◆刘 璀 叶新恩 杨 玲



基于SSL VPN技术的数字化校园统一认证平台研究

◆刘 璀 叶新恩 杨 玲

（中央财经大学网络信息中心 北京 100081）

本文首先指出了高校师生在校外使用校内信息化资源时面临的问题，接着介绍了SSLVPN的技术特点，并结合中央财经大学校园网实际状况，提出了基于SSLVPN的高校数字化校园统一认证平台。通过实践证明，该方案很好地解决了校外用户安全、高效和可靠地访问校园网信息化资源的问题。

SSL VPN；数字化校园；统一认证平台

0 引言

在教育部近期印发《教育信息化2.0行动计划》通知中，明确提出要构建一体化的“互联网+教育”平台，通过网络，开放整合教育资源和支持系统，逐步实现资源平台和管理平台的互通、衔接与开放。

随着高校信息化建设进程的不断推进，校园网上运行着教学、招生、校务管理等各种各样的服务于师生的信息系统，随之而来的教学、图书、期刊等数字资源也越来越丰富。校园网上的信息资源分为两类：一种是可以向互联网用户开放的信息；另一种仅对校内用户开放的内部资源，如电子图书、期刊数据库、精品课程以及校内用户使用的信息系统等，既有师生开展教学与科研活动的重要资源，也有工作平台。比如学校使用大量经费购买的数字资源属于第二种，由于版权以及并发数限制，大部分数字资源都只允许被校内用户使用。

为了响应“互联网+教育”的教育资源开放共享的要求，实现师生随时随地安全、高效和可靠地访问校园网信息化资源成为了需要解决的问题。虚拟专用网VPN(virtual private network)技术在广域网上通过建立专用虚拟通道的方式实现了数据的安全传输，成为各个高校为用户解决通过公网访问校内信息化资源问题的重要技术手段之一。[1]

1 SSL VPN技术概述

1.1 VPN技术

虚拟专用网VPN是指将在物理上分布于不同区域的网络通过公用骨干网络连接成的逻辑上的虚拟子网，它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护,防止通信信息被泄露、篡改和复制[2]。按照实现技术的不同，VPN可分为PPTP、L2TP、MPLS、IPSec、SSL等，其中基于SSL VPN应用最为广泛[3]。

1.2 SSL协议

SSL(Secure Sockets Layer 安全套接层)协议是为网络通信提供安全及数据完整性的安全协议，在传输层对网络连接进行加密[4]。SSL协议由网景公司提出目前被广泛应用于各种浏览器应用，其最初目的是给使用HTTP协议加密使用的安全套件，即443端口的HTTPS协议。SSL的体系结构中包含两个协议子层，其中底层是SSL纪录协议层（SSL Record Protocol Layer），高层是SSL握手协议层（SSL HandShake Protocol Layer）。

1.2.1 SSL协议特性包括：

（1）保密：在握手协议中协商了会话密钥后，所有的消息都被加密。

（2）鉴别：可选的客户端认证和强制的服务器端认证。

（3）完整性：传送的消息包括消息完整性检查（使用MAC）。

1.2.2 SSL握手协议

开始加密通信之前，客户端和服务器必须建立连接和交换参数，这个过程叫做握手，握手协议由一系列客户端与服务器之间交互的报文组成，协议有三个目的：

（1）客户端与服务器就保护数据的算法达成一致。

（2）双方需要协商一致所使用的加密密钥。

（3）选择是否对客户端进行认证。

在传输应用数据之前，必须首先完成握手过程。

1.2.3SSL协议的握手过程如下：

（1）客户端请求建立SSL链接，并向服务端发送一个随机数和客户端支持的加密方法。

（2）服务端回复一种客户端能够支持的加密方法、一个随机数、数字证书和证书中包括的非对称加密的公钥。

（3）客户端收到服务端的回复后利用服务端的公钥加密一个新的随机数，发送给服务器。

（4）服务端收到客户端的回复，利用自己的私钥进行解密，获得新的随机数。

（5）双方根据约定的加密方法，使用前面的三个随机数，生成"对话密钥"（session key），用来加密接下来的整个对话过程。

1.2.4 SSL记录协议

记录协议在客户机和服务器握手成功后使用，向SSL连接提供完整性和私密性服务。

SSL记录协议中发送方从应用层接受传输的应用报文后，首先将数据分片成可管理的块，数据块一般为16KB或更小。压缩后加入信息认证码（MAC）。使用共享密钥对压缩报文和MAC码进行数据加密，增加SSL首部后，将结果传输到网络层。

SSL记录协议中接收方从网络层接受报文后并解密后，用事先商定的MAC码校验数据，如果是压缩的数据，则解压缩。重装配数据后传输到应用层。

1.3 SSL VPN技术

SSL VPN采用SSL协议来实现远程接入。SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等优势，只要在浏览器端通过用户和密码验证即可访问应用服务。SSL VPN基于HTTP反向代理技术，能够提供远程安全访问服务，高校广泛采用这一技术来实现外网用户对内网应用和数据资源的安全访问[5]。

2 基于SSL VPN的统一认证技术

2.1 认证架构体系

SSLVPN产品提供了一套灵活的认证架构体系。用户通过SSL VPN访问应用的第一步就是访问用户登录页面。在登录页面上，不同类型的用户可以选择登录自己允许的登录方式，根据登录方式的要求输入账户和密码并提交。SSL VPN网关接收到用户名、密码和登录方式后，选择对应的认证服务器池，将用户名和密码转发到认证服务器。然后SSL VPN根据认证服务器的返回结果，给用户返回认证成功或者失败原因等信息[6]。

2.2 基于SSL VPN技术的数字化校园统一认证平台设计

（1）统一认证平台网络拓扑设计

图1 统一认证平台网络拓扑

如图所示，在学校主校区的DMZ区部署SSL VPN产品，将该设备配置为统一认证中心，同时配置VPN功能。用户对应用服务器的访问必须经过SSL VPN。如果有分校区，则在分校区DMZ区也部署SSL VPN产品并配置VPN功能，并将其认证方式设置为SAML（Security Assertion Markup Language安全声明标记语言）IDP （IDP为主校区的统一认证中心）。SSL VPN还提供统一的资源门户。当用户登录SSLVPN后，可以通过统一资源门户查看所有已访问授权资源，包括Web应用资源、文件资源、远程桌面资源等。每一个资源都代表后台一个真实的业务链接。点击每个链接时，SSLVPN为了减少重复登录工作，自动与后台服务器配合完成登录功能，用户可以直接看到登录后的资源页面。

（2）认证方法定义

参照计算机等级保护2级的要求，定义通用的认证方式为：静态密码+短信密码双因素认证方式，所有用户都可以通过该方法登录统一认证平台，认证服务器登录成功后返回用户所属的组信息，该信息将作为角色划分用。保留部分静态密码登录方式，通过该方式登录的用户会获得一个特定的角色。

（3）角色划分和权限定义

根据用户在认证服务器所属的组为其建立对应的角色。将所有的应用定义为Web资源和7层访问控制列表。为每个角色分配可以访问授权的Web资源和7层访问控制列表。

（4）方案安全性的考虑

参照计算机等级保护等级2级的要求，需要做的安全配置包括：用户对统一认证平台访问的所有流量必须基于TLS1.2、RSA、AES256、SHA2等标准的SSL层加密传输；用户登录/登出和访问日志必须接入到日志分析平台，并保存6个月以上。

3 结束语

本文深入分析了基于SSL VPN的统一认证技术、基于角色的授权技术和统一资源门户技术，组建高校数字化校园的统一认证平台的方案，推动了信息化资源整合。随着技术的不断演进，SSL VPN还能够支持多种双因素认证，包括静态密码+证书认证、静态密码+短信密码认证、静态密码+手机动态码认证、微信扫码认证、矩阵密码认证等认证方式，用户可以根据自己业务需求或安全等级要求做出选择。

[1]蒋东毅,吕述望,罗晓广.VPN的关键技术分析[J].计算机工程与应用,2003.

[2]何亚辉.基于SSL协议的VPN技术研究及在校园网中的应用[J].重庆理工大学学报（自然科学版),2011.

[3]朱伟珠.利用VPN技术实现高校图书馆资源共享[J].情报科学,2007.

[4]易光华, 傅光轩,周锦顺.MPLSVPNIPSecVPN和SSLVPN技术研究与比较[J].贵州科学,2007.

[5]任德玲,卫韦.基于IPSecVPN的MPLSIPVPN的设计与实现[J].计算机应用研究,2006.

[6]李鑫,张琴.基于多VPN技术的高校数字化校园网组建研究.山西大同大学学报(自然科学版).2017.