SSL VPN技術在數字化校園中的應用

摘要：為了解決校外用戶訪問數字化校園資源的問題，VPN技術在高校的網絡建設中越來越受到重視。首先闡述了VPN的原理以及SSL VPN方案的優勢，其次分析了SSL VPN方案的關鍵技術和性能，最后給出了本校數字化校園的SSL VPN解決方案。文中的SSL VPN的角色控制策略，在高校VPN系統的一體化身份認證方面存在一定的借鑒意義。

關鍵詞：SSL VPN； IPsec VPN； 數字化校園； 遠程訪問

中圖分類號：TP393 文獻標識碼：A文章編號：2095-2163（2013）02-0032-03

0引言

隨著信息化進程的加快，各個高校對校園信息化投入不斷增加，致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺，但這些網絡資源和辦公平臺常常受到網絡的限制，只能在校園內部使用。本校2012年師生問卷調查顯示：居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源，均已感到極為不便。具體來說，教師在外網不能登錄學習平臺批改作業；行政人員出差時，不能獲取部門統計數據；大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足，亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛，深入的調研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術方案。

1VPN 的原理及SSL VPN方案的優勢

11VPN原理

VPN，即虛擬專用網絡，其含義指通過使用公共網絡基礎設施，利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接，適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時，VPN還向用戶提供了專用網絡所獨具的功能，但其本身卻不是一種真正意義上的獨立物理網絡，沒有固定物理線路連接。近年來，VPN技術已經大量應用于高校的移動辦公，并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是，用戶在網絡覆蓋的任意地點，首先，通過ADSL或者LAN方式接入互聯網；其后，通過撥號校園網的VPN網關，構建一條從用戶所在網絡地址到校園網的二層隧道；而后是VPN服務器給用戶分配相應的校園網地址，從而實現校園網數字化資源的遠程訪問[2]。

12兩種VPN方案的對比

按照協議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障，IPsec協議是一組協議套件，包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層，通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性，最適合Site to Site之間的虛擬專用網。相比之下，SSL VPN采用的是SSL安全套接層協議，構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件，經過認證的用戶是通過Web瀏覽器而接入網絡，適用于Point to Site的連接方式?？傮w來看，相比于IPsec VPN方案，SSL VPN方案有三點優勢，具體如下。

（1）兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端，對用戶也無任何特殊的操作要求。用戶不需要下載客戶端，由此免去了對客戶端軟件的更新升級、配置維護，否則，在進行VPN策略調整的時候，其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議，就可以使客戶端簡便、安全地訪問內網信息，維護成本較低。

（2）提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備，由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能，可提供用戶級別鑒定，確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能，而在外的辦公行政人員還可以訪問某個特定部門的相關數據。

（3）具備更強的安全性。IPsec是基于網絡層的VPN方案，對IP應用均是高度透明的。而SSL VPN是基于應用層的，在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析

21訪問控制技術

訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前，通用的VPN方案中，常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備，SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL，而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制，控制策略不僅含有“允許”和“禁止”，還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層，管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略，管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子，定義不同的會話角色，并給與不同的訪問權限。另外，基于用戶的訪問控制需要維護大量的用戶信息，當前最流行的控制策略則是基于角色的訪問控制，在握手協議的過程中統一集成訪問控制的基礎功能，再將資源的控制權交托于可信的授權管理模型。

22性能分析

VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響，在設計數字化校園的VPN詳盡方案之前，有必要了解其性能指標。SSL VPN中，常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數，等。其中，連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目，用以度量被測VPN設備在單位時間內交易事務的處理能力[5]?？梢酝ㄟ^添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外，SSL VPN使用的是非對稱加密算法，這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作，為了保障服務器能夠正常工作，既可以限制SSL會話的數量，也可以添加服務器的數目。只是這兩種方式各有利弊，若限制會話數目，就會出現高峰期間的部分用戶無法連接服務器，而添加服務器數目又會大幅增加VPN系統的財務用度。因而，通常情況下，使用SSL加速器來提升加解密速度，進入SSL的數據流由加速器解密并傳給服務器，而外流的數據又經過加速器加密再回傳給客戶。服務器方面，只需要處理簡單的SSL請求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數字化校園解決方案

31需求分析與設計目標

校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文；校外居住的教師也需要登錄圖書館期刊檢索系統，下載專業文獻；另外，因公在外的招生、財務人員又需要及時獲取部門的數字化信息，并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址，在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此，在外部訪問校園網之數字化校園時，就需要研發一個遠程訪問方案，該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種，分別是：在外居住的教師、大四實習生以及在外辦公的行政人員。

32系統體系結構

經過實地調研和深入分析，采用了SSL VPN架構，具體框架如圖1所示。

由圖1可知，這是一個基于Web模式的SSL VPN系統，在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中，SSL VPN服務器相當于一個網關，且具備雙重身份。對用戶而言，這是服務器，負責提供基于證書的身份鑒別；對應用服務器而言，則屬于客戶端的身份，并向服務器遞交訪問申請。由此，通過在防火墻后安裝VPN設備，校外用戶只需要打開IE瀏覽器，就可以訪問到校園數字化資源的URL。其后，SSL VPN 設備將取得連接并驗證用戶的身份，此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了代理技術，所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能，優先考慮SSL VPN服務器的性能，將需要消耗大量資源的加解密工作交給加速器。實現過程中，采用的設備是由Cisco ASA建立Web VPN服務器，而將Radius Server作為驗證用戶身份的服務器。

33改進型安全策略——基于角色的控制

本校SSL VPN系統采用的是基于角色的訪問控制策略，既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上，校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現，可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性，系統在進行安全認證時，就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限，而后給出該用戶可以訪問的資源列表信息。另外，用戶在登錄VPN系統時，還需要在登錄界面輸入身份信息。

4結束語

隨著校外用戶對數字化校園資源訪問需求的日益迫切增長，使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利，因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上，由網絡中心主持設計并全面實現了SSL VPN系統。目前，本校SSL VPN系統運轉良好，能夠滿足現有的使用需求，并且也具備了一定的擴展能力。當然，該實施方案并不是唯一可選，當校園網的VPN用戶數量并不多、要求也不高時，就可以考慮軟件型VPN方案。不然，還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。

參考文獻：

[1]王達. 虛擬專用網（VPN）精解[M]. 北京：清華大學出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計，2004，25（4）：186-188.

[4]沈海波，洪帆. 訪問控制模型研究綜述[J].計算機應用研究，2005，32（5）：9-11.

[5]KEN，ARAUJO. SSL VPN gateways：A new approach to secure remote access[J]. Database and Network Journal， 2003，33（6）：3-5.

[6]譚學廣. 新興遠程接入解決方案SSL VPN[J]. 軟件導刊，2007，25（8）：16-19.