校園網(wǎng)絡(luò)安全體系中VPN技術(shù)的應(yīng)用研究

摘 要：本文根據(jù)當(dāng)前校園的應(yīng)用現(xiàn)狀，對(duì)校園VPN技術(shù)的應(yīng)用原則以及安全措施進(jìn)行了探析。VPN主要是指利用公共的網(wǎng)絡(luò)所建立的一種連接，是臨時(shí)的又是安全的。

關(guān)鍵詞：校園網(wǎng)絡(luò)；VPN技術(shù)；安全；應(yīng)用；

中圖分類(lèi)號(hào)：TP393.08

伴隨著當(dāng)今社會(huì)的進(jìn)步和經(jīng)濟(jì)的快速發(fā)展，尤其是科技的逐漸成熟，如今，我國(guó)各校園的信息化管理模式也變得越來(lái)越成熟，建立了如今的校園網(wǎng)絡(luò)，這樣一來(lái)可以更好的促進(jìn)師生之間的學(xué)習(xí)和溝通。各個(gè)院校的規(guī)模也在不斷的擴(kuò)展，校區(qū)也都在協(xié)調(diào)發(fā)展。有些學(xué)校的分校大都在不同的地方建立，為了要實(shí)現(xiàn)協(xié)調(diào)發(fā)展式發(fā)展，那就要使用VPN技術(shù)來(lái)管理，這樣一來(lái)就能夠很好的解決校園網(wǎng)絡(luò)的地區(qū)限制管理，同時(shí)也能改善校園網(wǎng)絡(luò)的應(yīng)用及管理。

1 VPN技術(shù)在校園網(wǎng)中的應(yīng)用現(xiàn)狀

據(jù)調(diào)查，當(dāng)前我國(guó)校園網(wǎng)對(duì)VPN技術(shù)的關(guān)注已經(jīng)到達(dá)了相對(duì)性的高潮，現(xiàn)在有很多高校已經(jīng)開(kāi)始實(shí)行或者準(zhǔn)備使用VPN。

其實(shí)各個(gè)高校應(yīng)用VPN的目的大都相同，一是把需要VPN的校外學(xué)生或者是教工招進(jìn)學(xué)校，為他們提供VPN的連接服務(wù)，如北京航空大學(xué)的VPN遠(yuǎn)程訪問(wèn)系統(tǒng)目前在全面建立；二是必須要確保VPN技術(shù)的連接服務(wù)僅為授權(quán)者，可在總校和分校之間設(shè)立一個(gè)VPN網(wǎng)絡(luò)通道，這樣就能夠進(jìn)行一系列的信息傳遞與共享。然而，不同高校對(duì)VPN技術(shù)的需求都有差異，有些學(xué)校需求比較獨(dú)特，如陜西大學(xué)內(nèi)的VPN技術(shù)設(shè)立，它的目的主要是給校外師生方位IPV6時(shí)提供服務(wù)。

當(dāng)前各個(gè)高校對(duì)VPN的需求主要有以下幾個(gè)方面：（1）滿足校外的師生對(duì)校內(nèi)網(wǎng)站訪問(wèn)的需要。VPN網(wǎng)絡(luò)可以在公共IP網(wǎng)絡(luò)上設(shè)立私密的數(shù)據(jù)輸送通道，通過(guò)輸送來(lái)的數(shù)據(jù)進(jìn)而對(duì)分校各個(gè)辦公室已經(jīng)辦公人員進(jìn)行遠(yuǎn)程連接交流，以此來(lái)減低校園網(wǎng)的訪問(wèn)障礙，同時(shí)也能節(jié)約費(fèi)用；（2）滿足分校間的訪問(wèn)需要。如今有很多高校都在不同程度上的對(duì)分校間的服務(wù)器進(jìn)行研究，就是為了方便各校之間的管理及控制，也容易進(jìn)行資源的統(tǒng)一和分配；（3）處理圖書(shū)館資源的訪問(wèn)問(wèn)題。對(duì)于高校數(shù)字圖書(shū)館的管理，版權(quán)問(wèn)題一直以來(lái)都是比較受關(guān)注的重要問(wèn)題，無(wú)論哪類(lèi)的圖書(shū)資源都要按數(shù)字版權(quán)進(jìn)行保護(hù)，不僅如此，還要通過(guò)加密技術(shù)進(jìn)行安全保護(hù)管理，以防這些資源被非法使用。因此，高校數(shù)字圖書(shū)館里，有很多電子資源都對(duì)所訪問(wèn)的IP地址范圍進(jìn)行掃描限制。支付過(guò)費(fèi)用后，數(shù)據(jù)庫(kù)要對(duì)訪問(wèn)者的IP判斷，看這個(gè)地址有沒(méi)有被授權(quán)。所以，各個(gè)高校都需要一個(gè)網(wǎng)絡(luò)體系，可以管理、判斷安全的遠(yuǎn)程訪問(wèn)資源的處理方案。

2 VPN在高校網(wǎng)絡(luò)安全體系中的使用原則

安全保證。網(wǎng)絡(luò)的安全使用是校園網(wǎng)絡(luò)體系中使用VPN的最基本的保證，也是最根本的原則，因此，高校使用VPN技術(shù)是需要充分的安全保障制度，其中最重要的機(jī)制分別為身份認(rèn)證、數(shù)據(jù)訪問(wèn)安全性以及數(shù)據(jù)保密。

有效管理。為讓VPN用戶的使用過(guò)程更加方便，對(duì)VPN技術(shù)服務(wù)器來(lái)說(shuō)，就比較需要和VPN相關(guān)的客戶端與服務(wù)臺(tái)配置工具，同時(shí)客戶端也要有著優(yōu)質(zhì)的界面。VPN用戶的操作記錄也是配置工具所要具備的功能，只有這樣才能更有效的把瀏覽記錄傳輸給網(wǎng)絡(luò)的安全審計(jì)。

可兼?zhèn)洳煌脚_(tái)。相對(duì)于校園VPN服務(wù)來(lái)說(shuō)，有多個(gè)平臺(tái)來(lái)工作是需要多方面考慮的，只有滿足了這樣的需求才能把安全的網(wǎng)絡(luò)連接上，才能更方便給辦公用戶隨時(shí)隨地使用，還需要有多個(gè)平臺(tái)的多方操作系統(tǒng)平臺(tái)。

2.1 校園中VPN技術(shù)的應(yīng)用功能模型

VPN技術(shù)要在校園內(nèi)應(yīng)用一定要把校園網(wǎng)絡(luò)的使用需求范圍完全考慮在內(nèi)，同時(shí)，還要與VPN技術(shù)應(yīng)用的基本原則結(jié)合，更具體點(diǎn)來(lái)說(shuō)的話，VPN網(wǎng)絡(luò)技術(shù)在高校中的應(yīng)用功能模型大概主要有四個(gè)模塊：（1）后臺(tái)管理：后臺(tái)的主要作用就是收集VPN技術(shù)服務(wù)器的訪問(wèn)記錄，然后把這些記錄傳輸給安全審計(jì)來(lái)管理。同時(shí)，后臺(tái)還對(duì)使用客戶的操作記錄以及詳細(xì)情況進(jìn)行總結(jié)；（2）瀏覽控制：這個(gè)模塊的作用主要就是對(duì)VPN瀏覽控制的方案進(jìn)行詳情設(shè)立，給予客戶訪問(wèn)準(zhǔn)確性；（3）身份驗(yàn)證：對(duì)客戶端方進(jìn)行驗(yàn)證，客戶端和服務(wù)端的認(rèn)證方式是不同的，把數(shù)字認(rèn)證方式應(yīng)用到內(nèi)網(wǎng)中，把用戶和用戶密碼相結(jié)合的方式用到外網(wǎng)驗(yàn)證中，把數(shù)字認(rèn)證書(shū)用到客戶端對(duì)服務(wù)端的認(rèn)證中去；（4）數(shù)據(jù)傳輸：在如今的網(wǎng)絡(luò)體系中，數(shù)據(jù)傳輸模塊被稱為核心模塊，主要作用是加密數(shù)據(jù)并且轉(zhuǎn)發(fā)數(shù)據(jù)。

2.2 VPN在校園網(wǎng)絡(luò)安全體系中的具體應(yīng)用

某高校是由中國(guó)電信供給的光釬連接來(lái)實(shí)現(xiàn)總校和各分校的網(wǎng)絡(luò)連接，通過(guò)光纖連接能夠更好的胡同兩校區(qū)的管理系統(tǒng)，如一卡通、財(cái)物及人事等系統(tǒng)。高校問(wèn)了更安全的管理數(shù)據(jù)傳輸，就將IP SEE應(yīng)用在內(nèi)了，為了使得加密系統(tǒng)更加安全，也能使得數(shù)據(jù)傳輸更加安全。

有些用戶對(duì)VPN技術(shù)有著很高的安全要求，如財(cái)務(wù)部、后勤部門(mén)等等，在校園內(nèi)連接網(wǎng)絡(luò)時(shí)，最好使用二層隔離的策略，再向重心交換機(jī)進(jìn)行傳輸，以這樣的方式來(lái)傳輸各分校之間信息。還有些用戶因沒(méi)有高的安全級(jí)別，所以就對(duì)安全級(jí)別降低了要求，這樣也使得VPN技術(shù)服務(wù)器得到很大的提升。

假如移動(dòng)客戶瀏覽，可使用AccessVPV方案實(shí)現(xiàn)，把這種服務(wù)器設(shè)立在校園網(wǎng)絡(luò)的內(nèi)部中，然后移動(dòng)客戶可以用專用的VPN客戶端接入到校園網(wǎng)絡(luò)中。這樣使用網(wǎng)絡(luò)連接方式只需要ISP提供的寬帶費(fèi)用支付費(fèi)用就可以了，不再需要其他額外的費(fèi)用。

在建設(shè)高校網(wǎng)絡(luò)的VPN服務(wù)器的時(shí)候，在基礎(chǔ)環(huán)境方向上選擇了LINUX網(wǎng)絡(luò)系統(tǒng)，最終通過(guò)實(shí)踐證明，這個(gè)系統(tǒng)有著很好的拓展性，而且重要的是不用付任何費(fèi)用，與Windows Server平臺(tái)來(lái)說(shuō)，它有著更優(yōu)越的性能。系統(tǒng)軟件方面，很多人都選了openWPN操作系統(tǒng)，這個(gè)系統(tǒng)主要是以SSL協(xié)議為基礎(chǔ)的，所以能夠進(jìn)行SSL VPN系統(tǒng)來(lái)建立工作。

3 針對(duì)校園內(nèi)VPN技術(shù)的安全措施進(jìn)行探析

3.1 身份識(shí)別安全性

某軟件職業(yè)技術(shù)學(xué)院設(shè)立校園VPN技術(shù)的過(guò)程中特別添加了PKI認(rèn)證技術(shù)，以此來(lái)方便進(jìn)行身份認(rèn)真，即設(shè)立服務(wù)器連接前，網(wǎng)絡(luò)用戶要必須進(jìn)行身份認(rèn)真才可使用，即用戶的計(jì)算機(jī)上一定要有數(shù)字證書(shū)，如此才能保證客戶連接的安全性，如果不能得到用戶的數(shù)字證書(shū)認(rèn)證，就算收到用戶密碼也是不可以建立連接的，這是為了保證合法用戶的網(wǎng)絡(luò)連接。

對(duì)于CA數(shù)字證書(shū)技術(shù)，它主要是用來(lái)確認(rèn)身份的，是比較獨(dú)特的身份認(rèn)證，其中一方面能夠得實(shí)現(xiàn)安全政策，還能夠讓用戶和數(shù)據(jù)產(chǎn)生不可抵賴性，能夠保證信息的可靠性，然而通信用的CA證書(shū)具有抗重傳功用，還能掩蓋非法登錄?，F(xiàn)如今PKI技術(shù)已經(jīng)被成為國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)，有較高的安全性能。PKI技術(shù)的引進(jìn)使得網(wǎng)絡(luò)安全意義有很大的提升。

3.2 數(shù)據(jù)訪問(wèn)的安全性

連接可靠性。距今VPN網(wǎng)絡(luò)技術(shù)已經(jīng)發(fā)展了很多年，同時(shí)也經(jīng)過(guò)了多年的實(shí)踐驗(yàn)證，這項(xiàng)技術(shù)的連接是比較穩(wěn)定和可靠的。其實(shí)這個(gè)網(wǎng)絡(luò)連接的可靠性和VPN技術(shù)中的軟件及硬件有很大的聯(lián)系。我們?cè)诤勇氃盒５腣PN技術(shù)建設(shè)中用了一臺(tái)2萬(wàn)多元的IBM服務(wù)器，然后再通過(guò)30臺(tái)客機(jī)系統(tǒng)和服務(wù)器建立了VPN連接，最后用軟件再不斷的讀取與改正后臺(tái)數(shù)據(jù)庫(kù)里的數(shù)據(jù)，這些經(jīng)過(guò)一個(gè)多月的時(shí)間來(lái)驗(yàn)證并沒(méi)有出現(xiàn)暫停的現(xiàn)象。因此，相對(duì)于校園網(wǎng)來(lái)說(shuō)，一臺(tái)2萬(wàn)多元的服務(wù)器就能夠滿足日常的使用。

4 結(jié)束語(yǔ)

這篇文章分析了我國(guó)當(dāng)前VPN技術(shù)的現(xiàn)狀，重點(diǎn)對(duì)校園內(nèi)應(yīng)用VPN的具體情況進(jìn)行了論述和探析，還介紹了校園內(nèi)應(yīng)用VPN的各種需求?？偠灾?，本文也是從校園網(wǎng)絡(luò)的實(shí)際情況出發(fā)，將VPN技術(shù)應(yīng)用到校園網(wǎng)中，從而設(shè)計(jì)了VPN安全體系，還對(duì)構(gòu)造這個(gè)過(guò)程進(jìn)行了認(rèn)證和分析，從一定程度上證明了提出這個(gè)方案的正確性。

參考文獻(xiàn)：

[1]徐迎新.VPN技術(shù)在校園網(wǎng)安全體系架構(gòu)中的應(yīng)用研究[D].南昌大學(xué)，2011.

[2]莫愛(ài)民.主流VPN技術(shù)的安全性研究與改進(jìn)[D].南京理工大學(xué)，2012.

[3]劉勇.基于VPN技術(shù)在校園網(wǎng)中的應(yīng)用研究[D].華東師范大學(xué)，2012.

作者單位：廣州市司法職業(yè)學(xué)校，廣州 510440