网站原创摘 要:随着高校规模的不断扩大,很多高校都拥有跨地域的多个校区,校园网的数据资源和网络资源主要集中在校本部的网络中,用户远程访问校园网就成为急需解决的问题.SSLVPN采用标准的安全套接层对传输中的数据进行加密,在应用层实现了数据的安全性和完整性.
关 键 词:校园网;SSLVPN;远程访问
| 有关论文范文主题研究: | 关于操作系统的论文范文检索 | 大学生适用: | 学位论文、专升本论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 38 | 写作解决问题: | 本科论文怎么写 |
| 毕业论文开题报告: | 论文提纲、论文目录 | 职称论文适用: | 职称评定、初级职称 |
| 所属大学生专业类别: | 本科论文怎么写 | 论文题目推荐度: | 经典题目 |
中图分类号:TP393文献标识码:A文章编号:1007-9599(2012)21-0000-02
1引言
虚拟专用网(VPN)[1]技术研究始于20世纪60年代,第一个专用网络是通过租用AT&T专线来实现的.90年代初,Inter开始应用VPN技术.1997年,VPN被InfoWorld评选为四项重要技术之一[2].VPN从诞生起,就被人们普遍关注.它利用现有的Inter资源,可以完成异地分支机构、合作伙伴和移动用户互联,并具有低成本、数据安全性、便于扩充和管理等优点,因而成为网络技术研究的热点.
2SSLVPN
SSLVPN提供一个无缝连接的、无客户端的远程访问方式远程用户使用浏览器就可以以某种粒度访问公司的特定资源,而不再需要安装客户端[3].
2.1访问粒度的支持
SSLVPN工作在传输层和应用层之间,为企业提供粒度级访问控制的能力.特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群.内置的日志记录和审核能力能处理各种合法要求.
2.2易用性
SSLVPN适合用户远程访问,并支持大多数的终端、操作系统和浏览器等,方便人们使用.采用动态接入技术,用户可以在任何地点发起连接,请求接入.对应用了NAT和防火墙的网络提供良好的支持.
2.3网络防御能力
SSLVPN在连接建立之前对客户端进行身份验证,确保接入者身份的合法性;数据通信全程加密,保证数据传输的机密性和完整性;另外,SSL网关隔离了内部怎么写作器和客户端,使客户端的大多数病毒木马感染不到内部怎么写作器.因此,SSLVPN具有高强度的网络防御能力.
2.4对网络升级支持
当前,由于Ipv4地址资源的匮乏,Ipv6即将应用到网络结构当中.由于SSLVPN使用的是SSL协议在网络层之上,因此受到的影响也较小,只需要略作修改即可正常使用.
3SSLVPN的设计与实现
3.1校园网VPN的体系结构
依据某高校校园网的网络现状及访问需求,本设计在校本部搭建VPN怎么写作器,分校区搭建VPN客户端怎么写作器,移动客户端使用客户端软件实现VPN系统构建.
分校区与校本部建立点到点的InterVPN,使用数字证书实现身份认证,移动用户与校本部建立AccessVPN,使用口令实现身份认证.
3.2VPN系统设计
针对分校区子网访问和校外节点移动访问,本系统实现了两种类型的VPN:
1.校本部与分校区之间建立点到点VPN.校本部的VPN怎么写作器部署在防火墙之后,做路由转发和NAT设置.分校区VPN客户端申请客户端数字证书client.crt,客户端怎么写作器作为子网网关,做防火墙和NAT设置.
2.校外节点与校本部之间建立AccessVPN.VPN怎么写作器通过用户名和验证校外节点用户身份,校外节点通过CA证书验证怎么写作器端身份.校本部VPN怎么写作器从CA申请数字证书和密钥,在VPN怎么写作器中为校外节点访问用户建立用户数据库,存放用户名和.远程用户下载CA证书和客户端软件.
3.3校园网VPN的实现
本文利用OpenVPN软件来建立校园网VPN系统.OpenVPN是一款开源软件,支持多种身份验证方法包括:预共享私钥,第三方证书以及用户名/组合.它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议,支持远程访问、点到点和WiFi等多种VPN接入方案[4].这里使用OpenVPN为分校区和校本部建立了使用数字证书验证的点到点VPN,为校外节点与校本部建立了使用用户名+验证的远程访问VPN.
1.点到点VPN的配置.学院本部配置VPN的怎么写作器为分校区子网提供点到点的VPN访问.分校区的一台计算机上安装VPN的客户端,该机器兼为内网机器提供NAT转换,防火墙和VPN怎么写作.客户端安装的操作系统为Windows2003Server.本方案中采用OpenVPN的IP路由隧道(RoutedIPtunnels)建立点到点的通信隧道,使用RSA证书和密钥的公钥体系进行身份验证.
点到点VPN主校区怎么写作器端实现:
网络环境部署:该步骤主要完成网络连接和路由转发设置.
系统环境部署:完成OPENVPN系统环境的搭建,主要任务有:
(1)准备好TUN/TAP驱动文件和OpenSSL库(LINUX内核自带).(2)安装LZO库.(3)编译安装OPENVPN怎么写作.
设置证书和密钥:本系统建立证书server.key,server.crt,client.key和client.crt到/easy-rsa/keys/目录下.另外,创建tls-auth密钥ta.key,为点对点的VPN连接提供了进一步的安全验证最后将上述文件所在的keys/文件夹转移至/etc/openvpn/目录
创建怎么写作端配置文件:该文件主要设置怎么写作端监听端口、隧道、怎么写作模式等.点到点VPN分校区客户端实现:
分校区VPN客户端是作为内部局域网的网关部署的,需要做防火墙和NAT的配置,但不是本文的重点;其它的网络环境部署和系统环境部署与主校区VPN类似.
2.远程访问VPN的配置.下面在VPN怎么写作器上配置,实现用户校外节点的远程访问.
远程访问VPN,怎么写作器端对客户端用户使用“用户名/”验证方式对用户的身份实现验证,客户端对怎么写作器端使用证书进行验证.怎么写作器端实现:
网络及系统环境的部署与(1)中类似,不再赘述.
设置证书和密钥:创建证书ca.crt和私钥ca.key,、server.crt和密钥server.key.
创建数据库:(用于存放用户名和)
创建数据库文件“VPNDB”,并创建表,表名“vpnuser”,
配置pam_mysql模块,创建/etc/pam.d/openvpn文件,生成ta.key:该文件使用HMACfirewall参数生成,用于防止Dos攻击.怎么写作器端配置文件server.conf.
客户端配置文件client.conf:用于客户端设置系统环境用.
4结束语
本文以某高校校园网远程访问为背景,设计并实现了校园网SSLVPN系统.这里只研究了使用软件构建SSLVPN的方法,没有在网络安全和怎么写作质量方面做深入的研究,所以今后还可以从怎么写作性能、负载均衡、网间加速和性能指标方面进一步完善.