OpenVPN技術實現高校校園網資源遠程訪問的研究

武佳寧

（陜西學前師范學院，陜西西安，710100）

0 引言

近年來高校對于信息化建設越來越重視，高校所建設的各類信息化項目包括教務管理系統、數字化圖書館、科研管理系統、國資管理系統、辦公管理系統等等。這些校園網內的管理應用系統只能針對校園網內用戶開放，是典型的內部資源只供內部訪問。例如教務管理系統，它包含教師的資料、學生的成績學籍等資料都是需要保護的數據，不能隨意訪問；又如數字化圖書館的資料必須通過網內IP地址范圍來控制訪問。教師多數在家中備課科研，這就存在工作地點的變化造成了網內資源無法使用的問題。虛擬專用網絡（簡稱VPN）就是很好地解決辦法，在公用網絡上建立專用網絡的技術將遠程接入訪問內部資源成為現實。

1 VPN的主要功能優勢

VPN是利用現有的Internet鏈路來架設私有專用網絡，它應用加密技術，在公共網絡上封裝出一個數據通訊隧道來實現遠程訪問的技術。我們通過這條隧道把校園網內資源和校園網外用戶連接起來，建立一個專用通道實現校園網內數據與網外數據的傳輸，達到信息交流資源共享的目的。

1.1 安全完整

VPN采用身份驗證、加密等安全技術，在傳輸數據之前就將數據進行了加密，以防止數據包被破解或讀取，這樣就保證了傳輸數據的安全保密性。VPN的安全技術能同時防止數據在傳輸途中被篡改，通過密鑰來計算并校驗，如果數據包的內容被篡改，立即丟棄，以確保發送數據與接收數據的完整性。

1.2 靈活可控

用戶在使用過程中完全掌握著自己網絡的控制權，不受物理條件的制約，建立或是刪除虛擬通道方便自主。遠程用戶和校園網通過VPN進行連接，簡單快捷，只需要只需雙方配置安全連接信息就可以了靈活自主。

1.3 成本低廉

利用Internet極大地降低了成本，這種虛擬專用通道與租用專用線路相比大大節省了通信費用，也省去了大量人力物力和設備的投入。

2 VPN實現技術選型

目前應用較為廣泛VPN實現技術有基于網絡層的IPsec VPN和基于傳輸層與應用層的SSL VPN。IPSec VPN在網絡層工作，為網絡層的數據提供保護，而SSL VPN則是工作在應用層，他們是兩種不同的架構，但都能提供安全的遠程接入。

2.1 IPSec VPN

IPSec VPN屬于基礎設施性質的安全技術。它的作用在于盡量提高IP環境的安全性。部署IPSec VPN要對網絡設施進行改造，后期還需要長期維護才能保證運行，所以實施和管理成本相對較高。所以它更適合大型盈利性企業使用，更適合為不同的網絡提供通信安全保障。

2.2 SSL VPN

SSL VPN與IPSec VPN相比部署和實施成本低，客戶端不需要額外安裝軟件或硬件，通用標準的IE就可以簡單加密，實現安全訪問了。SSL VPN不需要網絡設備改造以及后期的大量維護大大節約了成本。良好的兼容性對操作系統沒有很高的要求省去了很多麻煩，由于瀏覽器內嵌了SSL協議，無需安裝客戶端，這為非專業人士的使用提供了方便。所以SSL VPN更適合應用于遠程的、分散的用戶接入。

2.3 OpenVPN

通過對校園網遠程訪問的實際需求，我們選擇了VPN技術的重要成員OpenVPN。OpenVPN是基于SSL的工作在應用層 VPN軟件。它的技術核心是虛擬網卡，其次是SSL協議實現，與傳統VPN相比，它的優點就是簡單易用、高效安全，并且支持多種常用應用系統。OpenVPN大量使用了OpenSSL加密庫，和SSLv3/ TLSv1 協議，它與設置好的VPN用戶單點之間，通過預先設置好的私人秘鑰或者第三方證書進行身份驗證。高校遠程訪問使用，從校園網絡構建VPN隧道的要求和成本來考慮，OpenVPN軟件已經達到技術要求，用來構建校園VPN網絡是合適且實際可行的。

3 校園網VPN系統的設計

3.1 校園網VPN系統功能與基本配置

校園網VPN系統的設計原則首先要保證校園網內網用戶的正常訪問，不能降低網內訪問速度。所以我們要利用校園網網內多出口來提高用戶接入VPN的速度以及訪問校園網的速度。OpenVPN所有加密都由OpenSSL庫處理，通過SSL協議進行封裝，所有IP隧道功能都由虛擬網絡驅動提供，他自身有著強大的模塊設計，配置路由和虛擬網卡以及讀寫存儲設備，都集成成一套穩定高效的軟件了。OpenVPN的服務器端和客戶端只是配置文件的內容不同，其實是同一套源代碼。2013年新發布的OpenVPN 2.3擴展了前面版本的功能，它針對不同操作系統有不同的版本，我們一般采用Linux作為服務器端操作系統。

3.2 校園網VPN系統的網絡結構設計

校園網VPN系統網絡結構設計如圖1所示.其中VPN服務器運行OpenVPN服務，提供相關服務。遠程辦公用戶、系統維護用戶、移動辦公用戶在安裝了客戶端程序后，通過首先需要從服務器端索取密鑰和證書，通過認證后VPN服務器就會分配校園網網內的IP地址給客戶端，然后為客戶端添加校園網路由表和DNS地址。這樣建立好VPN通道后，客戶端訪問校園網資源時使用這條虛擬專線，但是訪問非校園網數據時還是使用公網線路。

4 校園網0penVPN認證

圖1 校園網VPN系統的網絡結構圖

圖2 校園網0penVPN認證過程圖示

校園網0penVPN認證過程如圖1所示。客戶端在安裝了0penVPN軟件后，在與校園網連接的過程中需要輸入有管理員統一下發的用戶名和密碼，VPN服務器通過身份認證功能進行身份合法性的確認。0penVPN的身份認證是通過SSL/TLS的握手協議來完成，在握手同時也完成了密鑰的交換。客戶端先發送身份認證請求，要求確認通信雙方的身份的合法性，它發送的消息中包括了加密密碼組和客戶端會話標志等信息。VPN服務器通過加密信息驗證了客戶端的身份后，向客戶端返回數字證書；并發出請求要求提供用戶證書和服務器密鑰交換消息；最后返回服務器已經完成初始交流的信息。客戶端應服務器請求發送客戶端證書，并使用服務器下發的公鑰將會話密鑰再發送給服務器。服務器使用自己的私鑰對接收的消息進行解密得到共享的會話密鑰。最后服務器和客戶端相互要求在后續通行中使用加密模式，在相互告知準備好通信。至此SSL握手協議完成，雙方在專用通道進行加密的數據交流。

Richard Tibbs,Edward Oakes.李展，刑博特譯.防火墻與VPN[M].北京:清華大學出版社，2008.