楊朋 殷旻昊

摘? ?要：隨著高校校園網(wǎng)信息化建設(shè)的不斷完善，校園內(nèi)各應(yīng)用系統(tǒng)的規(guī)模也在不斷擴(kuò)大，許多高校都將在校師生的辦公、科研等基本信息限制校內(nèi)網(wǎng)訪問。VPN系統(tǒng)作為校園網(wǎng)外網(wǎng)訪問內(nèi)網(wǎng)的專有通道，其賬號(hào)的安全性便顯得極為重要。文章提出了一種將VPN系統(tǒng)與大數(shù)據(jù)平臺(tái)對(duì)接，納入到校園網(wǎng)的統(tǒng)一身份認(rèn)證平臺(tái)中，實(shí)現(xiàn)在校師生一套賬號(hào)密碼即可訪問校園網(wǎng)內(nèi)網(wǎng)信息，同時(shí)優(yōu)化VPN訪問策略，保障系統(tǒng)安全。

關(guān)鍵詞：SSL VPN;校園網(wǎng);統(tǒng)一身份認(rèn)證

中圖分類號(hào)： TP393.1? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the continuous improving of information construction in campus network ， the scale of campus applications and systems is also expanding. Lots of colleges restrict the basic information of teachers and students to access the intranet on campus networks such as Office system， scientific research system and so on. As a private channel for the campus network to access the intranet. The account security of VPN system is extremely important. This paper proposes a way to connect VPN system and the big data platform while can Incorporate into the unified identity authentication platform of the campus network， and access to intranet information on campus network by using a set of account password of teachers and students in campus. Finally realize the teachers and students can access the campus network information with a set of account password. At the same time， optimizing the VPN access strategy to ensure system security.

Key words： SSL VPN;campus network;unified identity authentication

1 引言

隨著云平臺(tái)、大數(shù)據(jù)技術(shù)的飛速發(fā)展，云教學(xué)、網(wǎng)絡(luò)教學(xué)、移動(dòng)教學(xué)也逐漸應(yīng)用于高校的教育體系之中，傳統(tǒng)的身份認(rèn)證技術(shù)已不再滿足在校師生的新需求，一方面學(xué)校以及二級(jí)學(xué)院內(nèi)的各應(yīng)用系統(tǒng)，都有著自身相互獨(dú)立的功能體系和認(rèn)證方法，出現(xiàn)了在使用過程中賬密混亂、登錄繁瑣、資源浪費(fèi)等問題，另一方面由于各個(gè)平臺(tái)系統(tǒng)缺乏一個(gè)統(tǒng)一平臺(tái)對(duì)其進(jìn)行管理和監(jiān)控，不僅造成管理困難，且易產(chǎn)生系統(tǒng)漏洞，外界攻擊或病毒進(jìn)入其系統(tǒng)進(jìn)行校園網(wǎng)攻擊，形成安全隱患[1]。當(dāng)前，應(yīng)用比較廣泛的方案是高校推出統(tǒng)一身份認(rèn)證平臺(tái)，來整合各個(gè)網(wǎng)絡(luò)系統(tǒng)和二級(jí)學(xué)院子系統(tǒng)，并為其提供一個(gè)統(tǒng)一的接口、安全策略和進(jìn)入方式來進(jìn)行統(tǒng)一身份認(rèn)證管理[2]，并將一些比較敏感或重要的應(yīng)用，限制在校園內(nèi)部進(jìn)行訪問，校園外網(wǎng)需要登錄VPN系統(tǒng)，實(shí)現(xiàn)相應(yīng)資源或系統(tǒng)進(jìn)行訪問[3]。如何使VPN系統(tǒng)在統(tǒng)一身份認(rèn)證平臺(tái)進(jìn)行模塊化應(yīng)用，并進(jìn)一步提升VPN的穩(wěn)定性和安全性是本文研究的目標(biāo)。

2 研究背景

大多數(shù)高校都建立了自己的網(wǎng)絡(luò)管理平臺(tái)，并構(gòu)建統(tǒng)一的數(shù)據(jù)庫認(rèn)證系統(tǒng)，將各大系統(tǒng)數(shù)據(jù)整合到一個(gè)平臺(tái)中[4]。例如，天津師范大學(xué)將辦公、人事、資產(chǎn)、采購、科研等系統(tǒng)整合到網(wǎng)上服務(wù)大廳中，而這些系統(tǒng)均需要校內(nèi)網(wǎng)絡(luò)才能訪問，同時(shí)在校師生在校外也需要針對(duì)像知網(wǎng)、Elsevier SD等學(xué)術(shù)數(shù)據(jù)庫進(jìn)行查閱資料，系統(tǒng)開發(fā)人員滿足遠(yuǎn)程管理校內(nèi)系統(tǒng)等需求。所以，用戶能從任意時(shí)間和地域進(jìn)入校園內(nèi)網(wǎng)，并進(jìn)行安全訪問校內(nèi)網(wǎng)絡(luò)資源和應(yīng)用系統(tǒng)，是目前高校信息化建設(shè)的迫切需求。同時(shí)，開通VPN服務(wù)，并將VPN系統(tǒng)納入到學(xué)校統(tǒng)一身份認(rèn)證平臺(tái)，實(shí)現(xiàn)一體化認(rèn)證是高校校園網(wǎng)和應(yīng)用系統(tǒng)安全保障的必然選擇。

3 系統(tǒng)方案設(shè)計(jì)

3.1 統(tǒng)一身份認(rèn)證平臺(tái)

統(tǒng)一身份認(rèn)證平臺(tái)其實(shí)質(zhì)是由學(xué)校的統(tǒng)一身份認(rèn)證數(shù)據(jù)庫和認(rèn)證服務(wù)器平臺(tái)的聯(lián)動(dòng)運(yùn)維，來對(duì)用戶進(jìn)行授權(quán)管理和訪問控制[5]。以天津師范大學(xué)為例，認(rèn)證方式基于LDAP認(rèn)證，每當(dāng)師生入職入學(xué)之際，人事系統(tǒng)會(huì)將其身份信息存入身份認(rèn)證數(shù)據(jù)庫中，同時(shí)根據(jù)其身份自動(dòng)開通相應(yīng)的辦公系統(tǒng)，所有賦予權(quán)限的系統(tǒng)均從網(wǎng)上服務(wù)大廳進(jìn)行訪問，初次登錄強(qiáng)制修改為強(qiáng)密碼，當(dāng)再次進(jìn)行訪問網(wǎng)上服務(wù)大廳的時(shí)候，會(huì)先去統(tǒng)一身份認(rèn)證數(shù)據(jù)庫進(jìn)行校驗(yàn)身份。如果身份校驗(yàn)合法，便返回認(rèn)證服務(wù)器平臺(tái)分配其相應(yīng)身份的權(quán)限進(jìn)行資源訪問，而認(rèn)證服務(wù)器平臺(tái)提供多個(gè)子平臺(tái)的接口，無需再次輸入賬號(hào)密碼，從而實(shí)現(xiàn)一個(gè)賬號(hào)可登錄所有系統(tǒng)。

3.2 SSL VPN系統(tǒng)

VPN是校園網(wǎng)絡(luò)體系中不可缺少的組成部分，VPN系統(tǒng)是通過加密隧道的方式，從校外公網(wǎng)到校內(nèi)私網(wǎng)虛擬處的一條私有、安全、穩(wěn)定的通道，它可以使校園內(nèi)的一些比較敏感的應(yīng)用系統(tǒng)，大膽地限制在校園內(nèi)網(wǎng)訪問，為在校師生提供了便利的同時(shí)，也極大地保障了校園內(nèi)網(wǎng)各系統(tǒng)的安全性。當(dāng)前，VPN系統(tǒng)主要基于MPLS協(xié)議、IPsec協(xié)議和SSL協(xié)議[6]。