摘 要：基于SSL協(xié)議的VPN技術(shù)具有簡單易行，實施成本低，安全性高的特點。結(jié)合隴南師專校園網(wǎng)多校區(qū)互聯(lián)及共享網(wǎng)絡(luò)資源的情況，采用SSL VPN技術(shù)實現(xiàn)跨域校園網(wǎng)互聯(lián)及數(shù)字資源共享的使用和研究。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)資源；SSL協(xié)議；VPN技術(shù)

中圖分類號：TP317 文獻標(biāo)識碼：A 文章編號：2095-2163（2016）02-

Research and application of the inter-domain campus network access

based on SSL VPN

DU Liming

（Physics and information technology Department， Longnan Teachers College， Chengxian Gansu 742500，China）

Abstract：VPN technology based on SSL protocol is simple， low cost， high security features. Combined with Longnan teachers college campus network interconnection and sharing of multi campus cyber source condition， the paper researches using SSL VPN technology to realize the inter-domain campus network of multi campus Internet and digital resources sharing.

Keywords： campus network；cyber source；SSL protocol；VPN technology

0 引 言

近年來，我國高校數(shù)字化建設(shè)得到了快速迅猛的發(fā)展。校園網(wǎng)作為一種整體應(yīng)用性的教育資源，已然成為每所學(xué)校高度關(guān)注和重視的基礎(chǔ)建設(shè)項目。目前，大多數(shù)高校均已創(chuàng)建了由各家分系統(tǒng)所組成的一體化校園網(wǎng)絡(luò)基礎(chǔ)平臺，具體包括：電子辦公系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生管理系統(tǒng)、科研管理系統(tǒng)、人事管理系統(tǒng)、財務(wù)管理系統(tǒng)等。實施目的即是將教學(xué)資源、圖書館資源、購買的各種數(shù)據(jù)版權(quán)資源、連同學(xué)校及院系自建資源等都分類集成到校園網(wǎng)，從而為學(xué)校師生搭建了一個具備綜合信息服務(wù)、配備豐富教育資源、以及教學(xué)與科研提檔升級的新型交流平臺。但是隨著辦學(xué)規(guī)模的不斷擴大，很多學(xué)校都已劃分成多片校區(qū)，有些校區(qū)甚至是跨地域的，這種狀況則使得不同校區(qū)師生在進行工作、學(xué)習(xí)和交流、以及隨時訪問校園網(wǎng)內(nèi)部的資源時增加了實踐難度，降低了執(zhí)行效率，同時也導(dǎo)致教學(xué)和科研受到難以估量的重大影響。

針對以上校園網(wǎng)多校區(qū)互聯(lián)問題，傳統(tǒng)的解決方法，一般是在校區(qū)之間架設(shè)專線實現(xiàn)覆蓋，但其費用較高，或者是通過建立校園內(nèi)部專有的撥號網(wǎng)絡(luò)系統(tǒng)，只是安全性又較差?；诖耍芯堪l(fā)現(xiàn)將VPN 領(lǐng)域中一項較新技術(shù)——基于安全套接字層（SSL）協(xié)議的 VPN 技術(shù)應(yīng)用到校園網(wǎng)系統(tǒng)中，不但能夠有效解決互聯(lián)和安全問題，還可以針對教師和學(xué)生在校外不能使用專用資源這一問題提供現(xiàn)實理想方案，且能進一步顯著降低校園網(wǎng)建設(shè)成本和周期，具有較好的普適性應(yīng)用價值。

1 VPN技術(shù)

VPN（虛擬專用網(wǎng)，Virtual Private Network）技術(shù)就是利用公共網(wǎng)絡(luò)建立虛擬的對內(nèi)部專用網(wǎng)絡(luò)進行遠(yuǎn)程訪問的技術(shù)。使用該技術(shù)，用戶不再需要專門架設(shè)長距離真實專用數(shù)據(jù)線路，只是利用現(xiàn)有的因特網(wǎng)資源建立一個臨時安全的網(wǎng)絡(luò)連接，或者通過特定的網(wǎng)絡(luò)通道，將散布于不同區(qū)域的局域網(wǎng)連接成一個邏輯上的專用網(wǎng)絡(luò)來傳輸私有數(shù)據(jù)。常見的做法是在每一個辦公場所建立一個防火墻，同時通過因特網(wǎng)在這些區(qū)域建立隧道。充分利用VPN相關(guān)協(xié)議的安全性來建立隧道，能夠?qū)⑷魏蝺商庌k公場所之間的所有流量都聚集到一個支持認(rèn)證和加密的安全關(guān)聯(lián)（security association ，SA）上，而且SA是單向的，在兩個對等之間存在兩個SA，這就保證了完整性控制和保密性[1]。VPN技術(shù)允許外部用戶加入到內(nèi)部網(wǎng)絡(luò)，在外部用戶和 VPN 服務(wù)器之間建立一條加密隧道，將原始數(shù)據(jù)包進行加密，加密后再添加新的協(xié)議包頭封裝，如此使得只有知道密鑰的通信雙方才能夠解密數(shù)據(jù)包，進而保證了數(shù)據(jù)包在公共媒質(zhì)上傳送的時候，不會被非 VPN 用戶截取，就如同外部用戶是直接聯(lián)入內(nèi)部網(wǎng)絡(luò)中一樣，不僅減少了遠(yuǎn)程用戶數(shù)據(jù)傳輸時間傳輸費用，而且結(jié)構(gòu)簡單易于維護、實現(xiàn)方案多樣，并具有良好的擴展性。因此，VPN技術(shù)現(xiàn)已廣泛適用于遠(yuǎn)程辦公和企業(yè)之間的通信[2]。

2基于SSL協(xié)議的VPN技術(shù)

根據(jù)實現(xiàn)技術(shù)的不同，VPN技術(shù)可以分為第二層（鏈路層）隧道協(xié)議PPTP、LZF、LZTP和第三層（網(wǎng)絡(luò)層）隧道協(xié)議GRE、IPsec，以及工作在高層的SSL等。各分類層之間的區(qū)別在于用戶的數(shù)據(jù)包在隧道傳輸中分別使用協(xié)議的不同。其中，基于SSL協(xié)議的VPN技術(shù)是目前最佳應(yīng)用的主流VPN技術(shù)。該協(xié)議工作在傳輸層，安裝配置簡單，實施成本較低，與操作系統(tǒng)兼容性好，對應(yīng)用程序與應(yīng)用程序之間的安全連接具有強勁保護，在訪問控制的支持程度、抗攻擊能力、病毒入侵、與防火墻配合以及對下一代網(wǎng)絡(luò)支持特性等方面具有現(xiàn)實可行的操作優(yōu)勢。本文校園網(wǎng)VPN系統(tǒng)的組建就是基于此協(xié)議。

2.1 SSL VPN技術(shù)的實現(xiàn)原理

SSL VPN是一種新型的遠(yuǎn)程接入技術(shù)，能使網(wǎng)絡(luò)瀏覽器或?qū)Ｓ玫目蛻舳撕蛢?nèi)部資源提供一個安全可靠的連接[3]。通過對數(shù)據(jù)包進行封裝，采用SSL/TLS協(xié)議與加密算法、身份認(rèn)證等構(gòu)建VPN，在網(wǎng)絡(luò)中形成一個外部用戶客戶端到SSL VPN網(wǎng)關(guān)之間的加密隧道。在實現(xiàn)過程中，用戶通過客戶端瀏覽器內(nèi)建的安全套接層（Secure Socket Layer）封包處理功能，利用SSL技術(shù)對訪問數(shù)據(jù)進行加密，并將加密后的數(shù)據(jù)發(fā)送到SSL VPN網(wǎng)關(guān)，此網(wǎng)關(guān)將接收到的加密信息進行解密，而后再轉(zhuǎn)發(fā)到網(wǎng)絡(luò)內(nèi)部的VPN服務(wù)器，采用網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓用戶在遠(yuǎn)程計算機執(zhí)行應(yīng)用程序，讀取網(wǎng)絡(luò)內(nèi)部服務(wù)器數(shù)據(jù)，從而在應(yīng)用層保護了數(shù)據(jù)的安全性。

2.2 SSL VPN技術(shù)的特點

SSL VPN是工作在應(yīng)用層（基于HTTP協(xié)議）和TCP層之間的遠(yuǎn)程接入技術(shù)，適合應(yīng)用于遠(yuǎn)程分散移動用戶的安全接入[1]。與其他VPN技術(shù)相比，有諸多優(yōu)點，現(xiàn)做如下解析：

（1）客戶端簡單易用，不需要在客戶端安裝特定軟件。同時又支持多種瀏覽器連接因特網(wǎng)，通過網(wǎng)頁將可訪問到內(nèi)部網(wǎng)絡(luò)的各種類型資源；

（2）提供遠(yuǎn)程安全接入，通常在網(wǎng)絡(luò)防火墻后放置一個SSL代理服務(wù)器，當(dāng)用戶在客戶端瀏覽器上輸入一個URL后，則建立一對應(yīng)連接，SSL代理服務(wù)器通過該連接對用戶身份進行合法性驗證，然后將連接映射到不同的應(yīng)用服務(wù)器上。同時，SSL代理服務(wù)器的使用也能夠較好地抵御外部系統(tǒng)和病毒攻擊；

（3）通過對加密隧道進行細(xì)分和用戶級別的鑒權(quán)，可以對特定內(nèi)部網(wǎng)絡(luò)資源實現(xiàn)細(xì)粒度的訪問控制；

（4）穿越所有NAT和防火墻設(shè)備，用戶能夠從任何地方遠(yuǎn)程接入到內(nèi)部網(wǎng)絡(luò)；

（5）維護靈活方便，增添VPN設(shè)備無需更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，具有易擴展性。

3 SSL VPN技術(shù)在多校區(qū)校園網(wǎng)中的應(yīng)用

3.1隴南師專校園網(wǎng)概況

隴南師專校園網(wǎng)采用H3C公司的萬兆路由核心交換機LS-9508-N-H3，通過中國教育和科研計算機網(wǎng)（CERNET），并和中國公用INTERNET骨干網(wǎng)相連接，當(dāng)需要從外部獲取校園內(nèi)部網(wǎng)絡(luò)資源時，則是通過開放的路由訪問來獲得實現(xiàn)的。2013年12月，隴南農(nóng)校和成縣職業(yè)中專并入隴南師專，校園面積增加一倍多，已經(jīng)分為本部、東校區(qū)、南校區(qū)、北校區(qū)等四個部分，其中，新并入的東校區(qū)和北校區(qū)均與本部相隔較遠(yuǎn)距離。校園網(wǎng)計算機用戶多達2 000多臺，并且分布延伸至每個校區(qū)辦公室、教學(xué)樓、圖書館、實訓(xùn)室和家屬區(qū)等主要場所。同時，校園網(wǎng)上運行的服務(wù)器可具體涵蓋有：WWW服務(wù)器、Mail服務(wù)器、DNS服務(wù)器、網(wǎng)上辦公系統(tǒng)服務(wù)器、圖書館數(shù)據(jù)庫服務(wù)器等。此外，在Internet與校園網(wǎng)之間安裝了防火墻，避免校園網(wǎng)內(nèi)部遭受來自互聯(lián)網(wǎng)的非法入侵。隴南師專校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

校園網(wǎng)中運行的各類典型應(yīng)用管理系統(tǒng)主要包括著：教務(wù)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、圖書館管理系統(tǒng)、電子郵件系統(tǒng)、FTP系統(tǒng)等。各院系、職能部門的二級網(wǎng)站30個，日常工作基本實現(xiàn)計算機管理和網(wǎng)絡(luò)辦公。但是，由于受網(wǎng)絡(luò)安全和其他客觀因素的影響，目前校內(nèi)專有資源的訪問只能在本部和南校區(qū)IP地址范圍內(nèi)允許專用訪問。例如：住在分校區(qū)和校外的教師以及出差在外的教師需要使用校內(nèi)應(yīng)用系統(tǒng)來執(zhí)行和實施辦公、學(xué)生成績錄入和圖書館數(shù)字資源查閱時；學(xué)生于閑暇中需要使用精品課程平臺和網(wǎng)絡(luò)教學(xué)資源進行來開展和推進學(xué)習(xí)時，都將無法實現(xiàn)。而且，隨著校園網(wǎng)建設(shè)的不斷完善，這類專有資源的服務(wù)將會越來越多，勢必會影響教學(xué)活動的正常實現(xiàn)和運行。

3.2校園網(wǎng)SSL VPN系統(tǒng)設(shè)計

根據(jù)SSL VPN技術(shù)的原理、特點和對校園網(wǎng)分校區(qū)使用專有資源的需求分析，將SSL VPN技術(shù)應(yīng)用于校園網(wǎng)，則能以最低廉的成本把各個校區(qū)的局域網(wǎng)構(gòu)建成內(nèi)聯(lián)網(wǎng)VPN，從而實現(xiàn)對校園網(wǎng)內(nèi)專有資源訪問的安全擴展，既能高端全面解決對校園網(wǎng)多校區(qū)互聯(lián)問題，也可為今后在校園網(wǎng)上開發(fā)更多的應(yīng)用資源提供安全保障。校園網(wǎng)SSL VPN系統(tǒng)需要綜合考慮在安全接入和Clientless等方面的特性。通過在本部校園網(wǎng)上配置SSL VPN服務(wù)器，分校區(qū)用戶客戶端首先從SSL VPN服務(wù)器上面下載Applet，其后瘦客戶端通過SSL與SSL VPN服務(wù)器建立安全連接。用于SSL VPN服務(wù)器與分校區(qū)及校外客戶端連接通過防火墻時，防火墻設(shè)置只允許443端口，同時能對訪問數(shù)據(jù)進行安全處理。而在SSL VPN服務(wù)器對訪問數(shù)據(jù)按照策略進行控制鑒別后，才能和校園網(wǎng)的應(yīng)用服務(wù)器建立安全連接，并把外網(wǎng)的數(shù)據(jù)重定向到校園的應(yīng)用網(wǎng)服務(wù)器，這樣就在分校區(qū)和校外用戶客戶端到校園網(wǎng)專有服務(wù)器之間建立一條加密傳輸數(shù)據(jù)的信道。校園網(wǎng)SSL VPN系統(tǒng)設(shè)計結(jié)構(gòu)如圖2所示。

3 3 SSL VPN服務(wù)器設(shè)計

在校園網(wǎng)SSL VPN系統(tǒng)中，SSL VPN服務(wù)器發(fā)揮關(guān)鍵作用的核心設(shè)備，可以在分校區(qū)及校外用戶和校園網(wǎng)應(yīng)用服務(wù)器之間構(gòu)建了一條安全的加密信道。SSL VPN服務(wù)器的功能實現(xiàn)主要表現(xiàn)在如下2個方面：其一，對分校區(qū)及校外用戶客戶端來說，將提供如同服務(wù)器的作用，能夠在客戶端與服務(wù)器之間提供基于數(shù)字證書的兩者身份的驗證，相當(dāng)于一個安全地網(wǎng)關(guān)；其二，相對于校園網(wǎng)中不同的應(yīng)用服務(wù)器來說，即需要向應(yīng)用服務(wù)器遞交客戶端相的訪問請求，相當(dāng)于一個客戶端。

SSL VPN服務(wù)器的模塊設(shè)計是采用了B/S和C/S兩者相結(jié)合的方式，B/S屬于客戶端與 SSL VPN服務(wù)器之間的結(jié)構(gòu)方式，而C/S則屬于SSL VPN服務(wù)器與應(yīng)用服務(wù)器之間的結(jié)構(gòu)方式[4]。

3.4客戶端支持

客戶端在整個校園網(wǎng)SSL VPN系統(tǒng)中的作用十分重要，SSL VPN服務(wù)器的功能只有在客戶端的支持下才能真正實現(xiàn)。其本質(zhì)原因則在于SSL VPN采用Clientless模式。這種模式主要工作過程就是用戶選擇客戶端瀏覽器（IE等）使用HTTP協(xié)議訪問方式與SSL VPN服務(wù)器進行連接，當(dāng)通過服務(wù)器相關(guān)的認(rèn)證之后，再從服務(wù)器上下載Applet或是Activex，并在客戶端上運行。與私有協(xié)議比較，為了確保通信雙方的協(xié)商，客戶端與服務(wù)器必須要統(tǒng)一聯(lián)合起來進行使用。

4 結(jié)束語

通過SSL VPN技術(shù)解決隴南師專校園網(wǎng)跨域接入遇到的問題，能較好地滿足分校區(qū)及校外用戶對校園網(wǎng)各種資源的訪問需求。該項技術(shù)僅僅需要通過一臺放置在校園內(nèi)部的設(shè)備，因而這是一種低成本、高安全性、簡便易用的VPN解決方案，非常適合以Web應(yīng)用為主、有大量客戶端的高校網(wǎng)絡(luò)。文中的設(shè)計解決了知識共享、資源共享等技術(shù)上的難題，具有進一步研究和開發(fā)應(yīng)用的可拓展空間，必將吸引更多的用戶和開發(fā)人員投身其中。SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用促進了校園網(wǎng)適應(yīng)高校數(shù)字化建設(shè)的發(fā)展補發(fā)，而且充分發(fā)揮了高校在大數(shù)據(jù)時代的先導(dǎo)作用，從而具有積極有益的現(xiàn)實意義。

參考文獻：

[1]思科系統(tǒng)（中國）網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全[M]. 北京：北京郵電大學(xué)出版社，2006：116-117.

[2]杜理明. 基于SSL VPN技術(shù)的校園網(wǎng)遠(yuǎn)程訪問設(shè)計[J].甘肅高師學(xué)報，2011， 16（5）：48-50.

[3] 楊文凱.SSL VPN安全關(guān)鍵技術(shù)研究[D]. 成都：西南交通大學(xué)，2010.

[4]萬欽.基于SSL協(xié)議的VPN在校園網(wǎng)中的應(yīng)用與實現(xiàn)[D]. 南昌：南昌大學(xué)，2011.