基于SSL的VPN技術在校園網中的應用

黃家琦 金濤偉

摘 要：隨著互聯網技術應用的飛速發展，網絡安全問題逐漸得到重視，很多高校信息系統禁止在公網訪問，如何安全可靠地訪問校內應用系統以及數字資源成為一個難題。本文簡單介紹VPN概念和原理的基礎上，詳細闡述了采用基于SSL協議的VPN技術實現校內信息資源共享，有效滿足了用戶遠程訪問校內應用系統的需求，提高了日常辦公效率及圖書館資源的利用率。

關鍵詞：VPN技術；SSL協議；數字資源；遠程訪問

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1671-2064（2018）17-0000-00

1 VPN技術概述

1.1 VPN的概念

VPN是采用隧道技術、身份認證以及加密等方法，在公用網絡上構建專用網絡的技術。VPN網關通過對數據包目標地址的轉換，建立了私有數據傳輸通道，將第三方合作伙伴、異地辦公室、移動辦公人員等有效的連接起來，不僅減輕了建立專線的昂貴費用，而且提供了安全的數據通訊[1]。

1.2 遠程接入方法簡介

傳統的遠程接入方式有端口映射、反向代理服務器以及Ipsec VPN。對于校內數字資源共享而言，以上方式都存在著一些缺點[2]。

（1）端口映射。端口映射是NAT地址轉換的一種，實現將外網IP地址的一個端口映射到內網中。當用戶訪問外網IP的端口時，服務器自動將請求轉發到內網端口上。這是早期從外網訪問內部資源最直接的方式。然而，隨著對網絡性能和安全方面的要求越來越高，這種遠程方式顯示出了它的局限性和不足。過多的端口映射會帶給校內數字資源較大的安全隱患，而學校的信息資源又很豐富，在這種情況下，配置端口映射的工作較為繁瑣，缺乏可操作性。（2）反向代理服務器。反向代理服務器接收到來自Internet的請求后，轉發到內網服務器上，并將結果返回給發送請求的用戶。反向代理方式的效果很大程度上取決于本身的性能，因此一旦遇到大量并發訪問的情況時經常出現訪問速度過慢，或服務器沒有響應的情況。另外，在安全方面，當用戶完成會話以后，信息可能被保留在公共服務器上產生的臨時文件緩存中，或者實現自動完成的URL內存中，造成內部信息泄露。（3）Ipsec VPN。IPSec（IP Security）是由IETF（Internet Engineering Task Force）設計的端到端保障IP層安全的通信機制。公網上沒有中間網絡節點能訪問受IPSec保護報文的信息。然而，隨著對網絡應用的擴展和效率的提高，網絡中間節點需要訪問IP數據包的高層協議部分，來限制路由或者進行流的分類，這時就會與IPSec的機制相矛盾，在效率和安全之間很難進行取舍。IPSec的另一個問題就是其復雜的配置。IPSec不是一個單獨的協議，其中包含了很多協議和機制，不但使各廠商設備之間難以實現互操作性，而且后續的維護工作給網絡部門帶來了較大難度。由于其繁瑣的配置，任何忽略的細節都容易產生安全隱患。

2 基于SSL協議的VPN技術

2.1 SSL VPN 技術的實現原理

SSL（Secure Sockets Layer，安全套接層協議）協議是由Netscape公司所研發，用來保證數據在網絡上傳輸的安全性，利用數據加密技術，確保數據在網絡傳輸的過程當中不被竊取及監聽。SSL是一種基于Web 應用的安全協議，它指定了在 TCP/IP協議與應用程序協議（如FTP 、SMTP、HTTP等）之間進行數據交換的安全機制，為TCP/IP 連接提供服務器認證、數據加密以及可選的客戶機認證等方面提供安全支持。SSL 也是如今網絡當中使用最廣泛的安全通訊協議，保障了數據在服務器與客戶端之間傳輸的安全性。SSL協議v3.0版本自問世以后，受到了廣大用戶的歡迎。這不僅是由于SSL在可靠性、實用性以及效率方面進行了嚴謹和精心的設計，更是因為它良好的安全性。雖然SSL協議并非為了實現VPN技術而研發，但是在VPN實現過程當中所需要的身份認證、秘鑰管理以及數據加密等安全技術，SSL協議都得到了良好的支持。

SSL VPN是VPN的一種。一個典型的SSL VPN系統由三部分組成，即客戶端瀏覽器、SSL VPN網關和內網應用服務器。客戶端瀏覽器通過SSL加密技術發送請求，從而訪問到SSL VPN網關，網關首先將接收到的加密請求解密，隨后再轉發到內網運行的Web 服務器上，從而在網絡中形成了客戶端到SSL VPN網關之間的一條加密隧道。在實際應用當中，校外用戶通過SSL VPN技術使用瀏覽器接入校園網絡，當遠程用戶通過身份認證后，SSL VPN網關會給其分配一個內網虛擬IP 地址，從而實現了校外用戶訪問校內數字資源以及圖書館資源。

2.2 SSL VPN 技術的優勢

（1）簡單性。SSL VPN相比于傳統的遠程接入方式，其優勢在于它是遠程用戶訪問校內數字資源最簡單的一種網絡形式。對于用戶而言，由于SSL協議是內嵌于瀏覽器當中的，因此執行SSL 協議的遠程訪問是不需要在客戶端上安裝軟件的，只需要通過Web瀏覽器連接Internet，登錄網頁后即可訪問到校內數字資源了[3]。對于管理者而言，SSL VPN的優勢在于添加或修改用戶信息時比較快速和容易，VPN管理員只需要建立新的用戶名和密碼并提供VPN網關的IP地址即可。（2）完善的訪問權限控制。SSL VPN可以保護具體的敏感資源，即可根據用戶屬于不同的角色，分配不同的訪問權限，即便用戶登錄到內網當中，訪問的權限也受到了控制。這一功能為學校提供了很多種用戶類型，每種用戶類型使用不同的數字資源，實現了用戶角色與資源的綁定，根據安全策略保障了只有授權的用戶才能訪問校內特定的數字資源。（3）不易受到攻擊。SSL VPN直接開啟應用系統，并沒有通過網絡層進行連接，黑客很難偵測出應用系統內部網絡如何進行設置，最多黑客攻擊的也只是VPN網關服務器，無法攻擊到內部的應用系統服務器。SSL VPN的安全通道是建立在客戶端到所訪問的應用系統之間，確保了點到點的安全性。無論在Internet上還是內網當中數據都是不透明的。客戶對應用系統的每一次訪問都要經過身份驗證和數據加密。（4）兼容性強。遠程訪問校內數字資源的用戶遍布在不同的地域之中，網絡環境各不相同。而學校很難去改變用戶防火墻的設置，因此學校的遠程訪問系統必須具備較強的代理服務器、穿透防火墻的能力，能夠提供穩定的遠程訪問連接，并且適用于大多數設備及不同的操作系統，最大程度上滿足不同用戶的需求。SSL VPN服務器通常情況部署在內網防火墻設備之后，這樣如果需要添加受VPN保護的服務器，不會影響原有的網絡結構。

3 SSL VPN在校園網中的應用

3.1 實現校園網SSL VPN系統

在高校運行著管理不同業務的應用系統，主要包括：資產管理系統、財務查詢系統、教務管理系統、網站群管理系統、電子郵件系統等。由于受到網絡安全和其他客觀因素的制約，目前大多數系統只能在內網條件下運行。很多時候在外地出差的教師需要訪問校內應用系統來執行日常辦公、查看學校文件或是錄入學生成績，都將無法實現。隨著校園信息化建設的不斷發展，這些專有資源的應用系統會越來越多，因此會影響教學活動和教輔職能的正常進行。

對于高校圖書館資源，用戶基本都是通過瀏覽器來獲取文獻資料。目前長春中醫藥大學圖書館的數據庫資源主要包括：中國知網、讀秀數據庫、超星發現系統、維普中文期刊服務平臺、萬方知識服務平臺等。對于學校教職工來說，過去只能在校內使用這些數據庫下載文獻，給他們帶來許多不便。通過對用戶應用的需求分析，發現這些應用都是基于固定端口的TCP/IP 協議的應用，可以通過使用SSL VPN技術中的Web瀏覽器模式來實現。

根據安全控制策略，SSL VPN可以為分散用戶和移動用戶提供安全的訪問通道，從外部網絡訪問內網資源。一般方法是校內的資源服務器為外部網絡用戶提供虛擬URL地址。當用戶從外網訪問學校內網資源時，由SSL VPN網關獲得發起的連接，而SSL VPN網關則在遠程客戶與服務器之間建立隧道以完成加密、解密，并實現訪問控制策略，認證后，它被映射到不同的應用程序服務器。

根據高校的現實情況，可以使用兩臺服務器實現VPN的功能[4]。其中一臺負責用戶認證和用戶憑證，建立SSL連接，另一臺負責用戶名和密碼認證。實現過程如：用戶首先通過瀏覽器頁面進行VPN帳號認證，認證成功后請求申請憑證，隨即用戶獲得數字證書。VPN服務器對用戶的數字證書和密碼進行合法性驗證，驗證證書的合法性同時，還會對證書的有效期和證書撤銷列表進行驗證，客戶端也會對服務器端的證書進行驗證。證書驗證成功后，將建立起客戶端與服務器之間的SSL連接，使得數據開始加密傳輸。然后服務器通過LDAP（輕量目錄訪問協議）服務器對用戶名和密碼進行身份驗證。驗證成功后，建立客戶端與服務器之間的VPN連接，此時遠程用戶只需要輸入校內服務器地址、應用系統的用戶名和密碼就可以登錄到對應的系統，實現對校內數字資源以及圖書館數據庫的訪問。

3.2 VPN用戶使用手冊與管理辦法

用戶使用VPN需要具備兩個條件：一是用戶已經使用移動、聯通、電信或是有線寬帶接入到了互聯網；二是用戶已經申請了VPN賬號。

在實際使用當中，在PC端通過瀏覽器輸入IP地址https：//125.223.200.30或者輸入域名https：//vpn.ccucm.edu.cn，就可以訪問到登錄界面。在用戶名的文本框中輸入VPN賬號，在密碼的文本框中輸入默認密碼，單擊登錄按鈕，即可訪問到主界面。首次登錄的用戶為了安全起見，需要強制修改密碼。主界面顯示的是該用戶授權的資源鏈接。除此之外，還可以通過客戶端對VPN進行訪問。訪問到登錄界面后，在資源下載中會看到手動安裝組件，單擊鏈接下載EasyConnect軟件成功后，輸入服務器地址https：//125.223.200.30/，點擊連接，輸入用戶名和密碼即可成功訪問校內資源了。

4 結語

VPN技術是網絡發展的最新趨勢，能較好地滿足其他校區及校外用戶對校內各種資源的訪問需求，很多高校開始利用VPN技術實現多校區互聯和開展一些遠程登錄校內應用系統。VPN技術在高校的廣泛應用，提高了日常辦公效率以及圖書館資源的利用率。隨著VPN技術的日益成熟，例如：虛擬通道技術、代理技術及SSL加速技術的不斷發展，使得它在高校的數字資源建設以及信息化建設中發揮著至關重要的作用，必將得到更為廣泛的應用。

參考文獻

[1] 張穎.利用VPN技術實現圖書館信息資源遠程訪問[J].情報探索，2008，（7）：69-70.

[2] 何亞輝.基于SSL協議的VPN技術研究及在校園網中的應用[J].重慶理工大學學報（自然科學版），2011，（2）：86-90.

[3] 徐忻.利用開源軟件實現基于SSLVPN的圖書館遠程訪問[J].現代情報，2009，（4）：160-163.

[4] 翁惠明.淺議利用VPN技術構建虛擬專用網[J].福建電腦，2003，（8）：60-61.

收稿日期：2018-06-22

作者簡介：黃家琦（1992—），男，吉林長春人，碩士研究生，畢業于東北師范大學，助理工程師，研究方向：網絡安全與技術、智能計算與應用。

*通訊作者：金濤偉（1982—），男，吉林長春人，碩士研究生，畢業于長春中醫藥大學，助理實驗師，研究方向：計算機科學與技術、醫學信息學。