SSL VPN在校園網中的應用與研究

校園網作為新興起的教育資源已逐漸成為各大院校基礎建設項目之一，并且是衡量一個學校現代化教育和信息化教育的重要標志。如何能夠讓全院師生員工方便地進行工作、學習和交流，隨時訪問校園網內部的各類資源，同時又能有效的節約資金成本。

VPN（Virtual Private Network）虛擬專用網技術被視作一種有效的方式用來化解以上所存在的困難。采用VPN網絡重要的一點是保證通信雙方的數據安全，而SSL（Secure Sockets Layer）協議采用公開密鑰技術，可以在應用程序之間安全可靠的進行通信。

SSL協議被廣泛用于Internet上的身份認證與Web服務器和用戶端瀏覽器之間的數據安全通信。而校園網的應用正好利用了SSL協議這一特性。

一、校園網現

1.校園網結構

首先對學院現有的校園網進行分析和了解。目前學院校園網計算機用戶多達2000多臺，校園網延伸至學院教學樓、圖書館、實訓室等主要場所。校園網上運行的服務器包括：www服務器、mail服務器、DNS（Domain Name System）服務器、網上辦公系統服務器、圖書館數據庫服務器等。此外，為了避免校園網內部遭受到網絡攻擊，在接入Internet前，安裝了CISCO ASA5505-UL-BUN-K9防火墻，阻止來自互聯網的非法入侵。學院校園網的基本網絡拓撲結構圖如圖所示：

2.校園網服務

校園網上運行的各類應用管理系統包括：學生工作系統、教務管理系統、財務管理系統、網上辦公系統、圖書館自動化系統、電子郵件系統、FTP（File Transfer Protocol）系統等，各系部門都擁有自己的二級網站。

二、SSL VPN的安全機制

根據校園網的現狀，建立用戶和學院之間安全地通信通道，需在SSL協議中引入了很多安全機制，每種安全機制都提供了多種可選的實現方法。以下是根據校園網現狀和用戶需求的，在構建SSL VPN系統時各種安全機制所采用的策略。

1.使用AES（Advanced Encryption Standard）對稱密鑰算法對數據加解密

數據傳輸在公共網絡中，未經授權的用戶可以很容易被盜，

SSL用加密技術來建立通信信道的兩種設計方法進行對比，確保數據的機密性。

2.使用Diffie-Hellman非對稱密鑰算法保證密鑰本身的安全

對稱密鑰算法要求解密密鑰和加密密鑰完全一致。因此，在利用對稱密鑰算法加密傳輸數據之前，需要在通信兩端部署相同的密鑰。

3.利用PKI（Public Key Infrastructure）保證公鑰的真實性

利用非對稱密鑰算法加密密鑰之前，發送者需要獲取接收者的公鑰，并保證該公鑰確實屬于接收者，否則密鑰可能會被非法用戶竊取。SSL利用PKI提供的機制保證公鑰的真實性。

4.使用RSA非對稱密鑰算法進行身份驗證

SSL利用數字簽名來驗證通信雙方的身份。常用于數字簽名的非對稱密鑰算法有基于MD5（消息摘要算法5，Message Digest Algorithm 5）和SHA-1（安全散列算法，Secure Hash Algorithm 1）的RSA。

5.使用HMAC保證傳輸過程中消息的完整性

傳輸網絡為避免非法篡改數據，SSL使用hash-based MAC（HMAC，hash-based MAC）算法來保證信息的完整性。

三、SSL VPN系統實現中需要解決的安全問題

1.防止敏感信息遺留問題

客戶端可以下載Applet的或Activex插件。在會話以后，客戶端會自動刪除任何形式的臨時文件、瀏覽器緩存、下載的文件和網頁、Cookie、歷史信息、用戶隱私和其他的網絡瀏覽器的敏感信息的記錄。

2.防止用戶忘記注銷問題

可以使用會話定時器監視用戶會話，會議時間達到一定的時間，將自動關閉取消會話，避免用戶忘記會話是無限的保持“激活”狀態。

3.防范蠕蟲病毒入侵問題

使用應用層過濾技術，避免惡意病毒或蠕蟲病毒入侵SSL VPN服務器及其所保護的內部系統。

4.防止內部網絡信息泄忽問題

使用內部參考加密技術、SSL VPN加密的內部的所有引用主機名稱，服務器的IP地址和其他內部信息設施避免暴露任何內在的設施的信息。

本文主要闡述了虛擬專用網的基本概念、相關協議等，著重介紹了SSL協議以及SSL VPN的安全機制。為在校園網中應用SSL VPN技術奠定了堅實的理論基礎。詳細分析了職業學院校園網的現狀和特點，從而提出當前需要解決的問題，以供大家借鑒。

參考文獻：

［1］蔣東毅.VPN的關鍵技術分析［J］.計算機工程與應用，2003（15）.

［2］常青.VPN技術綜述（下）［J］.中國計算機用戶，2004（32）.

［3］楊文凱.SSL VPN安全關鍵技術研究［D］.西南交通大學，2010.

［4］王喆.SSL與遠程接入VPN［M］.人民郵電出版社，2009.

［5］Chou W．Inside SSL：the secure sockets layer protocol［M］. IT

Professional，2002.

［6］Ken Araujo． SSL VPN gateways：A new approach to secure remote

access［J］.Database and Network Journal，2003.

（作者單位 江西外語外貿職業學院）