SSL VPN技术在统一身份认证平台的实现与研究

杨朋 殷旻昊

摘   要：随着高校校园网信息化建设的不断完善，校园内各应用系统的规模也在不断扩大，许多高校都将在校师生的办公、科研等基本信息限制校内网访问。VPN系统作为校园网外网访问内网的专有通道，其账号的安全性便显得极为重要。文章提出了一种将VPN系统与大数据平台对接，纳入到校园网的统一身份认证平台中，实现在校师生一套账号密码即可访问校园网内网信息，同时优化VPN访问策略，保障系统安全。

关键词：SSL VPN;校园网;统一身份认证

中图分类号： TP393.1          文献标识码：A

Abstract： With the continuous improving of information construction in campus network ， the scale of campus applications and systems is also expanding. Lots of colleges restrict the basic information of teachers and students to access the intranet on campus networks such as Office system， scientific research system and so on. As a private channel for the campus network to access the intranet. The account security of VPN system is extremely important. This paper proposes a way to connect VPN system and the big data platform while can Incorporate into the unified identity authentication platform of the campus network， and access to intranet information on campus network by using a set of account password of teachers and students in campus. Finally realize the teachers and students can access the campus network information with a set of account password. At the same time， optimizing the VPN access strategy to ensure system security.

Key words： SSL VPN;campus network;unified identity authentication

1 引言

随着云平台、大数据技术的飞速发展，云教学、网络教学、移动教学也逐渐应用于高校的教育体系之中，传统的身份认证技术已不再满足在校师生的新需求，一方面学校以及二级学院内的各应用系统，都有着自身相互独立的功能体系和认证方法，出现了在使用过程中账密混乱、登录繁琐、资源浪费等问题，另一方面由于各个平台系统缺乏一个统一平台对其进行管理和监控，不仅造成管理困难，且易产生系统漏洞，外界攻击或病毒进入其系统进行校园网攻击，形成安全隐患[1]。当前，应用比较广泛的方案是高校推出统一身份认证平台，来整合各个网络系统和二级学院子系统，并为其提供一个统一的接口、安全策略和进入方式来进行统一身份认证管理[2]，并将一些比较敏感或重要的应用，限制在校园内部进行访问，校园外网需要登录VPN系统，实现相应资源或系统进行访问[3]。如何使VPN系统在统一身份认证平台进行模块化应用，并进一步提升VPN的稳定性和安全性是本文研究的目标。

2 研究背景

大多数高校都建立了自己的网络管理平台，并构建统一的数据库认证系统，将各大系统数据整合到一个平台中[4]。例如，天津师范大学将办公、人事、资产、采购、科研等系统整合到网上服务大厅中，而这些系统均需要校内网络才能访问，同时在校师生在校外也需要针对像知网、Elsevier SD等学术数据库进行查阅资料，系统开发人员满足远程管理校内系统等需求。所以，用户能从任意时间和地域进入校园内网，并进行安全访问校内网络资源和应用系统，是目前高校信息化建设的迫切需求。同时，开通VPN服务，并将VPN系统纳入到学校统一身份认证平台，实现一体化认证是高校校园网和应用系统安全保障的必然选择。

3 系统方案设计

3.1 统一身份认证平台

统一身份认证平台其实质是由学校的统一身份认证数据库和认证服务器平台的联动运维，来对用户进行授权管理和访问控制[5]。以天津师范大学为例，认证方式基于LDAP认证，每当师生入职入学之际，人事系统会将其身份信息存入身份认证数据库中，同时根据其身份自动开通相应的办公系统，所有赋予权限的系统均从网上服务大厅进行访问，初次登录强制修改为强密码，当再次进行访问网上服务大厅的时候，会先去统一身份认证数据库进行校验身份。如果身份校验合法，便返回认证服务器平台分配其相应身份的权限进行资源访问，而认证服务器平台提供多个子平台的接口，无需再次输入账号密码，从而实现一个账号可登录所有系统。

3.2 SSL VPN系统

VPN是校园网络体系中不可缺少的組成部分，VPN系统是通过加密隧道的方式，从校外公网到校内私网虚拟处的一条私有、安全、稳定的通道，它可以使校园内的一些比较敏感的应用系统，大胆地限制在校园内网访问，为在校师生提供了便利的同时，也极大地保障了校园内网各系统的安全性。当前，VPN系统主要基于MPLS协议、IPsec协议和SSL协议[6]。