高校數字圖書館中SSL VPN系統的安全策略研究

何 玲

(天津農學院計算機科學與信息工程系,天津 300384)

高校數字圖書館中SSL VPN系統的安全策略研究

何 玲

(天津農學院計算機科學與信息工程系,天津 300384)

對高校數字圖書館遠程訪問的安全需求進行分析,提出系統構建時應用的安全策略,并在此基礎上,利用OpenVPN和二次開發程序具體實現適合于高校圖書館這一具體應用領域的SSL VPN系統.

數字圖書館;OpenVPN;身份認證;加密算法

1 高效數字圖書館遠程訪問的安全需求

1.1 一般需求

目前,大學圖書館提供的數字資源在教學和科研過程中發揮著重要的作用.為了解決資源訪問受IP地址限制的問題,很多高校圖書館都提供數字資源的遠程訪問功能,使教師在校外也能訪問到受限資源[1].在實現遠程訪問功能時,為保護著作人的權益及數據庫提供商的利益,需要從以下方面保證數據的安全性.第一,為確保只有被授權的用戶才能訪問數字圖書館資源,需提供身份驗證機制;第二,為保護數據在傳輸過程中的機密性,需采用加密解密機制;第三,為防止數據在傳輸過程中被損壞或被惡意篡改,需采用完整性驗證機制.SSL協議[2]可以為實現這些安全需求提供保障,因此,通過構建 SSL VPN系統可以解決高校數字資源遠程訪問的問題.

1.2 特殊需求

不同應用環境下,VPN系統對安全等級、速度快慢、部署成本高低和是否易用具有不同的側重.應用于大學數字圖書館的SSL VPN系統在滿足安全需求的同時,還要考慮一些具體特點:第一,客戶端身份驗證方式應盡量簡單;第二,需要防止合法用戶有意或無意的將自己的身份證明轉告給他人,造成資源的濫用,增加整個系統的不安全因素;第三,由于用戶數量有限,為了降低成本,高校圖書館多以軟件方式構建VPN系統,因此,安全算法的復雜程度直接影響資源的訪問速度.所以,在應用安全策略時,應該在安全和速度之間取得平衡,采用適合的安全策略,構建高校數字圖書館的SSL VPN系統.

2 安全策略的具體實施

現有的SSL VPN軟件產品已經比較成熟,可以用來構建安全的SSL VPN系統,但為了滿足特定環境的需求,軟件應支持二次開發和多種配置方法.OpenVPN是一種功能齊全、安全可靠的SSL VPN軟件,該軟件主要借助OpenSSL庫實現[3],具備開源、支持二次開發、可配置性強和支持多種操作系統等其他商業SSL VPN軟件所不具備的優點.本研究在W indow s操作系統下,對OpenVPN進行二次開發,構建一個能滿足高校數字圖書館遠程訪問安全需求的SSL VPN系統.

2.1 證書和密碼方式相結合進行身份驗證

服務器與客戶端通信之前,雙方要相互認證身份.為保證通信安全,SSL協議要求必須以 PKI證書的方式認證服務器端身份,而客戶端的身份認證方式可有多種選擇.若采用證書方式認證客戶端身份,生成和分發證書的過程加大了管理人員的工作量.同時,服務器對客戶端進行證書認證的過程,也會增加服務器開銷,影響訪問速度.如果采用用戶名/密碼的方式進行客戶端身份認證,用戶申請“用戶名”和“密碼”的工作以及管理員審核資格的工作就可以借助Web應用程序自動進行,從而節省人力.在SSL協議支持下,服務器完成證書認證之后,即在客戶端和服務器之間建立了一個安全的SSL連接.客戶端的“用戶名”和“密碼”是在安全連接的基礎上,以密文方式傳送給服務器的,可以有效地避免被竊聽.因此,本系統采用證書方式認證服務器端身份,以用戶名/密碼方式認證客戶端身份.

為認證服務器端身份,需要創建認證中心(CA)和服務器端證書.OpenSSL庫提供了一系列證書管理命令,OpenVPN將這些命令寫成批命令文件,方便用戶生成證書文件,具體實施方法為:

(1)執行批命令build-ca.bat,生成認證中心文件ca.crt和ca.key,必須由此文件簽發和管理服務器證書,文件ca.crt需要同時拷貝給客戶端;

(2)執行批命令 build-dh.bat,生成文件dh1024.pem,用于密鑰交換;

(3)執行批命令 build-key-server.bat server,生成文件server.crt,server.csr和server.key,這些是由CA簽發的服務器端證書和私鑰.

在OpenVPN的服務器配置文件中加入語句“ca ca.crt”“,cert server.crt”“,key server.key”和“dh dh1024.pem”;在客戶端配置文件中加入語句“ca ca.crt”,并使用這些文件進行身份認證和密鑰交換.

OpenVPN提供接口,允許編寫程序實現用戶名/密碼等客戶端身份認證方式.M ySql數據庫系統與C語言結合能夠實現高效、簡便的數據庫操作.

用M ySql設計數據庫 vpnusers,建立二維表Login(userid ,pass,active,times).其中 “,userid”是登錄賬號 “,pass”是登錄密碼 “,active”是用戶激活狀態(0鎖定/1激活)“,times”是登錄次數.

在OpenV PN中設置環境變量 username和password.編寫C語言程序check.c,該程序從環境變量中獲取 username和password的值,并到表Login中查詢賬號、密碼和激活狀態,從而確定用戶能否登錄.在OpenVPN服務器配置中增加語句“auth-user-pass-verify check.exe via-env”,則運行OpenVPN客戶端,即觸發check.exe執行.

為方便用戶且減輕管理員工作,用asp.net設計Web應用程序,借助圖書館現有的借閱證管理數據庫和vpnusers數據庫,實現網上申請開通VPN、修改密碼和自動審核功能.

2.2 統計用戶登錄次數,防止密碼泄露

為了防止合法用戶將自己的用戶名和密碼大范圍轉告他人或用戶密碼被破解,系統需要在數據庫中記錄每個用戶當天的登錄次數,如果超出了管理員設定的閾值,系統將自動關閉該用戶的使用權.

服務器日志文件openvpn.log中記錄了連接用戶名、連接時間和斷開時間等信息.編寫C語言程序police.c,從日志文件中讀取信息,計算每個用戶24 h內的連接次數,并更新表Login的times字段,程序每天定時自動運行一次.當times字段值超過預設閾值時,“active”字段值由1變為0,表示用戶處于鎖定狀態,暫停VPN使用權,直至人工干預后才能繼續使用.

此外,OpenVPN配置語句“dup licate-cn”表示允許相同用戶同時登錄,刪除該項配置,可以及時發現并有效防止用戶名/密碼被他人使用.

2.3 用blowfish-CBC算法保護數據機密性

為防止數據內容被非法竊聽,SSL協議要求通信雙方在握手階段協商好加密算法并交換密鑰,此后的數據通信則以此密鑰加密[4].加解密算法分為對稱和非對稱兩種.對稱算法的加解密速度較非對稱算法高很多,所以當對系統安全級別要求不是很高時,VPN系統采用對稱加密算法.blow fish-CBC是一種對稱密鑰算法[5].

blow fish算法是一種64 bit的可變密鑰長度的分組密碼算法,具有如下特點:

(1)快速:在32 bit微處理器上加密數據的速率是每個字節用18個時鐘周期;

(2)緊湊:可以在少于5 k的內存上運行;

(3)可變的安全性:密鑰長度可變,最長可達448 bit,使得同時兼顧更高速度和更高安全性成為可能.

blow fish-CBC將blow fish算法和密碼分組鏈接(CBC)模式結合起來,即加密前先對明文數據塊做CBC變換,然后再進行加密.

OpenVPN支持多種加密算法,修改服務器和客戶端的配置文件可以設定使用何種加密算法.在服務器與客戶端的配置文件中增加語句“cipher BFCBC”即表示使用blow fish-CBC算法加密數據.

3 結論

SSL VPN系統在解決遠程訪問的問題時優勢明顯,根據具體應用場合,采用適合的安全策略,能夠有效提升系統安全性能,節約部署成本,提高訪問速度.OpenVPN作為出色的開源SSL VPN軟件,為實現具體的安全策略提供了可能.

[1] 王穎,熊軍潔,王媛.SSL VPN-攀登巴別塔的云梯[J].圖書館工作與研究,2009,7:46-47.

[2] Chou W.Inside SSL:the secure sockets layer p rotocol[J].IT Professional,2002,4(4):47-52.

[3] Charlie H.OpenVPN and the SSL VPN revolution[EB/OL].[2009-03-05].http://www.openvpn.net/index.php/opensource/documentation.htm l.

[4] 金家琴.基于SSL VPN技術實現公共圖書館電子資源遠程訪問[J].圖書館雜志,2009,28(3):62-63.

[5] 鐘黔川,朱清新.Blow fish密碼系統分析[J].計算機應用,2007,27(12):40-41.

Study on security policy of SSL VPN system in college digital library

H E L ing

(Department of Computer Science and Information Technology,Tianjin Agriculture College,Tianjin 300384,China)

Security requirement of college digital library remote access is analyzed in this paper.And security algorithm is discussed which is fit of digital library.A SSL VPN system is realized making use of OpenVPN and self p rogramming in the end.

digital library;Open VPN;indentity authentication;encrypt arithmetic

TP309.1

A

1671-1114(2010)01-0027-02

2009-08-03

天津農學院科學研究發展基金資助項目(2007005)

何 玲(1979—),女,講師,主要從事計算機網絡和編程方面的研究.E-mail:heling@tjau.edu.cn

(責任編校 紀翠榮)