校園網(wǎng)VPN系統(tǒng)的訪問權(quán)限控制及其實(shí)現(xiàn)方法

劉淑影 曾 濤 王 靜 李佩君

(阜陽師范學(xué)院， 安徽 阜陽 236037)

在校園網(wǎng)絡(luò)中有些資源是受保護(hù)的，比如學(xué)校的電子政務(wù)系統(tǒng)、教務(wù)管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、圖書管理系統(tǒng)等，一般只允許使用校園網(wǎng)內(nèi)部合法IP地址的用戶訪問，在校外的師生和系統(tǒng)維護(hù)人員無法訪問校園網(wǎng)內(nèi)的這些資源。通過互聯(lián)網(wǎng)建立虛擬專用網(wǎng)絡(luò)(VPN)[1]，置身于校外的師生員工則可以通過VPN訪問校園網(wǎng)內(nèi)的資源[2-5]：假期回家的學(xué)生，可以上網(wǎng)查看自己的成績；住在校外的教師，可以在家里訪問學(xué)校網(wǎng)絡(luò)的內(nèi)部資源，如查看學(xué)校發(fā)布的文件、登陸教務(wù)系統(tǒng)錄入學(xué)生成績、從圖書管理系統(tǒng)中下載文獻(xiàn)等。

目前，許多高校的師生規(guī)模都有幾萬人，他們都是校園網(wǎng)絡(luò)的用戶，只要有本校的VPN用戶名和密碼，每個人都可以接入校園網(wǎng)進(jìn)行訪問。用戶群龐大，用戶名被盜用的概率就大，校園網(wǎng)絡(luò)的安全性則隨之降低[6]，VPN后臺管理的工作量也隨之增大。因此，學(xué)校需要有一套適應(yīng)性強(qiáng)、安全性高、快捷高效的VPN系統(tǒng)。

為了保證校園網(wǎng)VPN系統(tǒng)使用的安全性，可以在對VPN用戶進(jìn)行分類的基礎(chǔ)上限制用戶的訪問權(quán)限。下面，介紹基于用戶訪問權(quán)限的VPN的建構(gòu)方案及實(shí)現(xiàn)辦法。

1 VPN概述

VPN是Virtual Private Network的簡稱，意即虛擬專用網(wǎng)絡(luò)，是指利用封裝技術(shù)、加密技術(shù)、交換技術(shù)、PKI技術(shù)等在公用互聯(lián)網(wǎng)絡(luò)上建立的專用數(shù)據(jù)通訊網(wǎng)絡(luò)。通過特殊的加密通訊協(xié)議，在連接于 Internet上的位于不同地方的兩個網(wǎng)絡(luò)(如外部網(wǎng)與校園網(wǎng)絡(luò)以及企業(yè)的多個內(nèi)部網(wǎng)絡(luò))之間可以建立一條專有通訊線路。之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€VPN的任意兩個節(jié)點(diǎn)之間的鏈接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，它是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(如Internet、ATM、Frame、Relay等)之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸[7]。

VPN有下列特點(diǎn)。

(1) 建網(wǎng)快。只需將各網(wǎng)絡(luò)節(jié)點(diǎn)采用專線方式本地接入專用網(wǎng)絡(luò)，并對網(wǎng)絡(luò)進(jìn)行相關(guān)配置即可。

(2) 成本低。VPN是在公用網(wǎng)絡(luò)的基礎(chǔ)上建立的虛擬專網(wǎng)，沒有建設(shè)傳統(tǒng)專用網(wǎng)絡(luò)所必需的高額軟硬件投資；同時，用戶通過VPN組網(wǎng)，也可以節(jié)約鏈路租用費(fèi)及網(wǎng)絡(luò)維護(hù)費(fèi)用。

(3) 安全性好。VPN主要采用國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全技術(shù)，通過在公用網(wǎng)絡(luò)上建立邏輯隧道及網(wǎng)絡(luò)層的加密，可避免網(wǎng)絡(luò)數(shù)據(jù)被修改和盜用，保證用戶數(shù)據(jù)的安全性及完整性。

(4) 網(wǎng)絡(luò)維護(hù)簡單。大量的網(wǎng)絡(luò)管理及維護(hù)工作，主要由公用網(wǎng)絡(luò)服務(wù)提供商來完成。

2 基于用戶訪問權(quán)限的VPN的建構(gòu)

2.1 VPN遠(yuǎn)程接入框架

目前高校中的VPN用戶，每個使用者都有一個唯一的VPN賬號。這個賬號如被非法用戶盜取，那非法用戶就可以訪問校園網(wǎng)上的所有資源，或者對校內(nèi)網(wǎng)站進(jìn)行攻擊。因此，有必要對VPN系統(tǒng)用戶的訪問權(quán)限進(jìn)行控制。

設(shè)計(jì)的VPN遠(yuǎn)程接入架構(gòu)如圖1所示。不同的遠(yuǎn)程用戶，通過互聯(lián)網(wǎng)接入校園網(wǎng)的路由器，進(jìn)而到達(dá)校園網(wǎng)中的VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)驗(yàn)證遠(yuǎn)程終端的身份是否合法，如合法，則為其分配賬號，并且根據(jù)遠(yuǎn)程用戶的身份為其分配訪問權(quán)限，然后將VPN用戶和校園網(wǎng)之間的映射關(guān)系保存到VPN網(wǎng)關(guān)中。VPN用戶下次登錄成功之后，可以直接進(jìn)入校園網(wǎng)獲取對應(yīng)權(quán)限資源，權(quán)限以外的資源則無法訪問。這樣，不僅減輕了VPN賬號管理人員的工作量，而且增強(qiáng)了VPN使用的安全性。非法用戶即使盜取了某個人的用戶名和密碼，也無法獲取整個校園網(wǎng)的資源，因?yàn)槊總€人的訪問權(quán)限不一樣，即使通過VPN進(jìn)入了校園網(wǎng)，也無法看到其權(quán)限以外的資源[6]。

圖1 基于用戶訪問權(quán)限的VPN遠(yuǎn)程接入框架

VPN的組成大致分為4個部分。(1) VPN用戶，即VPN的使用者。根據(jù)高校的具體情況，可以分為教師、學(xué)生和維護(hù)人員。(2) 管理員，即整個VPN系統(tǒng)的管理者。他們負(fù)責(zé)VPN用戶的注冊、密碼找回以及信息管理等工作。(3) 服務(wù)器，包括管理服務(wù)器和資源服務(wù)器。管理服務(wù)器是為管理員管理VPN用戶提供的一種存儲信息的服務(wù)設(shè)備。資源服務(wù)器是校園網(wǎng)中資源所處位置，可以分為教務(wù)系統(tǒng)、電子政務(wù)、科研管理系統(tǒng)等，為不同需求的用戶提供服務(wù)。(4) 網(wǎng)關(guān)。VPN用戶通過網(wǎng)關(guān)中的映射關(guān)系，建立與可訪問資源之間的鏈接。

校園網(wǎng)中的各用戶訪問VPN系統(tǒng)的流程如圖2所示。VPN的管理員根據(jù)校園網(wǎng)資源的類別進(jìn)行劃分，從整體上可以分為教務(wù)系統(tǒng)、科研管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、圖書館里系統(tǒng)等。根據(jù)VPN使用者的身份進(jìn)行策略的劃分，由此確定可訪問的校園網(wǎng)內(nèi)部資源范圍。用戶通過VPN服務(wù)器進(jìn)行注冊，VPN服務(wù)器根據(jù)用戶的身份和自身生成的不同策略賦予其一定訪問權(quán)限，并將用戶與其訪問權(quán)限之間的映射關(guān)系保存在VPN網(wǎng)關(guān)中。遠(yuǎn)程用戶使用VPN賬號進(jìn)行登錄，通過認(rèn)證服務(wù)器之后與VPN網(wǎng)關(guān)中保存的映射關(guān)系進(jìn)行比對，獲得相應(yīng)的權(quán)限，進(jìn)而訪問校內(nèi)資源。

圖2 VPN訪問流程圖

2.2.1 用戶類型的劃分

校園網(wǎng)的VPN用戶，可以分為學(xué)生、教師和行政管理人員以及管理員等。其中，行政管理人員分為書記、校長、院長、教務(wù)秘書、行政秘書等。管理員為校園網(wǎng)中各個網(wǎng)站的維護(hù)人員，不同的網(wǎng)站模塊有不同的維護(hù)人員。在原有VPN系統(tǒng)的用戶認(rèn)證下的角色管理欄中，添加以上不同的用戶角色(見圖3)。

2.2.2 校園網(wǎng)資源分類

一般高校的校園網(wǎng)資源分別存儲在教務(wù)管理系統(tǒng)、圖書館、財(cái)務(wù)管理系統(tǒng)、科研管理系統(tǒng)、電子政務(wù)、電子郵件等服務(wù)器中，不同的用戶根據(jù)其職責(zé)需求可以訪問不同的資源。在原有VPN網(wǎng)關(guān)中根據(jù)資源類別進(jìn)行分類，如圖4所示。將同類資源放在同一類別中，某一類VPN用戶就可以被指定到同一類資源上，資源分配更加方便。

圖3 用戶類型劃分

圖4 資源類型劃分

2.2.3 權(quán)限的分配

(1) 按照用戶類型分配權(quán)限資源

基于用戶訪問權(quán)限的VPN系統(tǒng)首先按照用戶類型分配權(quán)限資源，將需要訪問校內(nèi)資源的用戶進(jìn)行分類，把申請VPN的用戶劃分到某一類別訪問權(quán)限的用戶中。根據(jù)高校申請VPN賬號的實(shí)際使用情況，用戶一般可以分為學(xué)生、教師、維護(hù)人員3類。這3類用戶通過自己的VPN賬號對應(yīng)的身份類別，訪問所分配的校內(nèi)資源類別。

(2) 按照個人需求分配權(quán)限資源

針對特殊要求，在為用戶分配校內(nèi)資源訪問權(quán)限時，也可以按照個人需求分配權(quán)限資源。對校內(nèi)的某些資源，不同用戶的訪問需求是不一樣的。如對教務(wù)系統(tǒng)的訪問，學(xué)生要能查看里面的信息，教師可以錄入成績，系統(tǒng)管理員可以查看系統(tǒng)的運(yùn)行情況，這就需要系統(tǒng)管理員分配登錄教務(wù)系統(tǒng)服務(wù)器的權(quán)限。教務(wù)系統(tǒng)的開發(fā)者要對教務(wù)系統(tǒng)進(jìn)行升級，或者修改系統(tǒng)中存在的問題，也需要登錄VPN之后才能訪問教務(wù)系統(tǒng)服務(wù)器，而他們只需要訪問這一個資源，其他的校內(nèi)資源都不需要訪問。這時我們就可以按照個人分配方式，只給其訪問教務(wù)系統(tǒng)服務(wù)器的權(quán)限。

2.3 在校園網(wǎng)中的實(shí)現(xiàn)過程

采用安全可靠的VPN設(shè)備和終端服務(wù)器搭建系統(tǒng)平臺，配置好相關(guān)參數(shù)以及IP地址，并對校園網(wǎng)中各種不同資源的服務(wù)器進(jìn)行配置。

以L2TP為例。在防火墻上配置L2TP協(xié)議，給出校外用戶進(jìn)入校園網(wǎng)的用戶范圍等相關(guān)參數(shù)，為用戶建立賬號并將其劃分到相應(yīng)的資源訪問用戶組中。用戶在連接成功后，根據(jù)其權(quán)限訪問校園網(wǎng)內(nèi)對應(yīng)的資源。用戶可以通過打開網(wǎng)絡(luò)和共享中心，查看其連接信息中的VPN服務(wù)器和用戶獲取的IP地址。如圖5所示，可以看到遠(yuǎn)程用戶用L2TP協(xié)議連接VPN服務(wù)器，MS CHAP V2 協(xié)議進(jìn)行身份驗(yàn)證，以及客戶端和VPN服務(wù)器端的IP地址等[6]。

在VPN服務(wù)器上配置用戶組和資源組，并建立用戶組和資源組之間的映射關(guān)系。用戶注冊成功之后，登錄時VPN服務(wù)器自動為其打開對應(yīng)的資源服務(wù)器。

在用戶通過VPN登錄成功之后，分析其網(wǎng)絡(luò)詳細(xì)信息(見圖6)。用戶端有2個IP地址：一個是當(dāng)?shù)毓簿W(wǎng)絡(luò)IP地址，另一個是校園網(wǎng)VPN服務(wù)器給請求接入校園網(wǎng)的L2TP遠(yuǎn)程用戶分配的IP地址。

圖5 VPN連接狀態(tài)

3 結(jié) 論

為了高校校園網(wǎng)內(nèi)資源的安全，在基于用戶訪問權(quán)限的VPN系統(tǒng)中，系統(tǒng)管理員負(fù)責(zé)為整個校園網(wǎng)中的VPN使用者分配權(quán)限。管理員可以增加用戶、修改用戶、刪除用戶、增加用戶權(quán)限、刪除用戶權(quán)限。各用戶若要訪問校內(nèi)網(wǎng)資源，必須經(jīng)過VPN服務(wù)器進(jìn)行身份認(rèn)證，并獲得一定的權(quán)限。

校園網(wǎng)VPN系統(tǒng)采用基于用戶訪問權(quán)限的管理方案，既可以解決師生用戶遠(yuǎn)程接入校園網(wǎng)的問題，又增強(qiáng)了校園網(wǎng)資源使用的安全性。構(gòu)建基于用戶訪問權(quán)限的VPN系統(tǒng)，方法簡單，容易實(shí)現(xiàn)。相對于傳統(tǒng)的VPN系統(tǒng)，它有以下幾個方面的優(yōu)點(diǎn)。

(1) 易于實(shí)現(xiàn)。只需在原來VPN服務(wù)器上，增加一個用戶組和資源組的映射關(guān)系即可。

(2) 方便管理。對接入校園網(wǎng)的VPN用戶實(shí)行分類管理，可減輕系統(tǒng)管理員的工作量和管理難度。這在VPN用戶規(guī)模比較大的高校，效果更明顯。

圖6 L2TP遠(yuǎn)程用戶IP地址

(3) 安全性更高。VPN系統(tǒng)根據(jù)成員的身份進(jìn)行權(quán)限的分配，只有被賦予相應(yīng)權(quán)限的用戶才能訪問校園網(wǎng)內(nèi)對應(yīng)的資源。VPN用戶在通過認(rèn)證之后被賦予一定的訪問權(quán)限，然后可以通過VPN服務(wù)器訪問校園網(wǎng)內(nèi)資源，而VPN服務(wù)器會自動將其權(quán)限以外的資源屏蔽掉。同時，系統(tǒng)建立用戶信息表和訪問日志，一旦發(fā)現(xiàn)違規(guī)訪問，可以找到該用戶進(jìn)行查實(shí)，從而采取給予警告或停止其訪問權(quán)限等措施。