◆黄 超王 勇

（1.桂林电子科技大学 广西 541004；2.柳州城市职业学院 广西 545036）

VPN技术在校园网络安全体系中的应用研究

◆黄 超1，2王 勇1

（1.桂林电子科技大学 广西 541004；2.柳州城市职业学院 广西 545036）

随着信息化建设的深入，校园网已成为高校的基础通信与管理平台。为了强化信息化的统一管理，VPN技术在校园网安全体系中得到了广泛应用。本文简述了VPN的关键技术和校园网对VPN技术的需求，给出了VPN应用解决方案，最后设计了一个结合PKI技术的增强型VPN校园网安全体系模型。

VPN技术；校园网；安全体系

0 引言

随着网络技术的发展，校园网络承担了实现校园全方位信息化的重任。校园网上各种管理应用系统的不断增加，各种各样的网络需求和安全问题对传统校园网提出了巨大的挑战。当前校园网建设中存在有几个突出问题：（1）一所学校拥有跨地域的多个校区，校园网的数据和服务资源往往集中在主校区校园网上。如何把各个校区的局域网构建成内联网，实现内部资源安全共享。（2）教职工有越来越多的移动办公的需求，在家或出差在外时需要访问校园网内部资源。如何实现对校园网的远程访问。（3）用户身份认证与权限设置的需求。校园网部分内部服务资源只允许特定用户访问使用。VPN技术的出现解决了上述问题。

1 VPN概述

1.1 VPN概念

VPN（Virtual Private Network）是指通过公共网络（主要是互联网）将物理上分布在不同地点的多个私有网络或网络节点组成逻辑上的虚拟专用网络。同时为防止信息的泄露、篡改，采用了鉴别、访问控制、保密性等措施，来保障信息在网络上的传输安全。

1.2 VPN的关键技术

（1）隧道技术：隧道技术是VPN 的核心技术，其基本思想是在公共网络（Internet）上建立一条数据通道（隧道），让数据包通过这条隧道进行传输。数据的封装、传输和解封由隧道协议来完成，生成隧道的协议有第二层隧道协议（PPTPL2TPMPLS）和第三层隧道协议（IPSecGRE）。

（2）加解密技术：加解密技术是保障数据传输安全必不可少的技术，数据加密技术用来隐藏数据包，数据在传输之前对数据进行加密处理，数据到达目的地后，由接收者对加密的数据进行解密处理。加密技术根据密钥类型不同可分为对称加密技术和非对称加密技术。

（3）密钥管理技术：密钥是控制加密算法和解密算法的关键信息，密钥管理是处理密钥自产生到最终销毁的整个过程的所有问题，密钥管理技术分为SKIP与ISAKMP 两种。

1.3 VPN的特点

相对于传统的专用网，VPN有以下特点和优势。

（1）安全保障。采用了数据加密技术，提高了整个网络的互联性和扩展性，实现安全连接，确保数据的私有和安全性。

（2）可管理性。实现了对设备、配置、访问控制列表及服务质量的管理。

（3）采用了信息认证和身份认证，以保证信息的完整性、合法性、并能鉴别用户的身份，实现网络安全。

（4）通过访问控制向不同的用户提供不同的访问权限，可以保护网络免受病毒感染、防止欺骗，增强访问控制，简化网络设计。

2 校园网对VPN技术的需求

2.1 多个校区的互相访问的需求

多校区是在同一校园网内，相互之间的财务专网以及一卡通等需要整合，要求确保网络数据可以快速、安全的传输。

2.2 以远程的形式访问校园网络应用

校区与校区之间的邮件服务站点以及web站点等应用的整合，要求实现校区之间的信息交流、公文流转以及邮件分发。

3 VPN技术应用解决方案

3.1 外联网VPN（Extranet VPN）

这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。其利用专门的共享连接网络设施，在校园网络中连接外部网，适合用在不同院校间的安全访问过程中。

3.2 接入VPN（Access VPN）

这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，而不是网络。该方案的选择与远程或者移动办公的要求相符，对于校园内与校园外的远程网络连接能够充分实现。Access VPN具体适合用在现阶段较多的接入方法中，例如：ISDN、移动网络、PPPoE拨号、xDSL等，能提供给移动办公用户安全的私有连接。

3.3 内联网VPN（Intranet VPN）

Intranet VPN方案拥有着独特的共享网络设施，此共享网络设施是Intranet VPN方案的坚实基础，对Internet的合理利用能够实现在院校中各个校区的网络互联。Intranet VPN通过加密、VPN隧道等技术，确保了在传输过程中信息的安全性。

4 增强型VPN技术解决方案的设计

4.1 PKI技术

由于TCP/IP缺乏安全保证，传统的IP协议中IP包不具有任何安全特性，在IP层缺乏安全保障导致整个网络传输的不安全。作为VPN主要协议的IPsec能够在IP层上提供强大的安全特性，但是该协议在复杂的网络环境中仍然可能因其身份认证不严而产生安全漏洞，因此可结合PKI技术实现身份鉴别认证，实现网络传输中的角色访问控制。

PKI（Public Key Infrastructure）是公钥基础设施的简称，是标准的密钥管理平台，它能够为网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

PKI具体包括：X.509证书和证书废止列表CRL；CA/RA操作协议；CA管理协议；CA管理策略等。

（1）认证机构（CA）：构成PKI的基本元素是数字证书，安全操作主要通过证书来完成，CA则是证书签发机构，是PKI的核心，是PKI应用中权威、可信、公正的第三方机构。

（2）证书库：证书的在线资料库系统，提供用户查询。

（3）密钥备份和恢复：对用户解密密钥进行备份，当密钥丢失时进行恢复，签名密钥不能备份和恢复。

（4）证书撤销：证书由于某种原因需要作废、终止使用，将通过证书撤消机制来完成。

（5）PKI应用接口系统：为各种应用提供安全、一致、可信的方式来与PKI交互，确保网络安全环境可信。

PKI还通常包括证书注册机构、密钥自动更新、密钥历史档案、交叉认证、支持非否认、时间戳、客户端软件等组成部分。

4.2 增强型VPN安全模型设计

基于校园网络安全的要求和相应的解决方案，设计了一个增强型VPN的校园网安全体系架构模型，模型结构如图1所示。该安全体系模型由以下部分组成：