鞏林立

【摘要】VPN技術(shù)應(yīng)用于遠(yuǎn)程教育系統(tǒng)的構(gòu)建中,既可以保證數(shù)據(jù)安全,又可以節(jié)省遠(yuǎn)程用戶的訪問費用,同時可以在VPN上開展不同形式的遠(yuǎn)程教學(xué)。文章結(jié)合實際,探討高校遠(yuǎn)程教育VPN網(wǎng)絡(luò)平臺的實現(xiàn)過程。

【關(guān)鍵詞】VPN;遠(yuǎn)程教育;遠(yuǎn)程教育平臺

【中圖分類號】 G40-057 【文獻(xiàn)標(biāo)識碼】A【論文編號】1009—8097(2009)12—0130—03

一 引言

遠(yuǎn)程教育具有用戶數(shù)量多、分布范圍廣、接入方式多樣化的特征,如何保證遠(yuǎn)程教育得以順利開展,是構(gòu)建遠(yuǎn)程教育系統(tǒng)時應(yīng)該考慮的主要問題[1]。隨著Internet的迅速發(fā)展,各種寬帶接入方式的出現(xiàn),虛擬專用網(wǎng)技術(shù)(VPN)也應(yīng)運而生。VPN是利用開放的公眾網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道,將遠(yuǎn)程的站點、伙伴、移動辦公人員等連接起來,并且提供安全的端到端的數(shù)據(jù)通信,是一種虛擬技術(shù)。把VPN技術(shù)應(yīng)用于遠(yuǎn)程教育系統(tǒng)的構(gòu)建中,既可以保證數(shù)據(jù)安全,又可以節(jié)省遠(yuǎn)程用戶的訪問費用,同時可以在VPN上開展不同形式的遠(yuǎn)程教學(xué)。本文結(jié)合實際,探討高校遠(yuǎn)程教育VPN網(wǎng)絡(luò)平臺的實現(xiàn)過程[2]。

二 建設(shè)目標(biāo)

總體目標(biāo)是利用VPN技術(shù)建立一個基于Internet的遠(yuǎn)程教育系統(tǒng)的私有網(wǎng)絡(luò),實現(xiàn)在該VPN網(wǎng)絡(luò)平臺上,遠(yuǎn)程教育各個管理應(yīng)用系統(tǒng)數(shù)據(jù)的安全傳輸,以及對接入用戶身份的有效認(rèn)證和方便控制。尤其在對教師、學(xué)員等移動用戶的接入身份認(rèn)證上,需要將VPN系統(tǒng)和高校遠(yuǎn)程教育應(yīng)用系統(tǒng)的身份認(rèn)證模塊無縫整合,實現(xiàn)VPN接入和應(yīng)用系統(tǒng)用戶身份的集中管理和統(tǒng)一控制,極大方便系統(tǒng)管理員管理和用戶使用。

三 系統(tǒng)設(shè)計

在我校遠(yuǎn)程教育系統(tǒng)信息中心,通過千兆光纖連接到互聯(lián)網(wǎng)。由于中心網(wǎng)點是整個系統(tǒng)的核心,要確保高可靠性,所以在出口處部署2臺100/1000M自適應(yīng)級安全網(wǎng)關(guān),實現(xiàn)雙機熱備功能。對于分支機構(gòu),根據(jù)各分支機構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機構(gòu)。對于老師這類移動用戶,采用“USB KEY”硬件方式進行身份認(rèn)證,通過配套的安全客戶端軟件實現(xiàn)遠(yuǎn)程移動安全接入[3]。對于學(xué)員這類移動用戶,采用“用戶名+密碼”純軟件方式進行身份認(rèn)證(在安全客戶端啟動界面上輸入),結(jié)合安全客戶端軟件實現(xiàn)遠(yuǎn)程移動安全接入(如圖1)。

圖1 系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D

1 服務(wù)端

在網(wǎng)絡(luò)的出口處,部署VPN安全網(wǎng)關(guān)(安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)來保護大學(xué)遠(yuǎn)程教育系統(tǒng)和下屬市、縣遠(yuǎn)程教育系統(tǒng)內(nèi)網(wǎng)的安全通訊、安全傳輸)[4]。另外,安全網(wǎng)關(guān)可以提供高可靠性的雙機熱備功能,可以在主設(shè)備發(fā)生故障時,備份網(wǎng)關(guān)自動快速進行狀態(tài)切換,確保系統(tǒng)工作不中斷。安全網(wǎng)關(guān)可以實現(xiàn)以下幾方面功能:

(1) 和遠(yuǎn)地分支機構(gòu)網(wǎng)絡(luò)邊界部署的VPN安全網(wǎng)關(guān)或安全客戶端建立VPN加密隧道,確保數(shù)據(jù)傳輸安全;并能夠通過VPN通訊策略的靈活設(shè)置,根據(jù)用戶要求實現(xiàn)對指定網(wǎng)段/范圍/IP地址的PC的應(yīng)用系統(tǒng)數(shù)據(jù)傳輸進行加密保護。

(2) 對總部內(nèi)網(wǎng)的防火墻防護:安全網(wǎng)關(guān)具備優(yōu)良的狀態(tài)檢測防火墻功能,可以防御外網(wǎng)對內(nèi)部主機的端口掃描、各種DoS/DDoS攻擊等惡意攻擊行為,還可以抵御各種常用的應(yīng)用層攻擊。另外,可以通過VPN安全網(wǎng)關(guān)上的訪問控制策略,對內(nèi)網(wǎng)PC進行嚴(yán)格的基于“五元組+時間”的訪問控制[5]。如:為確保安全性,可對允許上網(wǎng)的PC進行IP和MAC綁定,并通過網(wǎng)關(guān)中的安全策略設(shè)置對這些PC的數(shù)據(jù)流進行狀態(tài)檢測,以確保不能被仿冒;也可以使用網(wǎng)關(guān)中的“用戶上網(wǎng)認(rèn)證”功能,使用戶在使用瀏覽器上網(wǎng)瀏覽時,首先要通過網(wǎng)關(guān)的訪問密碼認(rèn)證;禁止某些URL網(wǎng)址的訪問等[6]。

(3) 安全網(wǎng)關(guān)具備八個等級的QoS控制功能,能夠為VOIP和視頻等需要優(yōu)先的網(wǎng)絡(luò)應(yīng)用保留帶寬和優(yōu)先處理,這樣當(dāng)網(wǎng)絡(luò)擁擠時,也能夠保障VOIP和視頻的暢通和話音質(zhì)量。安全網(wǎng)關(guān)能夠?qū)⒃L問控制策略與保留帶寬綁定,并能為這些應(yīng)用設(shè)定優(yōu)先級,共有8個處理等級可以設(shè)置。

2 各地分支機構(gòu)

可以根據(jù)各分支機構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)或安全客戶端系統(tǒng)(配合USB KEY)到各駐外機構(gòu)。具有子網(wǎng)的各駐外機構(gòu)采用ADSL或者其他寬帶方式(如Cable Modem、FTTB等)接入Internet。建議在有一定規(guī)模的局域網(wǎng)出口處,部署中低端型號的安全網(wǎng)關(guān),如:SGW25A或SGW25B;建議在僅有少數(shù)終端的分支機構(gòu)(如辦事處),在需要聯(lián)入遠(yuǎn)程教育網(wǎng)的終端上安裝安全客戶端軟件(與USB KEY配合使用),并與上網(wǎng)代理軟件或NAT軟件配合構(gòu)成軟件網(wǎng)關(guān),從而和總部聯(lián)網(wǎng)實現(xiàn)VPN加密通訊(如圖2)。

圖2 中等規(guī)模分支機構(gòu)網(wǎng)絡(luò)示意圖

可根據(jù)用戶的網(wǎng)絡(luò)接入帶寬和網(wǎng)絡(luò)規(guī)模,選擇合適的安全網(wǎng)關(guān)產(chǎn)品。對于規(guī)模較小的網(wǎng)點,可以采用安全客戶端軟件加硬件USB KEY實現(xiàn)和總部的互連(如圖3)。

圖3 小規(guī)模分支機構(gòu)網(wǎng)絡(luò)示意圖

3 教師和學(xué)員等移動用戶

遠(yuǎn)程教育系統(tǒng)的用戶數(shù)目龐大,主要包括教師和學(xué)員。

對于大數(shù)量的用戶,需要有一個很好的組織方式,方便管理和維護,并且和應(yīng)用系統(tǒng)能夠無縫整合,實現(xiàn)VPN接入身份認(rèn)證和應(yīng)用系統(tǒng)身份認(rèn)證完全實現(xiàn)統(tǒng)一:統(tǒng)一管理、單點登錄[7]。對于教師,由于數(shù)量較少,人員比較穩(wěn)定,而且使用的系統(tǒng)與內(nèi)部管理關(guān)聯(lián)緊密,所以需要更高的安全性。建議采用安全客戶端配套USB KEY來解決教師和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通。

對于學(xué)員,由于數(shù)量龐大,而且分布在全國各地,不便進行現(xiàn)場支持,而且穩(wěn)定性相對較差,所以建議采用純軟件版的安全客戶端系統(tǒng)實現(xiàn)和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通,同時通過“帳戶名+口令”的方式進行VPN接入身份認(rèn)證;并且通過定制,實現(xiàn)VPN接入的“帳戶名+口令”與應(yīng)用系統(tǒng)的“帳戶名+口令”完全一致,實現(xiàn)單點登錄。

根據(jù)上述方法,一種對用戶(教師和學(xué)員)實現(xiàn)統(tǒng)一管理的方法,可采用LDAP目錄來保存用戶信息,所有的用戶信息都保存在LDAP服務(wù)器上[8]。

LDAP是Lightweight Directory Access Protocol的縮寫,基于X.500標(biāo)準(zhǔn),但是簡化了很多并且可以根據(jù)需要定義。與X.500不同的是LDAP支持TCP/IP,這是訪問Internet所必須的。通過LDAP可以訪問存儲在LDAP目錄中的信息。LDAP目錄采用樹型層次結(jié)構(gòu)來存儲數(shù)據(jù),就象DNS的主機名一樣,LDAP目錄中記錄的的標(biāo)志名(Distinguished Name)用來讀取單個記錄,并回溯到目錄樹的頂部。

大多數(shù)的LDAP服務(wù)器都為讀密集型的操作進行專門的優(yōu)化。因此,當(dāng)從LDAP服務(wù)器中讀取數(shù)據(jù)的時候會比從關(guān)系型數(shù)據(jù)庫中讀取數(shù)據(jù)快一個數(shù)量級。也是因為專門為讀的性能進行優(yōu)化,大多數(shù)的LDAP目錄服務(wù)器并不適合存儲需要經(jīng)常改變的數(shù)據(jù)。對于學(xué)員組織結(jié)構(gòu)這樣需要經(jīng)常查詢,但是很少修改的信息,非常適合存儲在LDAP目錄中。

LDAP允許根據(jù)需要使用ACL(訪問控制列表)來控制對數(shù)據(jù)的讀寫權(quán)限,指定不同的用戶可以擁有不同的操作權(quán)限,實現(xiàn)用戶信息的分級管理。

針對我校遠(yuǎn)程教育網(wǎng)的情況,LDAP目錄用來存儲學(xué)院的學(xué)員信息,LDAP目錄可以根據(jù)學(xué)院的組織結(jié)構(gòu)來組織。LDAP目錄以學(xué)院為根目錄,以不同的系為下一級目錄,如果有需要,每個系可形成再下一級的目錄,最后的記錄項保存學(xué)員的相關(guān)信息。同時,通過使用LDAP的ACL,允許學(xué)院的管理員對所有用戶信息有讀寫權(quán)限,而系管理員只對本系的用戶信息有完全的讀寫權(quán)限。

采用LDAP目錄來存儲用戶信息,可以根據(jù)學(xué)院組織結(jié)構(gòu)來組織用戶,方便地實現(xiàn)用戶的分級管理,減少管理員的工作量。當(dāng)用戶通過VPN客戶端請求連接到安全網(wǎng)關(guān)時,先以SSL方式連接到SGW25C安全網(wǎng)關(guān),并上傳“帳戶名和密碼”,安全網(wǎng)關(guān)從LDAP服務(wù)器獲取用戶的相關(guān)信息,并校驗用戶身份。如果用戶身份校驗通過,安全客戶端將和安全網(wǎng)關(guān)通過IKE協(xié)商建立VPN隧道,通過隧道訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器。LDAP服務(wù)器由應(yīng)用系統(tǒng)管理員進行管理。

四 結(jié)束語

遠(yuǎn)程教育平臺的發(fā)展日新月異,新技術(shù)在遠(yuǎn)程教育中的應(yīng)用更是層出不窮,如何選擇最佳的技術(shù)和開發(fā)方案,并遵循合理的開發(fā)規(guī)范來設(shè)計現(xiàn)代遠(yuǎn)程教育平臺,一直是業(yè)界研究的熱點。VPN具有較高的安全性,良好的擴展性,靈活的控制策略,強大的管理功能等優(yōu)勢,隨著技術(shù)的進一步發(fā)展,VPN還能夠提供QoS服務(wù)質(zhì)量保證,支持各種多媒體業(yè)務(wù),因此,VPN在遠(yuǎn)程教育中將會得到更廣泛的應(yīng)用[9]。

————————

參考文獻(xiàn)

[1] 姜慶.MPLSVPN在現(xiàn)代遠(yuǎn)程教育中的應(yīng)用[J].軟件導(dǎo)刊(教育技術(shù)),2008,(7):62-64.

[2] 高海英等.VPN技術(shù)[M].北京:機械工業(yè)出版社.2004.

[3] 肖曉梅.利用VPN實現(xiàn)高校校園網(wǎng)的遠(yuǎn)程訪問[J].中國教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技術(shù)在高校圖書館遠(yuǎn)程訪問中的應(yīng)用[J].現(xiàn)代情報,2008,(4):82-84.

[5] 劉衛(wèi)國.VPN技術(shù)在高校圖書館的應(yīng)用[J].圖書館工作與研究,2007,(6):39-41.

[6] 朱偉珠.利用VPN技術(shù)實現(xiàn)高校圖書館資源共享[J].情報科學(xué),2007,(7):1058-1061.

[7] 王春海,張曉莉,田浩編著.VPN網(wǎng)絡(luò)組建案例實錄[J].北京:科學(xué)出版社,2008.

[8] (美)Richard Deal著,姚軍玲,郭稚暉譯.Cisco VPN完全配置指南[M].北京:人民郵電出版社,2007.

[9] 蔣艷萍.基于VPN技術(shù)的遠(yuǎn)程教育中的教學(xué)、教務(wù)管理信息系統(tǒng)的設(shè)計與實現(xiàn)[D].北京:北京化工大學(xué),2004.