基于SSL的VPN技术在校园网中的应用

黄家琦 金涛伟

摘 要：随着互联网技术应用的飞速发展，网络安全问题逐渐得到重视，很多高校信息系统禁止在公网访问，如何安全可靠地访问校内应用系统以及数字资源成为一个难题。本文简单介绍VPN概念和原理的基础上，详细阐述了采用基于SSL协议的VPN技术实现校内信息资源共享，有效满足了用户远程访问校内应用系统的需求，提高了日常办公效率及图书馆资源的利用率。

关键词：VPN技术；SSL协议；数字资源；远程访问

中图分类号：TP393.18 文献标识码：A 文章编号：1671-2064（2018）17-0000-00

1 VPN技术概述

1.1 VPN的概念

VPN是采用隧道技术、身份认证以及加密等方法，在公用网络上构建专用网络的技术。VPN网关通过对数据包目标地址的转换，建立了私有数据传输通道，将第三方合作伙伴、异地办公室、移动办公人员等有效的连接起来，不仅减轻了建立专线的昂贵费用，而且提供了安全的数据通讯[1]。

1.2 远程接入方法简介

传统的远程接入方式有端口映射、反向代理服务器以及Ipsec VPN。对于校内数字资源共享而言，以上方式都存在着一些缺点[2]。

（1）端口映射。端口映射是NAT地址转换的一种，实现将外网IP地址的一个端口映射到内网中。当用户访问外网IP的端口时，服务器自动将请求转发到内网端口上。这是早期从外网访问内部资源最直接的方式。然而，随着对网络性能和安全方面的要求越来越高，这种远程方式显示出了它的局限性和不足。过多的端口映射会带给校内数字资源较大的安全隐患，而学校的信息资源又很丰富，在这种情况下，配置端口映射的工作较为繁琐，缺乏可操作性。（2）反向代理服务器。反向代理服务器接收到来自Internet的请求后，转发到内网服务器上，并将结果返回给发送请求的用户。反向代理方式的效果很大程度上取决于本身的性能，因此一旦遇到大量并发访问的情况时经常出现访问速度过慢，或服务器没有响应的情况。另外，在安全方面，当用户完成会话以后，信息可能被保留在公共服务器上产生的临时文件缓存中，或者实现自动完成的URL内存中，造成内部信息泄露。（3）Ipsec VPN。IPSec（IP Security）是由IETF（Internet Engineering Task Force）设计的端到端保障IP层安全的通信机制。公网上没有中间网络节点能访问受IPSec保护报文的信息。然而，随着对网络应用的扩展和效率的提高，网络中间节点需要访问IP数据包的高层协议部分，来限制路由或者进行流的分类，这时就会与IPSec的机制相矛盾，在效率和安全之间很难进行取舍。IPSec的另一个问题就是其复杂的配置。IPSec不是一个单独的协议，其中包含了很多协议和机制，不但使各厂商设备之间难以实现互操作性，而且后续的维护工作给网络部门带来了较大难度。由于其繁琐的配置，任何忽略的细节都容易产生安全隐患。

2 基于SSL协议的VPN技术

2.1 SSL VPN 技术的实现原理

SSL（Secure Sockets Layer，安全套接层协议）协议是由Netscape公司所研发，用来保证数据在网络上传输的安全性，利用数据加密技术，确保数据在网络传输的过程当中不被窃取及监听。SSL是一种基于Web 应用的安全协议，它指定了在 TCP/IP协议与应用程序协议（如FTP 、SMTP、HTTP等）之间进行数据交换的安全机制，为TCP/IP 连接提供服务器认证、数据加密以及可选的客户机认证等方面提供安全支持。SSL 也是如今网络当中使用最广泛的安全通讯协议，保障了数据在服务器与客户端之间传输的安全性。SSL协議v3.0版本自问世以后，受到了广大用户的欢迎。这不仅是由于SSL在可靠性、实用性以及效率方面进行了严谨和精心的设计，更是因为它良好的安全性。虽然SSL协议并非为了实现VPN技术而研发，但是在VPN实现过程当中所需要的身份认证、秘钥管理以及数据加密等安全技术，SSL协议都得到了良好的支持。

SSL VPN是VPN的一种。一个典型的SSL VPN系统由三部分组成，即客户端浏览器、SSL VPN网关和内网应用服务器。客户端浏览器通过SSL加密技术发送请求，从而访问到SSL VPN网关，网关首先将接收到的加密请求解密，随后再转发到内网运行的Web 服务器上，从而在网络中形成了客户端到SSL VPN网关之间的一条加密隧道。在实际应用当中，校外用户通过SSL VPN技术使用浏览器接入校园网络，当远程用户通过身份认证后，SSL VPN网关会给其分配一个内网虚拟IP 地址，从而实现了校外用户访问校内数字资源以及图书馆资源。

2.2 SSL VPN 技术的优势

（1）简单性。SSL VPN相比于传统的远程接入方式，其优势在于它是远程用户访问校内数字资源最简单的一种网络形式。对于用户而言，由于SSL协议是内嵌于浏览器当中的，因此执行SSL 协议的远程访问是不需要在客户端上安装软件的，只需要通过Web浏览器连接Internet，登录网页后即可访问到校内数字资源了[3]。对于管理者而言，SSL VPN的优势在于添加或修改用户信息时比较快速和容易，VPN管理员只需要建立新的用户名和密码并提供VPN网关的IP地址即可。（2）完善的访问权限控制。SSL VPN可以保护具体的敏感资源，即可根据用户属于不同的角色，分配不同的访问权限，即便用户登录到内网当中，访问的权限也受到了控制。这一功能为学校提供了很多种用户类型，每种用户类型使用不同的数字资源，实现了用户角色与资源的绑定，根据安全策略保障了只有授权的用户才能访问校内特定的数字资源。（3）不易受到攻击。SSL VPN直接开启应用系统，并没有通过网络层进行连接，黑客很难侦测出应用系统内部网络如何进行设置，最多黑客攻击的也只是VPN网关服务器，无法攻击到内部的应用系统服务器。SSL VPN的安全通道是建立在客户端到所访问的应用系统之间，确保了点到点的安全性。无论在Internet上还是内网当中数据都是不透明的。客户对应用系统的每一次访问都要经过身份验证和数据加密。（4）兼容性强。远程访问校内数字资源的用户遍布在不同的地域之中，网络环境各不相同。而学校很难去改变用户防火墙的设置，因此学校的远程访问系统必须具备较强的代理服务器、穿透防火墙的能力，能够提供稳定的远程访问连接，并且适用于大多数设备及不同的操作系统，最大程度上满足不同用户的需求。SSL VPN服务器通常情况部署在内网防火墙设备之后，这样如果需要添加受VPN保护的服务器，不会影响原有的网络结构。

3 SSL VPN在校园网中的应用

3.1 实现校园网SSL VPN系统

在高校运行着管理不同业务的应用系统，主要包括：资产管理系统、财务查询系统、教务管理系统、网站群管理系统、电子邮件系统等。由于受到网络安全和其他客观因素的制约，目前大多数系统只能在内网条件下运行。很多时候在外地出差的教师需要访问校内应用系统来执行日常办公、查看学校文件或是录入学生成绩，都将无法实现。随着校园信息化建设的不断发展，这些专有资源的应用系统会越来越多，因此会影响教学活动和教辅职能的正常进行。

对于高校图书馆资源，用户基本都是通过浏览器来获取文献资料。目前长春中医药大学图书馆的数据库资源主要包括：中国知网、读秀数据库、超星发现系统、维普中文期刊服务平台、万方知识服务平台等。对于学校教职工来说，过去只能在校内使用这些数据库下载文献，给他们带来许多不便。通过对用户应用的需求分析，发现这些应用都是基于固定端口的TCP/IP 协议的应用，可以通过使用SSL VPN技术中的Web浏览器模式来实现。

根据安全控制策略，SSL VPN可以为分散用户和移动用户提供安全的访问通道，从外部网络访问内网资源。一般方法是校内的资源服务器为外部网络用户提供虚拟URL地址。当用户从外网访问学校内网资源时，由SSL VPN网关获得发起的连接，而SSL VPN网关则在远程客户与服务器之间建立隧道以完成加密、解密，并实现访问控制策略，认证后，它被映射到不同的应用程序服务器。

根据高校的现实情况，可以使用两台服务器实现VPN的功能[4]。其中一台负责用户认证和用户凭证，建立SSL连接，另一台负责用户名和密码认证。实现过程如：用户首先通过浏览器页面进行VPN帐号认证，认证成功后请求申请凭证，随即用户获得数字证书。VPN服务器对用户的数字证书和密码进行合法性验证，验证证书的合法性同时，还会对证书的有效期和证书撤销列表进行验证，客户端也会对服务器端的证书进行验证。证书验证成功后，将建立起客户端与服务器之间的SSL连接，使得数据开始加密传输。然后服务器通过LDAP（轻量目录访问协议）服务器对用户名和密码进行身份验证。验证成功后，建立客户端与服务器之间的VPN连接，此时远程用户只需要输入校内服务器地址、应用系统的用户名和密码就可以登录到对应的系统，实现对校内数字资源以及图书馆数据库的访问。

3.2 VPN用户使用手册与管理办法

用户使用VPN需要具备两个条件：一是用户已经使用移动、联通、电信或是有线宽带接入到了互联网；二是用户已经申请了VPN账号。

在实际使用当中，在PC端通过浏览器输入IP地址https：//125.223.200.30或者输入域名https：//vpn.ccucm.edu.cn，就可以访问到登录界面。在用户名的文本框中输入VPN账号，在密码的文本框中输入默认密码，单击登录按钮，即可访问到主界面。首次登录的用户为了安全起见，需要强制修改密码。主界面显示的是该用户授权的资源链接。除此之外，还可以通过客户端对VPN进行访问。访问到登录界面后，在资源下载中会看到手动安装组件，单击链接下载EasyConnect软件成功后，输入服务器地址https：//125.223.200.30/，点击连接，输入用户名和密码即可成功访问校内资源了。

4 结语

VPN技术是网络发展的最新趋势，能较好地满足其他校区及校外用户对校内各种资源的访问需求，很多高校开始利用VPN技术实现多校区互联和开展一些远程登录校内应用系统。VPN技术在高校的广泛应用，提高了日常办公效率以及图书馆资源的利用率。随着VPN技术的日益成熟，例如：虚拟通道技术、代理技术及SSL加速技术的不断发展，使得它在高校的数字资源建设以及信息化建设中发挥着至关重要的作用，必将得到更为广泛的应用。

参考文献

[1] 张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索，2008，（7）：69-70.

[2] 何亚辉.基于SSL协议的VPN技术研究及在校园网中的应用[J].重庆理工大学学报（自然科学版），2011，（2）：86-90.

[3] 徐忻.利用开源软件实现基于SSLVPN的图书馆远程访问[J].现代情报，2009，（4）：160-163.

[4] 翁惠明.浅议利用VPN技术构建虚拟专用网[J].福建电脑，2003，（8）：60-61.

收稿日期：2018-06-22

作者簡介：黄家琦（1992—），男，吉林长春人，硕士研究生，毕业于东北师范大学，助理工程师，研究方向：网络安全与技术、智能计算与应用。

*通讯作者：金涛伟（1982—），男，吉林长春人，硕士研究生，毕业于长春中医药大学，助理实验师，研究方向：计算机科学与技术、医学信息学。