◆黃 超王 勇

（1.桂林電子科技大學(xué) 廣西 541004；2.柳州城市職業(yè)學(xué)院 廣西 545036）

VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用研究

◆黃 超1，2王 勇1

（1.桂林電子科技大學(xué) 廣西 541004；2.柳州城市職業(yè)學(xué)院 廣西 545036）

隨著信息化建設(shè)的深入，校園網(wǎng)已成為高校的基礎(chǔ)通信與管理平臺。為了強(qiáng)化信息化的統(tǒng)一管理，VPN技術(shù)在校園網(wǎng)安全體系中得到了廣泛應(yīng)用。本文簡述了VPN的關(guān)鍵技術(shù)和校園網(wǎng)對VPN技術(shù)的需求，給出了VPN應(yīng)用解決方案，最后設(shè)計(jì)了一個結(jié)合PKI技術(shù)的增強(qiáng)型VPN校園網(wǎng)安全體系模型。

VPN技術(shù)；校園網(wǎng)；安全體系

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)絡(luò)承擔(dān)了實(shí)現(xiàn)校園全方位信息化的重任。校園網(wǎng)上各種管理應(yīng)用系統(tǒng)的不斷增加，各種各樣的網(wǎng)絡(luò)需求和安全問題對傳統(tǒng)校園網(wǎng)提出了巨大的挑戰(zhàn)。當(dāng)前校園網(wǎng)建設(shè)中存在有幾個突出問題：（1）一所學(xué)校擁有跨地域的多個校區(qū)，校園網(wǎng)的數(shù)據(jù)和服務(wù)資源往往集中在主校區(qū)校園網(wǎng)上。如何把各個校區(qū)的局域網(wǎng)構(gòu)建成內(nèi)聯(lián)網(wǎng)，實(shí)現(xiàn)內(nèi)部資源安全共享。（2）教職工有越來越多的移動辦公的需求，在家或出差在外時需要訪問校園網(wǎng)內(nèi)部資源。如何實(shí)現(xiàn)對校園網(wǎng)的遠(yuǎn)程訪問。（3）用戶身份認(rèn)證與權(quán)限設(shè)置的需求。校園網(wǎng)部分內(nèi)部服務(wù)資源只允許特定用戶訪問使用。VPN技術(shù)的出現(xiàn)解決了上述問題。

1 VPN概述

1.1 VPN概念

VPN（Virtual Private Network）是指通過公共網(wǎng)絡(luò)（主要是互聯(lián)網(wǎng)）將物理上分布在不同地點(diǎn)的多個私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)組成邏輯上的虛擬專用網(wǎng)絡(luò)。同時為防止信息的泄露、篡改，采用了鑒別、訪問控制、保密性等措施，來保障信息在網(wǎng)絡(luò)上的傳輸安全。

1.2 VPN的關(guān)鍵技術(shù)

（1）隧道技術(shù)：隧道技術(shù)是VPN 的核心技術(shù)，其基本思想是在公共網(wǎng)絡(luò)（Internet）上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道進(jìn)行傳輸。數(shù)據(jù)的封裝、傳輸和解封由隧道協(xié)議來完成，生成隧道的協(xié)議有第二層隧道協(xié)議（PPTPL2TPMPLS）和第三層隧道協(xié)議（IPSecGRE）。

（2）加解密技術(shù)：加解密技術(shù)是保障數(shù)據(jù)傳輸安全必不可少的技術(shù)，數(shù)據(jù)加密技術(shù)用來隱藏?cái)?shù)據(jù)包，數(shù)據(jù)在傳輸之前對數(shù)據(jù)進(jìn)行加密處理，數(shù)據(jù)到達(dá)目的地后，由接收者對加密的數(shù)據(jù)進(jìn)行解密處理。加密技術(shù)根據(jù)密鑰類型不同可分為對稱加密技術(shù)和非對稱加密技術(shù)。

（3）密鑰管理技術(shù)：密鑰是控制加密算法和解密算法的關(guān)鍵信息，密鑰管理是處理密鑰自產(chǎn)生到最終銷毀的整個過程的所有問題，密鑰管理技術(shù)分為SKIP與ISAKMP 兩種。

1.3 VPN的特點(diǎn)

相對于傳統(tǒng)的專用網(wǎng)，VPN有以下特點(diǎn)和優(yōu)勢。

（1）安全保障。采用了數(shù)據(jù)加密技術(shù)，提高了整個網(wǎng)絡(luò)的互聯(lián)性和擴(kuò)展性，實(shí)現(xiàn)安全連接，確保數(shù)據(jù)的私有和安全性。

（2）可管理性。實(shí)現(xiàn)了對設(shè)備、配置、訪問控制列表及服務(wù)質(zhì)量的管理。

（3）采用了信息認(rèn)證和身份認(rèn)證，以保證信息的完整性、合法性、并能鑒別用戶的身份，實(shí)現(xiàn)網(wǎng)絡(luò)安全。

（4）通過訪問控制向不同的用戶提供不同的訪問權(quán)限，可以保護(hù)網(wǎng)絡(luò)免受病毒感染、防止欺騙，增強(qiáng)訪問控制，簡化網(wǎng)絡(luò)設(shè)計(jì)。

2 校園網(wǎng)對VPN技術(shù)的需求

2.1 多個校區(qū)的互相訪問的需求

多校區(qū)是在同一校園網(wǎng)內(nèi)，相互之間的財(cái)務(wù)專網(wǎng)以及一卡通等需要整合，要求確保網(wǎng)絡(luò)數(shù)據(jù)可以快速、安全的傳輸。

2.2 以遠(yuǎn)程的形式訪問校園網(wǎng)絡(luò)應(yīng)用

校區(qū)與校區(qū)之間的郵件服務(wù)站點(diǎn)以及web站點(diǎn)等應(yīng)用的整合，要求實(shí)現(xiàn)校區(qū)之間的信息交流、公文流轉(zhuǎn)以及郵件分發(fā)。

3 VPN技術(shù)應(yīng)用解決方案

3.1 外聯(lián)網(wǎng)VPN（Extranet VPN）

這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對等的方式連接起來所組成的VPN（主要在安全策略上有所不同）。其利用專門的共享連接網(wǎng)絡(luò)設(shè)施，在校園網(wǎng)絡(luò)中連接外部網(wǎng)，適合用在不同院校間的安全訪問過程中。

3.2 接入VPN（Access VPN）

這是企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。遠(yuǎn)程用戶一般是一臺計(jì)算機(jī)，而不是網(wǎng)絡(luò)。該方案的選擇與遠(yuǎn)程或者移動辦公的要求相符，對于校園內(nèi)與校園外的遠(yuǎn)程網(wǎng)絡(luò)連接能夠充分實(shí)現(xiàn)。Access VPN具體適合用在現(xiàn)階段較多的接入方法中，例如：ISDN、移動網(wǎng)絡(luò)、PPPoE撥號、xDSL等，能提供給移動辦公用戶安全的私有連接。

3.3 內(nèi)聯(lián)網(wǎng)VPN（Intranet VPN）

Intranet VPN方案擁有著獨(dú)特的共享網(wǎng)絡(luò)設(shè)施，此共享網(wǎng)絡(luò)設(shè)施是Intranet VPN方案的堅(jiān)實(shí)基礎(chǔ)，對Internet的合理利用能夠?qū)崿F(xiàn)在院校中各個校區(qū)的網(wǎng)絡(luò)互聯(lián)。Intranet VPN通過加密、VPN隧道等技術(shù)，確保了在傳輸過程中信息的安全性。

4 增強(qiáng)型VPN技術(shù)解決方案的設(shè)計(jì)

4.1 PKI技術(shù)

由于TCP/IP缺乏安全保證，傳統(tǒng)的IP協(xié)議中IP包不具有任何安全特性，在IP層缺乏安全保障導(dǎo)致整個網(wǎng)絡(luò)傳輸?shù)牟话踩?。作為VPN主要協(xié)議的IPsec能夠在IP層上提供強(qiáng)大的安全特性，但是該協(xié)議在復(fù)雜的網(wǎng)絡(luò)環(huán)境中仍然可能因其身份認(rèn)證不嚴(yán)而產(chǎn)生安全漏洞，因此可結(jié)合PKI技術(shù)實(shí)現(xiàn)身份鑒別認(rèn)證，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸中的角色訪問控制。

PKI（Public Key Infrastructure）是公鑰基礎(chǔ)設(shè)施的簡稱，是標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。

PKI具體包括：X.509證書和證書廢止列表CRL；CA/RA操作協(xié)議；CA管理協(xié)議；CA管理策略等。

（1）認(rèn)證機(jī)構(gòu)（CA）：構(gòu)成PKI的基本元素是數(shù)字證書，安全操作主要通過證書來完成，CA則是證書簽發(fā)機(jī)構(gòu)，是PKI的核心，是PKI應(yīng)用中權(quán)威、可信、公正的第三方機(jī)構(gòu)。

（2）證書庫：證書的在線資料庫系統(tǒng)，提供用戶查詢。

（3）密鑰備份和恢復(fù)：對用戶解密密鑰進(jìn)行備份，當(dāng)密鑰丟失時進(jìn)行恢復(fù)，簽名密鑰不能備份和恢復(fù)。

（4）證書撤銷：證書由于某種原因需要作廢、終止使用，將通過證書撤消機(jī)制來完成。

（5）PKI應(yīng)用接口系統(tǒng)：為各種應(yīng)用提供安全、一致、可信的方式來與PKI交互，確保網(wǎng)絡(luò)安全環(huán)境可信。

PKI還通常包括證書注冊機(jī)構(gòu)、密鑰自動更新、密鑰歷史檔案、交叉認(rèn)證、支持非否認(rèn)、時間戳、客戶端軟件等組成部分。

4.2 增強(qiáng)型VPN安全模型設(shè)計(jì)

基于校園網(wǎng)絡(luò)安全的要求和相應(yīng)的解決方案，設(shè)計(jì)了一個增強(qiáng)型VPN的校園網(wǎng)安全體系架構(gòu)模型，模型結(jié)構(gòu)如圖1所示。該安全體系模型由以下部分組成：