導語：隧道技術實驗室管理論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1采用三層C/S和三層B/S混合的系統(tǒng)架構

三層B/S結構分為客戶層、應用服務層和數(shù)據(jù)服務層，它是三層C/S的一種網(wǎng)絡實現(xiàn)［5］。與C/S結構中的客戶端不同，B/S結構的客戶層只保留一個Web瀏覽器，Web服務器位于中間層應用服務層，數(shù)據(jù)庫系統(tǒng)位于第三層數(shù)據(jù)服務層。Web瀏覽器和Web服務器之間只是簡單的通信協(xié)議，其相應的功能由各自的組件獨立完成，減輕了客戶機的負擔，卻提升了數(shù)據(jù)庫數(shù)據(jù)服務的效率;此外，由于Web應用程序主體被封裝在Web服務器中，升級位于中間層的Web服務器中的應用程序即可實現(xiàn)每一客戶端應用程序的更新，大大提高了系統(tǒng)的可維護性［6］。但由于三層C/S結構的分布功能弱、兼容性差、開發(fā)成本高、升級維護難度大;三層B/S結構相應速率低、交互性差、給數(shù)據(jù)庫訪問造成的壓力較大，因此，采用三層C/S和三層B/S相結合的混合架構模式來搭建系統(tǒng)，揚長補短，發(fā)揮其各自優(yōu)勢:三層C/S結構用于安全性和交互性要求較高、數(shù)據(jù)處理量較大的子系統(tǒng);三層B/S結構用于地理位置分散、數(shù)據(jù)流量較小的子系統(tǒng)。三層C/S和三層B/S混合的系統(tǒng)架構如圖1所示。采用三層C/S和三層B/S混合架構，將所有業(yè)務邏輯封裝于中間層，Web服務器和客戶端要想對數(shù)據(jù)庫服務器進行訪問，需要經(jīng)過中間層應用服務器的中轉，提高了數(shù)據(jù)庫服務器的安全性。

2將隧道技術和虛擬網(wǎng)卡應用于SSLVPN的建立

2．1SSLVPN技術

早期的程序設計中通常缺少關于網(wǎng)絡安全的考慮，像telnet、smtp、pop3等協(xié)議都是以明文傳遞，即使是設置了重重安全保護機制的管理系統(tǒng)，機密資料在網(wǎng)絡上傳輸時還是赤裸裸未經(jīng)任何保護的明文資料，因而產(chǎn)生了許多可被攻擊的漏洞。在實驗室管理系統(tǒng)中，實驗室管理員對學生進行遠程管控、學生上機收費都是通過網(wǎng)絡來完成的，在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)一旦被截獲，學生的一卡通賬戶和密碼、實驗室的各項統(tǒng)計數(shù)據(jù)將有被篡改的危險，不但給實驗室和學生帶來經(jīng)濟損失，還會造成系統(tǒng)紊亂。因此，確保數(shù)據(jù)通信安全是非常必要的。我們采用較為先進的SSLVPN技術來保障網(wǎng)絡數(shù)據(jù)傳輸。SSLVPN是指一種基于數(shù)據(jù)包封裝技術使用SSL(安全套接層)協(xié)議來構建的VPN。它通過加解密等密碼技術，將在公用網(wǎng)絡上的連接包裝成虛擬專用通道，能有效控制對內(nèi)部數(shù)據(jù)的訪問，減少來自公用網(wǎng)絡的惡意攻擊，大大提高了信息流通和網(wǎng)絡的安全性能，是遠程接入內(nèi)網(wǎng)和遠程訪問內(nèi)部數(shù)據(jù)較安全的技術［7］。傳統(tǒng)的IPSecVPN需要安裝客戶端軟件才能使用，而在SSLVPN架構下，使用者無需在客戶端安裝軟件，只要利用瀏覽器，就可以通過網(wǎng)絡進行資料存取和信息管理，顯得更加的方便、快捷，是新生代的遠程安全訪問方式。傳統(tǒng)的SSLVPN由于使用瀏覽器作為客戶端程式，一些不適用以HTTP協(xié)議來執(zhí)行的應用，就必須重新改寫為Webbase的版本，或是加上新的Webbase介接程序，才能配合SSLVPN使用，這不僅增加了SSLVPN導入的成本，也增加了導入的難度，成為SSLVPN技術的限制。因此，本文提出用隧道技術和虛擬網(wǎng)卡改良SSLVPN的解決方案。

2．2基于隧道技術和虛擬網(wǎng)卡的SSLVPN

本系統(tǒng)通過SSL的四層隧道協(xié)議在公用網(wǎng)絡中建構一條加密的私有專用通道，它是一種點到點的數(shù)據(jù)連接，客戶端之間通過同一條線路進行數(shù)據(jù)傳輸，它將內(nèi)部私有協(xié)議同主機網(wǎng)絡隔離開來，并可以根據(jù)用戶權限，允許授權用戶或禁止未授權用戶訪問內(nèi)網(wǎng)的資源和服務。隧道技術將數(shù)據(jù)流強制定向到特定的目的地，而且隱藏了內(nèi)部私有協(xié)議，保護了內(nèi)部的數(shù)據(jù)和資源，使得多種非IP協(xié)議數(shù)據(jù)包在IP網(wǎng)絡上傳輸成為可能，最大限度保證了數(shù)據(jù)的安全可靠［8］。虛擬網(wǎng)卡是實現(xiàn)SSLVPN隧道和系統(tǒng)數(shù)據(jù)通信的重要部件［9］。它的主要作用是對傳輸?shù)臄?shù)據(jù)包進行編碼和解碼，在客戶端，虛擬網(wǎng)卡對數(shù)據(jù)進行編碼并發(fā)信息至服務器;在服務端，它對從客戶端發(fā)送過來的數(shù)據(jù)進行解碼，轉化成明文后，再將其傳輸?shù)轿锢砭W(wǎng)絡中。虛擬網(wǎng)卡的功能通過Tun/Tap驅動程序來實現(xiàn)，圖2為虛擬網(wǎng)卡驅動程序的工作原理圖。Tun驅動模式構建點到點IP路由形式的VPN隧道，它虛擬點對點設備;Tap驅動構建以太網(wǎng)模型隧道，它虛擬以太網(wǎng)設備。如圖2所示，虛擬網(wǎng)卡驅動程序就是核心態(tài)與用戶態(tài)的一個接口，它通過用戶態(tài)進行數(shù)據(jù)交互，不需要與物理網(wǎng)卡打交道。Tun/Tap驅動中的網(wǎng)卡驅動能夠與TCP/IP協(xié)議棧之間進行網(wǎng)絡分包的收發(fā)，Tun/Tap驅動中的字符驅動能夠以字符設備的方式連接用戶態(tài)和核心態(tài)，字符設備讀取的是虛擬網(wǎng)卡發(fā)往物理層的字節(jié)流，而寫入字符設備的數(shù)據(jù)則作為字節(jié)流被虛擬網(wǎng)卡接收。

3網(wǎng)絡型入侵檢測系統(tǒng)

隨著校園網(wǎng)絡攻擊趨于隱蔽性和復雜性，實驗室管理系統(tǒng)不能只單純地依靠防火墻作為安全的防線，因為防火墻只能對進出網(wǎng)絡的數(shù)據(jù)進行分析判斷，而對于網(wǎng)絡內(nèi)部的異常事件無能為力，無法滿足系統(tǒng)高安全度的需要。入侵檢測系統(tǒng)(IntrusionDe-tectionSystem，簡稱IDS)則可以動態(tài)監(jiān)控、預防或抵御系統(tǒng)入侵行為，作為對防火墻的補充［11］?；诰W(wǎng)絡的入侵檢測系統(tǒng)(NIDS)使用基于統(tǒng)計和基于特征的兩種檢測方法，將網(wǎng)絡適配器設置于混雜模式(promiscmode)下，，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包、通信業(yè)務進行實時監(jiān)控、偵聽和分析，一旦檢測到攻擊或超越授權的非法訪問，響應模塊立即按照設置做出報警甚至直接切斷網(wǎng)絡連接。NIDS由于采用旁路技術，不會在主機中安裝額外的軟件，不需要改變服務器的配置，因此對網(wǎng)段中計算機影響較低，不會降低系統(tǒng)性能，即便NIDS發(fā)生故障，也不會影響正常業(yè)務的運行，是一項非常值得推廣的系統(tǒng)安全防護措施［12］。

4合理的用戶權限劃分

本系統(tǒng)在數(shù)據(jù)庫中建立權限表，將用戶分為超級管理員、實驗室管理員和學生3類。用戶登錄系統(tǒng)后，系統(tǒng)根據(jù)用戶不同的權限級別，提供不同的菜單和功能使用模塊。超級管理員具有最高權限，可以對系統(tǒng)數(shù)據(jù)進行設置和管理;實驗室管理員可以對所管轄的實驗室進行部分數(shù)據(jù)管理和功能應用;學生權限最低，只可以在系統(tǒng)中進行其相應級別的操作。通過對權限類別和級別的嚴格劃分，本系統(tǒng)從根本上防止了用戶的越權訪問和控制失效等安全問題。

5結語

三層C/S和三層B/S混合的系統(tǒng)架構、基于隧道技術和虛擬網(wǎng)卡的SSLVPN、網(wǎng)絡型入侵檢測系統(tǒng)、合理的權限劃分一起構成了實驗室管理系統(tǒng)的信息安全保障體系。該體系既能夠防止非法用戶系統(tǒng)的入侵和攻擊，又能防止合法用戶的越權訪問，全面保護數(shù)據(jù)在存儲、使用、傳輸過程中的完整性和安全性，使整個實驗室管理系統(tǒng)處于安全保護范疇之內(nèi)。

作者：汪蘭郭小拓單位：浙江傳媒學院校園建設處