導(dǎo)語(yǔ)：隧道技術(shù)實(shí)驗(yàn)室管理論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1采用三層C/S和三層B/S混合的系統(tǒng)架構(gòu)

三層B/S結(jié)構(gòu)分為客戶層、應(yīng)用服務(wù)層和數(shù)據(jù)服務(wù)層，它是三層C/S的一種網(wǎng)絡(luò)實(shí)現(xiàn)［5］。與C/S結(jié)構(gòu)中的客戶端不同，B/S結(jié)構(gòu)的客戶層只保留一個(gè)Web瀏覽器，Web服務(wù)器位于中間層應(yīng)用服務(wù)層，數(shù)據(jù)庫(kù)系統(tǒng)位于第三層數(shù)據(jù)服務(wù)層。Web瀏覽器和Web服務(wù)器之間只是簡(jiǎn)單的通信協(xié)議，其相應(yīng)的功能由各自的組件獨(dú)立完成，減輕了客戶機(jī)的負(fù)擔(dān)，卻提升了數(shù)據(jù)庫(kù)數(shù)據(jù)服務(wù)的效率;此外，由于Web應(yīng)用程序主體被封裝在Web服務(wù)器中，升級(jí)位于中間層的Web服務(wù)器中的應(yīng)用程序即可實(shí)現(xiàn)每一客戶端應(yīng)用程序的更新，大大提高了系統(tǒng)的可維護(hù)性［6］。但由于三層C/S結(jié)構(gòu)的分布功能弱、兼容性差、開發(fā)成本高、升級(jí)維護(hù)難度大;三層B/S結(jié)構(gòu)相應(yīng)速率低、交互性差、給數(shù)據(jù)庫(kù)訪問造成的壓力較大，因此，采用三層C/S和三層B/S相結(jié)合的混合架構(gòu)模式來搭建系統(tǒng)，揚(yáng)長(zhǎng)補(bǔ)短，發(fā)揮其各自優(yōu)勢(shì):三層C/S結(jié)構(gòu)用于安全性和交互性要求較高、數(shù)據(jù)處理量較大的子系統(tǒng);三層B/S結(jié)構(gòu)用于地理位置分散、數(shù)據(jù)流量較小的子系統(tǒng)。三層C/S和三層B/S混合的系統(tǒng)架構(gòu)如圖1所示。采用三層C/S和三層B/S混合架構(gòu)，將所有業(yè)務(wù)邏輯封裝于中間層，Web服務(wù)器和客戶端要想對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪問，需要經(jīng)過中間層應(yīng)用服務(wù)器的中轉(zhuǎn)，提高了數(shù)據(jù)庫(kù)服務(wù)器的安全性。

2將隧道技術(shù)和虛擬網(wǎng)卡應(yīng)用于SSLVPN的建立

2．1SSLVPN技術(shù)

早期的程序設(shè)計(jì)中通常缺少關(guān)于網(wǎng)絡(luò)安全的考慮，像telnet、smtp、pop3等協(xié)議都是以明文傳遞，即使是設(shè)置了重重安全保護(hù)機(jī)制的管理系統(tǒng)，機(jī)密資料在網(wǎng)絡(luò)上傳輸時(shí)還是赤裸裸未經(jīng)任何保護(hù)的明文資料，因而產(chǎn)生了許多可被攻擊的漏洞。在實(shí)驗(yàn)室管理系統(tǒng)中，實(shí)驗(yàn)室管理員對(duì)學(xué)生進(jìn)行遠(yuǎn)程管控、學(xué)生上機(jī)收費(fèi)都是通過網(wǎng)絡(luò)來完成的，在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)一旦被截獲，學(xué)生的一卡通賬戶和密碼、實(shí)驗(yàn)室的各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)將有被篡改的危險(xiǎn)，不但給實(shí)驗(yàn)室和學(xué)生帶來經(jīng)濟(jì)損失，還會(huì)造成系統(tǒng)紊亂。因此，確保數(shù)據(jù)通信安全是非常必要的。我們采用較為先進(jìn)的SSLVPN技術(shù)來保障網(wǎng)絡(luò)數(shù)據(jù)傳輸。SSLVPN是指一種基于數(shù)據(jù)包封裝技術(shù)使用SSL(安全套接層)協(xié)議來構(gòu)建的VPN。它通過加解密等密碼技術(shù)，將在公用網(wǎng)絡(luò)上的連接包裝成虛擬專用通道，能有效控制對(duì)內(nèi)部數(shù)據(jù)的訪問，減少來自公用網(wǎng)絡(luò)的惡意攻擊，大大提高了信息流通和網(wǎng)絡(luò)的安全性能，是遠(yuǎn)程接入內(nèi)網(wǎng)和遠(yuǎn)程訪問內(nèi)部數(shù)據(jù)較安全的技術(shù)［7］。傳統(tǒng)的IPSecVPN需要安裝客戶端軟件才能使用，而在SSLVPN架構(gòu)下，使用者無需在客戶端安裝軟件，只要利用瀏覽器，就可以通過網(wǎng)絡(luò)進(jìn)行資料存取和信息管理，顯得更加的方便、快捷，是新生代的遠(yuǎn)程安全訪問方式。傳統(tǒng)的SSLVPN由于使用瀏覽器作為客戶端程式，一些不適用以HTTP協(xié)議來執(zhí)行的應(yīng)用，就必須重新改寫為Webbase的版本，或是加上新的Webbase介接程序，才能配合SSLVPN使用，這不僅增加了SSLVPN導(dǎo)入的成本，也增加了導(dǎo)入的難度，成為SSLVPN技術(shù)的限制。因此，本文提出用隧道技術(shù)和虛擬網(wǎng)卡改良SSLVPN的解決方案。

2．2基于隧道技術(shù)和虛擬網(wǎng)卡的SSLVPN

本系統(tǒng)通過SSL的四層隧道協(xié)議在公用網(wǎng)絡(luò)中建構(gòu)一條加密的私有專用通道，它是一種點(diǎn)到點(diǎn)的數(shù)據(jù)連接，客戶端之間通過同一條線路進(jìn)行數(shù)據(jù)傳輸，它將內(nèi)部私有協(xié)議同主機(jī)網(wǎng)絡(luò)隔離開來，并可以根據(jù)用戶權(quán)限，允許授權(quán)用戶或禁止未授權(quán)用戶訪問內(nèi)網(wǎng)的資源和服務(wù)。隧道技術(shù)將數(shù)據(jù)流強(qiáng)制定向到特定的目的地，而且隱藏了內(nèi)部私有協(xié)議，保護(hù)了內(nèi)部的數(shù)據(jù)和資源，使得多種非IP協(xié)議數(shù)據(jù)包在IP網(wǎng)絡(luò)上傳輸成為可能，最大限度保證了數(shù)據(jù)的安全可靠［8］。虛擬網(wǎng)卡是實(shí)現(xiàn)SSLVPN隧道和系統(tǒng)數(shù)據(jù)通信的重要部件［9］。它的主要作用是對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行編碼和解碼，在客戶端，虛擬網(wǎng)卡對(duì)數(shù)據(jù)進(jìn)行編碼并發(fā)信息至服務(wù)器;在服務(wù)端，它對(duì)從客戶端發(fā)送過來的數(shù)據(jù)進(jìn)行解碼，轉(zhuǎn)化成明文后，再將其傳輸?shù)轿锢砭W(wǎng)絡(luò)中。虛擬網(wǎng)卡的功能通過Tun/Tap驅(qū)動(dòng)程序來實(shí)現(xiàn)，圖2為虛擬網(wǎng)卡驅(qū)動(dòng)程序的工作原理圖。Tun驅(qū)動(dòng)模式構(gòu)建點(diǎn)到點(diǎn)IP路由形式的VPN隧道，它虛擬點(diǎn)對(duì)點(diǎn)設(shè)備;Tap驅(qū)動(dòng)構(gòu)建以太網(wǎng)模型隧道，它虛擬以太網(wǎng)設(shè)備。如圖2所示，虛擬網(wǎng)卡驅(qū)動(dòng)程序就是核心態(tài)與用戶態(tài)的一個(gè)接口，它通過用戶態(tài)進(jìn)行數(shù)據(jù)交互，不需要與物理網(wǎng)卡打交道。Tun/Tap驅(qū)動(dòng)中的網(wǎng)卡驅(qū)動(dòng)能夠與TCP/IP協(xié)議棧之間進(jìn)行網(wǎng)絡(luò)分包的收發(fā)，Tun/Tap驅(qū)動(dòng)中的字符驅(qū)動(dòng)能夠以字符設(shè)備的方式連接用戶態(tài)和核心態(tài)，字符設(shè)備讀取的是虛擬網(wǎng)卡發(fā)往物理層的字節(jié)流，而寫入字符設(shè)備的數(shù)據(jù)則作為字節(jié)流被虛擬網(wǎng)卡接收。

3網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)

隨著校園網(wǎng)絡(luò)攻擊趨于隱蔽性和復(fù)雜性，實(shí)驗(yàn)室管理系統(tǒng)不能只單純地依靠防火墻作為安全的防線，因?yàn)榉阑饓χ荒軐?duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析判斷，而對(duì)于網(wǎng)絡(luò)內(nèi)部的異常事件無能為力，無法滿足系統(tǒng)高安全度的需要。入侵檢測(cè)系統(tǒng)(IntrusionDe-tectionSystem，簡(jiǎn)稱IDS)則可以動(dòng)態(tài)監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為，作為對(duì)防火墻的補(bǔ)充［11］。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)使用基于統(tǒng)計(jì)和基于特征的兩種檢測(cè)方法，將網(wǎng)絡(luò)適配器設(shè)置于混雜模式(promiscmode)下，，對(duì)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包、通信業(yè)務(wù)進(jìn)行實(shí)時(shí)監(jiān)控、偵聽和分析，一旦檢測(cè)到攻擊或超越授權(quán)的非法訪問，響應(yīng)模塊立即按照設(shè)置做出報(bào)警甚至直接切斷網(wǎng)絡(luò)連接。NIDS由于采用旁路技術(shù)，不會(huì)在主機(jī)中安裝額外的軟件，不需要改變服務(wù)器的配置，因此對(duì)網(wǎng)段中計(jì)算機(jī)影響較低，不會(huì)降低系統(tǒng)性能，即便NIDS發(fā)生故障，也不會(huì)影響正常業(yè)務(wù)的運(yùn)行，是一項(xiàng)非常值得推廣的系統(tǒng)安全防護(hù)措施［12］。

4合理的用戶權(quán)限劃分

本系統(tǒng)在數(shù)據(jù)庫(kù)中建立權(quán)限表，將用戶分為超級(jí)管理員、實(shí)驗(yàn)室管理員和學(xué)生3類。用戶登錄系統(tǒng)后，系統(tǒng)根據(jù)用戶不同的權(quán)限級(jí)別，提供不同的菜單和功能使用模塊。超級(jí)管理員具有最高權(quán)限，可以對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行設(shè)置和管理;實(shí)驗(yàn)室管理員可以對(duì)所管轄的實(shí)驗(yàn)室進(jìn)行部分?jǐn)?shù)據(jù)管理和功能應(yīng)用;學(xué)生權(quán)限最低，只可以在系統(tǒng)中進(jìn)行其相應(yīng)級(jí)別的操作。通過對(duì)權(quán)限類別和級(jí)別的嚴(yán)格劃分，本系統(tǒng)從根本上防止了用戶的越權(quán)訪問和控制失效等安全問題。

5結(jié)語(yǔ)

三層C/S和三層B/S混合的系統(tǒng)架構(gòu)、基于隧道技術(shù)和虛擬網(wǎng)卡的SSLVPN、網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)、合理的權(quán)限劃分一起構(gòu)成了實(shí)驗(yàn)室管理系統(tǒng)的信息安全保障體系。該體系既能夠防止非法用戶系統(tǒng)的入侵和攻擊，又能防止合法用戶的越權(quán)訪問，全面保護(hù)數(shù)據(jù)在存儲(chǔ)、使用、傳輸過程中的完整性和安全性，使整個(gè)實(shí)驗(yàn)室管理系統(tǒng)處于安全保護(hù)范疇之內(nèi)。

作者：汪蘭郭小拓單位：浙江傳媒學(xué)院校園建設(shè)處