ＳＳＬ ＶＰＮ在高校數字圖書館的應用

〔摘 要〕高校圖書 館在電子資源建設上投入了大量的精力，如何讓高校教師#65380;學生在保障電子資源版權的前提 下，方便#65380;安全#65380;快捷地遠程訪問它們是目前許多高校面臨的一個問題#65377;本文主要從SSL VP N技術角度來探討高校數字圖書館的遠程點對點訪問問題#65377;

〔關鍵詞〕SSL VPN;身份認證; 數字圖書館

〔中圖分類號〕G250.76 〔文獻標識碼〕B 〔文章編 號〕1008-0821(2009)08-0075-03

Applications of SSL VPN in Unive rsity Digital LibraryShen Feiju

(Library，Nantong University，Nantong 226001，China)

〔Abstract〕University library has put a lot of effort into the digital resources.It

is a problem for many universities that how the teachers and students romote ac cess digital resources easily，safe，quickly but not infrige the copyright of digi tal resources.This paper discussed the romote P2P access problem about universit y digital library from SSL VPN.

〔Key words〕SSL VPN;identity

authentication;digital library

1 高校數字圖書館現狀

作為大學圖書館來說，為了讓本校師生盡可能地查閱到適當的電子資源，高校都購買了為數 眾多的電子資源#65377;有的電子資源是鏡像到圖書館本地的，也有的是包庫使用#65377;無 論是哪種形式的使用方法，各電子資源廠商出于版權保護的需要，都對其訪問進行了身份驗 證機制#65377;高校圖書館所購買的電子資源大部分都有限制訪問的IP地址范圍#65377;即:

(1)對于包庫使用的數據庫而言，采購的這些數據庫不是存放在圖書館服務器上，而是存 儲在提供商的服務器上#65377;圖書館支付費用以后，數據庫服務商是根據訪問者的IP地址來判斷 是否是經過授權的用戶#65377;即使是鏡像到本地的數據庫，各數據庫廠商也在其使用平臺上作了 IP地址限制#65377;只要是從校園網出去的IP地址都是認可的，因為校園網出口IP和部分公網IP地 址是屬于這個有限范圍的，所以校園網上的所有上網計算機都可以使用#65377;

(2)如果教師#65380;學生在家里上網或者一個老師到外地出差需要訪問這些電子資源，無論采 用PSTN撥號#65380;ADSL#65380;小區寬帶，使用的都是社會網絡運營商提供的IP地址，不是校園網的IP 地址范圍，因此數據庫服務商認為是非授權用戶，拒絕訪問#65377;當然，我們也可以要求服務商 進一步開放更多的IP地址為合法用戶，但是這要求訪問者的IP地址是固定的#65380;靜態的，而實 際上，絕大多數校外用戶使用的都是動態IP地址，是不確定的，所以數據庫服務商無法確定 訪問者的合法身份，因而自動屏蔽#65377;

因此，就需要一套可管理#65380;可認證#65380;安全的遠程訪問電子圖書館的解決方案，將校園網當作 校外用戶的中轉站，使校外用戶通過鑒權后擁有校內地址再訪問資源數據庫#65377;

無論是從電子資源版權保護的目的，還是出于校園網絡安全的考慮，以及滿足不同計算機水 平人員的訪問需求，找到一個安全#65380;簡便的遠程訪問解決方案，成為各高校亟待解決的問題 #65377;

部分高校采用反向代理和IPSec VPN這兩種方式提供校外遠程訪問，不過它們都因其自身缺 陷限制了在高校的規模應用#65377;

SSL VPN應勢而生，它正好可以滿足高校數字圖書館遠程訪問的全面要求#65377;

2 關于SSL VPN

SSL(Secure Socket Layer)安全套接字加密協議是網景(Netscape)公司提出的基于Web 應用的安全協議，它包括:服務器認證#65380;客戶認證(可選)#65380;SSL鏈路上的數據完整性和SSL 鏈路上的數據保密性#65377;SSL協議使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機 密性和完整性，它主要適用于點對點之間的信息傳輸，常用Web Server方式#65377;SSL協議位于T CP/IP協議與各種應用層協議之間，它分為兩層:SSL記錄協議(SSL Record Protocol)#65380;S SL握手協議(SSL Handshake Protocol)#65377;SSL內嵌于瀏覽器中，密鑰位長隨著瀏覽器的密 鑰位長而不同#65377;

SSL VPN是為了彌補IPSec VPN的安全缺陷而發展起來的，大部分IPSec VPN僅對數據頭加密 傳輸，SSL VPN對數據整體進行加密傳輸#65377;SSL VPN早期應用于銀行的電子交易系統并且只支 持基于Web的Brower/Server應用#65377;隨著技術進步，SSL VPN相繼支持了Client/Server#65380;SSH #65380;Telnet#65380;FTP……等應用，逐步走向遠程安全接入#65377;在歐美，高達74%的用戶皆選擇SSL VP N這一方式進行遠程接入，而國內則處于起步階段#65377;

3 SSL VPN在高校數字圖書館的應用

3.1 部署及遠程接入

SSL VPN是基于應用層的VPN，它的部署非常簡便，可串接也可旁接，一般可把它作為一臺應 用服務器布署于校園網絡的任意位置#65377;正常情況下，SSL VPN部署在防火墻之后，需要將防 火墻上的一個固定的公網IP地址映射到SSL VPN上，或者只映射其IP地址的443端口即可#65377;

在配置好SSL VPN服務器的應用#65380;用戶#65380;權限后，使用人員可在任意能夠接入Internet的地 方通過瀏覽器，采用HTTPS方式訪問該固定公網IP(或者對應域名)，即可接入校園網正常訪 問數字圖書館(OA#65380;郵件#65380;電子資源……)#65377;

HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議也是由Netscape開發并內置于瀏覽器中，用于對數據進行壓縮和解壓操作，它是以安全為目標的HTTP通道，句法 類同HTTP體系#65377;HTTPS使用443端口而不是像HTTP使用80端口那樣來與TCP/IP通信，它還包含 一個身份/驗證層#65377;

3.2 技術優勢

3.2.1 高安全性

數字圖書館系統如果與未經授權的非信任站點連接，可能導致網絡攻擊，嚴重者可能遭至版 權電子資源大量泄露#65377;所以必須保證遠程連接時數據傳輸及內網站點的安全#65377;

反向代理技術的數據傳輸是未加密的明文傳輸，而且大都僅支持B/S應用，對C/S應 用無法支持#65377;另外，反向代理可能需要打開相關應用的某些特殊端口，這給端口掃描攻擊留 下隱患#65377;

IPSec VPN采用加密傳輸，但它是基于網絡層的傳輸，也即說當用戶建立IPSec VPN遠程連接 隧道后，與內網用戶處于一個大的局域網內，一旦該機器有病毒#65380;黑客攻擊等，很容易進入 內網，給局域網絡帶來安全隱患#65377;

SSL VPN可采用128位不可逆加密技術，在數據傳輸過程中即便被截獲，也只是一堆無用的亂 碼，故在數據傳輸中是安全的#65377;

與IPSec VPN建立網絡層的透明連接不同，SSL VPN是基于應用的連接，也即說遠程用戶通過 SSL VPN建立遠程連接隧道后，并非變成校園網內的用戶，只能看到相關應用，所有數據只 能到達SSL VPN服務器，再由該服務器轉發，校園內網對遠程用戶是隔離的黑盒子#65377;即便遠 程用戶機器存在病毒#65380;攻擊等安全隱患，也無法通過SSL VPN隧道進入校園網內#65377;使數字圖 書館系統的安全得到保證#65377;

另外，SSL VPN還可做到在遠程用戶登錄前對其進行安全檢查，包括殺毒軟件是否安全#65380;操 作系統補丁是否已打#65380;注冊表是否被非法修改#65380;駐留進程是否合法，如果有異常行為可禁止 其接入，使接入安全健壯性進一步加強#65377;

3.2.2 使用簡便

IPSec VPN需要安裝專用客戶端軟件并進行相關配置才能建立遠程連接，這給不同計算機水 平的人員使用帶來困惑#65377;數字圖書館的使用人員眾多，也會大大增加網絡管理人員的維護工 作量#65377;SSL VPN是公認的瘦客戶端系統，它通過瀏覽器建立遠程連接，無須安裝客戶端軟件，即便 在處理C/S應用#65380;網絡共享#65380;流媒體…等應用時，也只安裝無須干預的ActiveX或Java控 件，這樣讓各式的用戶使用起來都得心應手#65377;

3.2.3 精細權限控制

IPSec VPN和反向代理都無法做到精細的權限控制，只能通過防火墻/路由器進行端口設置作 有限的控制#65377;

SSL VPN由于其技術特點，可以做到細顆粒度的權限控制#65377;不同的用戶有不同的授權，例如 財務人員可訪問財務系統#65380;網管人員可遠程調試網絡設備…，對數字圖書館資源也可細分權 限，不同權限級別用戶訪問相應的資源，非授權應用則無法訪問#65377;

SSL VPN可建立組策略管理，例如設立專家組#65380;教師組#65380;學生組…，不同組賦予不同訪問權 限#65377;也可建立基于角色的策略管理，給每一個角色賦予不同的權限#65377;

SSL VPN還可設立臨時賬號，給那些需要臨時訪問數字圖書館的人員提供便利#65377;一旦使用期 限截止，該賬號可自動注銷#65377;

3.2.4 與認證系統結合

高校大多建有身份認證系統，例如AD/LDAP系統#65380;一卡通系統#65380;Radius系統#65380;Oracle/SQL Se rver數據庫系統#65377;SSL VPN可與這些身份認證系統有機的結合，以防止用戶賬號被盜用后進 入數字圖書館系統竊取機密信息#65377;

高校使用SSL VPN的人員眾多，而且流動性較大，如果采用人工建立或注銷用戶，則網絡管 理人員的維護工作量相當龐大#65377;一旦與身份認證系統結合，則網絡管理人員無須手工建立賬 號，使用人員可通過既有的身份認證賬號進行登錄，首次登錄后賬號信息自動記錄到SSL VP N服務器，以后即進行雙重的賬號匹配#65377;當使用人員賬號從認證系統注銷，SSL VPN將讓其遠 程匹配失敗無法登錄#65377;這樣大大減輕網絡管理人員對SSL VPN的維護工作量#65377;

3.3 對SSL VPN在數字圖書館應用展望

SSL VPN處于不斷發展與完善中，針對高校數字圖書館的特點，期待在下列功能中進行演進 #65377;

3.3.1 入口鏈路均衡的支持

高校因其特點，有多條IPS線路接入:電信線路#65380;網通線路#65380;教育網線路…#65377;眾所周知，當 跨運營商訪問時，其訪問速度存在明顯瓶頸#65377;為了提高跨運營商訪問速度，部分高校在校園 網Internet出口處部署了鏈路均衡設備，這樣當遠程用戶通過電信線路訪問時，自動分配至 校園網絡的電信鏈路#65377;在此種情況下，SSL VPN的訪問速度得到保證#65377;但在未部署鏈路均衡 設備的高校中，通過SSL VPN跨運營商遠程接入時，對數字圖書館的訪問速度瓶頸變得相當 突出，給這些高校部署SSL VPN帶來困惑#65377;故期待SSL VPN本身能夠加入鏈路均衡功能，以使 得SSL VPN在數字圖書館的應用得到迅速普及#65377;

3.3.2 出口鏈路的控制

高校數字圖書館購買的電子資源中，很多是遠程電子資源，其出口分布著不同的線路:電信 #65380;網通#65380;教育網…，在解決入口的鏈路均衡后，出口仍然存在跨運營商的訪問瓶頸，只是這 一瓶頸不像入口訪問那樣明顯#65377;如果要做到訪問速度的最大優化，則SSL VPN需要對數字圖 書館的訪問出口同樣作鏈路均衡，也即說，當一個電信的遠程用戶通過鏈路均衡自動匹配電信線路接入數字圖書館后，如果他要訪問遠程的網通線路電子資源，則要自動匹配到網通線 路去#65377;

3.3.3 對DDoS攻擊的防范

相對于早前的DoS攻擊，DDoS攻擊由于采用分布式傀儡機持續不斷地向目標主機發起無數連 接請求并發送垃圾數據包，造成正當的連接請求無法得到響應，目標主機也無法及時處理正 常請求，從而無法與正常請求建立通訊，嚴重時造成目標主機癱瘓#65377;SSL VPN由于要打開443 端口，也可能成為DDoS攻擊的對象#65377;當然，專業的防DDoS攻擊設備相當昂貴，但SSL VPN可 加入適當的防DDoS攻擊能力，以應對DDoS的洪水攻擊#65377;

隨著SSL VPN技術的不斷進步，相信能夠提供日益豐富的功能以滿足高校的數字圖書館遠程 訪問需求#65377;

4 總 結

SSL VPN作為成熟的技術，在數字圖書館逐步得到應用#65377;SSL VPN從功能上可以提供C/S 應用和B/S應用訪問，并非只能解決 Web應用#65377;比如許多高校圖書館編目都實現外包服 務#65377;通過SSL VPN可以讓書商安全方便地連接到校內圖書館系統服務器上，實現編目#65377;本文 對此不作論述#65377;

SSL VPN因其安全#65380;方便#65380;權限控制等優點，相信會在數字圖書館得到普及#65377;隨著SSL VPN的 大規模部署應用，遠距離數字圖書館協作共享的時代已經到來，城際之間#65380;國際之間可建立 起互信#65380;協作的連接訪問，以讓數字圖書館更好的服務于大眾#65377;

參考文獻

[1]拓守恒.利用SSL/IPSec VPN打造安全的數字圖書館[J].陜西理工 學院學報:自然科學版，2008，24(1):69-72.

[2]吳敏，梁爽.實現SSL協議快速連接的一種解決方案[J].蘭州理工大學學報，200 8，34(1):98-101.

[3]吉妮.SSL VPN讓校內資源發揮更大效能——Juniper公司東南大學解決方案[EB] .http:∥www.cnki.net

[4]覃東，曾紅亮.基于SSL的客戶端認證策略研究[J].計算機工程與設計，2008，2 9(2):312-314.