踐難度，降低了執(zhí)行效率，同時也導致教學和科研受到難以估量的重大影響。

針對以上校園網(wǎng)多校區(qū)互聯(lián)問題，傳統(tǒng)的解決方法，一般是在校區(qū)之間架設專線實現(xiàn)覆蓋，但其費用較高，或者是通過建立校園內(nèi)部專有的撥號網(wǎng)絡系統(tǒng)，只是安全性又較差?；诖?，研究發(fā)現(xiàn)將VPN 領域中一項較新技術——基于安全套接字層（SSL）協(xié)議的 VPN 技術應用到校園網(wǎng)系統(tǒng)中，不但能夠有效解決互聯(lián)和安全問題，還可以針對教師和學生在校外不能使用專用資源這一問題提供現(xiàn)實理想方案，且能進一步顯著降低校園網(wǎng)建設成本和周期，具有較好的普適性應用價值。

1 VPN技術

VPN（虛擬專用網(wǎng)，Virtual Private Network）技術就是利用公共網(wǎng)絡建立虛擬的對內(nèi)部專用網(wǎng)絡進行遠程訪問的技術。使用該技術，用戶不再需要專門架設長距離真實專用數(shù)據(jù)線路，只是利用現(xiàn)有的因特網(wǎng)資源建立一個臨時安全的網(wǎng)絡連接，或者通過特定的網(wǎng)絡通道，將散布于不同區(qū)域的局域網(wǎng)連接成一個邏輯上的專用網(wǎng)絡來傳輸私有數(shù)據(jù)。常見的做法是在每一個辦公場所建立一個防火墻，同時通過因特網(wǎng)在這些區(qū)域建立隧道。充分利用VPN相關協(xié)議的安全性來建立隧道，能夠?qū)⑷魏蝺商庌k公場所之間的所有流量都聚集到一個支持認證和加密的安全關聯(lián)（security association ，SA）上，而且SA是單向的，在兩個對等之間存在兩個SA，這就保證了完整性控制和保密性[1]。VPN技術允許外部用戶加入到內(nèi)部網(wǎng)絡，在外部用戶和 VPN 服務器之間建立一條加密隧道，將原始數(shù)據(jù)包進行加密，加密后再添加新的協(xié)議包頭封裝，如此使得只有知道密鑰的通信雙方才能夠解密數(shù)據(jù)包，進而保證了數(shù)據(jù)包在公共媒質(zhì)上傳送的時候，不會被非 VPN 用戶截取，就如同外部用戶是直接聯(lián)入內(nèi)部網(wǎng)絡中一樣，不僅減少了遠程用戶數(shù)據(jù)傳輸時間傳輸費用，而且結(jié)構(gòu)簡單易于維護、實現(xiàn)方案多樣，并具有良好的擴展性。因此，VPN技術現(xiàn)已廣泛適用于遠程辦公和企業(yè)之間的通信[2]。

2基于SSL協(xié)議的VPN技術

根據(jù)實現(xiàn)技術的不同，VPN技術可以分為第二層（鏈路層）隧道協(xié)議PPTP、LZF、LZTP和第三層（網(wǎng)絡層）隧道協(xié)議GRE、IPsec，以及工作在高層的SSL等。各分類層之間的區(qū)別在于用戶的數(shù)據(jù)包在隧道傳輸中分別使用協(xié)議的不同。其中，基于SSL協(xié)議的VPN技術是目前最佳應用的主流VPN技術。該協(xié)議工作在傳輸層，安裝配置簡單，實施成本較低，與操作系統(tǒng)兼容性好，對應用程序與應用程序之間的安全連接具有強勁保護，在訪問控制的支持程度、抗攻擊能力、病毒入侵、與防火墻配合以及對下一代網(wǎng)絡支持特性等方面具有現(xiàn)實可行的操作優(yōu)勢。本文校園網(wǎng)VPN系統(tǒng)的組建就是基于此協(xié)議。

2.1 SSL VPN技術的實現(xiàn)原理

SSL VPN是一種新型的遠程接入技術，能使網(wǎng)絡瀏覽器或?qū)Ｓ玫目蛻舳撕蛢?nèi)部資源提供一個安全可靠的連接[3]。通過對數(shù)據(jù)包進行封裝，采用SSL/TLS協(xié)議與加密算法、身份認證等構(gòu)建VPN，在網(wǎng)絡中形成一個外部用戶客戶端到SSL VPN網(wǎng)關之間的加密隧道。在實現(xiàn)過程中，用戶通過客戶端瀏覽器內(nèi)建的安全套接層（Secure Socket Layer）封包處理功能，利用SSL技術對訪問數(shù)據(jù)進行加密，并將加密后的數(shù)據(jù)發(fā)送到SSL VPN網(wǎng)關，此網(wǎng)關將接收到的加密信息進行解密，而后再轉(zhuǎn)發(fā)到網(wǎng)絡內(nèi)部的VPN服務器，采用網(wǎng)絡封包轉(zhuǎn)向的方式，讓用戶在遠程計算機執(zhí)行應用程序，讀取網(wǎng)絡內(nèi)部服務器數(shù)據(jù)，從而在應用層保護了數(shù)據(jù)的安全性。

2.2 SSL VPN技術的特點

SSL VPN是工作在應用層（基于HTTP協(xié)議）和TCP層之間的遠程接入技術，適合應用于遠程分散移動用戶的安全接入[1]。與其他VPN技術相比，有諸多優(yōu)點，現(xiàn)做如下解析：

（1）客戶端簡單易用，不需要在客戶端安裝特定軟件。同時又支持多種瀏覽器連接因特網(wǎng)，通過網(wǎng)頁將可訪問到內(nèi)部網(wǎng)絡的各種類型資源；

（2）提供遠程安全接入，通常在網(wǎng)絡防火墻后放置一個SSL代理服務器，當用戶在客戶端瀏覽器上輸入一個URL后，則建立一對應連接，SSL代理服務器通過該連接對用戶身份進行合法性驗證，然后將連接映射到不同的應用服務器上。同時，SSL代理服務器的使用也能夠較好地抵御外部系統(tǒng)和病毒攻擊；

（3）通過對加密隧道進行細分和用戶級別的鑒權，可以對特定內(nèi)部網(wǎng)絡資源實現(xiàn)細粒度的訪問控制；

（4）穿越所有NAT和防火墻設備，用戶能夠從任何地方遠程接入到內(nèi)部網(wǎng)絡；

（5）維護靈活方便，增添VPN設備無需更改現(xiàn)有網(wǎng)絡結(jié)構(gòu)，具有易擴展性。

3 SSL VPN技術在多校區(qū)校園網(wǎng)中的應用

3.1隴南師專校園網(wǎng)概況

隴南師專校園網(wǎng)采用H3C公司的萬兆路由核心交換機LS-9508-N-H3，通過中國教育和科研計算機網(wǎng)（CERNET），并和中國公用INTERNET骨干網(wǎng)相連接，當需要從外部獲取校園內(nèi)部網(wǎng)絡資源時，則是通過開放的路由訪問來獲得實現(xiàn)的。2013年12月，隴南農(nóng)校和成縣職業(yè)中專并入隴南師專，校園面積增加一倍多，已經(jīng)分為本部、東校區(qū)、南校區(qū)、北校區(qū)等四個部分，其中，新并入的東校區(qū)和北校區(qū)均與本部相隔較遠距離。校園網(wǎng)計算機用戶多達2 000多臺，并且分布延伸至每個校區(qū)辦公室、教學樓、圖書館、實訓室和家屬區(qū)等主要場所。同時，校園網(wǎng)上運行的服務器可具體涵蓋有：WWW服務器、Mail服務器、DNS服務器、網(wǎng)上辦公系統(tǒng)服務器、圖書館數(shù)據(jù)庫服務器等。此外，在Internet與校園網(wǎng)之間安裝了防火墻，避免校園網(wǎng)內(nèi)部遭受來自互聯(lián)網(wǎng)的非法入侵。隴南師專校園網(wǎng)絡拓撲結(jié)構(gòu)如圖1所示。

校園網(wǎng)中運行的各類典型應用管理系統(tǒng)主要包括著：教務管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、圖書館管理系統(tǒng)、電子郵件系統(tǒng)、FTP系統(tǒng)等。各院系、職能部門的二級網(wǎng)站30個，日常工作基本實現(xiàn)計算機管理和網(wǎng)絡辦公。但是，由于受網(wǎng)絡安全和其他客觀因素的影響，目前校內(nèi)專有資源的訪問只能在本部和南校區(qū)IP地址范圍內(nèi)允許專用訪問。例如：住在分校區(qū)和校外的教師以及出差在外的教師需要使用校內(nèi)應用系統(tǒng)來執(zhí)行和實施辦公、學生成績錄入和圖書館數(shù)字資源查閱時；學生于閑暇中需要使用精品課程平臺和網(wǎng)絡教學資源進行來開展和推進學習時，都將無法實現(xiàn)。而且，隨著校園網(wǎng)建設的不斷完善，這類專有資源的服務將會越來越多，勢必會影響教學活動的正常實現(xiàn)和運行。

3.2校園網(wǎng)SSL VPN系統(tǒng)設計

根據(jù)SSL VPN技術的原理、特點和對校園網(wǎng)分校區(qū)使用專有資源的需求分析，將SSL VPN技術應用于校園網(wǎng)，則能以最低廉的成本把各個校區(qū)的局域網(wǎng)構(gòu)建成內(nèi)聯(lián)網(wǎng)VPN，從而實現(xiàn)對校園網(wǎng)內(nèi)專有資源訪問的安全擴展，既能高端全面解決對校園網(wǎng)多校區(qū)互聯(lián)問題，也可為今后在校園網(wǎng)上開發(fā)更多的應用資源提供安全保障。校園網(wǎng)SSL VPN系統(tǒng)需要綜合考慮在安全接入和Clientless等方面的特性。通過在本部校園網(wǎng)上配置SSL VPN服務器，分校區(qū)用戶客戶端首先從SSL VPN服務器上面下載Applet，其后瘦客戶端通過SSL與SSL VPN服務器建立安全連接。用于SSL VPN服務器與分校區(qū)及校外客戶端連接通過防火墻時，防火墻設置只允許443端口，同時能對訪問數(shù)據(jù)進行安全處理。而在SSL VPN服務器對訪問數(shù)據(jù)按照策略進行控制鑒別后，才能和校園網(wǎng)的應用服務器建立安全連接，并把外網(wǎng)的數(shù)據(jù)重定向到校園的應用網(wǎng)服務器，這樣就在分校區(qū)和校外用戶客戶端到校園網(wǎng)專有服務器之間建立一條加密傳輸數(shù)據(jù)的信道。校園網(wǎng)SSL VPN系統(tǒng)設計結(jié)構(gòu)如圖2所示。

3 3 SSL VPN服務器設計

在校園網(wǎng)SSL VPN系統(tǒng)中，SSL VPN服務器發(fā)揮關鍵作用的核心設備，可以在分校區(qū)及校外用戶和校園網(wǎng)應用服務器之間構(gòu)建了一條安全的加密信道。SSL VPN服務器的功能實現(xiàn)主要表現(xiàn)在如下2個方面：其一，對分校區(qū)及校外用戶客戶端來說，將提供如同服務器的作用，能夠在客戶端與服務器之間提供基于數(shù)字證書的兩者身份的驗證，相當于一個安全地網(wǎng)關；其二，相對于校園網(wǎng)中不同的應用服務器來說，即需要向應用服務器遞交客戶端相的訪問請求，相當于一個客戶端。

SSL VPN服務器的模塊設計是采用了B/S和C/S兩者相結(jié)合的方式，B/S屬于客戶端與 SSL VPN服務器之間的結(jié)構(gòu)方式，而C/S則屬于SSL VPN服務器與應用服務器之間的結(jié)構(gòu)方式[4]。

3.4客戶端支持

客戶端在整個校園網(wǎng)SSL VPN系統(tǒng)中的作用十分重要，SSL VPN服務器的功能只有在客戶端的支持下才能真正實現(xiàn)。其本質(zhì)原因則在于SSL VPN采用Clientless模式。這種模式主要工作過程就是用戶選擇客戶端瀏覽器（IE等）使用HTTP協(xié)議訪問方式與SSL VPN服務器進行連接，當通過服務器相關的認證之后，再從服務器上下載Applet或是Activex，并在客戶端上運行。與私有協(xié)議比較，為了確保通信雙方的協(xié)商，客戶端與服務器必須要統(tǒng)一聯(lián)合起來進行使用。

4 結(jié)束語

通過SSL VPN技術解決隴南師專校園網(wǎng)跨域接入遇到的問題，能較好地滿足分校區(qū)及校外用戶對校園網(wǎng)各種資源的訪問需求。該項技術僅僅需要通過一臺放置在校園內(nèi)部的設備，因而這是一種低成本、高安全性、簡便易用的VPN解決方案，非常適合以Web應用為主、有大量客戶端的高校網(wǎng)絡。文中的設計解決了知識共享、資源共享等技術上的難題，具有進一步研究和開發(fā)應用的可拓展空間，必將吸引更多的用戶和開發(fā)人員投身其中。SSL VPN技術在校園網(wǎng)中的應用促進了校園網(wǎng)適應高校數(shù)字化建設的發(fā)展補發(fā)，而且充分發(fā)揮了高校在大數(shù)據(jù)時代的先導作用，從而具有積極有益的現(xiàn)實意義。

參考文獻：

[1]思科系統(tǒng)（中國）網(wǎng)絡技術有限公司.下一代網(wǎng)絡安全[M]. 北京：北京郵電大學出版社，2006：116-117.

[2]杜理明. 基于SSL VPN技術的校園網(wǎng)遠程訪問設計[J].甘肅高師學報，2011， 16（5）：48-50.

[3] 楊文凱.SSL VPN安全關鍵技術研究[D]. 成都：西南交通大學，2010.

[4]萬欽.基于SSL協(xié)議的VPN在校園網(wǎng)中的應用與實現(xiàn)[D]. 南昌：南昌大學，2011.