基于SSL VPN技術的跨域校園網接入系統的研究與應用

摘 要：基于SSL協議的VPN技術具有簡單易行，實施成本低，安全性高的特點。結合隴南師專校園網多校區互聯及共享網絡資源的情況，采用SSL VPN技術實現跨域校園網互聯及數字資源共享的使用和研究。

關鍵詞：校園網；網絡資源；SSL協議；VPN技術

中圖分類號：TP317 文獻標識碼：A 文章編號：2095-2163（2016）02-

Research and application of the inter-domain campus network access

based on SSL VPN

DU Liming

（Physics and information technology Department， Longnan Teachers College， Chengxian Gansu 742500，China）

Abstract：VPN technology based on SSL protocol is simple， low cost， high security features. Combined with Longnan teachers college campus network interconnection and sharing of multi campus cyber source condition， the paper researches using SSL VPN technology to realize the inter-domain campus network of multi campus Internet and digital resources sharing.

Keywords： campus network；cyber source；SSL protocol；VPN technology

0 引 言

近年來，我國高校數字化建設得到了快速迅猛的發展。校園網作為一種整體應用性的教育資源，已然成為每所學校高度關注和重視的基礎建設項目。目前，大多數高校均已創建了由各家分系統所組成的一體化校園網絡基礎平臺，具體包括：電子辦公系統、教務管理系統、學生管理系統、科研管理系統、人事管理系統、財務管理系統等。實施目的即是將教學資源、圖書館資源、購買的各種數據版權資源、連同學校及院系自建資源等都分類集成到校園網，從而為學校師生搭建了一個具備綜合信息服務、配備豐富教育資源、以及教學與科研提檔升級的新型交流平臺。但是隨著辦學規模的不斷擴大，很多學校都已劃分成多片校區，有些校區甚至是跨地域的，這種狀況則使得不同校區師生在進行工作、學習和交流、以及隨時訪問校園網內部的資源時增加了實踐難度，降低了執行效率，同時也導致教學和科研受到難以估量的重大影響。

針對以上校園網多校區互聯問題，傳統的解決方法，一般是在校區之間架設專線實現覆蓋，但其費用較高，或者是通過建立校園內部專有的撥號網絡系統，只是安全性又較差。基于此，研究發現將VPN 領域中一項較新技術——基于安全套接字層（SSL）協議的 VPN 技術應用到校園網系統中，不但能夠有效解決互聯和安全問題，還可以針對教師和學生在校外不能使用專用資源這一問題提供現實理想方案，且能進一步顯著降低校園網建設成本和周期，具有較好的普適性應用價值。

1 VPN技術

VPN（虛擬專用網，Virtual Private Network）技術就是利用公共網絡建立虛擬的對內部專用網絡進行遠程訪問的技術。使用該技術，用戶不再需要專門架設長距離真實專用數據線路，只是利用現有的因特網資源建立一個臨時安全的網絡連接，或者通過特定的網絡通道，將散布于不同區域的局域網連接成一個邏輯上的專用網絡來傳輸私有數據。常見的做法是在每一個辦公場所建立一個防火墻，同時通過因特網在這些區域建立隧道。充分利用VPN相關協議的安全性來建立隧道，能夠將任何兩處辦公場所之間的所有流量都聚集到一個支持認證和加密的安全關聯（security association ，SA）上，而且SA是單向的，在兩個對等之間存在兩個SA，這就保證了完整性控制和保密性[1]。VPN技術允許外部用戶加入到內部網絡，在外部用戶和 VPN 服務器之間建立一條加密隧道，將原始數據包進行加密，加密后再添加新的協議包頭封裝，如此使得只有知道密鑰的通信雙方才能夠解密數據包，進而保證了數據包在公共媒質上傳送的時候，不會被非 VPN 用戶截取，就如同外部用戶是直接聯入內部網絡中一樣，不僅減少了遠程用戶數據傳輸時間傳輸費用，而且結構簡單易于維護、實現方案多樣，并具有良好的擴展性。因此，VPN技術現已廣泛適用于遠程辦公和企業之間的通信[2]。

2基于SSL協議的VPN技術

根據實現技術的不同，VPN技術可以分為第二層（鏈路層）隧道協議PPTP、LZF、LZTP和第三層（網絡層）隧道協議GRE、IPsec，以及工作在高層的SSL等。各分類層之間的區別在于用戶的數據包在隧道傳輸中分別使用協議的不同。其中，基于SSL協議的VPN技術是目前最佳應用的主流VPN技術。該協議工作在傳輸層，安裝配置簡單，實施成本較低，與操作系統兼容性好，對應用程序與應用程序之間的安全連接具有強勁保護，在訪問控制的支持程度、抗攻擊能力、病毒入侵、與防火墻配合以及對下一代網絡支持特性等方面具有現實可行的操作優勢。本文校園網VPN系統的組建就是基于此協議。

2.1 SSL VPN技術的實現原理

SSL VPN是一種新型的遠程接入技術，能使網絡瀏覽器或專用的客戶端和內部資源提供一個安全可靠的連接[3]。通過對數據包進行封裝，采用SSL/TLS協議與加密算法、身份認證等構建VPN，在網絡中形成一個外部用戶客戶端到SSL VPN網關之間的加密隧道。在實現過程中，用戶通過客戶端瀏覽器內建的安全套接層（Secure Socket Layer）封包處理功能，利用SSL技術對訪問數據進行加密，并將加密后的數據發送到SSL VPN網關，此網關將接收到的加密信息進行解密，而后再轉發到網絡內部的VPN服務器，采用網絡封包轉向的方式，讓用戶在遠程計算機執行應用程序，讀取網絡內部服務器數據，從而在應用層保護了數據的安全性。

2.2 SSL VPN技術的特點

SSL VPN是工作在應用層（基于HTTP協議）和TCP層之間的遠程接入技術，適合應用于遠程分散移動用戶的安全接入[1]。與其他VPN技術相比，有諸多優點，現做如下解析：

（1）客戶端簡單易用，不需要在客戶端安裝特定軟件。同時又支持多種瀏覽器連接因特網，通過網頁將可訪問到內部網絡的各種類型資源；

（2）提供遠程安全接入，通常在網絡防火墻后放置一個SSL代理服務器，當用戶在客戶端瀏覽器上輸入一個URL后，則建立一對應連接，SSL代理服務器通過該連接對用戶身份進行合法性驗證，然后將連接映射到不同的應用服務器上。同時，SSL代理服務器的使用也能夠較好地抵御外部系統和病毒攻擊；

（3）通過對加密隧道進行細分和用戶級別的鑒權，可以對特定內部網絡資源實現細粒度的訪問控制；

（4）穿越所有NAT和防火墻設備，用戶能夠從任何地方遠程接入到內部網絡；

（5）維護靈活方便，增添VPN設備無需更改現有網絡結構，具有易擴展性。

3 SSL VPN技術在多校區校園網中的應用

3.1隴南師專校園網概況

隴南師專校園網采用H3C公司的萬兆路由核心交換機LS-9508-N-H3，通過中國教育和科研計算機網（CERNET），并和中國公用INTERNET骨干網相連接，當需要從外部獲取校園內部網絡資源時，則是通過開放的路由訪問來獲得實現的。2013年12月，隴南農校和成縣職業中專并入隴南師專，校園面積增加一倍多，已經分為本部、東校區、南校區、北校區等四個部分，其中，新并入的東校區和北校區均與本部相隔較遠距離。校園網計算機用戶多達2 000多臺，并且分布延伸至每個校區辦公室、教學樓、圖書館、實訓室和家屬區等主要場所。同時，校園網上運行的服務器可具體涵蓋有：WWW服務器、Mail服務器、DNS服務器、網上辦公系統服務器、圖書館數據庫服務器等。此外，在Internet與校園網之間安裝了防火墻，避免校園網內部遭受來自互聯網的非法入侵。隴南師專校園網絡拓撲結構如圖1所示。

校園網中運行的各類典型應用管理系統主要包括著：教務管理系統、資產管理系統、圖書館管理系統、電子郵件系統、FTP系統等。各院系、職能部門的二級網站30個，日常工作基本實現計算機管理和網絡辦公。但是，由于受網絡安全和其他客觀因素的影響，目前校內專有資源的訪問只能在本部和南校區IP地址范圍內允許專用訪問。例如：住在分校區和校外的教師以及出差在外的教師需要使用校內應用系統來執行和實施辦公、學生成績錄入和圖書館數字資源查閱時；學生于閑暇中需要使用精品課程平臺和網絡教學資源進行來開展和推進學習時，都將無法實現。而且，隨著校園網建設的不斷完善，這類專有資源的服務將會越來越多，勢必會影響教學活動的正常實現和運行。

3.2校園網SSL VPN系統設計

根據SSL VPN技術的原理、特點和對校園網分校區使用專有資源的需求分析，將SSL VPN技術應用于校園網，則能以最低廉的成本把各個校區的局域網構建成內聯網VPN，從而實現對校園網內專有資源訪問的安全擴展，既能高端全面解決對校園網多校區互聯問題，也可為今后在校園網上開發更多的應用資源提供安全保障。校園網SSL VPN系統需要綜合考慮在安全接入和Clientless等方面的特性。通過在本部校園網上配置SSL VPN服務器，分校區用戶客戶端首先從SSL VPN服務器上面下載Applet，其后瘦客戶端通過SSL與SSL VPN服務器建立安全連接。用于SSL VPN服務器與分校區及校外客戶端連接通過防火墻時，防火墻設置只允許443端口，同時能對訪問數據進行安全處理。而在SSL VPN服務器對訪問數據按照策略進行控制鑒別后，才能和校園網的應用服務器建立安全連接，并把外網的數據重定向到校園的應用網服務器，這樣就在分校區和校外用戶客戶端到校園網專有服務器之間建立一條加密傳輸數據的信道。校園網SSL VPN系統設計結構如圖2所示。

3 3 SSL VPN服務器設計

在校園網SSL VPN系統中，SSL VPN服務器發揮關鍵作用的核心設備，可以在分校區及校外用戶和校園網應用服務器之間構建了一條安全的加密信道。SSL VPN服務器的功能實現主要表現在如下2個方面：其一，對分校區及校外用戶客戶端來說，將提供如同服務器的作用，能夠在客戶端與服務器之間提供基于數字證書的兩者身份的驗證，相當于一個安全地網關；其二，相對于校園網中不同的應用服務器來說，即需要向應用服務器遞交客戶端相的訪問請求，相當于一個客戶端。

SSL VPN服務器的模塊設計是采用了B/S和C/S兩者相結合的方式，B/S屬于客戶端與 SSL VPN服務器之間的結構方式，而C/S則屬于SSL VPN服務器與應用服務器之間的結構方式[4]。

3.4客戶端支持

客戶端在整個校園網SSL VPN系統中的作用十分重要，SSL VPN服務器的功能只有在客戶端的支持下才能真正實現。其本質原因則在于SSL VPN采用Clientless模式。這種模式主要工作過程就是用戶選擇客戶端瀏覽器（IE等）使用HTTP協議訪問方式與SSL VPN服務器進行連接，當通過服務器相關的認證之后，再從服務器上下載Applet或是Activex，并在客戶端上運行。與私有協議比較，為了確保通信雙方的協商，客戶端與服務器必須要統一聯合起來進行使用。

4 結束語

通過SSL VPN技術解決隴南師專校園網跨域接入遇到的問題，能較好地滿足分校區及校外用戶對校園網各種資源的訪問需求。該項技術僅僅需要通過一臺放置在校園內部的設備，因而這是一種低成本、高安全性、簡便易用的VPN解決方案，非常適合以Web應用為主、有大量客戶端的高校網絡。文中的設計解決了知識共享、資源共享等技術上的難題，具有進一步研究和開發應用的可拓展空間，必將吸引更多的用戶和開發人員投身其中。SSL VPN技術在校園網中的應用促進了校園網適應高校數字化建設的發展補發，而且充分發揮了高校在大數據時代的先導作用，從而具有積極有益的現實意義。

參考文獻：

[1]思科系統（中國）網絡技術有限公司.下一代網絡安全[M]. 北京：北京郵電大學出版社，2006：116-117.

[2]杜理明. 基于SSL VPN技術的校園網遠程訪問設計[J].甘肅高師學報，2011， 16（5）：48-50.

[3] 楊文凱.SSL VPN安全關鍵技術研究[D]. 成都：西南交通大學，2010.

[4]萬欽.基于SSL協議的VPN在校園網中的應用與實現[D]. 南昌：南昌大學，2011.