PKI与VPN技术在校园网内部资源安全问题中应用研究.docVIP

PKI与VPN技术在校园网内部资源安全问题中应用研究 　　摘 要：本文针对校园网内部资源安全问题中一直未能很好解决的用户身份认证问题和外部用户对校园网内部资源的安全访问问题，结合当前网络安全领域内的先进技术，提出了基于PKI与VPN技术的校园网内部资源保护方案模型。文章重点分析了模型中PKI与VPN技术的应用以及模型的安全性。 　　关键词：PKI VPN 数字签名 校园网内部资源 　　中图分类号：TP393.8 文献标识码：A 文章编号：1673-8454（2008）09-0077-04 　　 　　一、研究背景 　　 　　随着校园网建设的进行，校园网中的各种硬件设备越来越多，如核心交换机、路由器、服务器、配线柜等，而依托于校园网的各种应用系统也迅速产生，如财务管理系统、网上办公系统、校园“一卡通”等，这些硬件和软件共同构成了校园网的资源。本文所谈的校园网内部资源并非指所有的校园网资源，而是指像财务管理系统、网上办公系统、校园“一卡通”等这类软件资源，这些资源一般在学校内部使用，为整个学校的办公服务，不允许外部人员随意访问，如果被校外人员非法随意访问，则可能会引起很多的社会问题，对学校有较大的影响，我们把具备以上特点的校园网资源中的软件资源称为校园网内部资源。本文所谈的安全问题也是指该类资源的安全问题。 　　Internet的迅速发展以及公共网络的开放性和管理的松散性，导致网络上的各种攻击、网络欺诈、非法入侵、数据窃取等各种不安全因素无处不在，给所有连接在该网络上的网络系统和微机造成了很大威胁，给校园网内部资源带来很大的安全问题。另外，由于高等教育的迅速发展和高校合并的因素，各大高校一般均有多个分校，且分校间的距离一般较远，有的甚至横跨几个地区或省份，多数高校通过ISP提供的公共网线路来实现各个分校校园网之间的互连，校园网拓扑结构如图1所示。 　　面对如此复杂的校园网内部结构和外部网络环境，如何保障校园网内部资源的安全，有效地防止对校园网内部资源的非法访问，如何保证各分校之间安全共享校园网内部资源和数据的安全传输便成了急需解决的问题。 　　 　　 　　二、常见校园网内部资源保护方案安全性分析 　　 　　1．校园网内部资源安全保护常用的几个方案 　　为了解决校园网内部资源安全问题，人们提出了各种解决方案，大体有以下几种： 　　（1）应用系统均配置互联网上能访问的IP地址，供所有学校用户访问。系统的安全性由系统自己的安全验证机制来保证。 　　（2）应用系统配置私有IP地址，置于一个私有网络之中，不对外开放，仅供校园网内部访问。系统的安全性由系统自己的安全验证机制来保证。 　　（3）应用系统配置互联网上能访问的IP地址，并将应用系统置于防火墙的DMZ区，通过防火墙的各种策略规则加强系统的安全性。系统的安全性由系统自己的安全验证机制来保证。 　　（4）应用系统配置互联网上能访问的IP地址，通过在各校区校园网的边沿路由器开放其他分校校园网边沿路由器IP地址的方法实现学校所有用户对校园网内部资源的访问。系统的安全性由系统自己的安全验证机制来保证。 　　（5）应用系统配置互联网上能识别的IP地址，并置于防火墙的DMZ区，通过在各校区校园网的边沿路由器开放其他分校校园网边沿路由器IP地址的方法实现学校所有用户对校园网内部资源的访问。系统的安全性由系统自己的安全验证机制来保证。 　　2．常见校园网内部资源安全方案问题分析 　　下面对上述给出的几种常见的校园网内部资源安全方案进行分析： 　　方案1操作简单，易于实现，学校所有用户均能访问。但安全性低，因暴露在互联网上，系统容易被攻击，且数据在互联网上传输时易被获取。 　　方案2安全性高，操作简单，易于实现。但学校各个校区之间不能互相访问，造成资源共享困难，无法避免学校内部用户对应用系统的攻击。 　　方案3安全性比较高，校园网所有用户均能访问。但需要配置防火墙，费用较高，无法避免应用系统在用户访问时简单认证的缺陷，且数据在公共网络传输时存在被窃取的风险。 　　方案4操作简单，易于实现，校园网内所有用户都能访问。但居住学校以外的用户无法访问校园网内部资源；仍然无法避免应用系统自身简单认证的缺陷，仍存在数据传输时被窃取的风险。 　　方案5安全性较高，校园网内所有用户都能访问。但需要配置防火墙，费用较高，居住学校以外的用户无法访问校园网内部资源，仍无法避免应用系统自身简单认证的缺陷，且存在数据传输时被窃取的风险。 　　通过对以上几种常用安全方案的分析，笔者发现目前对校园网内部资源保护方案的常见模型如图2所示，存在的问题主要为以下两类： 　　（1）访问用户的身份认证问题； 　　（2）学校各校区之间对校园网内部资源的安全访问问题，即如何使学校的所有用