巩林立

【摘要】VPN技术应用于远程教育系统的构建中,既可以保证数据安全,又可以节省远程用户的访问费用,同时可以在VPN上开展不同形式的远程教学。文章结合实际,探讨高校远程教育VPN网络平台的实现过程。

【关键词】VPN;远程教育;远程教育平台

【中图分类号】 G40-057 【文献标识码】A【论文编号】1009—8097(2009)12—0130—03

一 引言

远程教育具有用户数量多、分布范围广、接入方式多样化的特征,如何保证远程教育得以顺利开展,是构建远程教育系统时应该考虑的主要问题[1]。随着Internet的迅速发展,各种宽带接入方式的出现,虚拟专用网技术(VPN)也应运而生。VPN是利用开放的公众网络建立专用数据传输通道,将远程的站点、伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信,是一种虚拟技术。把VPN技术应用于远程教育系统的构建中,既可以保证数据安全,又可以节省远程用户的访问费用,同时可以在VPN上开展不同形式的远程教学。本文结合实际,探讨高校远程教育VPN网络平台的实现过程[2]。

二 建设目标

总体目标是利用VPN技术建立一个基于Internet的远程教育系统的私有网络,实现在该VPN网络平台上,远程教育各个管理应用系统数据的安全传输,以及对接入用户身份的有效认证和方便控制。尤其在对教师、学员等移动用户的接入身份认证上,需要将VPN系统和高校远程教育应用系统的身份认证模块无缝整合,实现VPN接入和应用系统用户身份的集中管理和统一控制,极大方便系统管理员管理和用户使用。

三 系统设计

在我校远程教育系统信息中心,通过千兆光纤连接到互联网。由于中心网点是整个系统的核心,要确保高可靠性,所以在出口处部署2台100/1000M自适应级安全网关,实现双机热备功能。对于分支机构,根据各分支机构的不同情况,分别部署硬件安全网关设备和软件网关到各驻外机构。对于老师这类移动用户,采用“USB KEY”硬件方式进行身份认证,通过配套的安全客户端软件实现远程移动安全接入[3]。对于学员这类移动用户,采用“用户名+密码”纯软件方式进行身份认证(在安全客户端启动界面上输入),结合安全客户端软件实现远程移动安全接入(如图1)。

图1 系统网络拓扑示意图

1 服务端

在网络的出口处,部署VPN安全网关(安全网关综合利用了隧道技术、加密技术、认证技术来保护大学远程教育系统和下属市、县远程教育系统内网的安全通讯、安全传输)[4]。另外,安全网关可以提供高可靠性的双机热备功能,可以在主设备发生故障时,备份网关自动快速进行状态切换,确保系统工作不中断。安全网关可以实现以下几方面功能:

(1) 和远地分支机构网络边界部署的VPN安全网关或安全客户端建立VPN加密隧道,确保数据传输安全;并能够通过VPN通讯策略的灵活设置,根据用户要求实现对指定网段/范围/IP地址的PC的应用系统数据传输进行加密保护。

(2) 对总部内网的防火墙防护:安全网关具备优良的状态检测防火墙功能,可以防御外网对内部主机的端口扫描、各种DoS/DDoS攻击等恶意攻击行为,还可以抵御各种常用的应用层攻击。另外,可以通过VPN安全网关上的访问控制策略,对内网PC进行严格的基于“五元组+时间”的访问控制[5]。如:为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒;也可以使用网关中的“用户上网认证”功能,使用户在使用浏览器上网浏览时,首先要通过网关的访问密码认证;禁止某些URL网址的访问等[6]。

(3) 安全网关具备八个等级的QoS控制功能,能够为VOIP和视频等需要优先的网络应用保留带宽和优先处理,这样当网络拥挤时,也能够保障VOIP和视频的畅通和话音质量。安全网关能够将访问控制策略与保留带宽绑定,并能为这些应用设定优先级,共有8个处理等级可以设置。

2 各地分支机构

可以根据各分支机构的不同情况,分别部署硬件安全网关或安全客户端系统(配合USB KEY)到各驻外机构。具有子网的各驻外机构采用ADSL或者其他宽带方式(如Cable Modem、FTTB等)接入Internet。建议在有一定规模的局域网出口处,部署中低端型号的安全网关,如:SGW25A或SGW25B;建议在仅有少数终端的分支机构(如办事处),在需要联入远程教育网的终端上安装安全客户端软件(与USB KEY配合使用),并与上网代理软件或NAT软件配合构成软件网关,从而和总部联网实现VPN加密通讯(如图2)。

图2 中等规模分支机构网络示意图

可根据用户的网络接入带宽和网络规模,选择合适的安全网关产品。对于规模较小的网点,可以采用安全客户端软件加硬件USB KEY实现和总部的互连(如图3)。

图3 小规模分支机构网络示意图

3 教师和学员等移动用户

远程教育系统的用户数目庞大,主要包括教师和学员。

对于大数量的用户,需要有一个很好的组织方式,方便管理和维护,并且和应用系统能够无缝整合,实现VPN接入身份认证和应用系统身份认证完全实现统一:统一管理、单点登录[7]。对于教师,由于数量较少,人员比较稳定,而且使用的系统与内部管理关联紧密,所以需要更高的安全性。建议采用安全客户端配套USB KEY来解决教师和总部VPN安全网关的互联互通。

对于学员,由于数量庞大,而且分布在全国各地,不便进行现场支持,而且稳定性相对较差,所以建议采用纯软件版的安全客户端系统实现和总部VPN安全网关的互联互通,同时通过“帐户名+口令”的方式进行VPN接入身份认证;并且通过定制,实现VPN接入的“帐户名+口令”与应用系统的“帐户名+口令”完全一致,实现单点登录。

根据上述方法,一种对用户(教师和学员)实现统一管理的方法,可采用LDAP目录来保存用户信息,所有的用户信息都保存在LDAP服务器上[8]。

LDAP是Lightweight Directory Access Protocol的缩写,基于X.500标准,但是简化了很多并且可以根据需要定义。与X.500不同的是LDAP支持TCP/IP,这是访问Internet所必须的。通过LDAP可以访问存储在LDAP目录中的信息。LDAP目录采用树型层次结构来存储数据,就象DNS的主机名一样,LDAP目录中记录的的标志名(Distinguished Name)用来读取单个记录,并回溯到目录树的顶部。

大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此,当从LDAP服务器中读取数据的时候会比从关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化,大多数的LDAP目录服务器并不适合存储需要经常改变的数据。对于学员组织结构这样需要经常查询,但是很少修改的信息,非常适合存储在LDAP目录中。

LDAP允许根据需要使用ACL(访问控制列表)来控制对数据的读写权限,指定不同的用户可以拥有不同的操作权限,实现用户信息的分级管理。

针对我校远程教育网的情况,LDAP目录用来存储学院的学员信息,LDAP目录可以根据学院的组织结构来组织。LDAP目录以学院为根目录,以不同的系为下一级目录,如果有需要,每个系可形成再下一级的目录,最后的记录项保存学员的相关信息。同时,通过使用LDAP的ACL,允许学院的管理员对所有用户信息有读写权限,而系管理员只对本系的用户信息有完全的读写权限。

采用LDAP目录来存储用户信息,可以根据学院组织结构来组织用户,方便地实现用户的分级管理,减少管理员的工作量。当用户通过VPN客户端请求连接到安全网关时,先以SSL方式连接到SGW25C安全网关,并上传“帐户名和密码”,安全网关从LDAP服务器获取用户的相关信息,并校验用户身份。如果用户身份校验通过,安全客户端将和安全网关通过IKE协商建立VPN隧道,通过隧道访问内网应用服务器。LDAP服务器由应用系统管理员进行管理。

四 结束语

远程教育平台的发展日新月异,新技术在远程教育中的应用更是层出不穷,如何选择最佳的技术和开发方案,并遵循合理的开发规范来设计现代远程教育平台,一直是业界研究的热点。VPN具有较高的安全性,良好的扩展性,灵活的控制策略,强大的管理功能等优势,随着技术的进一步发展,VPN还能够提供QoS服务质量保证,支持各种多媒体业务,因此,VPN在远程教育中将会得到更广泛的应用[9]。

————————

参考文献

[1] 姜庆.MPLSVPN在现代远程教育中的应用[J].软件导刊(教育技术),2008,(7):62-64.

[2] 高海英等.VPN技术[M].北京:机械工业出版社.2004.

[3] 肖晓梅.利用VPN实现高校校园网的远程访问[J].中国教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技术在高校图书馆远程访问中的应用[J].现代情报,2008,(4):82-84.

[5] 刘卫国.VPN技术在高校图书馆的应用[J].图书馆工作与研究,2007,(6):39-41.

[6] 朱伟珠.利用VPN技术实现高校图书馆资源共享[J].情报科学,2007,(7):1058-1061.

[7] 王春海,张晓莉,田浩编著.VPN网络组建案例实录[J].北京:科学出版社,2008.

[8] (美)Richard Deal著,姚军玲,郭稚晖译.Cisco VPN完全配置指南[M].北京:人民邮电出版社,2007.

[9] 蒋艳萍.基于VPN技术的远程教育中的教学、教务管理信息系统的设计与实现[D].北京:北京化工大学,2004.