校园网数字教学资源VPN准入模式探索与实现.docVIP

校园网数字教学资源VPN准入模式探索与实现 　　摘 要：随着教育信息化应用的迅速发展，高校的教学资源日渐丰富。很多学校都提供了VPN远程访问数字资源的功能，解决校园网内部资源访问受IP地址限制的问题。但VPN准入模式与校园网络认证、数字资源及网络安全密切相关。本文通过对多种VPN软硬件准入模式的分析、试验，实现了支持灵活、多形式的客户端认证方法，允许通过在VPN虚拟接口上应用防火墙规则实现用户及组访问控制策略的安全、方便、快捷的准入方案。 　　关键词：校园网；数字资源；VPN；准入；RADIUS 　　中图分类号：TP393.18文献标识码：B 文章编号：1673-8454（2011）07-0022-02 　　 　　一、引言 　　由于教育行业信息化应用的迅猛发展，皖南医学院建立了校园网海量存储设备以及完备的资料数据库以满足教学、研究工作开展的需要，并利用万方、维普等商用数据库进行科研教学的查新服务等网络数字教学资源应用。随着学校办学规模的扩大、新办专业的增加，校园网内不断充实完善各种教学、科研、管理信息数据的数量和结构。目前，学校内部已建立相应学科130余门的精品课程数据库，2000余部的医学教学视频资源库，62.87万册的图书馆馆藏电子文献。同时，拥有国内外多个文摘型或全文型数据库，并建立了镜像站点，初步形成了以校内外精品课程、医学教学影视数据库和电子文献互补的数字教学资源体系。 　　二、远程访问的需求 　　基于对产品版权的保护，电子资源中通常设置了数字版权DRM（Ｄｉｇｉｔａｌ Ｒｉｇｈｔｓ Ｍａｎａｇｅｍｅｎｔ），通过安全和加密技术控制访问端的来源，从而防止对数字产品的非授权使用。目前最通用的做法是限制访问端的IP地址范围(一般仅限校园网内的IP可以访问)。随着学校规模逐渐扩大，教学应用的进一步扩展和信息化进程的不断加深，教研人员对数字教学资源的需求时间越来越多、范围越来越广，大量居住在校外的教职员工（非校园网内IP）对于远程访问校园网内各种电子资源的需求愈发强烈。如果这个需求不能合理解决，将严重限制教研人员对校园网内数字资源的利用，造成教学资源的闲置和浪费，影响数字校园的建设进程。 　　为了解决资源访问受IP地址限制的问题，各高校校园网内都提供了数字资源远程访问的功能，使教师在校外也能访问到受限资源。在实现远程访问功能时，为保护著作人的权益及数据库提供商的利益，需要从多方面保证数据的安全性。首先，为了确保只有被授权的用户才能访问校内数字资源，必须提供身份验证机制；其次，为了保护数据在传输过程中的机密性，必须采用加密解密机制；再次，为了防止数据在传输过程中被损坏或被恶意篡改，必须采用完整性验证机制。 　　三、SSL VPN系统的主要功能 　　基于以上实现远程访问需求的分析，我们认为SSL VPN 能较好地满足远程访问高校网络教学资源的要求，并能提供以下功能： 　　对基于IP（TCP、UDP、ICMP）的所有B/S、C/S应用系统的支持；支持内部B/S、C/S应用系统的单点登录功能（SSO）；支持NTLM方式单点登录，并可以针对不同的访问资源实现设定不同的SSO用户名和密码；支持用户自行修改SSO账号；支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，加强身份认证，防止登录SSL VPN后冒名登录应用系统。 　　能够实现五因素捆绑认证（用户名密码、数字证书、短信、硬件特征码、动态令牌的捆绑认证），达到更高的安全级别。支持智能递推技术，动态嗅探页面内的链接，真正防止资源漏访。支持资源负载均衡，根据不同的权值实现负载接入，提高接入效率。 　　支持对于无线接入环境（如CDMA、GPRS、WIFI环境下）或者恶劣环境（高丢包高延时）接入速度优化；支持多条公网线路叠加，支持基于Web的线路自动优选技术；扩展带宽的同时，能够实现多线路之间流量的负载均衡。支持第三方独立的日志和审计功能中心。 　　四、VPN访问校园网内数字资源的认证方式 　　皖南医学院为加强对校园网信息安全的管理，规范校园网用户上网行为，维护学校的安全和稳定，校园网上网用户必须实名注册上网认证。采用的RG-SAM安全计费管理系统是一套基于标准的RADIUS协议开发的宽带认证计费管理系统, 不仅支持PPPoE 和 Webportal的认证计费方式, 而且支持802.1X接入控制技术，高效地对校园网用户进行准入控制。从而对采用VPN访问校园网内数字资源的认证带来了可移植性与用户管理的一致性，但也对准入技术带来了一定的限制，即选用的VPN方式必须兼容现有认证系统的RADIUS协议格式。 　　我校与VPN产品厂家联系，试用了国内五款常见VPN设备，并自行搭建了基于LINUX平台的VPN测试，从 iptables 到 op