基于SSL VPN技術(shù)的遠(yuǎn)程資源訪問模式研究

包 瑞

（新疆師范大學(xué)圖書館，新疆 烏魯木齊 830054）

各高校圖書館的數(shù)字資源日漸豐富，數(shù)據(jù)庫的使用效益明顯增強(qiáng)，這充分肯定了圖書館作為高校信息資源中心的地位，顯現(xiàn)了圖書館為教學(xué)科研所發(fā)揮的重要保障作用。但隨著讀者對數(shù)據(jù)庫的依賴性的日益增強(qiáng)，讀者需要圖書館為他們提供隨時(shí)隨地的資源訪問服務(wù)，伴隨著移動技術(shù)的發(fā)展與普及、家住校外及各類出差交流學(xué)習(xí)的讀者數(shù)量的不斷增加，這類讀者也要求享有訪問本校圖書館數(shù)字資源的平等權(quán)利，如何才能既保障了本校師生的合法訪問權(quán)益，同時(shí)又不違背相關(guān)的保護(hù)知識產(chǎn)權(quán)的法律規(guī)定，這對各圖書館提出了新的要求。

為解決校外用戶遠(yuǎn)程訪問的問題，各館有不同的思路，目前采用VPN方案來解決校外用戶的資源訪問已經(jīng)得到了多數(shù)圖書館的認(rèn)同，但在VPN協(xié)議及產(chǎn)品的選擇上難以決策，本文擬從對SSL VPN的分析著手對此問題進(jìn)行闡述。

1 SSL VPN概念

1.1 VPN

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò),是指在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù),即利用公用線路來實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的安全專有連接技術(shù)，能夠讓移動用戶、遠(yuǎn)程用戶或分支機(jī)構(gòu)安全地接入到內(nèi)部網(wǎng)絡(luò)。

VPN技術(shù)近年來大量應(yīng)用于遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)和企業(yè)移動辦公，在解決高校多個(gè)校區(qū)數(shù)據(jù)訪問方面也有較為廣泛的應(yīng)用。

VPN在遠(yuǎn)程訪問上的解決思路是：用戶可以在家中通過ADSL、LAN等方式接入互聯(lián)網(wǎng)，獲得公網(wǎng)合法地址后撥號校園網(wǎng)VPN網(wǎng)關(guān)的公網(wǎng)地址，通過構(gòu)建一條用戶到校園網(wǎng)的二層隧道，再通過VPN服務(wù)器給用戶分配一個(gè)校園網(wǎng)地址來實(shí)現(xiàn)資源的遠(yuǎn)程訪問。

1.2 IPsec VPN

IPSec VPN技術(shù)是由IPSec（IP安全體系架構(gòu)）協(xié)議提供隧道安全保障，IPSec協(xié)議由一組協(xié)議套件組成，包括安全協(xié)議、密鑰管理協(xié)議、安全聯(lián)盟、加密、認(rèn)證算法等,其通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性，為通信雙方建立一個(gè)安全隧道來保障通信安全。IPSec協(xié)議是基于網(wǎng)絡(luò)層，IPSec VPN最適合 “網(wǎng)—網(wǎng)”(Site-Site)之間的虛擬專用網(wǎng)，即內(nèi)部網(wǎng)虛擬專用網(wǎng)。

1.3 SSL VPN

SSL VPN采用當(dāng)前廣泛使用的工業(yè)級安全協(xié)議SSL(安全套接層)，提供基于應(yīng)用層的訪問控制，具有數(shù)據(jù)加密、完整性檢測和認(rèn)證機(jī)制，無需安裝或設(shè)定客戶端軟件，授權(quán)用戶能夠通過Web瀏覽器安全地接入網(wǎng)絡(luò)資源，SSL協(xié)議是基于應(yīng)用層，SSL VPN多用于“客戶—網(wǎng)”(Client-Site)連接。

1.4 SSL VPN與IPsec VPN區(qū)別

1.4.1 應(yīng)用類型

IPsec VPN多用于網(wǎng)與網(wǎng)之間的安全接入，多用于企業(yè)總部與分部之間的訪問,被用來對地理上分布在不同地方的辦公室提供可靠的連接；SSL VPN應(yīng)用于遠(yuǎn)程或移動用戶的遠(yuǎn)程安全接入,SSL VPN可以實(shí)現(xiàn)較為具體的訪問控制，這種功能減少了從無保護(hù)點(diǎn)、非信任網(wǎng)絡(luò)或非授權(quán)用戶訪問內(nèi)部資源帶來的風(fēng)險(xiǎn)。

1.4.2 易用性

SSL VPN的用戶訪問使用通用的瀏覽器，無需安裝特殊的客戶端程序，即可通過SSL VPN隧道接入內(nèi)部網(wǎng)絡(luò)；而IPSec VPN的用戶則需要安裝專門的IPSec客戶端軟件。

1.4.3 應(yīng)用程序訪問

SSL VPN是基于應(yīng)用層的VPN，而IPsec VPN是基于網(wǎng)絡(luò)層的VPN。IPsec VPN對所有的IP應(yīng)用均透明;而SSL VPN保護(hù)基于Web的應(yīng)用更有優(yōu)勢，部分高端產(chǎn)品也支持TCP/UDP的C/S應(yīng)用，例如文件共享、網(wǎng)絡(luò)鄰居、Ftp、Telnet、Oracle 等[1]。

1.4.4 網(wǎng)絡(luò)適應(yīng)性

SSL VPN用戶不受上網(wǎng)方式限制，SSL VPN隧道可以穿透防火墻；由于IPSec VPN對防火墻的安全策略的配置較為復(fù)雜（往往要開放一些非常用端口），所以IPSec客戶端需要支持“NAT穿透”功能才能穿透防火墻。

1.4.5 管理維護(hù)成本

SSL VPN只需要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶端免維護(hù)，降低了部署和支持費(fèi)用。而IPSec VPN對每個(gè)節(jié)點(diǎn)用戶進(jìn)行技術(shù)支持，對于用戶來說專業(yè)性較強(qiáng)，對于管理人員來說工作量較大,管理成本較高。

1.5 SSL VPN的優(yōu)勢

SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有缺點(diǎn)而出現(xiàn)的，SSL VPN繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致、與應(yīng)用無關(guān)的優(yōu)點(diǎn)，避免了因有客戶端而導(dǎo)致的使用維護(hù)不便、某些網(wǎng)絡(luò)條件下無法接通、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認(rèn)證服務(wù)器結(jié)合、無法審計(jì)等問題，從功能上有網(wǎng)絡(luò)訪問、網(wǎng)上應(yīng)用程序、Windows文件共享、移動電子郵件、應(yīng)用程序訪問、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能，可以提供C/S應(yīng)用和B/S應(yīng)用訪問，并非只能解決web應(yīng)用。這其中最為重要的是網(wǎng)絡(luò)訪問功能，SSL VPN的網(wǎng)絡(luò)訪問功能避免了IPSec VPN的缺點(diǎn)而又繼承了IPSec VPN的優(yōu)點(diǎn)[2]。

1.5.1 簡單易用，降低了維護(hù)工作量

避免客戶端的安裝、配置和維護(hù)，否則在VPN策略稍有調(diào)整時(shí)，其管理難度和工作量將呈幾何級數(shù)的增長，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行，安全地訪問網(wǎng)絡(luò)中的信息，維護(hù)成本較低。

1.5.2 兼容性好

適用任何的終端及操作系統(tǒng)，不會出現(xiàn)不同的終端操作系統(tǒng)需要不同的客戶端軟件的現(xiàn)象，用戶方無特殊操作要求。

1.5.3 兼具Web易用性和安全性

SSL VPN因?yàn)闊o需安裝特殊的客戶端，在基于瀏覽器/服務(wù)器（B/S）結(jié)構(gòu)的工作時(shí)，可以直接通過瀏覽器內(nèi)嵌的SSL加密協(xié)議就可以完成VPN訪問，在Web的易用性和安全性方面架起了一座橋梁。

1.5.4 提供更精細(xì)的訪問控制

因?yàn)樗袃?nèi)外部流量通常都經(jīng)過單一的VPN硬件設(shè)備，這樣就可以控制對資源和URL的訪問，SSL VPN能對加密隧道進(jìn)行細(xì)分，使終端用戶能夠同時(shí)接人Internet和訪問內(nèi)部企業(yè)網(wǎng)資源。另外，SSL VPN還能細(xì)化接入控制功能，提供用戶級別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶才能夠訪問特定的內(nèi)部網(wǎng)絡(luò)資源[3]。

2 SSL VPN在圖書館的應(yīng)用

2.1 需求

各類數(shù)據(jù)庫提供商都對其數(shù)據(jù)庫產(chǎn)品有相應(yīng)的知識產(chǎn)權(quán)保護(hù)措施，以防止資源的非授權(quán)使用和無限制傳播擴(kuò)散，這樣既保護(hù)了著作權(quán)人的個(gè)人利益，又保護(hù)了數(shù)據(jù)庫提供商的商業(yè)利益，一般只有通過合法購買才能取得數(shù)據(jù)庫的訪問權(quán)，高校圖書館所購買的電子資源絕大多數(shù)都有IP地址范圍限制，即超出學(xué)校IP范圍的訪問將被拒絕。

家住在校外的師生和出差在外的老師需要訪問圖書館的資源將被認(rèn)為是非授權(quán)用戶，拒絕訪問。并且絕大多數(shù)校外用戶使用的都是動態(tài)IP地址，是不確定的，無法添加開放這些IP，所以數(shù)據(jù)庫服務(wù)商無法確定訪問者的合法身份，因而自動屏蔽。

因此在訪問電子資源時(shí)，就需要一套可以將合法用戶的非授權(quán)校外地址轉(zhuǎn)為已授權(quán)的校內(nèi)地址的遠(yuǎn)程訪問的安全解決方案。

2.2 解決思路

通過在防火墻后安裝SSL VPN設(shè)備，所有的校外用戶只需打開IE瀏覽器訪問圖書館的URL后，連接就將被SSL VPN設(shè)備取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。SSL VPN技術(shù)此時(shí)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問都是以SSL VPN設(shè)備的LAN口的名義發(fā)起的，所以只要SSL VPN設(shè)備的LAN口IP是一個(gè)合法的校園網(wǎng)IP，所有成功接入SSL的校外用戶都可以成功訪問這個(gè)SSL VPN設(shè)備LAN口所能訪問的資源[4]。

2.3 連接模式

2.3.1 Web瀏覽器模式

由于Web瀏覽器都內(nèi)置了SSL協(xié)議。只要在SSL/VPN服務(wù)器上集中配置安全策略即可，在客戶端無需做任何配置，使用十分方便。在這種模式中，SSL/VPN服務(wù)器扮演的角色相當(dāng)于一個(gè)數(shù)據(jù)中轉(zhuǎn)服務(wù)器。

2.3.2 SSL/VPN客戶端模式

將客戶端程序在遠(yuǎn)程計(jì)算機(jī)上進(jìn)行安裝和配置。在這種模式中，SSL/VPN客戶端程序相當(dāng)于一個(gè)代理客戶端。

2.3.3 LAN/LAN模式

LAN/LAN模式主要是針對在局域網(wǎng)之間的通信傳輸進(jìn)行安全保護(hù)。這種模式下客戶端不需要做任何安裝和配置，僅需在兩個(gè)局域網(wǎng)內(nèi)的SSL VPN服務(wù)器上進(jìn)行相應(yīng)的配置[5]。

2.4 應(yīng)用方案舉例

目前國內(nèi)已經(jīng)有不少高校采用了或者正嘗試使用SSL VPN技術(shù)來解決校外用戶資源訪問的這個(gè)問題，也有不少高校在用SSL VPN技術(shù)連接多校區(qū)的圖書館，現(xiàn)將國內(nèi)應(yīng)用較多的兩類典型SSL VPN設(shè)備在此簡要舉例。

艾克斯通SSLBuilder不但能為基于Web的業(yè)務(wù)應(yīng)用提供安全保護(hù)，還能為OA、數(shù)據(jù)庫等C/S模式的業(yè)務(wù)應(yīng)用提供安全保護(hù)。在圖書館的應(yīng)用案例有：重慶大學(xué)圖書館，中國數(shù)字圖書館建筑設(shè)計(jì)分館，測試中的有成都電子科技大學(xué)等。

深信服Sinfor SSL VPN實(shí)際上是IPSec/SSL一體化VPN,結(jié)合了IPSec和SSL兩大主流VPN功能的優(yōu)勢，對IPSec和SSL存在的不足之處進(jìn)行優(yōu)勢互補(bǔ)，應(yīng)用于陜西省圖書館、浙江樹人大學(xué)、廣東工業(yè)大學(xué)、華南師范大學(xué)、浙江林學(xué)院等。

2.5 SSL VPN的選擇

2.5.1 確定以讀者為主，還是以業(yè)務(wù)應(yīng)用為主

以讀者為主的方式將向遠(yuǎn)程用戶提供透明的和完全的網(wǎng)絡(luò)接入功能，因此需要的將是集IPsec和SSL VPN為一體的VPN。

以業(yè)務(wù)應(yīng)用程序?yàn)橹兀瑥?qiáng)調(diào)的是后端應(yīng)用程序集成并且在沒有客戶端軟件的模式下 (如通過瀏覽器)提供更好的訪問功能，因此需要的將是SSL VPN。

2.5.2 安全策略的考慮

購買的安全功能以實(shí)用、簡單為宜，并盡可能充分發(fā)揮原有的安全配置功能。

2.5.3 確定用戶數(shù)

通過測試并核實(shí)以確定VPN設(shè)備的有效并發(fā)用戶，一般來說圖書館遠(yuǎn)程訪問用戶的并發(fā)數(shù)不會太大。

2.5.4 綜合安全、連接、維護(hù)、穩(wěn)定、高效等多方面考慮，功能應(yīng)該是以實(shí)用為宜

隨著校外用戶對有IP限制的數(shù)據(jù)庫資源訪問需求的日益迫切，使得校外遠(yuǎn)程訪問圖書館電子資源技術(shù)越來越受到關(guān)注，通過對基于SSL VPN技術(shù)的校外用戶資源訪問模式的研究，SSL VPN技術(shù)勢必會在解決遠(yuǎn)程訪問數(shù)字資源領(lǐng)域得到較大的應(yīng)用，也勢必會促使SSL VPN技術(shù)向著更加完善更加安全的方向發(fā)展。

［1］ VPN 技術(shù)誰領(lǐng)風(fēng)騷？IPSec還是 SSL［EB/OL］.http://searchsecurity.techtarget.com.cn/392/2205392.shtml.

［2］ 專家解惑：什么才是真正的SSL VPN［EB/OL］.http://cisco.szpt.edu.cn/show.aspx?id=161&cid=29.

［3］ 馬軍鋒.SSL VPN技術(shù)原理及其應(yīng)用［J］.電信網(wǎng)技術(shù),2005,（8）.

［4］ VPN技術(shù)在高校圖書館中的應(yīng)用探討(2)［EB/OL］.http://tech.ccidnet.com/art/322/20060719/646513_2.html

［5］ 董其軍.基于SSL協(xié)議的數(shù)字圖書館用戶訪問模式研究［J］.圖書館學(xué)研究,2005,（12）.