基于VPN的高校遠程教育平臺的構建*

鞏林立

【摘要】VPN技術應用于遠程教育系統的構建中,既可以保證數據安全,又可以節省遠程用戶的訪問費用,同時可以在VPN上開展不同形式的遠程教學。文章結合實際,探討高校遠程教育VPN網絡平臺的實現過程。

【關鍵詞】VPN;遠程教育;遠程教育平臺

【中圖分類號】 G40-057 【文獻標識碼】A【論文編號】1009—8097(2009)12—0130—03

一 引言

遠程教育具有用戶數量多、分布范圍廣、接入方式多樣化的特征,如何保證遠程教育得以順利開展,是構建遠程教育系統時應該考慮的主要問題[1]。隨著Internet的迅速發展,各種寬帶接入方式的出現,虛擬專用網技術(VPN)也應運而生。VPN是利用開放的公眾網絡建立專用數據傳輸通道,將遠程的站點、伙伴、移動辦公人員等連接起來,并且提供安全的端到端的數據通信,是一種虛擬技術。把VPN技術應用于遠程教育系統的構建中,既可以保證數據安全,又可以節省遠程用戶的訪問費用,同時可以在VPN上開展不同形式的遠程教學。本文結合實際,探討高校遠程教育VPN網絡平臺的實現過程[2]。

二 建設目標

總體目標是利用VPN技術建立一個基于Internet的遠程教育系統的私有網絡,實現在該VPN網絡平臺上,遠程教育各個管理應用系統數據的安全傳輸,以及對接入用戶身份的有效認證和方便控制。尤其在對教師、學員等移動用戶的接入身份認證上,需要將VPN系統和高校遠程教育應用系統的身份認證模塊無縫整合,實現VPN接入和應用系統用戶身份的集中管理和統一控制,極大方便系統管理員管理和用戶使用。

三 系統設計

在我校遠程教育系統信息中心,通過千兆光纖連接到互聯網。由于中心網點是整個系統的核心,要確保高可靠性,所以在出口處部署2臺100/1000M自適應級安全網關,實現雙機熱備功能。對于分支機構,根據各分支機構的不同情況,分別部署硬件安全網關設備和軟件網關到各駐外機構。對于老師這類移動用戶,采用“USB KEY”硬件方式進行身份認證,通過配套的安全客戶端軟件實現遠程移動安全接入[3]。對于學員這類移動用戶,采用“用戶名+密碼”純軟件方式進行身份認證(在安全客戶端啟動界面上輸入),結合安全客戶端軟件實現遠程移動安全接入(如圖1)。

圖1 系統網絡拓撲示意圖

1 服務端

在網絡的出口處,部署VPN安全網關(安全網關綜合利用了隧道技術、加密技術、認證技術來保護大學遠程教育系統和下屬市、縣遠程教育系統內網的安全通訊、安全傳輸)[4]。另外,安全網關可以提供高可靠性的雙機熱備功能,可以在主設備發生故障時,備份網關自動快速進行狀態切換,確保系統工作不中斷。安全網關可以實現以下幾方面功能:

(1) 和遠地分支機構網絡邊界部署的VPN安全網關或安全客戶端建立VPN加密隧道,確保數據傳輸安全;并能夠通過VPN通訊策略的靈活設置,根據用戶要求實現對指定網段/范圍/IP地址的PC的應用系統數據傳輸進行加密保護。

(2) 對總部內網的防火墻防護:安全網關具備優良的狀態檢測防火墻功能,可以防御外網對內部主機的端口掃描、各種DoS/DDoS攻擊等惡意攻擊行為,還可以抵御各種常用的應用層攻擊。另外,可以通過VPN安全網關上的訪問控制策略,對內網PC進行嚴格的基于“五元組+時間”的訪問控制[5]。如:為確保安全性,可對允許上網的PC進行IP和MAC綁定,并通過網關中的安全策略設置對這些PC的數據流進行狀態檢測,以確保不能被仿冒;也可以使用網關中的“用戶上網認證”功能,使用戶在使用瀏覽器上網瀏覽時,首先要通過網關的訪問密碼認證;禁止某些URL網址的訪問等[6]。

(3) 安全網關具備八個等級的QoS控制功能,能夠為VOIP和視頻等需要優先的網絡應用保留帶寬和優先處理,這樣當網絡擁擠時,也能夠保障VOIP和視頻的暢通和話音質量。安全網關能夠將訪問控制策略與保留帶寬綁定,并能為這些應用設定優先級,共有8個處理等級可以設置。

2 各地分支機構

可以根據各分支機構的不同情況,分別部署硬件安全網關或安全客戶端系統(配合USB KEY)到各駐外機構。具有子網的各駐外機構采用ADSL或者其他寬帶方式(如Cable Modem、FTTB等)接入Internet。建議在有一定規模的局域網出口處,部署中低端型號的安全網關,如:SGW25A或SGW25B;建議在僅有少數終端的分支機構(如辦事處),在需要聯入遠程教育網的終端上安裝安全客戶端軟件(與USB KEY配合使用),并與上網代理軟件或NAT軟件配合構成軟件網關,從而和總部聯網實現VPN加密通訊(如圖2)。

圖2 中等規模分支機構網絡示意圖

可根據用戶的網絡接入帶寬和網絡規模,選擇合適的安全網關產品。對于規模較小的網點,可以采用安全客戶端軟件加硬件USB KEY實現和總部的互連(如圖3)。

圖3 小規模分支機構網絡示意圖

3 教師和學員等移動用戶

遠程教育系統的用戶數目龐大,主要包括教師和學員。

對于大數量的用戶,需要有一個很好的組織方式,方便管理和維護,并且和應用系統能夠無縫整合,實現VPN接入身份認證和應用系統身份認證完全實現統一:統一管理、單點登錄[7]。對于教師,由于數量較少,人員比較穩定,而且使用的系統與內部管理關聯緊密,所以需要更高的安全性。建議采用安全客戶端配套USB KEY來解決教師和總部VPN安全網關的互聯互通。

對于學員,由于數量龐大,而且分布在全國各地,不便進行現場支持,而且穩定性相對較差,所以建議采用純軟件版的安全客戶端系統實現和總部VPN安全網關的互聯互通,同時通過“帳戶名+口令”的方式進行VPN接入身份認證;并且通過定制,實現VPN接入的“帳戶名+口令”與應用系統的“帳戶名+口令”完全一致,實現單點登錄。

根據上述方法,一種對用戶(教師和學員)實現統一管理的方法,可采用LDAP目錄來保存用戶信息,所有的用戶信息都保存在LDAP服務器上[8]。

LDAP是Lightweight Directory Access Protocol的縮寫,基于X.500標準,但是簡化了很多并且可以根據需要定義。與X.500不同的是LDAP支持TCP/IP,這是訪問Internet所必須的。通過LDAP可以訪問存儲在LDAP目錄中的信息。LDAP目錄采用樹型層次結構來存儲數據,就象DNS的主機名一樣,LDAP目錄中記錄的的標志名(Distinguished Name)用來讀取單個記錄,并回溯到目錄樹的頂部。

大多數的LDAP服務器都為讀密集型的操作進行專門的優化。因此,當從LDAP服務器中讀取數據的時候會比從關系型數據庫中讀取數據快一個數量級。也是因為專門為讀的性能進行優化,大多數的LDAP目錄服務器并不適合存儲需要經常改變的數據。對于學員組織結構這樣需要經常查詢,但是很少修改的信息,非常適合存儲在LDAP目錄中。

LDAP允許根據需要使用ACL(訪問控制列表)來控制對數據的讀寫權限,指定不同的用戶可以擁有不同的操作權限,實現用戶信息的分級管理。

針對我校遠程教育網的情況,LDAP目錄用來存儲學院的學員信息,LDAP目錄可以根據學院的組織結構來組織。LDAP目錄以學院為根目錄,以不同的系為下一級目錄,如果有需要,每個系可形成再下一級的目錄,最后的記錄項保存學員的相關信息。同時,通過使用LDAP的ACL,允許學院的管理員對所有用戶信息有讀寫權限,而系管理員只對本系的用戶信息有完全的讀寫權限。

采用LDAP目錄來存儲用戶信息,可以根據學院組織結構來組織用戶,方便地實現用戶的分級管理,減少管理員的工作量。當用戶通過VPN客戶端請求連接到安全網關時,先以SSL方式連接到SGW25C安全網關,并上傳“帳戶名和密碼”,安全網關從LDAP服務器獲取用戶的相關信息,并校驗用戶身份。如果用戶身份校驗通過,安全客戶端將和安全網關通過IKE協商建立VPN隧道,通過隧道訪問內網應用服務器。LDAP服務器由應用系統管理員進行管理。

四 結束語

遠程教育平臺的發展日新月異,新技術在遠程教育中的應用更是層出不窮,如何選擇最佳的技術和開發方案,并遵循合理的開發規范來設計現代遠程教育平臺,一直是業界研究的熱點。VPN具有較高的安全性,良好的擴展性,靈活的控制策略,強大的管理功能等優勢,隨著技術的進一步發展,VPN還能夠提供QoS服務質量保證,支持各種多媒體業務,因此,VPN在遠程教育中將會得到更廣泛的應用[9]。

————————

參考文獻

[1] 姜慶.MPLSVPN在現代遠程教育中的應用[J].軟件導刊(教育技術),2008,(7):62-64.

[2] 高海英等.VPN技術[M].北京:機械工業出版社.2004.

[3] 肖曉梅.利用VPN實現高校校園網的遠程訪問[J].中國教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技術在高校圖書館遠程訪問中的應用[J].現代情報,2008,(4):82-84.

[5] 劉衛國.VPN技術在高校圖書館的應用[J].圖書館工作與研究,2007,(6):39-41.

[6] 朱偉珠.利用VPN技術實現高校圖書館資源共享[J].情報科學,2007,(7):1058-1061.

[7] 王春海,張曉莉,田浩編著.VPN網絡組建案例實錄[J].北京:科學出版社,2008.

[8] (美)Richard Deal著,姚軍玲,郭稚暉譯.Cisco VPN完全配置指南[M].北京:人民郵電出版社,2007.

[9] 蔣艷萍.基于VPN技術的遠程教育中的教學、教務管理信息系統的設計與實現[D].北京:北京化工大學,2004.