刘淑影 曾 涛 王 静 李佩君
(阜阳师范学院, 安徽 阜阳 236037)
在校园网络中有些资源是受保护的,比如学校的电子政务系统、教务管理系统、财务系统、图书管理系统等,一般只允许使用校园网内部合法IP地址的用户访问,在校外的师生和系统维护人员无法访问校园网内的这些资源。通过互联网建立虚拟专用网络(VPN)[1],置身于校外的师生员工则可以通过VPN访问校园网内的资源[2-5]:假期回家的学生,可以上网查看自己的成绩;住在校外的教师,可以在家里访问学校网络的内部资源,如查看学校发布的文件、登陆教务系统录入学生成绩、从图书管理系统中下载文献等。
目前,许多高校的师生规模都有几万人,他们都是校园网络的用户,只要有本校的VPN用户名和密码,每个人都可以接入校园网进行访问。用户群庞大,用户名被盗用的概率就大,校园网络的安全性则随之降低[6],VPN后台管理的工作量也随之增大。因此,学校需要有一套适应性强、安全性高、快捷高效的VPN系统。
为了保证校园网VPN系统使用的安全性,可以在对VPN用户进行分类的基础上限制用户的访问权限。下面,介绍基于用户访问权限的VPN的建构方案及实现办法。
VPN是Virtual Private Network的简称,意即虚拟专用网络,是指利用封装技术、加密技术、交换技术、PKI技术等在公用互联网络上建立的专用数据通讯网络。通过特殊的加密通讯协议,在连接于 Internet上的位于不同地方的两个网络(如外部网与校园网络以及企业的多个内部网络)之间可以建立一条专有通讯线路。之所以称为虚拟网,主要是因为整个VPN的任意两个节点之间的链接并没有传统专网所需的端到端的物理链路,它是架构在公用网络服务商所提供的网络平台(如Internet、ATM、Frame、Relay等)之上的逻辑网络,用户数据在逻辑链路中传输[7]。
VPN有下列特点。
(1) 建网快。只需将各网络节点采用专线方式本地接入专用网络,并对网络进行相关配置即可。
(2) 成本低。VPN是在公用网络的基础上建立的虚拟专网,没有建设传统专用网络所必需的高额软硬件投资;同时,用户通过VPN组网,也可以节约链路租用费及网络维护费用。
(3) 安全性好。VPN主要采用国际标准的网络安全技术,通过在公用网络上建立逻辑隧道及网络层的加密,可避免网络数据被修改和盗用,保证用户数据的安全性及完整性。
(4) 网络维护简单。大量的网络管理及维护工作,主要由公用网络服务提供商来完成。
目前高校中的VPN用户,每个使用者都有一个唯一的VPN账号。这个账号如被非法用户盗取,那非法用户就可以访问校园网上的所有资源,或者对校内网站进行攻击。因此,有必要对VPN系统用户的访问权限进行控制。
设计的VPN远程接入架构如图1所示。不同的远程用户,通过互联网接入校园网的路由器,进而到达校园网中的VPN网关。VPN网关验证远程终端的身份是否合法,如合法,则为其分配账号,并且根据远程用户的身份为其分配访问权限,然后将VPN用户和校园网之间的映射关系保存到VPN网关中。VPN用户下次登录成功之后,可以直接进入校园网获取对应权限资源,权限以外的资源则无法访问。这样,不仅减轻了VPN账号管理人员的工作量,而且增强了VPN使用的安全性。非法用户即使盗取了某个人的用户名和密码,也无法获取整个校园网的资源,因为每个人的访问权限不一样,即使通过VPN进入了校园网,也无法看到其权限以外的资源[6]。
图1 基于用户访问权限的VPN远程接入框架
VPN的组成大致分为4个部分。(1) VPN用户,即VPN的使用者。根据高校的具体情况,可以分为教师、学生和维护人员。(2) 管理员,即整个VPN系统的管理者。他们负责VPN用户的注册、密码找回以及信息管理等工作。(3) 服务器,包括管理服务器和资源服务器。管理服务器是为管理员管理VPN用户提供的一种存储信息的服务设备。资源服务器是校园网中资源所处位置,可以分为教务系统、电子政务、科研管理系统等,为不同需求的用户提供服务。(4) 网关。VPN用户通过网关中的映射关系,建立与可访问资源之间的链接。
校园网中的各用户访问VPN系统的流程如图2所示。VPN的管理员根据校园网资源的类别进行划分,从整体上可以分为教务系统、科研管理系统、财务管理系统、图书馆里系统等。根据VPN使用者的身份进行策略的划分,由此确定可访问的校园网内部资源范围。用户通过VPN服务器进行注册,VPN服务器根据用户的身份和自身生成的不同策略赋予其一定访问权限,并将用户与其访问权限之间的映射关系保存在VPN网关中。远程用户使用VPN账号进行登录,通过认证服务器之后与VPN网关中保存的映射关系进行比对,获得相应的权限,进而访问校内资源。
图2 VPN访问流程图
2.2.1 用户类型的划分
校园网的VPN用户,可以分为学生、教师和行政管理人员以及管理员等。其中,行政管理人员分为书记、校长、院长、教务秘书、行政秘书等。管理员为校园网中各个网站的维护人员,不同的网站模块有不同的维护人员。在原有VPN系统的用户认证下的角色管理栏中,添加以上不同的用户角色(见图3)。
2.2.2 校园网资源分类
一般高校的校园网资源分别存储在教务管理系统、图书馆、财务管理系统、科研管理系统、电子政务、电子邮件等服务器中,不同的用户根据其职责需求可以访问不同的资源。在原有VPN网关中根据资源类别进行分类,如图4所示。将同类资源放在同一类别中,某一类VPN用户就可以被指定到同一类资源上,资源分配更加方便。
图3 用户类型划分
图4 资源类型划分
2.2.3 权限的分配
(1) 按照用户类型分配权限资源
基于用户访问权限的VPN系统首先按照用户类型分配权限资源,将需要访问校内资源的用户进行分类,把申请VPN的用户划分到某一类别访问权限的用户中。根据高校申请VPN账号的实际使用情况,用户一般可以分为学生、教师、维护人员3类。这3类用户通过自己的VPN账号对应的身份类别,访问所分配的校内资源类别。
(2) 按照个人需求分配权限资源
针对特殊要求,在为用户分配校内资源访问权限时,也可以按照个人需求分配权限资源。对校内的某些资源,不同用户的访问需求是不一样的。如对教务系统的访问,学生要能查看里面的信息,教师可以录入成绩,系统管理员可以查看系统的运行情况,这就需要系统管理员分配登录教务系统服务器的权限。教务系统的开发者要对教务系统进行升级,或者修改系统中存在的问题,也需要登录VPN之后才能访问教务系统服务器,而他们只需要访问这一个资源,其他的校内资源都不需要访问。这时我们就可以按照个人分配方式,只给其访问教务系统服务器的权限。
采用安全可靠的VPN设备和终端服务器搭建系统平台,配置好相关参数以及IP地址,并对校园网中各种不同资源的服务器进行配置。
以L2TP为例。在防火墙上配置L2TP协议,给出校外用户进入校园网的用户范围等相关参数,为用户建立账号并将其划分到相应的资源访问用户组中。用户在连接成功后,根据其权限访问校园网内对应的资源。用户可以通过打开网络和共享中心,查看其连接信息中的VPN服务器和用户获取的IP地址。如图5所示,可以看到远程用户用L2TP协议连接VPN服务器,MS CHAP V2 协议进行身份验证,以及客户端和VPN服务器端的IP地址等[6]。
在VPN服务器上配置用户组和资源组,并建立用户组和资源组之间的映射关系。用户注册成功之后,登录时VPN服务器自动为其打开对应的资源服务器。
在用户通过VPN登录成功之后,分析其网络详细信息(见图6)。用户端有2个IP地址:一个是当地公共网络IP地址,另一个是校园网VPN服务器给请求接入校园网的L2TP远程用户分配的IP地址。
图5 VPN连接状态
为了高校校园网内资源的安全,在基于用户访问权限的VPN系统中,系统管理员负责为整个校园网中的VPN使用者分配权限。管理员可以增加用户、修改用户、删除用户、增加用户权限、删除用户权限。各用户若要访问校内网资源,必须经过VPN服务器进行身份认证,并获得一定的权限。
校园网VPN系统采用基于用户访问权限的管理方案,既可以解决师生用户远程接入校园网的问题,又增强了校园网资源使用的安全性。构建基于用户访问权限的VPN系统,方法简单,容易实现。相对于传统的VPN系统,它有以下几个方面的优点。
(1) 易于实现。只需在原来VPN服务器上,增加一个用户组和资源组的映射关系即可。
(2) 方便管理。对接入校园网的VPN用户实行分类管理,可减轻系统管理员的工作量和管理难度。这在VPN用户规模比较大的高校,效果更明显。
图6 L2TP远程用户IP地址
(3) 安全性更高。VPN系统根据成员的身份进行权限的分配,只有被赋予相应权限的用户才能访问校园网内对应的资源。VPN用户在通过认证之后被赋予一定的访问权限,然后可以通过VPN服务器访问校园网内资源,而VPN服务器会自动将其权限以外的资源屏蔽掉。同时,系统建立用户信息表和访问日志,一旦发现违规访问,可以找到该用户进行查实,从而采取给予警告或停止其访问权限等措施。