OpenVPN技術(shù)實(shí)現(xiàn)高校校園網(wǎng)資源遠(yuǎn)程訪問(wèn)的研究

武佳寧

（陜西學(xué)前師范學(xué)院，陜西西安，710100）

0 引言

近年來(lái)高校對(duì)于信息化建設(shè)越來(lái)越重視，高校所建設(shè)的各類信息化項(xiàng)目包括教務(wù)管理系統(tǒng)、數(shù)字化圖書(shū)館、科研管理系統(tǒng)、國(guó)資管理系統(tǒng)、辦公管理系統(tǒng)等等。這些校園網(wǎng)內(nèi)的管理應(yīng)用系統(tǒng)只能針對(duì)校園網(wǎng)內(nèi)用戶開(kāi)放，是典型的內(nèi)部資源只供內(nèi)部訪問(wèn)。例如教務(wù)管理系統(tǒng)，它包含教師的資料、學(xué)生的成績(jī)學(xué)籍等資料都是需要保護(hù)的數(shù)據(jù)，不能隨意訪問(wèn)；又如數(shù)字化圖書(shū)館的資料必須通過(guò)網(wǎng)內(nèi)IP地址范圍來(lái)控制訪問(wèn)。教師多數(shù)在家中備課科研，這就存在工作地點(diǎn)的變化造成了網(wǎng)內(nèi)資源無(wú)法使用的問(wèn)題。虛擬專用網(wǎng)絡(luò)（簡(jiǎn)稱VPN）就是很好地解決辦法，在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)將遠(yuǎn)程接入訪問(wèn)內(nèi)部資源成為現(xiàn)實(shí)。

1 VPN的主要功能優(yōu)勢(shì)

VPN是利用現(xiàn)有的Internet鏈路來(lái)架設(shè)私有專用網(wǎng)絡(luò)，它應(yīng)用加密技術(shù)，在公共網(wǎng)絡(luò)上封裝出一個(gè)數(shù)據(jù)通訊隧道來(lái)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的技術(shù)。我們通過(guò)這條隧道把校園網(wǎng)內(nèi)資源和校園網(wǎng)外用戶連接起來(lái)，建立一個(gè)專用通道實(shí)現(xiàn)校園網(wǎng)內(nèi)數(shù)據(jù)與網(wǎng)外數(shù)據(jù)的傳輸，達(dá)到信息交流資源共享的目的。

1.1 安全完整

VPN采用身份驗(yàn)證、加密等安全技術(shù)，在傳輸數(shù)據(jù)之前就將數(shù)據(jù)進(jìn)行了加密，以防止數(shù)據(jù)包被破解或讀取，這樣就保證了傳輸數(shù)據(jù)的安全保密性。VPN的安全技術(shù)能同時(shí)防止數(shù)據(jù)在傳輸途中被篡改，通過(guò)密鑰來(lái)計(jì)算并校驗(yàn)，如果數(shù)據(jù)包的內(nèi)容被篡改，立即丟棄，以確保發(fā)送數(shù)據(jù)與接收數(shù)據(jù)的完整性。

1.2 靈活可控

用戶在使用過(guò)程中完全掌握著自己網(wǎng)絡(luò)的控制權(quán)，不受物理?xiàng)l件的制約，建立或是刪除虛擬通道方便自主。遠(yuǎn)程用戶和校園網(wǎng)通過(guò)VPN進(jìn)行連接，簡(jiǎn)單快捷，只需要只需雙方配置安全連接信息就可以了靈活自主。

1.3 成本低廉

利用Internet極大地降低了成本，這種虛擬專用通道與租用專用線路相比大大節(jié)省了通信費(fèi)用，也省去了大量人力物力和設(shè)備的投入。

2 VPN實(shí)現(xiàn)技術(shù)選型

目前應(yīng)用較為廣泛VPN實(shí)現(xiàn)技術(shù)有基于網(wǎng)絡(luò)層的IPsec VPN和基于傳輸層與應(yīng)用層的SSL VPN。IPSec VPN在網(wǎng)絡(luò)層工作，為網(wǎng)絡(luò)層的數(shù)據(jù)提供保護(hù)，而SSL VPN則是工作在應(yīng)用層，他們是兩種不同的架構(gòu)，但都能提供安全的遠(yuǎn)程接入。

2.1 IPSec VPN

IPSec VPN屬于基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。它的作用在于盡量提高IP環(huán)境的安全性。部署IPSec VPN要對(duì)網(wǎng)絡(luò)設(shè)施進(jìn)行改造，后期還需要長(zhǎng)期維護(hù)才能保證運(yùn)行，所以實(shí)施和管理成本相對(duì)較高。所以它更適合大型盈利性企業(yè)使用，更適合為不同的網(wǎng)絡(luò)提供通信安全保障。

2.2 SSL VPN

SSL VPN與IPSec VPN相比部署和實(shí)施成本低，客戶端不需要額外安裝軟件或硬件，通用標(biāo)準(zhǔn)的IE就可以簡(jiǎn)單加密，實(shí)現(xiàn)安全訪問(wèn)了。SSL VPN不需要網(wǎng)絡(luò)設(shè)備改造以及后期的大量維護(hù)大大節(jié)約了成本。良好的兼容性對(duì)操作系統(tǒng)沒(méi)有很高的要求省去了很多麻煩，由于瀏覽器內(nèi)嵌了SSL協(xié)議，無(wú)需安裝客戶端，這為非專業(yè)人士的使用提供了方便。所以SSL VPN更適合應(yīng)用于遠(yuǎn)程的、分散的用戶接入。

2.3 OpenVPN

通過(guò)對(duì)校園網(wǎng)遠(yuǎn)程訪問(wèn)的實(shí)際需求，我們選擇了VPN技術(shù)的重要成員OpenVPN。OpenVPN是基于SSL的工作在應(yīng)用層 VPN軟件。它的技術(shù)核心是虛擬網(wǎng)卡，其次是SSL協(xié)議實(shí)現(xiàn)，與傳統(tǒng)VPN相比，它的優(yōu)點(diǎn)就是簡(jiǎn)單易用、高效安全，并且支持多種常用應(yīng)用系統(tǒng)。OpenVPN大量使用了OpenSSL加密庫(kù)，和SSLv3/ TLSv1 協(xié)議，它與設(shè)置好的VPN用戶單點(diǎn)之間，通過(guò)預(yù)先設(shè)置好的私人秘鑰或者第三方證書(shū)進(jìn)行身份驗(yàn)證。高校遠(yuǎn)程訪問(wèn)使用，從校園網(wǎng)絡(luò)構(gòu)建VPN隧道的要求和成本來(lái)考慮，OpenVPN軟件已經(jīng)達(dá)到技術(shù)要求，用來(lái)構(gòu)建校園VPN網(wǎng)絡(luò)是合適且實(shí)際可行的。

3 校園網(wǎng)VPN系統(tǒng)的設(shè)計(jì)

3.1 校園網(wǎng)VPN系統(tǒng)功能與基本配置

校園網(wǎng)VPN系統(tǒng)的設(shè)計(jì)原則首先要保證校園網(wǎng)內(nèi)網(wǎng)用戶的正常訪問(wèn)，不能降低網(wǎng)內(nèi)訪問(wèn)速度。所以我們要利用校園網(wǎng)網(wǎng)內(nèi)多出口來(lái)提高用戶接入VPN的速度以及訪問(wèn)校園網(wǎng)的速度。OpenVPN所有加密都由OpenSSL庫(kù)處理，通過(guò)SSL協(xié)議進(jìn)行封裝，所有IP隧道功能都由虛擬網(wǎng)絡(luò)驅(qū)動(dòng)提供，他自身有著強(qiáng)大的模塊設(shè)計(jì)，配置路由和虛擬網(wǎng)卡以及讀寫(xiě)存儲(chǔ)設(shè)備，都集成成一套穩(wěn)定高效的軟件了。OpenVPN的服務(wù)器端和客戶端只是配置文件的內(nèi)容不同，其實(shí)是同一套源代碼。2013年新發(fā)布的OpenVPN 2.3擴(kuò)展了前面版本的功能，它針對(duì)不同操作系統(tǒng)有不同的版本，我們一般采用Linux作為服務(wù)器端操作系統(tǒng)。

3.2 校園網(wǎng)VPN系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

校園網(wǎng)VPN系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)如圖1所示.其中VPN服務(wù)器運(yùn)行OpenVPN服務(wù)，提供相關(guān)服務(wù)。遠(yuǎn)程辦公用戶、系統(tǒng)維護(hù)用戶、移動(dòng)辦公用戶在安裝了客戶端程序后，通過(guò)首先需要從服務(wù)器端索取密鑰和證書(shū)，通過(guò)認(rèn)證后VPN服務(wù)器就會(huì)分配校園網(wǎng)網(wǎng)內(nèi)的IP地址給客戶端，然后為客戶端添加校園網(wǎng)路由表和DNS地址。這樣建立好VPN通道后，客戶端訪問(wèn)校園網(wǎng)資源時(shí)使用這條虛擬專線，但是訪問(wèn)非校園網(wǎng)數(shù)據(jù)時(shí)還是使用公網(wǎng)線路。

4 校園網(wǎng)0penVPN認(rèn)證

圖1 校園網(wǎng)VPN系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖

圖2 校園網(wǎng)0penVPN認(rèn)證過(guò)程圖示

校園網(wǎng)0penVPN認(rèn)證過(guò)程如圖1所示。客戶端在安裝了0penVPN軟件后，在與校園網(wǎng)連接的過(guò)程中需要輸入有管理員統(tǒng)一下發(fā)的用戶名和密碼，VPN服務(wù)器通過(guò)身份認(rèn)證功能進(jìn)行身份合法性的確認(rèn)。0penVPN的身份認(rèn)證是通過(guò)SSL/TLS的握手協(xié)議來(lái)完成，在握手同時(shí)也完成了密鑰的交換?？蛻舳讼劝l(fā)送身份認(rèn)證請(qǐng)求，要求確認(rèn)通信雙方的身份的合法性，它發(fā)送的消息中包括了加密密碼組和客戶端會(huì)話標(biāo)志等信息。VPN服務(wù)器通過(guò)加密信息驗(yàn)證了客戶端的身份后，向客戶端返回?cái)?shù)字證書(shū)；并發(fā)出請(qǐng)求要求提供用戶證書(shū)和服務(wù)器密鑰交換消息；最后返回服務(wù)器已經(jīng)完成初始交流的信息?？蛻舳藨?yīng)服務(wù)器請(qǐng)求發(fā)送客戶端證書(shū)，并使用服務(wù)器下發(fā)的公鑰將會(huì)話密鑰再發(fā)送給服務(wù)器。服務(wù)器使用自己的私鑰對(duì)接收的消息進(jìn)行解密得到共享的會(huì)話密鑰。最后服務(wù)器和客戶端相互要求在后續(xù)通行中使用加密模式，在相互告知準(zhǔn)備好通信。至此SSL握手協(xié)議完成，雙方在專用通道進(jìn)行加密的數(shù)據(jù)交流。

Richard Tibbs,Edward Oakes.李展，刑博特譯.防火墻與VPN[M].北京:清華大學(xué)出版社，2008.