论文部分内容阅读
摘 要:本文针对校园网内部资源安全问题中一直未能很好解决的用户身份认证问题和外部用户对校园网内部资源的安全访问问题,结合当前网络安全领域内的先进技术,提出了基于PKI与VPN技术的校园网内部资源保护方案模型。文章重点分析了模型中PKI与VPN技术的应用以及模型的安全性。
关键词:PKI VPN 数字签名 校园网内部资源
中图分类号:TP393.8 文献标识码:A 文章编号:1673-8454(2008)09-0077-04
一、研究背景
随着校园网建设的进行,校园网中的各种硬件设备越来越多,如核心交换机、路由器、服务器、配线柜等,而依托于校园网的各种应用系统也迅速产生,如财务管理系统、网上办公系统、校园“一卡通”等,这些硬件和软件共同构成了校园网的资源。本文所谈的校园网内部资源并非指所有的校园网资源,而是指像财务管理系统、网上办公系统、校园“一卡通”等这类软件资源,这些资源一般在学校内部使用,为整个学校的办公服务,不允许外部人员随意访问,如果被校外人员非法随意访问,则可能会引起很多的社会问题,对学校有较大的影响,我们把具备以上特点的校园网资源中的软件资源称为校园网内部资源。本文所谈的安全问题也是指该类资源的安全问题。
Internet的迅速发展以及公共网络的开放性和管理的松散性,导致网络上的各种攻击、网络欺诈、非法入侵、数据窃取等各种不安全因素无处不在,给所有连接在该网络上的网络系统和微机造成了很大威胁,给校园网内部资源带来很大的安全问题。另外,由于高等教育的迅速发展和高校合并的因素,各大高校一般均有多个分校,且分校间的距离一般较远,有的甚至横跨几个地区或省份,多数高校通过ISP提供的公共网线路来实现各个分校校园网之间的互连,校园网拓扑结构如图1所示。
面对如此复杂的校园网内部结构和外部网络环境,如何保障校园网内部资源的安全,有效地防止对校园网内部资源的非法访问,如何保证各分校之间安全共享校园网内部资源和数据的安全传输便成了急需解决的问题。
三、基于PKI与VPN技术的校园网内部资源安全保护模型
1.相关技术概述
PKI是“Public Key Infrastructure”的缩写,是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。[1]
PKI是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展,提供一整套安全的基础平台。用户利用PKI平台提供的安全服务进行安全通信。PKI这种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。[1]
简言之,PKI公钥基础设施就是提供公钥加密和数字签名服务的系统,目的是为了管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。
VPN技术是采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术,它实现了企业信息在公用网络中的传输,就如同在茫茫的广域网中为企业拉出一条专线,对于企业来讲公共网络起到了“虚拟专用”的效果,主要用于解决公共网络中通信时的网络安全问题。[2]
2.基于PKI与VPN技术的校园网内部资源安全保护模型设计
(1)PKI模型设计
PKI有多种体系结构,如无政府、单CA、单CA多RA、多CA层次式以及混杂式等体系结构。高校是一个具有严格主从关系的实体,客户和服务群体基本上都信任单一的高校权威认证中心,身份鉴别和授权访问都可以最终由高校权威认证中心裁决。标准PKI体系结构如图3所示,主要由认证中心(Certificate Authority,CA)、注册中心(Registration Authority,RA)和存取证书及证书撤销信息的资料库(Cert/CRL Repository)组成维护证书的管理。[3]
该体系结构比较复杂抽象,需要对其进行改造以适应高校校园网对PKI体系结构的需求,在高校中,学校各部门都信任同一个权威认证中心,但由于业务和职能的不同,各部门间又是相对独立的。若将所有用户认证、注册和管理工作都由权威认证中心完成,由于权威认证中心不一定完全掌握各部门内部所有用户的具体信息,而且数据量大,对于单CA体系结构来说,同样不易实现和维护。一个能满足目前复杂安全需求的,在管理上又简单、灵活的CA体系结构应该是集中式与分布式的结合体。因此对标准PKI体系结构作进一步改进:高校各部门设立自己的注册权威RA,本部门用户的证书注册工作由各部门自己完成,证书的统一签发和管理工作由权威认证中心集中完成。
综合以上分析,在高校校园网环境下建立一个以PKI为核心的简单安全模型结构,如图4所示。
2)Access VPN
利用网络操作系统(如Windows 2003 Server)自带的建立虚拟专用网络的功能建立虚拟网络拨号服务器,即可提供分校或校外用户通过开放的不安全的公共网络建立一个安全的虚拟连接访问校园网内部资源的功能。[5][6]
(3)基于PKI与VPN技术的校园网内部资源安全模型
根据对常见校园网内部资源保护方案的分析,结合所构建的PKI模型和VPN模型,对图2校园网内部资源保护方案模型进行改造,改造后的校园网络拓扑结构如图6(本图中仅对校本部校园网进行了详细的改造,其他分校的校园网可参照作相应修改)所示。
改造后的校园网内部资源保护方案和原来的校园网内部资源保护方案相比主要有以下几点不同:
1)改造了校园网内部资源服务器网络,将所有的内部资源服务器放置到一个私有网络之中,这些内部资源服务器只能通过VPN服务器访问,提高了校园网内部资源的安全性。
2)增加了VPN服务器,该服务器可以方便所有用户(校内和校外用户)对校园网内部资源的访问。
3)增加了CA和RA服务器,用以实现用户证书的申请、签发和管理工作,用户访问内部资源服务器时验证用户的身份。
四、基于PKI与VPN技术的校园网内部资源安全模型安全性分析
对比图2和图6所示的两个校园网内部资源保护方案模型,我们会发现后者和前者相比具有明显的优势:
1.改造后的校园网内部资源保护方案模型增加了CA认证服务,对访问内部资源服务器的每个用户进行数字身份的认证,由于数字证书是经过加密传输,所以基本上不存在被破解的可能,所以能够解决原来保护模型中所一直没有解决的基于内部资源应用系统自身通过账号和密码进行简单认证的缺陷,大大增强了内部资源应用系统安全性。
2.改造后的校园网内部资源保护方案模型增加了VPN服务,分校用户或居住校外的用户便可以通过虚拟拨号功能实现对校园网内部资源服务器的访问,在访问时首先经过VPN服务器用户账号和密码验证,加强了认证上的安全性,当VPN虚拟网络通过建立以后又对传输的数据进行了加密,所以能够彻底解决原来保护模型中所没有解决的分校用户或校外居住的用户对校园网内部资源访问中存在的安全问题。
3.改造后的校园网内部资源保护方案模型中所采用的PKI与VPN这两种技术必须两者同时使用,否则便不能将图2所示校园网内部资源保护方案中所存在的问题都解决。
如果去掉VPN技术,则不能够彻底解决原来保护模型中所没有解决的分校用户或校外居住的用户对校园网内部资源访问中存在的安全问题,仍然存在数据在互联网上传输过程中被窃取的安全隐患。
如果去掉PKI技术,则不能够解决原来保护模型中的基于内部资源应用系统自身通过账号和密码进行简单认证的缺陷,系统的安全运行仍然受到威胁。
五、结束语
PKI与VPN技术是目前用于解决网络安全问题的主要技术之一,通过对校园网内部资源安全问题系统的分析和研究,本文成功地将这两种技术用于校园网内部资源安全问题解决方案中,对以往各种校园网内部资源保护方案所没有很好解决的身份认证问题和校园网内部资源安全访问问题给予了彻底的解决,有一定的理论和实践价值。
参考文献:
[1]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002:30-60.
[2]俞进福,李永忠.VPN技术的企业应用解决方案[J].武汉科技学院学报,2005,18(12):40-42.
[3]张福民.校园网PKI系统的研究与设计[D].硕士学位论文.电子科技大学,2004.
[4]宫成烨,周惠民.基于PKI的Intranet安全模型的分析和设计[J].微机发展,2004,14(5):83-86.
[5]陈国浪.VPN在Windows2000中的实现[J].温州职业技术学院学报,2004,4(1):29-31.
[6]张研,许云峰.Windows2000下详细配置虚拟专用网络[J].河北工业科技,2005,22(6):377-380.
关键词:PKI VPN 数字签名 校园网内部资源
中图分类号:TP393.8 文献标识码:A 文章编号:1673-8454(2008)09-0077-04
一、研究背景
随着校园网建设的进行,校园网中的各种硬件设备越来越多,如核心交换机、路由器、服务器、配线柜等,而依托于校园网的各种应用系统也迅速产生,如财务管理系统、网上办公系统、校园“一卡通”等,这些硬件和软件共同构成了校园网的资源。本文所谈的校园网内部资源并非指所有的校园网资源,而是指像财务管理系统、网上办公系统、校园“一卡通”等这类软件资源,这些资源一般在学校内部使用,为整个学校的办公服务,不允许外部人员随意访问,如果被校外人员非法随意访问,则可能会引起很多的社会问题,对学校有较大的影响,我们把具备以上特点的校园网资源中的软件资源称为校园网内部资源。本文所谈的安全问题也是指该类资源的安全问题。
Internet的迅速发展以及公共网络的开放性和管理的松散性,导致网络上的各种攻击、网络欺诈、非法入侵、数据窃取等各种不安全因素无处不在,给所有连接在该网络上的网络系统和微机造成了很大威胁,给校园网内部资源带来很大的安全问题。另外,由于高等教育的迅速发展和高校合并的因素,各大高校一般均有多个分校,且分校间的距离一般较远,有的甚至横跨几个地区或省份,多数高校通过ISP提供的公共网线路来实现各个分校校园网之间的互连,校园网拓扑结构如图1所示。
面对如此复杂的校园网内部结构和外部网络环境,如何保障校园网内部资源的安全,有效地防止对校园网内部资源的非法访问,如何保证各分校之间安全共享校园网内部资源和数据的安全传输便成了急需解决的问题。
三、基于PKI与VPN技术的校园网内部资源安全保护模型
1.相关技术概述
PKI是“Public Key Infrastructure”的缩写,是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。[1]
PKI是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展,提供一整套安全的基础平台。用户利用PKI平台提供的安全服务进行安全通信。PKI这种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。[1]
简言之,PKI公钥基础设施就是提供公钥加密和数字签名服务的系统,目的是为了管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。
VPN技术是采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术,它实现了企业信息在公用网络中的传输,就如同在茫茫的广域网中为企业拉出一条专线,对于企业来讲公共网络起到了“虚拟专用”的效果,主要用于解决公共网络中通信时的网络安全问题。[2]
2.基于PKI与VPN技术的校园网内部资源安全保护模型设计
(1)PKI模型设计
PKI有多种体系结构,如无政府、单CA、单CA多RA、多CA层次式以及混杂式等体系结构。高校是一个具有严格主从关系的实体,客户和服务群体基本上都信任单一的高校权威认证中心,身份鉴别和授权访问都可以最终由高校权威认证中心裁决。标准PKI体系结构如图3所示,主要由认证中心(Certificate Authority,CA)、注册中心(Registration Authority,RA)和存取证书及证书撤销信息的资料库(Cert/CRL Repository)组成维护证书的管理。[3]
该体系结构比较复杂抽象,需要对其进行改造以适应高校校园网对PKI体系结构的需求,在高校中,学校各部门都信任同一个权威认证中心,但由于业务和职能的不同,各部门间又是相对独立的。若将所有用户认证、注册和管理工作都由权威认证中心完成,由于权威认证中心不一定完全掌握各部门内部所有用户的具体信息,而且数据量大,对于单CA体系结构来说,同样不易实现和维护。一个能满足目前复杂安全需求的,在管理上又简单、灵活的CA体系结构应该是集中式与分布式的结合体。因此对标准PKI体系结构作进一步改进:高校各部门设立自己的注册权威RA,本部门用户的证书注册工作由各部门自己完成,证书的统一签发和管理工作由权威认证中心集中完成。
综合以上分析,在高校校园网环境下建立一个以PKI为核心的简单安全模型结构,如图4所示。
2)Access VPN
利用网络操作系统(如Windows 2003 Server)自带的建立虚拟专用网络的功能建立虚拟网络拨号服务器,即可提供分校或校外用户通过开放的不安全的公共网络建立一个安全的虚拟连接访问校园网内部资源的功能。[5][6]
(3)基于PKI与VPN技术的校园网内部资源安全模型
根据对常见校园网内部资源保护方案的分析,结合所构建的PKI模型和VPN模型,对图2校园网内部资源保护方案模型进行改造,改造后的校园网络拓扑结构如图6(本图中仅对校本部校园网进行了详细的改造,其他分校的校园网可参照作相应修改)所示。
改造后的校园网内部资源保护方案和原来的校园网内部资源保护方案相比主要有以下几点不同:
1)改造了校园网内部资源服务器网络,将所有的内部资源服务器放置到一个私有网络之中,这些内部资源服务器只能通过VPN服务器访问,提高了校园网内部资源的安全性。
2)增加了VPN服务器,该服务器可以方便所有用户(校内和校外用户)对校园网内部资源的访问。
3)增加了CA和RA服务器,用以实现用户证书的申请、签发和管理工作,用户访问内部资源服务器时验证用户的身份。
四、基于PKI与VPN技术的校园网内部资源安全模型安全性分析
对比图2和图6所示的两个校园网内部资源保护方案模型,我们会发现后者和前者相比具有明显的优势:
1.改造后的校园网内部资源保护方案模型增加了CA认证服务,对访问内部资源服务器的每个用户进行数字身份的认证,由于数字证书是经过加密传输,所以基本上不存在被破解的可能,所以能够解决原来保护模型中所一直没有解决的基于内部资源应用系统自身通过账号和密码进行简单认证的缺陷,大大增强了内部资源应用系统安全性。
2.改造后的校园网内部资源保护方案模型增加了VPN服务,分校用户或居住校外的用户便可以通过虚拟拨号功能实现对校园网内部资源服务器的访问,在访问时首先经过VPN服务器用户账号和密码验证,加强了认证上的安全性,当VPN虚拟网络通过建立以后又对传输的数据进行了加密,所以能够彻底解决原来保护模型中所没有解决的分校用户或校外居住的用户对校园网内部资源访问中存在的安全问题。
3.改造后的校园网内部资源保护方案模型中所采用的PKI与VPN这两种技术必须两者同时使用,否则便不能将图2所示校园网内部资源保护方案中所存在的问题都解决。
如果去掉VPN技术,则不能够彻底解决原来保护模型中所没有解决的分校用户或校外居住的用户对校园网内部资源访问中存在的安全问题,仍然存在数据在互联网上传输过程中被窃取的安全隐患。
如果去掉PKI技术,则不能够解决原来保护模型中的基于内部资源应用系统自身通过账号和密码进行简单认证的缺陷,系统的安全运行仍然受到威胁。
五、结束语
PKI与VPN技术是目前用于解决网络安全问题的主要技术之一,通过对校园网内部资源安全问题系统的分析和研究,本文成功地将这两种技术用于校园网内部资源安全问题解决方案中,对以往各种校园网内部资源保护方案所没有很好解决的身份认证问题和校园网内部资源安全访问问题给予了彻底的解决,有一定的理论和实践价值。
参考文献:
[1]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002:30-60.
[2]俞进福,李永忠.VPN技术的企业应用解决方案[J].武汉科技学院学报,2005,18(12):40-42.
[3]张福民.校园网PKI系统的研究与设计[D].硕士学位论文.电子科技大学,2004.
[4]宫成烨,周惠民.基于PKI的Intranet安全模型的分析和设计[J].微机发展,2004,14(5):83-86.
[5]陈国浪.VPN在Windows2000中的实现[J].温州职业技术学院学报,2004,4(1):29-31.
[6]张研,许云峰.Windows2000下详细配置虚拟专用网络[J].河北工业科技,2005,22(6):377-380.