中国最早的中文打字机、、第一艘核潜艇、、、第一枚运载火箭、、、、第一颗人造卫星……在中国近现代发展史上的诸多“第一”里，，，都有上海交通大学（以下简称“上海交大”）的身影
。
。
。在建校125周年之际，
，，上海交大又一次在国内高校率先落地了“零信任”架构解决校内资源安全访问问题。。

远程访问常态化，，传统VPN面临新挑战

提起VPN（虚拟专用网络）很多人并不陌生。。。。后疫情时代，
，，远程办公成为常态，，VPN作为远程办公最主要的安全方案再次受到关注
。。然而云计算等新技术的崛起，，，
，云端应用变得广泛和复杂，，
，传统VPN技术面临新的挑战：

1. 高校智慧校园应用广泛使用，，IT架构从“有边界”向“无边界”转变，，，，校内校外的远程接入方式和需求发生重大变化，，，，师生越来越习惯随时随地地接入和访问智慧校园应用，，，校外访问需求呈现明显的上升趋势。。。

2. 疫情的影响进一步驱动了高校师生远程访问需求，，，VPN系统架构需要具备支撑高并发、、
、高性能的安全接入能力。。

3. 远程接入规模大，，用户体验要求高，，
，，传统方案难以应对，，，，且维护工作量大。
。。
。

4. 为了提升接入访问体验，，，安全接入平台需要与现有平台对接，，，
，实现统一身份认证和单点登录。
。。

5. 教育部发布了《高等学校数字校园建设规范（试行）》，，，对安全提出更高要求，，
，，对系统及应用安全加强了身份鉴别、、、访问控制、、
、、通信、、、传输等安全要求
。。

拥抱“零信任”，
，
，让访问更安全更简单

鉴于校园安全接入面临的诸多挑战
，，上海交大把目光投入到更加适合新环境的安全访问方案——“零信任”
，，，并最终选择与新未来梦想教育合作，
，，采用全新的SDP（软件定义边界）架构产品来取代原有的开源VPN。。

零信任架构：SDP作为实现零信任理念的主流技术架构之一
，，以控制平面和数据平面分离的方式实现业务的安全访问
，，，，控制平面作为策略和信任评估中心，，负责师生认证、
、授权、、动态访问控制和应用安全评估、、、多源信任评估；而作为数据平面的安全网关
，，
，，则主要负责数据转发和策略执行
，
，实现上海交大远程访问数据的加密、
、
、
、代理转发及访问控制。。
。

无感知接入：零信任平台与上海交大现有的统一身份认证平台对接整合，，，实现用户身份的统一管理，
，，满足了全校师生无感知登录和访问校园应用的需求。。。。

高性能平台
：通过零信任方案的部署，，
，，上海交大VPN接入能力获得全面提升，
，能够支撑全校数万师生的访问需求和接入流量。。。
。

运维更简单
：在保证师生访问顺畅性的同时，，，还有效地降低了用户配置和使用过程的复杂度，，，让师生远程接入更方便，，，IT运维更简单：

1. 自动完成访问配置地址：满足无插件或客户端直接拨号访问校内Web资源的场景
。。无论是电脑端还是手机端
，，，，师生安装下载客户端后，，，即可自动完成访问配置地址等步骤，，，，帮助师生快捷登录。
。。。

2. 支持多身份对接：支持OAuth2、、标准LDAP、、标准RADIUS等身份对接方式
，
，支持统一认证、、
、无感知认证和单点登录。。。。上海交大建立了多终端
、、
、多系统均可兼容的安全访问通道，，，满足了大学生常用设备访问学校业务系统
、
、、、登录知网等基本诉求。
。。也为后续打通其智慧校园整体业务提供了拓展性，，，，为师生使用VPN访问校园业务带来便利性。
。。。

3. 身份、、、应用发布控制与资源权限控制
：上海交大初步建立了“零信任”框架
，
，对师生进行统一的身份认证和应用发布控制，，，，并根据用户身份进行资源权限控制。
。
。。

在移动化和云化的大趋势下，，上海交大在国内高校中率先落地“零信任”理念
。。在保障安全性的前提下，，有效地提升了师生访问校园网络的便利性
，，
，，走出了一条精细化用户授权
、、、、管理的可行性道路。。这不仅是新一代网络安全架构的全新尝试，
，，
，也是上海交大又一次敢为人先的创新实践。。。