基于SSL VPN的数字校园网络应用研究

摘要：为了更好的解决校内电子资源远程访问和管理的问题，文章通过SSL VPN原理和关键技术的分析，结合南京财经大学校园网的实际应用方案阐述了SSL VPN在远程访问数据的优势。

关键词：校园网络；SSL VPN； 安全套接层；身份认证

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）28-6470-03

信息技术飞速发展的今天，高校信息化的步伐也紧跟时代的节奏，各大高校逐步拥有了信息门户系统、自动化办公系统、数字资源库系统等数据交流共享数字化平台。这为老师和学生提供了一个很好的工作学习和学术研究的环境，极大的便利了广大师生。但很多资源往往受到资源权限保护，只在校园内部提供服务，通过校园网来访问电子资源库。然而现实生活中，广大师生对资源的使用不仅仅局限在校园内部，很多行政和教学人员会因工作需要出差，而同时学生如何在假期使用到校内资源就成为了各大高校需要面临和解决的问题。这成了制约数字化校园建设发展的瓶颈。而这一系列问题催生了虚拟专用网络（Virtual Private Network）技术的出现，即VPN技术。

1 VPN原理概述及分类对比

1.1 VPN原理

VPN，即虚拟专用网络，其含义指通过使用公共网络基础设施，利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式。[1]VPN综合传统和共享数据网络的优点，具有安全、低成本等优势，近年来各大高校已经广泛将这一技术应用在移动办公和数字化资源访问等方面。

1.2 VPN技术分类

虚拟专用网络（VPN）技术是指临时建立一个特定的安全网络通道或者临时网络连接，来把不同域的网络连接在同一个逻辑网络中。目前VPN一般采用安全隧道、加密解密技术、密钥管理和身份认证等技术来进行网络安全通信。

VPN按技术实现可区分为L2TP、MPLS、PPTP、IPSec、SSL等，其中两大主流是分别是基于IPSec和基于SSL协议的VPN技术。

1.3 主流VPN技术对比

IPSec（Internet Protocol Security）是一个协议包是第三层安全协议，主要包括验证协议（AH）、密钥分配协议（IKE）以及用于网络认证和加密。与之对比SSL（Security Socket Layer）是一种基于客户、服务器认证的一种WEB应用安全协议。IPSec协议需要用户安装客户端，而SSL是通过认证的用户经过WEB浏览器就可以直接连入网络查询电子资源，对比来看SSL VPN相对于IPSec在高校中的广泛应用有几大优势：

1） SSL协议的VPN使用更加便捷，它具有很好的兼容性，适用于各种操作系统而且也不需要下载客户端，不需要维护，管理难度大大降低，只要在浏览器中加入协议即可，方便广大师生使用。

2） 安全性能比IPsec要高，IPsec基于网络层面，对IP安全保护不够，而SSL面向应用，安全防护功能优势明显。

3） SSL可以设定访问权限，这对用户级别和访问控制有很好的管理，在实际应用中可以划分各部门的资源使用区域，如各部门行政人员可以访问各自的办公自动化系统，而学生也只可以阅览电子资源等。

2 SSL协议VPN的组成和关键技术

2.1 SSL VPN的组成

SSL （Security Socket Layer）翻译过来就是安全套接协议层。是通过对数据进行加密处理从而实现VPN安全通信。SSL VPN一般由网关和客户端的浏览器组成。用户通过在浏览器上增加SSL协议加密对VPN网关发送访问请求，网关解密后发到校内服务器，这一过程就形成了一个加密隧道。SSL VPN 访问组成模型如图1所示：

2.2 SSL VPN关键技术

现在SSL协议VPN关键技术包括：数据安全和可伸缩访问控制、authentication（身份认证）、翻译和重写、加解密和隧道技术。

2.2.1数据安全和精细访问控制

越来越多的用户选择使用SSL VPN来远程接入网络是因为SSL VPN给移动用户提供了良好的数据安全，从数据安全层面来讲，SSL VPN是应用层面的授权，未经授权的用户不能访问开放使用的应用。

同时SSL VPN可以精细的分配用户的访问权，一个用户可以根据组织结构框架来获得不同授权，他们可以别分配多个授权，例如学校里的教师可以被分配到财务和教学人员两个角色，可以更好的利用办公自动化系统来完成工作。而且远程用户的访问日志也可以通过跟踪引擎得到记录，加强了安全管理。

2.2.2 身份与设备认证技术

SSL VPN能根据需求对认证方式做调整。SSL协议支持客户密码认证、USB验证、数字认证、短信和秘钥等各种方式的认证。它可以和第三方通过重定向有效集成，让部署更加方便。

2.2.3翻译技术和重写内容

SSL协议的VPN的系统架构里面最重要的一环就是网关。用户的需求被发送到网关来，然后再网关里重写内容转化加密后发送到服务器，利用翻译技术从而获取校内的电子资源和办公系统的数据。

2.2.4加解密和隧道技术

用户通过IE里面的SSL协议和网关相连，经过网关认证后就形成了一条数据通道。在此过程中为了保证通信内容不泄露就必须对数据进行加密处理。SSL（安全套接协议）就是一种标准IE自带的安全协议，使用的X.509证书和公开秘钥来使得通信更加完整更加机密。

3 实例（SSL VPN在南京财经大学校园网中的应用）

3.1 南京财经大学的网络特点

南京财经大学共分三个校区，分别是南京财经大学仙林校区、南京财经大学福建路校区、南京财经大学桥头校区。其中仙林校区和福建路校区位于南京，桥头校区位于镇江。仙林和福建路网络互连，桥头校区独立网络。南京财经大学仙林图书馆和福建路网络拓扑图如图2所示，桥头校区网络拓扑图如图3所示。

3.2实际应用中所存在的问题

我校图书馆购买了很多常用电子资源库，例如中外文数据库、学位论文库、事实统计数据库、学生学习考试库、工具书数据库等、这些电子资源受到DRM数字版权保护，要经过加密数字安全的内容还有分配的路径，确保数字资源都经过授权才能使用。购买的资源都是有固定的IP范围的。有部分资源存在资源供应商的服务器，不在图书馆的内部服务器上，这样一来经过校园网进出的IP都是经过授权的，允许访问数字资源，而一部分出差或者不在校园网段的老师学生就无法使用资源。所以便于管理，能认证的一套安全访问校内资源的解决方案显得尤为重要。这能从根本上解决老师、学生校外使用校内资源的问题。

4 结束语

当今社会是高度信息化的社会，信息的获取变得更加便捷，老师、学生校外获取内部电子资源的需求在不断增长。SSL VNP技术很好的解决了用户的这一需求，我校SSL VPN方案的部署给师生提供的一个更好的办公，使用校内电子资源学习的平台，基本满足的现阶段的用户需求。SSL VPN作为一项成熟的VPN技术具有便捷、安全、便于管理等特点，这使得数字图书馆可以提供更好的服务。

参考文献：

[1] 王达.虚拟专用网（ VPN） 精解[M].北京：清华大学出版社，2004： 45-46.

[2] 马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计，2008（11）：5137-5143.

[3] 吉妮.SSL VPN让校内资源发挥更大效能——Juniper公司东南大学解决方案[EB/OL].http：∥

[4] 刘洪强.基于SSL协议的VPN技术研究与实现[D].济南：山东大学，2008.

[5] 谭学广.新兴远程接入解决方案 SSL VPN[J].软件导刊，2007，25（8） ：16-19.

[6] （美）弗拉海，（美）黄. SSL与远程接入 VPN [M].王喆，罗进文，白帆，译.北京：人民邮电出版社，2009-03-01.