维普资讯 http://www.cqvip.com 基于L i nux的经济安全VPN在校园网中的研究与应用 The Research and Application of the VPN iIl Campus Net Based Oil LiilUX 袁海燕 Yuan Haiyan (江西财经大学国际经贸学院,南昌330013) (School of International Trade and EcOnomics,Jiangxi University of Finance&Economics,Nanchang 330013) 摘 要:构建于公共网络之上的校园虚拟专用网既可以实现安全、快捷传递信息的需求,又可以为学校节省大量的开 支。为适应目前江西财经大学校外教工访问校园网资源的需要,学校构建了基于LINUX的VPN系统.并在此基础上运用流行的 网络语言PHP和数据库系统MYSQL设计了VPN用户的管理系统,运用IPTBALES表对用户的访问进行有效的控制。 关键词:虚拟专用网:VPN;PHP;M.ysql;隧道:Iptables 中图分类号:C93 l 文献标识码:A 文章编号:l 67 l一4792一(2006)3—0084 02 1 引言 证技术来确定通信者的真实身份 随着校园网络的不断发展,VPN已经在在校园网里得到 2.3密钥管理技术 广泛的应用,主要表现在校外用户对校园资源的访问、分校 对于密钥管理问题,有人提出这样一种结构:人工密钥 区之间的互连以及图书馆等重要资源的访问等方面,在这些 分配,以某种乱序方式,组密钥分配给组内的所有成员,同 应用中可以选择不同的VPN技术和构架,一个好的技术构架 时不进行任何形式的在线密钥交换。另一种方法是:在每个 不仅带来管理的方便,同时也可以达到更高的安全性。江西 组成员和密钥持有者之间都建立一个共享的秘密 财经大学VPN系统采用LINUX作为系统构架和开发的平台,同 2.4身份认证技术 时在该系统中做了一些相关的开发和设计工作,在降低了 认证技术在VPN的实施中是十分重要的技术之一,它能 VPN系统构架成本的同时也方便了VPN的管理和加强了VPN的 保证通信者双方的相互可信性,同时也保障系统的分级管理 安全。 和防止非法入侵。在VI N中使用的认证技术有用户名及口令 2 VPN技术 认证、数字签名身份验证、cA认证以及消息认证等。每一种 2.1隧道技术 认证均有自己的适用场合和使用方式。 隧道技术是一种通过使用互联网络的基础设施在网络之 在远程访问型VPN中,经常使用用户名和口令来判断用 间传递数据的方式。使用隧道传递的数据(或负载)可以是 户是否有权限访问。在PPP(Point to Point Protoco1)中 不同协议的数据帧或包。隧道协议将这些其它协议的数据帧 采用PAP(Password Authenticati on Protoco1)及CHAP 或包重新封装在新的包头中发送。新的包头提供了路由信 (Cha 1 lenge Handshake Authentication Protoco1)等规程 息,从而使封装的负载数据能够通过互联网络传递。隧道技 进行认证。PPTP和L2TP等隧道协议就是采PPP的认证协议。 术主要包括点对点隧道协议(PPYP)、第2层隧道协议(L2TP)、 3 以LINUX为系统构架和开发平台VPN的确立 安全TP(IPSec)隧道技术。 在专业VPN市场中,很多VPN产品附加在防火墙上,这 2.2加密技术 样的产品不仅价格昂贵,而且很多产品还有密钥个数限制, 加密技术是现代通信中常使用技术之一,也是保障通信 连接数限制等,并且在使用的过程中不方便管理,我们最终 安全必不可少的技术之一,VPN中使用到的加密技术包括对 选定使用在通用操作系统LINUX上架构VPN系统,同时在该 称加密技术和非对称加密技术。对称加密技术主要用于数据 平台上做一些相关的开发工作,使该系统使用起来更加方便 加密,非对称加密技术主要用于对对称密钥的保护,也就是 和安全,使用LINUX架设VPN系统的优势体现在: 说,为了建立公共密钥,在Internet上必须向通信对方传递 3.1开放性。开放源码意味着可以对其安全性做出精确 密钥,为了保障传输的公共密钥的安全性,应用公钥加密技 评估,同时叉避免了对操作系统中存在“后门”的忧虑;而 术对密钥加密保护传输,同时在进行密钥传递中还要采用认 ~一个不开放源码的系统,则很难对其做出安全性评估。开放 维普资讯 http://www.cqvip.com 源码的另一个重要优点是所有的人 以增强其安全性。另外,可以在开直 软件之上增加其它软件 来加强整个系统安全性。也就是说, 用户主动性;而不开放源码的软件 则一切都只有依赖厂商, 用户只能处于消极被动的地位。 3.2稳定性、高效性。LINUX 2 络功能是其最显著的特点之一,f F为一种网络操作系统, LINUX比Windows NT更加安全、稳 3.3安全性。根据以上分析,】 身就意味着一定的安全性。 4 VPN系统在LI在校园VPN的设计中,我们 用的是LINUX下的组件 NUX上的构架 PPTP,它非常方便于WINDOWS客户[ 其它第三方软件。为方便在L TNUR PHP+MYSQL的构架来进行VPN用户自 勺管理设计,同时为保证 VPN系统的安全,我们在校园网的 :干路由上做了一些相关 的路由设置,并在VPN系统中添加 厂访问控¥1J ̄lJ表,其拓扑 结构如图 所示: 熟 2IEN tg ,gT as,210.f础嘲叠 I T /— 墨 . 一 册 鼬 郴驯 舯 _。 6-2 图一VPN系统{ 吉构图 下面是对PPTP组件的安装和 8试 4.1配置环境设置: 4.2构架VPN系统所需软件: 1、kernelpppmppe一0.0.4—2 Idkms.noarch.rpm(MPPE —_的内核补丁) 3、PPP(2.4.2以上的PPP才j 4、ppZpd一1.2.1.tar.gz(ppt pd服务软件) 4.3在LINUX下安装软件 安装完成了,可以对相关的文f 牛进行符合实际情况的配 置。 4.4启动服务: /usr/1 0ca1/sbin/pptpd 为测试服务是否启动,我们 f以用netstat查看一下 1723端IZl是不是开的,如果是的罐 5 VPN的用户管理和安全设计 在VPN中,如果需要添加用户则必须在用户文件中添加, 基 理,然后在把用户的信息加载到用户文件当中,这样为用户 于 [= 妄 SUDO这一组建来解决这个问题。在该设计中,其主要功能有: 的 经 济 安 全 建立数据库member,在数据库中建立一张表,负责用户 < _Z o 在 校 本系统主要分为S子模块,分别是数据库连接模块、管 园 网 理员认证模块、用户添加模块、用户查看模块和用户修改模 由 块,通过这五个模块的实现可以很方便实现VP.N"用户的管理 的 研 究 与 过NA当滤T的主机功能,i然机功制能还,它不最止大于的此功pt,能它abl就还e是可s的工作方向,必须要依规则的 可以以用过来滤进掉行I不要P的T伪装c,P以封达包成, 用应 顺序来分析。 本设计中研究的仅是简化后vP 模型,许多如验证、隧 道等技术,实现从接入服务器被移植于VPN服务器,还需大 霎 臂 纛 主流,应在此基础上对VPN系统进行改造并提出其理论依据, 今后还应在模块的软件构架上进一步没计。标准网管功能的 实现还不完善,比如隧道用户的计费、维护等方面的工作还 [1]刘占全编著.网络管理与防火墙技术[M].人民邮电出 [2]李卓桓,瞿华等.Linux网络编程[、f].机械工 I 出版 [4]刘彦,陈弘.虚拟专用网的体系结构与实现[J].1999, [5]何宝宏.VPN技术综述[J].中国数据通信,2002,2: [6]朱居正,高冰.Red Hat I {nUX 9系统管理【M].2004. [7]Hector Carcia—Molina.数据库系统实现.Jeffrey D.