SSLVPN技术在计算机教学资源网络中的应用

摘 要：本文首先对计算机教学资源网络面临的安全风险进行分析,接着简要介绍了SSLVPN技术的基本原理,由于传统的安全设备不能解决计算机教学资源网络中用户或者设备的身份认证问题、机密性问题、不可否认性问题等,针对这些问题,把SSLVPN技术运用于计算机教学资源网络,设计了一个多层次纵深的计算机教学资源网络安全防护系统,该系统具有安全性较高、高可用性、移动办公方便,访问控制严格的特点,并具有保密性、身份认证、不可否认性等特点.

关 键 词：计算机教学资源网络；网络安全；SSLVPN

中图分类号：TP258.6文献标识码：A文章编号：1007-9599(2012)03-0000-02

TheApplicationofSSLVPNTechnologyintheComputerNetworkofTeachingResources

TanQinhong

(TongrenPolytechnic,Tongren554300,China)

Abstract:Thisarticlefirstputerteachingresourcesworksecurityriskswereanalyzed,thenbrieflyintroducesthebasicprinciplesofSSLVPNtechnology,traditionalsecuritydevicescannotsolvetheauthenticationofusersordevicesintheworkofputerteachingresources,confidentiality,non-repudiationissues,solvetheseproblems,SSLVPNtechnologyusedinputerteachingresourceworkdesignedputerteachingresourceormorethanonelevelindepthworksecurityprotectionsystem,thesystemhashighsecurity,highailability,mobileofficeconvenience,accesscontrolstrict,andhasthecharacteristicsofconfidentiality,authentication,nonrepudiation.

Keywords:Computerteachingresourceswork,Networksecurity,SSLVPN

一、校园网计算机教学系统面临的安全风险分析

随着国家教育事业的快速发展以及IT技术的迅猛发展,人们的生产、生活方式发生了翻天覆地的变化,传统的教室内黑板面授教学模式已经不能完全满足当代的教学工作,必须有一种新的教学方式来弥补传统教学模式单一的不足,计算机教学应运而生,特别是计算机多媒体教学.计算机教学方式中,学习的人可以随时随地的学习,不受时间和空间的限制,并且具有学习成本低廉等一系列优点,因此计算机教学受到越来越多的欢迎.

为方便教师和学生等对教学资源的外部访问,存储有教学资源的网络大多与互联网相连,难免会受到来自于网络内部和外部的攻击,计算机网络的大多设备或软件为国外生产,其中可能存在一些后门程序,操作系统、应用系统等都存在大量的漏洞可以让攻击者利用,计算机病毒等恶意程序、SQL注入攻击、跨站脚本攻击、、钓鱼网站的泛滥让校园网的安全形式不容乐观.

校园网中,用户有学生、教师、外部学习者等主体,教学资源的访问主体的身份不好控制、资源访问控制困难,很难让指定的用户只能访问指定的资源,不能访问其它非授权访问资源、用户对资源的访问不具有抗抵赖等问题.

校园网是学校的门户,是学校的形象窗口,是学校赖以生存的生产资料的一部分,如果遭到恶意攻击,导致不能正常对外部提供怎么写作,将对学校造成严重损失.

二、SSLVPN简介

VPN（VirtualPrivateNetwork虚拟专用网络）[1]是一种在公共的网络基础平台（如inter）上建立专用的数据通信网络的技术.VPN通过对数据包进行加密和封包,在公共网络基础平台上构建出安全、可靠的专用隧道,使私有数据在公共网络上安全传输.用户使用VPN技术,不需要建设自己的专用网络,节省投资,使用便捷,VPN技术因而获得了广泛的应用.

VPN技术发展至今,产生了多个种类,有工作在2层的L2TPVPN,工作在3层的IPsecVPN,工作在传输层和应用层之间的SSL（SecureSocketLayer安全套接层）VPN,基于虚拟路由表和标签转发的MPLS/BGPVPN等.其中SSLVPN由于接入方便、方便用户通过公共网络（如inter）接入业务网络,在远程接入上应用广泛.

SSL是一个独立于平台并独立于应用的协议,用户保护基于TCP的应用.在TCP/IP四层架构中,SSL在传输层之上,应用层之下,像TCP连接所连接的套接字一样工作.

SSLVPN技术帮助用户使用标准的Web浏览器就可以通过公共网络平台接入所要访问的远程资源.在用户的计算机上,不需要安装客户端软件及进行复杂的配置,大大方便了用户,仅仅通过一台接入了Inter的计算机就能访问远程资源.这为企业及政府提高效率也带来了方便.

用户所要访问的资源位于企业网或者政务网内部,在此情况下,需要部署SSLVPN网关在企业网或者政务网的边缘,介于怎么写作器与远程用户之间,控制二者的通信.如下图所示：

SSLVPN网关除了作为隧道的终点,还要执行以下三种功能：写作技巧,应用转换、端口转发[2].

1.写作技巧：它将来自远端浏览器的页面请求（采用HTTPS协议）转发给Web怎么写作器,然后将怎么写作器的响应回传给远端用户.

2.如果用户所要访问的应用不是基于Web的,就要借助于应用转换.将这些应用对客户端的响应转化为HTTPS协议和HTML格式发往客户端,远端用户感觉这些怎么写作器就是一些基于Web的应用.

3.端口转发用于端口定义明确的应用.它需要在终端系统上运行一个非常小的Ja或ActiveX程序作为端口转发器,监听某个端口上的连接.当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSLVPN网关,SSLVPN网关解开封装的数据包,将它们转发给目的应用怎么写作器.使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用怎么写作器.

三、SSLVPN技术在校园计算机教学系统资源网络应用中的安全设计

校园网由于建设资金的有限,往往不可能建设得不是非常完善,都坚持适度安全的原则,在建设成本与校园网面临的安全风险之间达到一定的平衡.下面针对校园网教学网络资源面临的安全风险,根据适度安全的原则,对网络进行设计.根据《信息安全等级保护管理办法》[3]的文件精神,校园计算机教学资源网的建设应根据该网络所面临的安全风险以及该系统遭到破坏后所造成的影响来综合考虑建设的成本与安全水平.中、小的教学资源网可以定义为二级,大型的重要教学资源网可以定义为3级,按照等级保护的要求进行安全的设计与建设.

网络安全的设计参考文献[4,5],本文的安全设计主要集中在身份认证与访问控制.学校往往有不同的校区,各个校区往往物理位置不相连,但各个校区间又要进行安全的通信,如果各个校区或者合作伙伴间通过专线进行连接,虽然安全性较好,但成本太高,SSLVPN的技术刚好可以借助公共网络来构建VPN,建设成本低于专线网络的方式,安全也可以达到要求.使用VPN技术的关键在于身份认证与访问控制等技术的应用.

身份认证与访问控制技术主要使用数字证书技术,颁发数字证书主要有CA/RA系统,计算机教学资源网络由于资金相对有限,建议不需要自己建设CA/RA系统,可以租用可信第三方颁发的数字证书,也可以是使用SSLVPN网关设备自身自带的CA/RA系统,这样节约建设成本.移动办公的管理人员可以在外地利用数字证书技术,通过USB-key对内部的资源进行安全操作,所有的数据流量都经过了高强度加密,操作具有用户身份认证、机密性、不可抵赖性.

根据设计的原则,我们设计的计算机教学资源身份认证与访问控制拓扑图如下：

在拓扑图中,SSLVPN网关和CA/RA系统是本图的关键部分.在设计中,校园教学自由网络身份认证与访问控制使用的数字证书采用可信的第三方颁发的数字证书,用USB-Key存储用户数字证书,通过SSLVPN建立校园资源网络与外部网络用户之间的VPN隧道进入校园教学资源网内访问资源.

数字证书是用户身份的标志,数字证书不重复,存储于USB-key内的用户私钥可以用于数字签名,加解密等.经用户数字签名过的信息具有不可否认性,由于用户网络与内部网络之间建立的隧道中传输的数据都进过了加密,保障了数据传输的保密性,数字证书信息标识了用户的身份,做到了身份的认证,SSLVPN可以对用户可以访问的情况进行细粒度的控制,让不同的用户访问不同的资源,比如,甲用户不能不能访问乙用户的资源,只能访问授权甲用户访问的资源,这样就实现的对资源访问的访问控制.

在本文中,SSLVPN采用了双机负载均衡的方式,外部的移动网络用户、联通网络用户均可以通过VPN接入,当其中的一条线路出现问题,另外一条线路将所有的VPN通信任务.

[2]王达.网络工程师必读――网络安全系统设计[M].电子工业出版社,2009,8

[3]l

[4]王卫亚.计算机网络安全设计与研究[D].长安大学硕士学位论文,2010

[5]王鹏飞.浅谈网络安全设计[J].黑龙江科技信息,2010,2,5