目前, 随着网络资源的发展, 校园数字化无纸化办公的大量应用和教学资源的数据汇总, 已经成为一个学校建设不可忽视的重要部分之一。在我校, 随着数字化建设逐步深入, 数字资源越来越丰富, 广大教职员工对数字资源的依赖性也越来越强。为了保障教学和科研, 以及正常行政办公, 应该保证相关教学和行政工作人员能够随时随地的使用到其数字资源。
1 校内网络资源在使用中面临的问题
随着校园网的不断建设, 网络办公系统、电子图书管、教务管理系统、人事管理系统、档案管理系统等等资源的不断完善, 为教职员工的日常教学、管理工作带来极大的便捷性, 同时也较好的提高了工作效率, 降低运营成本。但由于高校教师工作的性质, 使得他们经常不在校园内办公, 然而上诉校园网内的资源是专有的, 只对拥有校内合法IP地址的用户开放, 这就导致很多身处校外的用户无法通过互联网访问到相关数字资源。此外, 由于利益驱使, 公共网络与教育网互访时都对对方用户在带宽上做了严格地限制, 这就使身处校外的教师通过公网访问教育网内公开资源时受到很大限制, 经常由于超时而无法正常访问教育网的公开信息.因此, 我们必须采取一种方式使得用户可以在互联网的任意一个接入点, 均能通过某种身份认证方式, 合法地访问到校园内专有数字资源和教育网内的共有资源。只有解决这个问题, 才能使整个教育网资源得到最大化利用的同时又为教职员工提供更高得便利性。
2 SSL VPN工作原理及Radius认证服务
(1) SSL VPN工作原理:虚拟专用网VP N (Virtual Private Network) 就是利用公网来构建专用的网络, 它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时V P N又具有专线的数据传输功能, 因为VPN能够像专线一样在公共网络上处理自己单位内部的信息。
SSL VPN即指采用SSL (Security Socket Layer) 协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议, 它包括:服务器认证、客户认证 (可选) 、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说, 使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用, 也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中, 使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言, SSL VPN具有部署简单, 无客户端, 维护成本低, 网络适应强等特点, 这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
SSL VPN技术具有以下优点: (1) 方便。实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的, 因此, 实施工期很短, 如果网络条件具备, 连安装带调试, 1~2天即可投入运营。 (2) 容易维护。SSL VPN维护起来简单, 出现问题, 只需维护网关即可。 (3) 安全。SSL VPN是一个安全协议, 数据全程加密传输的。
(2) Radius认证服务:Radius (Remote Authentication Dial In User Service) 远程用户拨号认证服务原本设计用于对拨号用户进行身份验证和计费, 这些功能经常被电信部门所使用, 我们拨号上网后收到的账单就是Radius服务器统计出来的。目前Radius认证服务被广泛应用于VPN组网方案中。VPN设备只需成为Radius客户端, 然后把VPN用户发来的身份验证凭据转发到Radius服务器, 这样VPN设备可以从身份验证工作中解脱出来, 专心干好自己的本职工作。
3 SSL VPN资源共享系统的实现
目前, 我校的网路建设已经比较完善, 网络结构相对稳定, 网络应用具有相当规模, 因此, 在实现远程共享校内资源的解决方案时用重点考虑以下问题: (1) 对现有网络拓扑影响最小, 即尽力不改变现有网络结构; (2) 要有效的保护校内资源的安全; (3) 用户接入简单
(1) SSL VPN组网:采用基于SSL VPN技术和Radius认证服务的组网方案可以有效的解决上述问题。如图1所示, 我校的SSL VPN资源共享系统采用全隧道模式, 为降低主出口路由器的负载, 将硬件VPN设备一端与校园网中的汇聚层交换设备相连, 另一端连入电信网内, 形成与公网交互的通道, 这样校外用户可在互联网的任意位置通过访问VPN的电信接口, 通过身份认证进入V P N校园网, 用户通过V P N既可以访问校内私有资源, 也可以访问互联网资源。
(2) 用户身份认证:本系统采用Radius (远程用户拨号认证服务) 认证方式, 由于本校对教师和学生开放不同资源访问权限, 所有针对这两类用户分别配置了两台Radius服务器;我校组建的VPN设备支持多Radius认证, 多个Radius设备同时在线, 如果在一个Radius服务器账号认证不成功, 自动到另外一个Radius服务器上去认证, 通过这样配置, 有效解决不同用户的身份认证问题。
4 结语
通过组建SSL VPN网络, 我校用户可以从任何互联网接入点拨入VPN, 经过合法身份验证后, 访问所有校内私有资源, 解决了公网与教育网之间的互访瓶颈问题, 为广大教职人员的日常教学科研等工作带来极大的便捷性, 实现校内资源利用的最大化。
摘要:本文通过在对本校数字资源用户的特殊性进行分析, 对数字资源使用中面临的问题进行研究的基础上, 阐述了基于SSLVPN在我校数字资源远处共享应用中的具体解决方案;同时对应用过程中可能遇到的问题进行了探讨。
关键词:SSL,VPN,Radius认证,共享,数字资源
参考文献
[1] 田晓玲.北京工业职业技术学院学报[J].基于VPN的校园数字资源分布式共享应用研究, 2007 (10) 30~33.
[2] 魏岳, 王文静, 赵蔚.福建电脑[J].基于VPN的校园网组网模式分析, 2009 (2) 85~86.
[3] 余张照.档案学通讯[J].利用VPN技术构建全国档案信息共享网络的研究, 2006, (4) 49~51.
[4] 黄磊, 张媛.科技信息[J].利用VPN实现独立学院校园网的远程访问, 2009 (1) 491~492
[5] 刘渝.现代情报[J].VPN技术在数字图书馆中的应用, 2009, 9 (29) 88~90.
[6] 张国祥.武汉理工大学学报[J].虚拟校园网的研究与实现, 2005 (1) .
[7] http://www.docstoc.com/docs/29442255.