楊朋 殷旻昊

摘? ?要：隨著高校校園網(wǎng)信息化建設的不斷完善，校園內(nèi)各應用系統(tǒng)的規(guī)模也在不斷擴大，許多高校都將在校師生的辦公、科研等基本信息限制校內(nèi)網(wǎng)訪問。VPN系統(tǒng)作為校園網(wǎng)外網(wǎng)訪問內(nèi)網(wǎng)的專有通道，其賬號的安全性便顯得極為重要。文章提出了一種將VPN系統(tǒng)與大數(shù)據(jù)平臺對接，納入到校園網(wǎng)的統(tǒng)一身份認證平臺中，實現(xiàn)在校師生一套賬號密碼即可訪問校園網(wǎng)內(nèi)網(wǎng)信息，同時優(yōu)化VPN訪問策略，保障系統(tǒng)安全。

關鍵詞：SSL VPN;校園網(wǎng);統(tǒng)一身份認證

中圖分類號： TP393.1? ? ? ? ? 文獻標識碼：A

Abstract： With the continuous improving of information construction in campus network ， the scale of campus applications and systems is also expanding. Lots of colleges restrict the basic information of teachers and students to access the intranet on campus networks such as Office system， scientific research system and so on. As a private channel for the campus network to access the intranet. The account security of VPN system is extremely important. This paper proposes a way to connect VPN system and the big data platform while can Incorporate into the unified identity authentication platform of the campus network， and access to intranet information on campus network by using a set of account password of teachers and students in campus. Finally realize the teachers and students can access the campus network information with a set of account password. At the same time， optimizing the VPN access strategy to ensure system security.

Key words： SSL VPN;campus network;unified identity authentication

1 引言

隨著云平臺、大數(shù)據(jù)技術的飛速發(fā)展，云教學、網(wǎng)絡教學、移動教學也逐漸應用于高校的教育體系之中，傳統(tǒng)的身份認證技術已不再滿足在校師生的新需求，一方面學校以及二級學院內(nèi)的各應用系統(tǒng)，都有著自身相互獨立的功能體系和認證方法，出現(xiàn)了在使用過程中賬密混亂、登錄繁瑣、資源浪費等問題，另一方面由于各個平臺系統(tǒng)缺乏一個統(tǒng)一平臺對其進行管理和監(jiān)控，不僅造成管理困難，且易產(chǎn)生系統(tǒng)漏洞，外界攻擊或病毒進入其系統(tǒng)進行校園網(wǎng)攻擊，形成安全隱患[1]。當前，應用比較廣泛的方案是高校推出統(tǒng)一身份認證平臺，來整合各個網(wǎng)絡系統(tǒng)和二級學院子系統(tǒng)，并為其提供一個統(tǒng)一的接口、安全策略和進入方式來進行統(tǒng)一身份認證管理[2]，并將一些比較敏感或重要的應用，限制在校園內(nèi)部進行訪問，校園外網(wǎng)需要登錄VPN系統(tǒng)，實現(xiàn)相應資源或系統(tǒng)進行訪問[3]。如何使VPN系統(tǒng)在統(tǒng)一身份認證平臺進行模塊化應用，并進一步提升VPN的穩(wěn)定性和安全性是本文研究的目標。

2 研究背景

大多數(shù)高校都建立了自己的網(wǎng)絡管理平臺，并構建統(tǒng)一的數(shù)據(jù)庫認證系統(tǒng)，將各大系統(tǒng)數(shù)據(jù)整合到一個平臺中[4]。例如，天津師范大學將辦公、人事、資產(chǎn)、采購、科研等系統(tǒng)整合到網(wǎng)上服務大廳中，而這些系統(tǒng)均需要校內(nèi)網(wǎng)絡才能訪問，同時在校師生在校外也需要針對像知網(wǎng)、Elsevier SD等學術數(shù)據(jù)庫進行查閱資料，系統(tǒng)開發(fā)人員滿足遠程管理校內(nèi)系統(tǒng)等需求。所以，用戶能從任意時間和地域進入校園內(nèi)網(wǎng)，并進行安全訪問校內(nèi)網(wǎng)絡資源和應用系統(tǒng)，是目前高校信息化建設的迫切需求。同時，開通VPN服務，并將VPN系統(tǒng)納入到學校統(tǒng)一身份認證平臺，實現(xiàn)一體化認證是高校校園網(wǎng)和應用系統(tǒng)安全保障的必然選擇。

3 系統(tǒng)方案設計

3.1 統(tǒng)一身份認證平臺

統(tǒng)一身份認證平臺其實質(zhì)是由學校的統(tǒng)一身份認證數(shù)據(jù)庫和認證服務器平臺的聯(lián)動運維，來對用戶進行授權管理和訪問控制[5]。以天津師范大學為例，認證方式基于LDAP認證，每當師生入職入學之際，人事系統(tǒng)會將其身份信息存入身份認證數(shù)據(jù)庫中，同時根據(jù)其身份自動開通相應的辦公系統(tǒng)，所有賦予權限的系統(tǒng)均從網(wǎng)上服務大廳進行訪問，初次登錄強制修改為強密碼，當再次進行訪問網(wǎng)上服務大廳的時候，會先去統(tǒng)一身份認證數(shù)據(jù)庫進行校驗身份。如果身份校驗合法，便返回認證服務器平臺分配其相應身份的權限進行資源訪問，而認證服務器平臺提供多個子平臺的接口，無需再次輸入賬號密碼，從而實現(xiàn)一個賬號可登錄所有系統(tǒng)。

3.2 SSL VPN系統(tǒng)

VPN是校園網(wǎng)絡體系中不可缺少的組成部分，VPN系統(tǒng)是通過加密隧道的方式，從校外公網(wǎng)到校內(nèi)私網(wǎng)虛擬處的一條私有、安全、穩(wěn)定的通道，它可以使校園內(nèi)的一些比較敏感的應用系統(tǒng)，大膽地限制在校園內(nèi)網(wǎng)訪問，為在校師生提供了便利的同時，也極大地保障了校園內(nèi)網(wǎng)各系統(tǒng)的安全性。當前，VPN系統(tǒng)主要基于MPLS協(xié)議、IPsec協(xié)議和SSL協(xié)議[6]。