利用開(kāi)源軟件實(shí)現(xiàn)基于ＳＳＬ?。郑校蔚膱D書館遠(yuǎn)程訪問(wèn)

徐　忻

〔摘 要〕對(duì)SSL協(xié)議原理及其在構(gòu)建VPN上的安全性、低成本、易配置等優(yōu)勢(shì)進(jìn)行分析，提出了一個(gè)基于開(kāi)源軟件SSL exploer構(gòu)建圖書館遠(yuǎn)程訪問(wèn)的方案，并對(duì)其具體實(shí)現(xiàn)方式及特點(diǎn)進(jìn)行了探討。

〔關(guān)鍵詞〕電子資源；遠(yuǎn)程訪問(wèn)；開(kāi)源軟件；SSL VPN；ssl-exploer

〔中圖分類號(hào)〕G250.72；TP393.2 〔文獻(xiàn)標(biāo)識(shí)碼〕B 〔文章編號(hào)〕1008-0821(2009)04-0160-04

Remote Access to Library Based on SSL VPN Using Open Source SoftwareXu Xin

(Library，Chongqing Jiaotong University，Chongqing 400074，China)

〔Abstract〕The paper analyzed the principle of SSL protocol and its advantage of security，low cost，easy configuration，which constructs on VPN.Meanwhile，it suggested a project of remote access to library which was based on the open source software，ssl-exploer.And it also discussed the specific ways of realization and characters.

〔Key words〕digital resource；remote access；open source software；ssl vpnssl-exploer

遠(yuǎn)程訪問(wèn)圖書館，又叫校外訪問(wèn)，是指突破IP地址的物理限制，可以在任何能上網(wǎng)的地方使用圖書館電子資源[1]。由于受知識(shí)產(chǎn)權(quán)保護(hù)、商業(yè)利益、訪問(wèn)速度、圖書館局域網(wǎng)安全性等各方面因素影響，對(duì)于圖書館購(gòu)買的電子資源，無(wú)論是電子資源開(kāi)發(fā)商還是購(gòu)買了電子資源的高校圖書館，都不希望就此成為免費(fèi)的公眾資源。因此，大多數(shù)電子資源都是通過(guò)IP地址來(lái)控制訪問(wèn)的，合法用戶通常被限制在校園網(wǎng)IP地址范圍內(nèi)使用。這樣造成了本校師生在校外無(wú)法使用圖書館電子資源的現(xiàn)象，不僅損害了圖書館合法用戶的利益，也影響了圖書館電子資源的利用率。針對(duì)這種情況，一些高校圖書館先后采取了諸如撥號(hào)上網(wǎng)、反向代理、VPN等各種不同的技術(shù)解決方案為本校合法用戶提供校外遠(yuǎn)程訪問(wèn)服務(wù)[2]。

從技術(shù)上講，VPN(虛擬專用網(wǎng))是目前解決遠(yuǎn)程訪問(wèn)的最好選擇，因?yàn)樗芾霉簿W(wǎng)絡(luò)將處于不同區(qū)域的多個(gè)局域網(wǎng)虛擬成一個(gè)局域網(wǎng)，并且能提供非常好的安全保障。但是采用傳統(tǒng)的基于IP層安全協(xié)議(IPSec)實(shí)現(xiàn)的VPN方案存在成本高、配置復(fù)雜等一些缺陷，相比之下，基于安全套接層協(xié)議(SSL)的SSL VPN方案能克服IPSec VPN的不足，同時(shí)具有安全接入控制、維護(hù)管理方便的特點(diǎn)。但是目前市場(chǎng)SSL VPN產(chǎn)品成熟度不高，標(biāo)準(zhǔn)混亂，本文從開(kāi)源軟件研究入手，提出一個(gè)利用免費(fèi)開(kāi)源軟件構(gòu)建SSL VPN的圖書館電子資源訪問(wèn)方案。以期對(duì)圖書館遠(yuǎn)程訪問(wèn)的具體實(shí)施起到參考作用。

1 SSL VPN技術(shù)概述

1.1 傳統(tǒng)IPSec VPN的缺點(diǎn)

VPN(virtual private network)是在公共通信網(wǎng)絡(luò)中建立一條虛擬的專用通道，利用公共通信網(wǎng)絡(luò)來(lái)傳輸內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的虛擬專用網(wǎng)絡(luò)。IPSec協(xié)議族是基于IP網(wǎng)絡(luò)層上，為保護(hù)IP通信安全而設(shè)計(jì)的一系列協(xié)議。通過(guò)IPSec協(xié)議族提供的隧道、加密和認(rèn)證等安全服務(wù)而在公共網(wǎng)絡(luò)上構(gòu)造的虛擬專用網(wǎng)就叫做IPSec VPN，它能為兩個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)傳輸提供安全性，是一個(gè)LAN to LAN的解決方案[3]。但是對(duì)校外訪問(wèn)圖書館電子資源的應(yīng)用而言，只是需要將若干分散的單個(gè)遠(yuǎn)程用戶簡(jiǎn)單方便、臨時(shí)地接入校園網(wǎng)絡(luò)，而不是把兩個(gè)網(wǎng)絡(luò)固定連在一起。因此，在這種場(chǎng)合下，IPSec VPN方案顯然不太適用，況且安裝、升級(jí)以及配置IPSec VPN客戶端軟件對(duì)普通用戶來(lái)說(shuō)也是個(gè)較困難的問(wèn)題，同時(shí)這種方案在穿越防火墻、配置路由器端口上也是非常麻煩的，需要對(duì)網(wǎng)絡(luò)配置進(jìn)行修改調(diào)整，存在一定的安全隱患。

1.2 SSL協(xié)議及其安全性

近來(lái)基于SSL協(xié)議的SSL VPN技術(shù)嶄露頭角，SSL VPN技術(shù)實(shí)現(xiàn)的遠(yuǎn)程訪問(wèn)方案能實(shí)現(xiàn)安全接入，而且配置和管理方便、能穿透防火墻，建設(shè)成本比目前的IPSec VPN要低許多。

SSL的英文全稱是“Secure Sockets Layer”，中文名為“安全套接協(xié)議層”，它是網(wǎng)景(Netscape)公司提出的基于Web應(yīng)用的安全協(xié)議。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如HTTPS、Telnet、NMTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證[4]。

SSL協(xié)議主要由握手層協(xié)議和記錄層協(xié)議構(gòu)成，它與TCP/IP協(xié)議間的關(guān)系如圖1所示[5]。

由圖1可見(jiàn)，SSL其實(shí)在TCP之上建立了一個(gè)加密通道，通過(guò)這一層的數(shù)據(jù)經(jīng)過(guò)了加密，從而達(dá)到數(shù)據(jù)安全并且透明傳輸?shù)男Ч?。透明性使得幾乎所有的基于TCP的協(xié)議稍加改動(dòng)就可以在SSL上運(yùn)行。

1.3 SSL VPN實(shí)現(xiàn)方式

SSL VPN一般的實(shí)現(xiàn)方式是在內(nèi)部網(wǎng)的防火墻后面，放置一個(gè)SSL網(wǎng)關(guān)服務(wù)器，如果遠(yuǎn)程用戶希望安全地連接到內(nèi)部網(wǎng)，用戶只需在瀏覽器地址欄上輸入SSL網(wǎng)關(guān)服務(wù)器的地址，訪問(wèn)請(qǐng)求將被SSL網(wǎng)關(guān)服務(wù)器取得并驗(yàn)證該用戶的身份，通過(guò)身份驗(yàn)證后SSL網(wǎng)關(guān)服務(wù)器將根據(jù)遠(yuǎn)程用戶的配置權(quán)限，提供相應(yīng)的內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)能力。

目前SSL VPN的主要實(shí)現(xiàn)技術(shù)有Web代理、應(yīng)用轉(zhuǎn)換、SSL隧道等[6]。

(1)Web代理(Proxy)：SSL VPN網(wǎng)關(guān)將來(lái)自遠(yuǎn)端瀏覽器的頁(yè)面請(qǐng)求(采用HTTPS協(xié)議)轉(zhuǎn)發(fā)給Web服務(wù)器，然后將服務(wù)器的響應(yīng)回傳給遠(yuǎn)程用戶。

(2)應(yīng)用轉(zhuǎn)換(Application Translation)：對(duì)于非Web頁(yè)面的文件訪問(wèn)，往往借助于應(yīng)用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與內(nèi)部網(wǎng)的應(yīng)用服務(wù)器通信，將這些服務(wù)器對(duì)客戶端的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端。

(3)SSL隧道(SSL Tunnel)：它也需要在遠(yuǎn)程用戶機(jī)器上運(yùn)行一個(gè)小的Java或ActiveX程序，根據(jù)網(wǎng)絡(luò)層信息(如目的IP地址和端口號(hào))進(jìn)行安全加密的接入控制。

從以上分析可以看出，基于SSL協(xié)議實(shí)現(xiàn)的SSL VPN能夠滿足TCP協(xié)議網(wǎng)絡(luò)應(yīng)用，包括傳統(tǒng)的C/S模式應(yīng)用和目前盛行的B/S模式應(yīng)用，同時(shí)具備了安全加密傳輸?shù)奶攸c(diǎn)。更重要的是SSL協(xié)議已經(jīng)被瀏覽器軟件內(nèi)置支持，客戶端無(wú)需安裝設(shè)置，使用簡(jiǎn)單便捷，這是SSL VPN相對(duì)于Ipsec VPN的最大優(yōu)勢(shì)。

2 基于開(kāi)源軟件實(shí)現(xiàn)SSL VPN方式的圖書館遠(yuǎn)程訪問(wèn)方案

2.1 方案設(shè)計(jì)思路

目前SSL VPN產(chǎn)品在VPN市場(chǎng)上比較熱門，種類較多，產(chǎn)品性能各有不同。但同時(shí)我們也看到，SSL VPN市場(chǎng)標(biāo)準(zhǔn)尚未統(tǒng)一，良莠不齊，產(chǎn)品普遍價(jià)格較高，這些都給用戶的SSL VPN設(shè)備選購(gòu)帶來(lái)了不小的困難。

對(duì)圖書館電子資源遠(yuǎn)程解決方案而言，Web方式訪問(wèn)的電子資源雖然占多數(shù)，但目前也有少量C/S方式的數(shù)據(jù)資源，同時(shí)圖書館也要求解決方案滿足低成本，配置簡(jiǎn)單，擴(kuò)展性好，管理方便的特點(diǎn)。通過(guò)分析比較，結(jié)合圖書館的實(shí)際需求，我們選用一款免費(fèi)的功能強(qiáng)大的開(kāi)源軟件“ssl-explorer”來(lái)實(shí)現(xiàn)SSL VPN方式的圖書館遠(yuǎn)程資源訪問(wèn)，可大大節(jié)省網(wǎng)絡(luò)建設(shè)成本，設(shè)置及維護(hù)也很簡(jiǎn)單。

2.2 ssl-explorer的特點(diǎn)

ssl-explorer是Internet上第一個(gè)開(kāi)源的SSL VPN軟件，由3SP公司開(kāi)發(fā)維護(hù)，分為2個(gè)版本：一個(gè)是免費(fèi)的Community Edition(社區(qū)版)，另一個(gè)是需要付費(fèi)的Enterprise Edition(企業(yè)版)。企業(yè)版的功能比社區(qū)版多，但是對(duì)圖書館電子資源遠(yuǎn)程訪問(wèn)需求而言，免費(fèi)的社區(qū)版的功能已足夠滿足要求。

ssl-explorer是用JAVA語(yǔ)言開(kāi)發(fā)的，能運(yùn)行在各種操作系統(tǒng)平臺(tái)上。在對(duì)遠(yuǎn)程用戶的鑒權(quán)認(rèn)證方式上，既可以采用本地?cái)?shù)據(jù)庫(kù)方式，也能與第三方鑒權(quán)方式相配合(如RADIUS，AD，LDAP)[7]。

在SSL VPN技術(shù)實(shí)現(xiàn)方式上，ssl-explorer軟件支持上文提及的Web代理、應(yīng)用轉(zhuǎn)換、SSL隧道，其中Web代理又分為四種模式“Tunneled Web”(隧道Web)、“Replacement Proxy”(替換代理)、“Path-Based Reverse Proxy”(基于路徑的反向代理)、“Host-Based Reverse Proxy”(基于主機(jī)的反向代理)。

“Tunneled Web”是ssl explorer默認(rèn)推薦模式，使用較簡(jiǎn)單，這種方式的工作原理如圖2所示。

SSL VPN網(wǎng)關(guān)服務(wù)器是位于內(nèi)部網(wǎng)內(nèi)，它通過(guò)與因特網(wǎng)相連為遠(yuǎn)程用戶提供SSL接入服務(wù)。遠(yuǎn)程用戶使用Web瀏覽器訪問(wèn)SSL VPN網(wǎng)關(guān)服務(wù)器，服務(wù)器啟用HTTPS協(xié)議首先對(duì)用戶的身份進(jìn)行驗(yàn)證，通過(guò)了身份驗(yàn)證，用戶Web瀏覽器自動(dòng)從SSL VPN網(wǎng)關(guān)服務(wù)器下載一個(gè)代理Agent程序(Java applet)，然后獲得一個(gè)該用戶權(quán)限所能訪問(wèn)的內(nèi)部網(wǎng)絡(luò)資源列表。當(dāng)用戶發(fā)出對(duì)某個(gè)內(nèi)部資源主機(jī)的Web訪問(wèn)請(qǐng)求時(shí)，該請(qǐng)求不會(huì)直接發(fā)給擁有該資源的目標(biāo)主機(jī)，而是被Agent截獲，將數(shù)據(jù)加密用HTTPS協(xié)議先發(fā)給SSL VPN服務(wù)器，SSL VPN服務(wù)器收到加密數(shù)據(jù)后，通過(guò)代理方式向目標(biāo)主機(jī)發(fā)出請(qǐng)求，并接收來(lái)自目標(biāo)主機(jī)資源的數(shù)據(jù)，然后使用SSL加密數(shù)據(jù)，最后通過(guò)HTTPS協(xié)議回發(fā)給遠(yuǎn)程用戶[6]。

Web代理方式中另外3種方式，與上面過(guò)程類似，只是不需要下載Agent程序。不管使用那種代理模式，遠(yuǎn)程用戶客戶端都只需使用Web瀏覽器，就能夠安全接入到SSL VPN網(wǎng)關(guān)服務(wù)器，通過(guò)網(wǎng)關(guān)服務(wù)器提供的SSL VPN服務(wù)，像內(nèi)部網(wǎng)絡(luò)用戶一樣方便地享用網(wǎng)絡(luò)資源。

2.3 系統(tǒng)的安裝與本地部署

整個(gè)方案的連接示意圖如圖3。

在校園網(wǎng)的防火墻之后部署1臺(tái)電腦安裝和配置ssl-explorer軟件作為SSL VPN網(wǎng)關(guān)服務(wù)器，即可實(shí)現(xiàn)圖書館電子資源遠(yuǎn)程訪問(wèn)。

安裝和配置ssl-explorer的主要步驟如下：

2.3.1 下載編譯ssl-explorer軟件

本文選擇windows xp系統(tǒng)安裝ssl-explorer。從“http：∥3sp.com/showSslExplorer.do”下載免費(fèi)版“ssl-explorer for windows”軟件源碼，然后再安裝JDK1.5(或以上版本)和Apache ANT 1.6.0(或以上版本)2個(gè)軟件保證必要的編譯和運(yùn)行環(huán)境，按照ssl-explorer的編譯配置幫助，利用ANT編譯安裝即可。

ssl-explorer安裝過(guò)程中需要注意以下幾個(gè)地方：

①SSL證書設(shè)置：可以選擇自建證書，提高系統(tǒng)安全性。

②鑒權(quán)方式：選擇本地?cái)?shù)據(jù)庫(kù)最簡(jiǎn)單，不需要其他專門的數(shù)據(jù)庫(kù)軟件支持。

③選擇管理員用戶名和密碼：后面的參數(shù)配置都要由管理員登錄來(lái)完成。

2.3.2 ssl-explorer系統(tǒng)參數(shù)配置

軟件安裝完成后，在本機(jī)上用瀏覽器訪問(wèn)“https：∥localhost”，出現(xiàn)一個(gè)登錄界面，輸入管理員用戶名和密碼即進(jìn)入系統(tǒng)管理頁(yè)面，系統(tǒng)參數(shù)設(shè)置都在這個(gè)頁(yè)面進(jìn)行。在系統(tǒng)管理頁(yè)面需要注意的是“Resources”(資源)的訪問(wèn)方式的參數(shù)設(shè)置，共有4種方式：

①“Web Forwards”，適用于Web應(yīng)用。

②“SSL Tunnels”適用于基于TCP協(xié)議的C/S應(yīng)用程序，類似于IPSec隧道實(shí)現(xiàn)技術(shù)。

③“Network Places”用于遠(yuǎn)程用戶訪問(wèn)內(nèi)部網(wǎng)的文件服務(wù)器(如FTP)。

④“Applications”用于網(wǎng)關(guān)服務(wù)器發(fā)布，由客戶端下載運(yùn)行的在線應(yīng)用擴(kuò)展程序。

一般選擇“Web Forwards”即可。

2.3.3 訪問(wèn)控制管理

在系統(tǒng)管理頁(yè)面的“Access Control”中可以設(shè)置遠(yuǎn)程用戶組別、用戶賬號(hào)和初始密碼、訪問(wèn)權(quán)限及策略、遠(yuǎn)程IP限制等參數(shù)。

2.3.4 防火墻的參數(shù)設(shè)置

不需要對(duì)現(xiàn)有的防火墻或網(wǎng)絡(luò)設(shè)備做什么變動(dòng)，只需要防火墻開(kāi)啟了443端口，以便遠(yuǎn)程用戶機(jī)器能夠通過(guò)HTTPS協(xié)議訪問(wèn)ssl-explorer網(wǎng)關(guān)服務(wù)器。

2.4 軟件的優(yōu)化與改進(jìn)

原始的ssl-explorer軟件無(wú)論從界面和功能設(shè)置上都不太適合中文用戶的使用習(xí)慣，因此需要對(duì)軟件做一些修改和完善。

2.4.1 漢化界面

ssl-explorer應(yīng)用的主要障礙是界面漢化的問(wèn)題，ssl-explorer是由ssl-explorer的服務(wù)器端代碼和客戶端agent代碼兩部分組成，漢化界面主要集中在服務(wù)器端，在Ant環(huán)境下對(duì)各模塊界面和文字和圖片進(jìn)行替換即可。

2.4.2 客戶端agent的修改和編譯

客戶端agent其實(shí)是一個(gè)java applet程序，它會(huì)自動(dòng)從SSL VPN網(wǎng)關(guān)服務(wù)器下載運(yùn)行，不需要遠(yuǎn)程用戶安裝和配置。這個(gè)applet軟件的界面很簡(jiǎn)單，漢化較容易，需要改進(jìn)的是增加對(duì)遠(yuǎn)程用戶的提示幫助功能。另外客戶端的java applet需要突破java本身固有的安全限制，它的編譯和安裝方式與服務(wù)端有所不同，主要步驟如下：

①利用jdkin目錄下的keytool創(chuàng)建RSA密鑰：

keytool-genkey-keystore[storezname.store]-alias[aliaszname]

keytool-genkey-alias[aliaszname]-keyalg RSA

(注：[aliaszname]代表密鑰的名稱)

②安裝自己的測(cè)試證書：

keytool-export-keystore[storezname.store]-alias[aliaszname]-file[certificate.cer]

keytool-export-alias[aliaszname]-file[certificate.cer]

(注：[certificate.cer]代表證書的名稱，一般證書都以.cer為后綴名)

③生成Applet使用的jar文件(將編譯后的class文件打包成jar)：