中国最早的中文打字机、、、第一艘核潜艇
、、第一枚运载火箭、、第一颗人造卫星……在中国近现代发展史上的诸多“第一”里
，，，都有上海交通大学（以下简称“上海交大”）的身影。。。在建校125周年之际，
，上海交大又一次在国内高校率先落地了“零信任”架构解决校内资源安全访问问题。。

远程访问常态化，，
，
，传统VPN面临新挑战

提起VPN（虚拟专用网络）很多人并不陌生。。。。后疫情时代，
，
，远程办公成为常态，，，
，VPN作为远程办公最主要的安全方案再次受到关注。
。。。然而云计算等新技术的崛起，，云端应用变得广泛和复杂，，
，传统VPN技术面临新的挑战：

1. 高校智慧校园应用广泛使用，，
，IT架构从“有边界”向“无边界”转变，
，校内校外的远程接入方式和需求发生重大变化，，，，师生越来越习惯随时随地地接入和访问智慧校园应用，
，，校外访问需求呈现明显的上升趋势
。。
。

2. 疫情的影响进一步驱动了高校师生远程访问需求，
，
，VPN系统架构需要具备支撑高并发、、高性能的安全接入能力。。

3. 远程接入规模大，，，用户体验要求高，，，
，传统方案难以应对，，，，且维护工作量大。。。
。

4. 为了提升接入访问体验，，，安全接入平台需要与现有平台对接，，，，实现统一身份认证和单点登录。。

5. 教育部发布了《高等学校数字校园建设规范（试行）》
，，，对安全提出更高要求，，，对系统及应用安全加强了身份鉴别、、、、访问控制、、、、通信、、
、传输等安全要求
。。。

拥抱“零信任”，，让访问更安全更简单

鉴于校园安全接入面临的诸多挑战，，
，，上海交大把目光投入到更加适合新环境的安全访问方案——“零信任”
，，，并最终选择与老哥网合作，，采用全新的SDP（软件定义边界）架构产品来取代原有的开源VPN。。。。

零信任架构：SDP作为实现零信任理念的主流技术架构之一，，
，
，以控制平面和数据平面分离的方式实现业务的安全访问
，
，，
，控制平面作为策略和信任评估中心，，，负责师生认证、
、授权、、动态访问控制和应用安全评估、
、多源信任评估；而作为数据平面的安全网关
，，，则主要负责数据转发和策略执行，
，实现上海交大远程访问数据的加密、、、代理转发及访问控制
。
。。。

无感知接入：零信任平台与上海交大现有的统一身份认证平台对接整合，，，，实现用户身份的统一管理，，
，，满足了全校师生无感知登录和访问校园应用的需求。。

高性能平台：通过零信任方案的部署
，，上海交大VPN接入能力获得全面提升
，，
，，能够支撑全校数万师生的访问需求和接入流量
。。

运维更简单：在保证师生访问顺畅性的同时，，还有效地降低了用户配置和使用过程的复杂度
，，让师生远程接入更方便，，，，IT运维更简单：

1. 自动完成访问配置地址：满足无插件或客户端直接拨号访问校内Web资源的场景。。
。无论是电脑端还是手机端，
，，
，师生安装下载客户端后
，，即可自动完成访问配置地址等步骤，，帮助师生快捷登录。。
。

2. 支持多身份对接：支持OAuth2、、、、标准LDAP、、
、标准RADIUS等身份对接方式
，，，
，支持统一认证、、
、、无感知认证和单点登录
。。上海交大建立了多终端、
、、、多系统均可兼容的安全访问通道，，，满足了大学生常用设备访问学校业务系统、、登录知网等基本诉求。。。也为后续打通其智慧校园整体业务提供了拓展性，，为师生使用VPN访问校园业务带来便利性。。
。

3. 身份、、
、
、应用发布控制与资源权限控制：上海交大初步建立了“零信任”框架，
，对师生进行统一的身份认证和应用发布控制，，，
，并根据用户身份进行资源权限控制。。

在移动化和云化的大趋势下，
，，，上海交大在国内高校中率先落地“零信任”理念。。。在保障安全性的前提下，，
，，有效地提升了师生访问校园网络的便利性
，，，，走出了一条精细化用户授权、、
、、管理的可行性道路。。。
。这不仅是新一代网络安全架构的全新尝试
，，
，也是上海交大又一次敢为人先的创新实践。。