基于SSL VPN技術的數字化校園統一認證平臺研究

◆劉 璀 葉新恩 楊 玲

?

基于SSL VPN技術的數字化校園統一認證平臺研究

◆劉 璀 葉新恩 楊 玲

（中央財經大學網絡信息中心 北京 100081）

本文首先指出了高校師生在校外使用校內信息化資源時面臨的問題，接著介紹了SSLVPN的技術特點，并結合中央財經大學校園網實際狀況，提出了基于SSLVPN的高校數字化校園統一認證平臺。通過實踐證明，該方案很好地解決了校外用戶安全、高效和可靠地訪問校園網信息化資源的問題。

SSL VPN；數字化校園；統一認證平臺

0 引言

在教育部近期印發《教育信息化2.0行動計劃》通知中，明確提出要構建一體化的“互聯網+教育”平臺，通過網絡，開放整合教育資源和支持系統，逐步實現資源平臺和管理平臺的互通、銜接與開放。

隨著高校信息化建設進程的不斷推進，校園網上運行著教學、招生、校務管理等各種各樣的服務于師生的信息系統，隨之而來的教學、圖書、期刊等數字資源也越來越豐富。校園網上的信息資源分為兩類：一種是可以向互聯網用戶開放的信息；另一種僅對校內用戶開放的內部資源，如電子圖書、期刊數據庫、精品課程以及校內用戶使用的信息系統等，既有師生開展教學與科研活動的重要資源，也有工作平臺。比如學校使用大量經費購買的數字資源屬于第二種，由于版權以及并發數限制，大部分數字資源都只允許被校內用戶使用。

為了響應“互聯網+教育”的教育資源開放共享的要求，實現師生隨時隨地安全、高效和可靠地訪問校園網信息化資源成為了需要解決的問題。虛擬專用網VPN(virtual private network)技術在廣域網上通過建立專用虛擬通道的方式實現了數據的安全傳輸，成為各個高校為用戶解決通過公網訪問校內信息化資源問題的重要技術手段之一。[1]

1 SSL VPN技術概述

1.1 VPN技術

虛擬專用網VPN是指將在物理上分布于不同區域的網絡通過公用骨干網絡連接成的邏輯上的虛擬子網，它采用數據加密技術、身份認證技術、隧道技術和密鑰管理技術等關鍵技術實施通信保護,防止通信信息被泄露、篡改和復制[2]。按照實現技術的不同，VPN可分為PPTP、L2TP、MPLS、IPSec、SSL等，其中基于SSL VPN應用最為廣泛[3]。

1.2 SSL協議

SSL(Secure Sockets Layer 安全套接層)協議是為網絡通信提供安全及數據完整性的安全協議，在傳輸層對網絡連接進行加密[4]。SSL協議由網景公司提出目前被廣泛應用于各種瀏覽器應用，其最初目的是給使用HTTP協議加密使用的安全套件，即443端口的HTTPS協議。SSL的體系結構中包含兩個協議子層，其中底層是SSL紀錄協議層（SSL Record Protocol Layer），高層是SSL握手協議層（SSL HandShake Protocol Layer）。

1.2.1 SSL協議特性包括：

（1）保密：在握手協議中協商了會話密鑰后，所有的消息都被加密。

（2）鑒別：可選的客戶端認證和強制的服務器端認證。

（3）完整性：傳送的消息包括消息完整性檢查（使用MAC）。

1.2.2 SSL握手協議

開始加密通信之前，客戶端和服務器必須建立連接和交換參數，這個過程叫做握手，握手協議由一系列客戶端與服務器之間交互的報文組成，協議有三個目的：

（1）客戶端與服務器就保護數據的算法達成一致。

（2）雙方需要協商一致所使用的加密密鑰。

（3）選擇是否對客戶端進行認證。

在傳輸應用數據之前，必須首先完成握手過程。

1.2.3SSL協議的握手過程如下：

（1）客戶端請求建立SSL鏈接，并向服務端發送一個隨機數和客戶端支持的加密方法。

（2）服務端回復一種客戶端能夠支持的加密方法、一個隨機數、數字證書和證書中包括的非對稱加密的公鑰。

（3）客戶端收到服務端的回復后利用服務端的公鑰加密一個新的隨機數，發送給服務器。

（4）服務端收到客戶端的回復，利用自己的私鑰進行解密，獲得新的隨機數。

（5）雙方根據約定的加密方法，使用前面的三個隨機數，生成"對話密鑰"（session key），用來加密接下來的整個對話過程。

1.2.4 SSL記錄協議

記錄協議在客戶機和服務器握手成功后使用，向SSL連接提供完整性和私密性服務。

SSL記錄協議中發送方從應用層接受傳輸的應用報文后，首先將數據分片成可管理的塊，數據塊一般為16KB或更小。壓縮后加入信息認證碼（MAC）。使用共享密鑰對壓縮報文和MAC碼進行數據加密，增加SSL首部后，將結果傳輸到網絡層。

SSL記錄協議中接收方從網絡層接受報文后并解密后，用事先商定的MAC碼校驗數據，如果是壓縮的數據，則解壓縮。重裝配數據后傳輸到應用層。

1.3 SSL VPN技術

SSL VPN采用SSL協議來實現遠程接入。SSL 協議被內置于IE等瀏覽器中，使用SSL 協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。相對于傳統的IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等優勢，只要在瀏覽器端通過用戶和密碼驗證即可訪問應用服務。SSL VPN基于HTTP反向代理技術，能夠提供遠程安全訪問服務，高校廣泛采用這一技術來實現外網用戶對內網應用和數據資源的安全訪問[5]。

2 基于SSL VPN的統一認證技術

2.1 認證架構體系

SSLVPN產品提供了一套靈活的認證架構體系。用戶通過SSL VPN訪問應用的第一步就是訪問用戶登錄頁面。在登錄頁面上，不同類型的用戶可以選擇登錄自己允許的登錄方式，根據登錄方式的要求輸入賬戶和密碼并提交。SSL VPN網關接收到用戶名、密碼和登錄方式后，選擇對應的認證服務器池，將用戶名和密碼轉發到認證服務器。然后SSL VPN根據認證服務器的返回結果，給用戶返回認證成功或者失敗原因等信息[6]。

2.2 基于SSL VPN技術的數字化校園統一認證平臺設計

（1）統一認證平臺網絡拓撲設計

圖1 統一認證平臺網絡拓撲

如圖所示，在學校主校區的DMZ區部署SSL VPN產品，將該設備配置為統一認證中心，同時配置VPN功能。用戶對應用服務器的訪問必須經過SSL VPN。如果有分校區，則在分校區DMZ區也部署SSL VPN產品并配置VPN功能，并將其認證方式設置為SAML（Security Assertion Markup Language安全聲明標記語言）IDP （IDP為主校區的統一認證中心）。SSL VPN還提供統一的資源門戶。當用戶登錄SSLVPN后，可以通過統一資源門戶查看所有已訪問授權資源，包括Web應用資源、文件資源、遠程桌面資源等。每一個資源都代表后臺一個真實的業務鏈接。點擊每個鏈接時，SSLVPN為了減少重復登錄工作，自動與后臺服務器配合完成登錄功能，用戶可以直接看到登錄后的資源頁面。

（2）認證方法定義

參照計算機等級保護2級的要求，定義通用的認證方式為：靜態密碼+短信密碼雙因素認證方式，所有用戶都可以通過該方法登錄統一認證平臺，認證服務器登錄成功后返回用戶所屬的組信息，該信息將作為角色劃分用。保留部分靜態密碼登錄方式，通過該方式登錄的用戶會獲得一個特定的角色。

（3）角色劃分和權限定義

根據用戶在認證服務器所屬的組為其建立對應的角色。將所有的應用定義為Web資源和7層訪問控制列表。為每個角色分配可以訪問授權的Web資源和7層訪問控制列表。

（4）方案安全性的考慮

參照計算機等級保護等級2級的要求，需要做的安全配置包括：用戶對統一認證平臺訪問的所有流量必須基于TLS1.2、RSA、AES256、SHA2等標準的SSL層加密傳輸；用戶登錄/登出和訪問日志必須接入到日志分析平臺，并保存6個月以上。

3 結束語

本文深入分析了基于SSL VPN的統一認證技術、基于角色的授權技術和統一資源門戶技術，組建高校數字化校園的統一認證平臺的方案，推動了信息化資源整合。隨著技術的不斷演進，SSL VPN還能夠支持多種雙因素認證，包括靜態密碼+證書認證、靜態密碼+短信密碼認證、靜態密碼+手機動態碼認證、微信掃碼認證、矩陣密碼認證等認證方式，用戶可以根據自己業務需求或安全等級要求做出選擇。

[1]蔣東毅,呂述望,羅曉廣.VPN的關鍵技術分析[J].計算機工程與應用,2003.

[2]何亞輝.基于SSL協議的VPN技術研究及在校園網中的應用[J].重慶理工大學學報（自然科學版),2011.

[3]朱偉珠.利用VPN技術實現高校圖書館資源共享[J].情報科學,2007.

[4]易光華, 傅光軒,周錦順.MPLSVPNIPSecVPN和SSLVPN技術研究與比較[J].貴州科學,2007.

[5]任德玲,衛韋.基于IPSecVPN的MPLSIPVPN的設計與實現[J].計算機應用研究,2006.

[6]李鑫,張琴.基于多VPN技術的高校數字化校園網組建研究.山西大同大學學報(自然科學版).2017.