隧道技術實驗室管理論文

導語：隧道技術實驗室管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1采用三層C/S和三層B/S混合的系統架構

三層B/S結構分為客戶層、應用服務層和數據服務層，它是三層C/S的一種網絡實現［5］。與C/S結構中的客戶端不同，B/S結構的客戶層只保留一個Web瀏覽器，Web服務器位于中間層應用服務層，數據庫系統位于第三層數據服務層。Web瀏覽器和Web服務器之間只是簡單的通信協議，其相應的功能由各自的組件獨立完成，減輕了客戶機的負擔，卻提升了數據庫數據服務的效率;此外，由于Web應用程序主體被封裝在Web服務器中，升級位于中間層的Web服務器中的應用程序即可實現每一客戶端應用程序的更新，大大提高了系統的可維護性［6］。但由于三層C/S結構的分布功能弱、兼容性差、開發成本高、升級維護難度大;三層B/S結構相應速率低、交互性差、給數據庫訪問造成的壓力較大，因此，采用三層C/S和三層B/S相結合的混合架構模式來搭建系統，揚長補短，發揮其各自優勢:三層C/S結構用于安全性和交互性要求較高、數據處理量較大的子系統;三層B/S結構用于地理位置分散、數據流量較小的子系統。三層C/S和三層B/S混合的系統架構如圖1所示。采用三層C/S和三層B/S混合架構，將所有業務邏輯封裝于中間層，Web服務器和客戶端要想對數據庫服務器進行訪問，需要經過中間層應用服務器的中轉，提高了數據庫服務器的安全性。

2將隧道技術和虛擬網卡應用于SSLVPN的建立

2．1SSLVPN技術

早期的程序設計中通常缺少關于網絡安全的考慮，像telnet、smtp、pop3等協議都是以明文傳遞，即使是設置了重重安全保護機制的管理系統，機密資料在網絡上傳輸時還是赤裸裸未經任何保護的明文資料，因而產生了許多可被攻擊的漏洞。在實驗室管理系統中，實驗室管理員對學生進行遠程管控、學生上機收費都是通過網絡來完成的，在網絡中傳輸的數據一旦被截獲，學生的一卡通賬戶和密碼、實驗室的各項統計數據將有被篡改的危險，不但給實驗室和學生帶來經濟損失，還會造成系統紊亂。因此，確保數據通信安全是非常必要的。我們采用較為先進的SSLVPN技術來保障網絡數據傳輸。SSLVPN是指一種基于數據包封裝技術使用SSL(安全套接層)協議來構建的VPN。它通過加解密等密碼技術，將在公用網絡上的連接包裝成虛擬專用通道，能有效控制對內部數據的訪問，減少來自公用網絡的惡意攻擊，大大提高了信息流通和網絡的安全性能，是遠程接入內網和遠程訪問內部數據較安全的技術［7］。傳統的IPSecVPN需要安裝客戶端軟件才能使用，而在SSLVPN架構下，使用者無需在客戶端安裝軟件，只要利用瀏覽器，就可以通過網絡進行資料存取和信息管理，顯得更加的方便、快捷，是新生代的遠程安全訪問方式。傳統的SSLVPN由于使用瀏覽器作為客戶端程式，一些不適用以HTTP協議來執行的應用，就必須重新改寫為Webbase的版本，或是加上新的Webbase介接程序，才能配合SSLVPN使用，這不僅增加了SSLVPN導入的成本，也增加了導入的難度，成為SSLVPN技術的限制。因此，本文提出用隧道技術和虛擬網卡改良SSLVPN的解決方案。

2．2基于隧道技術和虛擬網卡的SSLVPN

本系統通過SSL的四層隧道協議在公用網絡中建構一條加密的私有專用通道，它是一種點到點的數據連接，客戶端之間通過同一條線路進行數據傳輸，它將內部私有協議同主機網絡隔離開來，并可以根據用戶權限，允許授權用戶或禁止未授權用戶訪問內網的資源和服務。隧道技術將數據流強制定向到特定的目的地，而且隱藏了內部私有協議，保護了內部的數據和資源，使得多種非IP協議數據包在IP網絡上傳輸成為可能，最大限度保證了數據的安全可靠［8］。虛擬網卡是實現SSLVPN隧道和系統數據通信的重要部件［9］。它的主要作用是對傳輸的數據包進行編碼和解碼，在客戶端，虛擬網卡對數據進行編碼并發信息至服務器;在服務端，它對從客戶端發送過來的數據進行解碼，轉化成明文后，再將其傳輸到物理網絡中。虛擬網卡的功能通過Tun/Tap驅動程序來實現，圖2為虛擬網卡驅動程序的工作原理圖。Tun驅動模式構建點到點IP路由形式的VPN隧道，它虛擬點對點設備;Tap驅動構建以太網模型隧道，它虛擬以太網設備。如圖2所示，虛擬網卡驅動程序就是核心態與用戶態的一個接口，它通過用戶態進行數據交互，不需要與物理網卡打交道。Tun/Tap驅動中的網卡驅動能夠與TCP/IP協議棧之間進行網絡分包的收發，Tun/Tap驅動中的字符驅動能夠以字符設備的方式連接用戶態和核心態，字符設備讀取的是虛擬網卡發往物理層的字節流，而寫入字符設備的數據則作為字節流被虛擬網卡接收。

3網絡型入侵檢測系統

隨著校園網絡攻擊趨于隱蔽性和復雜性，實驗室管理系統不能只單純地依靠防火墻作為安全的防線，因為防火墻只能對進出網絡的數據進行分析判斷，而對于網絡內部的異常事件無能為力，無法滿足系統高安全度的需要。入侵檢測系統(IntrusionDe-tectionSystem，簡稱IDS)則可以動態監控、預防或抵御系統入侵行為，作為對防火墻的補充［11］。基于網絡的入侵檢測系統(NIDS)使用基于統計和基于特征的兩種檢測方法，將網絡適配器設置于混雜模式(promiscmode)下，，對所有本網段內的數據包、通信業務進行實時監控、偵聽和分析，一旦檢測到攻擊或超越授權的非法訪問，響應模塊立即按照設置做出報警甚至直接切斷網絡連接。NIDS由于采用旁路技術，不會在主機中安裝額外的軟件，不需要改變服務器的配置，因此對網段中計算機影響較低，不會降低系統性能，即便NIDS發生故障，也不會影響正常業務的運行，是一項非常值得推廣的系統安全防護措施［12］。

4合理的用戶權限劃分

本系統在數據庫中建立權限表，將用戶分為超級管理員、實驗室管理員和學生3類。用戶登錄系統后，系統根據用戶不同的權限級別，提供不同的菜單和功能使用模塊。超級管理員具有最高權限，可以對系統數據進行設置和管理;實驗室管理員可以對所管轄的實驗室進行部分數據管理和功能應用;學生權限最低，只可以在系統中進行其相應級別的操作。通過對權限類別和級別的嚴格劃分，本系統從根本上防止了用戶的越權訪問和控制失效等安全問題。

5結語

三層C/S和三層B/S混合的系統架構、基于隧道技術和虛擬網卡的SSLVPN、網絡型入侵檢測系統、合理的權限劃分一起構成了實驗室管理系統的信息安全保障體系。該體系既能夠防止非法用戶系統的入侵和攻擊，又能防止合法用戶的越權訪問，全面保護數據在存儲、使用、傳輸過程中的完整性和安全性，使整個實驗室管理系統處于安全保護范疇之內。

作者：汪蘭郭小拓單位：浙江傳媒學院校園建設處