OpenVPN技术实现高校校园网资源远程访问的研究

武佳宁

（陕西学前师范学院，陕西西安，710100）

0 引言

近年来高校对于信息化建设越来越重视，高校所建设的各类信息化项目包括教务管理系统、数字化图书馆、科研管理系统、国资管理系统、办公管理系统等等。这些校园网内的管理应用系统只能针对校园网内用户开放，是典型的内部资源只供内部访问。例如教务管理系统，它包含教师的资料、学生的成绩学籍等资料都是需要保护的数据，不能随意访问；又如数字化图书馆的资料必须通过网内IP地址范围来控制访问。教师多数在家中备课科研，这就存在工作地点的变化造成了网内资源无法使用的问题。虚拟专用网络（简称VPN）就是很好地解决办法，在公用网络上建立专用网络的技术将远程接入访问内部资源成为现实。

1 VPN的主要功能优势

VPN是利用现有的Internet链路来架设私有专用网络，它应用加密技术，在公共网络上封装出一个数据通讯隧道来实现远程访问的技术。我们通过这条隧道把校园网内资源和校园网外用户连接起来，建立一个专用通道实现校园网内数据与网外数据的传输，达到信息交流资源共享的目的。

1.1 安全完整

VPN采用身份验证、加密等安全技术，在传输数据之前就将数据进行了加密，以防止数据包被破解或读取，这样就保证了传输数据的安全保密性。VPN的安全技术能同时防止数据在传输途中被篡改，通过密钥来计算并校验，如果数据包的内容被篡改，立即丢弃，以确保发送数据与接收数据的完整性。

1.2 灵活可控

用户在使用过程中完全掌握着自己网络的控制权，不受物理条件的制约，建立或是删除虚拟通道方便自主。远程用户和校园网通过VPN进行连接，简单快捷，只需要只需双方配置安全连接信息就可以了灵活自主。

1.3 成本低廉

利用Internet极大地降低了成本，这种虚拟专用通道与租用专用线路相比大大节省了通信费用，也省去了大量人力物力和设备的投入。

2 VPN实现技术选型

目前应用较为广泛VPN实现技术有基于网络层的IPsec VPN和基于传输层与应用层的SSL VPN。IPSec VPN在网络层工作，为网络层的数据提供保护，而SSL VPN则是工作在应用层，他们是两种不同的架构，但都能提供安全的远程接入。

2.1 IPSec VPN

IPSec VPN属于基础设施性质的安全技术。它的作用在于尽量提高IP环境的安全性。部署IPSec VPN要对网络设施进行改造，后期还需要长期维护才能保证运行，所以实施和管理成本相对较高。所以它更适合大型盈利性企业使用，更适合为不同的网络提供通信安全保障。

2.2 SSL VPN

SSL VPN与IPSec VPN相比部署和实施成本低，客户端不需要额外安装软件或硬件，通用标准的IE就可以简单加密，实现安全访问了。SSL VPN不需要网络设备改造以及后期的大量维护大大节约了成本。良好的兼容性对操作系统没有很高的要求省去了很多麻烦，由于浏览器内嵌了SSL协议，无需安装客户端，这为非专业人士的使用提供了方便。所以SSL VPN更适合应用于远程的、分散的用户接入。

2.3 OpenVPN

通过对校园网远程访问的实际需求，我们选择了VPN技术的重要成员OpenVPN。OpenVPN是基于SSL的工作在应用层 VPN软件。它的技术核心是虚拟网卡，其次是SSL协议实现，与传统VPN相比，它的优点就是简单易用、高效安全，并且支持多种常用应用系统。OpenVPN大量使用了OpenSSL加密库，和SSLv3/ TLSv1 协议，它与设置好的VPN用户单点之间，通过预先设置好的私人秘钥或者第三方证书进行身份验证。高校远程访问使用，从校园网络构建VPN隧道的要求和成本来考虑，OpenVPN软件已经达到技术要求，用来构建校园VPN网络是合适且实际可行的。

3 校园网VPN系统的设计

3.1 校园网VPN系统功能与基本配置

校园网VPN系统的设计原则首先要保证校园网内网用户的正常访问，不能降低网内访问速度。所以我们要利用校园网网内多出口来提高用户接入VPN的速度以及访问校园网的速度。OpenVPN所有加密都由OpenSSL库处理，通过SSL协议进行封装，所有IP隧道功能都由虚拟网络驱动提供，他自身有着强大的模块设计，配置路由和虚拟网卡以及读写存储设备，都集成成一套稳定高效的软件了。OpenVPN的服务器端和客户端只是配置文件的内容不同，其实是同一套源代码。2013年新发布的OpenVPN 2.3扩展了前面版本的功能，它针对不同操作系统有不同的版本，我们一般采用Linux作为服务器端操作系统。

3.2 校园网VPN系统的网络结构设计

校园网VPN系统网络结构设计如图1所示.其中VPN服务器运行OpenVPN服务，提供相关服务。远程办公用户、系统维护用户、移动办公用户在安装了客户端程序后，通过首先需要从服务器端索取密钥和证书，通过认证后VPN服务器就会分配校园网网内的IP地址给客户端，然后为客户端添加校园网路由表和DNS地址。这样建立好VPN通道后，客户端访问校园网资源时使用这条虚拟专线，但是访问非校园网数据时还是使用公网线路。

4 校园网0penVPN认证

图1 校园网VPN系统的网络结构图

图2 校园网0penVPN认证过程图示

校园网0penVPN认证过程如图1所示。客户端在安装了0penVPN软件后，在与校园网连接的过程中需要输入有管理员统一下发的用户名和密码，VPN服务器通过身份认证功能进行身份合法性的确认。0penVPN的身份认证是通过SSL/TLS的握手协议来完成，在握手同时也完成了密钥的交换。客户端先发送身份认证请求，要求确认通信双方的身份的合法性，它发送的消息中包括了加密密码组和客户端会话标志等信息。VPN服务器通过加密信息验证了客户端的身份后，向客户端返回数字证书；并发出请求要求提供用户证书和服务器密钥交换消息；最后返回服务器已经完成初始交流的信息。客户端应服务器请求发送客户端证书，并使用服务器下发的公钥将会话密钥再发送给服务器。服务器使用自己的私钥对接收的消息进行解密得到共享的会话密钥。最后服务器和客户端相互要求在后续通行中使用加密模式，在相互告知准备好通信。至此SSL握手协议完成，双方在专用通道进行加密的数据交流。

Richard Tibbs,Edward Oakes.李展，刑博特译.防火墙与VPN[M].北京:清华大学出版社，2008.