基于SSL VPN技術(shù)的遠(yuǎn)程資源訪問(wèn)模式研究

包 瑞

（新疆師范大學(xué)圖書(shū)館，新疆 烏魯木齊 830054）

各高校圖書(shū)館的數(shù)字資源日漸豐富，數(shù)據(jù)庫(kù)的使用效益明顯增強(qiáng)，這充分肯定了圖書(shū)館作為高校信息資源中心的地位，顯現(xiàn)了圖書(shū)館為教學(xué)科研所發(fā)揮的重要保障作用。但隨著讀者對(duì)數(shù)據(jù)庫(kù)的依賴性的日益增強(qiáng)，讀者需要圖書(shū)館為他們提供隨時(shí)隨地的資源訪問(wèn)服務(wù)，伴隨著移動(dòng)技術(shù)的發(fā)展與普及、家住校外及各類出差交流學(xué)習(xí)的讀者數(shù)量的不斷增加，這類讀者也要求享有訪問(wèn)本校圖書(shū)館數(shù)字資源的平等權(quán)利，如何才能既保障了本校師生的合法訪問(wèn)權(quán)益，同時(shí)又不違背相關(guān)的保護(hù)知識(shí)產(chǎn)權(quán)的法律規(guī)定，這對(duì)各圖書(shū)館提出了新的要求。

為解決校外用戶遠(yuǎn)程訪問(wèn)的問(wèn)題，各館有不同的思路，目前采用VPN方案來(lái)解決校外用戶的資源訪問(wèn)已經(jīng)得到了多數(shù)圖書(shū)館的認(rèn)同，但在VPN協(xié)議及產(chǎn)品的選擇上難以決策，本文擬從對(duì)SSL VPN的分析著手對(duì)此問(wèn)題進(jìn)行闡述。

1 SSL VPN概念

1.1 VPN

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò),是指在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù),即利用公用線路來(lái)實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的安全專有連接技術(shù)，能夠讓移動(dòng)用戶、遠(yuǎn)程用戶或分支機(jī)構(gòu)安全地接入到內(nèi)部網(wǎng)絡(luò)。

VPN技術(shù)近年來(lái)大量應(yīng)用于遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)和企業(yè)移動(dòng)辦公，在解決高校多個(gè)校區(qū)數(shù)據(jù)訪問(wèn)方面也有較為廣泛的應(yīng)用。

VPN在遠(yuǎn)程訪問(wèn)上的解決思路是：用戶可以在家中通過(guò)ADSL、LAN等方式接入互聯(lián)網(wǎng)，獲得公網(wǎng)合法地址后撥號(hào)校園網(wǎng)VPN網(wǎng)關(guān)的公網(wǎng)地址，通過(guò)構(gòu)建一條用戶到校園網(wǎng)的二層隧道，再通過(guò)VPN服務(wù)器給用戶分配一個(gè)校園網(wǎng)地址來(lái)實(shí)現(xiàn)資源的遠(yuǎn)程訪問(wèn)。

1.2 IPsec VPN

IPSec VPN技術(shù)是由IPSec（IP安全體系架構(gòu)）協(xié)議提供隧道安全保障，IPSec協(xié)議由一組協(xié)議套件組成，包括安全協(xié)議、密鑰管理協(xié)議、安全聯(lián)盟、加密、認(rèn)證算法等,其通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄裕瑸橥ㄐ烹p方建立一個(gè)安全隧道來(lái)保障通信安全。IPSec協(xié)議是基于網(wǎng)絡(luò)層，IPSec VPN最適合 “網(wǎng)—網(wǎng)”(Site-Site)之間的虛擬專用網(wǎng)，即內(nèi)部網(wǎng)虛擬專用網(wǎng)。

1.3 SSL VPN

SSL VPN采用當(dāng)前廣泛使用的工業(yè)級(jí)安全協(xié)議SSL(安全套接層)，提供基于應(yīng)用層的訪問(wèn)控制，具有數(shù)據(jù)加密、完整性檢測(cè)和認(rèn)證機(jī)制，無(wú)需安裝或設(shè)定客戶端軟件，授權(quán)用戶能夠通過(guò)Web瀏覽器安全地接入網(wǎng)絡(luò)資源，SSL協(xié)議是基于應(yīng)用層，SSL VPN多用于“客戶—網(wǎng)”(Client-Site)連接。

1.4 SSL VPN與IPsec VPN區(qū)別

1.4.1 應(yīng)用類型

IPsec VPN多用于網(wǎng)與網(wǎng)之間的安全接入，多用于企業(yè)總部與分部之間的訪問(wèn),被用來(lái)對(duì)地理上分布在不同地方的辦公室提供可靠的連接；SSL VPN應(yīng)用于遠(yuǎn)程或移動(dòng)用戶的遠(yuǎn)程安全接入,SSL VPN可以實(shí)現(xiàn)較為具體的訪問(wèn)控制，這種功能減少了從無(wú)保護(hù)點(diǎn)、非信任網(wǎng)絡(luò)或非授權(quán)用戶訪問(wèn)內(nèi)部資源帶來(lái)的風(fēng)險(xiǎn)。

1.4.2 易用性

SSL VPN的用戶訪問(wèn)使用通用的瀏覽器，無(wú)需安裝特殊的客戶端程序，即可通過(guò)SSL VPN隧道接入內(nèi)部網(wǎng)絡(luò)；而IPSec VPN的用戶則需要安裝專門的IPSec客戶端軟件。

1.4.3 應(yīng)用程序訪問(wèn)

SSL VPN是基于應(yīng)用層的VPN，而IPsec VPN是基于網(wǎng)絡(luò)層的VPN。IPsec VPN對(duì)所有的IP應(yīng)用均透明;而SSL VPN保護(hù)基于Web的應(yīng)用更有優(yōu)勢(shì)，部分高端產(chǎn)品也支持TCP/UDP的C/S應(yīng)用，例如文件共享、網(wǎng)絡(luò)鄰居、Ftp、Telnet、Oracle 等[1]。

1.4.4 網(wǎng)絡(luò)適應(yīng)性

SSL VPN用戶不受上網(wǎng)方式限制，SSL VPN隧道可以穿透防火墻；由于IPSec VPN對(duì)防火墻的安全策略的配置較為復(fù)雜（往往要開(kāi)放一些非常用端口），所以IPSec客戶端需要支持“NAT穿透”功能才能穿透防火墻。

1.4.5 管理維護(hù)成本

SSL VPN只需要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶端免維護(hù)，降低了部署和支持費(fèi)用。而IPSec VPN對(duì)每個(gè)節(jié)點(diǎn)用戶進(jìn)行技術(shù)支持，對(duì)于用戶來(lái)說(shuō)專業(yè)性較強(qiáng)，對(duì)于管理人員來(lái)說(shuō)工作量較大,管理成本較高。

1.5 SSL VPN的優(yōu)勢(shì)

SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有缺點(diǎn)而出現(xiàn)的，SSL VPN繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致、與應(yīng)用無(wú)關(guān)的優(yōu)點(diǎn)，避免了因有客戶端而導(dǎo)致的使用維護(hù)不便、某些網(wǎng)絡(luò)條件下無(wú)法接通、帶來(lái)大量病毒和蠕蟲(chóng)的入侵、無(wú)法與企業(yè)現(xiàn)有認(rèn)證服務(wù)器結(jié)合、無(wú)法審計(jì)等問(wèn)題，從功能上有網(wǎng)絡(luò)訪問(wèn)、網(wǎng)上應(yīng)用程序、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能，可以提供C/S應(yīng)用和B/S應(yīng)用訪問(wèn)，并非只能解決web應(yīng)用。這其中最為重要的是網(wǎng)絡(luò)訪問(wèn)功能，SSL VPN的網(wǎng)絡(luò)訪問(wèn)功能避免了IPSec VPN的缺點(diǎn)而又繼承了IPSec VPN的優(yōu)點(diǎn)[2]。

1.5.1 簡(jiǎn)單易用，降低了維護(hù)工作量

避免客戶端的安裝、配置和維護(hù)，否則在VPN策略稍有調(diào)整時(shí)，其管理難度和工作量將呈幾何級(jí)數(shù)的增長(zhǎng)，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行，安全地訪問(wèn)網(wǎng)絡(luò)中的信息，維護(hù)成本較低。

1.5.2 兼容性好

適用任何的終端及操作系統(tǒng)，不會(huì)出現(xiàn)不同的終端操作系統(tǒng)需要不同的客戶端軟件的現(xiàn)象，用戶方無(wú)特殊操作要求。

1.5.3 兼具Web易用性和安全性

SSL VPN因?yàn)闊o(wú)需安裝特殊的客戶端，在基于瀏覽器/服務(wù)器（B/S）結(jié)構(gòu)的工作時(shí)，可以直接通過(guò)瀏覽器內(nèi)嵌的SSL加密協(xié)議就可以完成VPN訪問(wèn)，在Web的易用性和安全性方面架起了一座橋梁。

1.5.4 提供更精細(xì)的訪問(wèn)控制

因?yàn)樗袃?nèi)外部流量通常都經(jīng)過(guò)單一的VPN硬件設(shè)備，這樣就可以控制對(duì)資源和URL的訪問(wèn)，SSL VPN能對(duì)加密隧道進(jìn)行細(xì)分，使終端用戶能夠同時(shí)接人Internet和訪問(wèn)內(nèi)部企業(yè)網(wǎng)資源。另外，SSL VPN還能細(xì)化接入控制功能，提供用戶級(jí)別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶才能夠訪問(wèn)特定的內(nèi)部網(wǎng)絡(luò)資源[3]。

2 SSL VPN在圖書(shū)館的應(yīng)用

2.1 需求

各類數(shù)據(jù)庫(kù)提供商都對(duì)其數(shù)據(jù)庫(kù)產(chǎn)品有相應(yīng)的知識(shí)產(chǎn)權(quán)保護(hù)措施，以防止資源的非授權(quán)使用和無(wú)限制傳播擴(kuò)散，這樣既保護(hù)了著作權(quán)人的個(gè)人利益，又保護(hù)了數(shù)據(jù)庫(kù)提供商的商業(yè)利益，一般只有通過(guò)合法購(gòu)買才能取得數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)，高校圖書(shū)館所購(gòu)買的電子資源絕大多數(shù)都有IP地址范圍限制，即超出學(xué)校IP范圍的訪問(wèn)將被拒絕。

家住在校外的師生和出差在外的老師需要訪問(wèn)圖書(shū)館的資源將被認(rèn)為是非授權(quán)用戶，拒絕訪問(wèn)。并且絕大多數(shù)校外用戶使用的都是動(dòng)態(tài)IP地址，是不確定的，無(wú)法添加開(kāi)放這些IP，所以數(shù)據(jù)庫(kù)服務(wù)商無(wú)法確定訪問(wèn)者的合法身份，因而自動(dòng)屏蔽。

因此在訪問(wèn)電子資源時(shí)，就需要一套可以將合法用戶的非授權(quán)校外地址轉(zhuǎn)為已授權(quán)的校內(nèi)地址的遠(yuǎn)程訪問(wèn)的安全解決方案。

2.2 解決思路

通過(guò)在防火墻后安裝SSL VPN設(shè)備，所有的校外用戶只需打開(kāi)IE瀏覽器訪問(wèn)圖書(shū)館的URL后，連接就將被SSL VPN設(shè)備取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。SSL VPN技術(shù)此時(shí)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問(wèn)都是以SSL VPN設(shè)備的LAN口的名義發(fā)起的，所以只要SSL VPN設(shè)備的LAN口IP是一個(gè)合法的校園網(wǎng)IP，所有成功接入SSL的校外用戶都可以成功訪問(wèn)這個(gè)SSL VPN設(shè)備LAN口所能訪問(wèn)的資源[4]。

2.3 連接模式

2.3.1 Web瀏覽器模式

由于Web瀏覽器都內(nèi)置了SSL協(xié)議。只要在SSL/VPN服務(wù)器上集中配置安全策略即可，在客戶端無(wú)需做任何配置，使用十分方便。在這種模式中，SSL/VPN服務(wù)器扮演的角色相當(dāng)于一個(gè)數(shù)據(jù)中轉(zhuǎn)服務(wù)器。

2.3.2 SSL/VPN客戶端模式

將客戶端程序在遠(yuǎn)程計(jì)算機(jī)上進(jìn)行安裝和配置。在這種模式中，SSL/VPN客戶端程序相當(dāng)于一個(gè)代理客戶端。

2.3.3 LAN/LAN模式

LAN/LAN模式主要是針對(duì)在局域網(wǎng)之間的通信傳輸進(jìn)行安全保護(hù)。這種模式下客戶端不需要做任何安裝和配置，僅需在兩個(gè)局域網(wǎng)內(nèi)的SSL VPN服務(wù)器上進(jìn)行相應(yīng)的配置[5]。

2.4 應(yīng)用方案舉例

目前國(guó)內(nèi)已經(jīng)有不少高校采用了或者正嘗試使用SSL VPN技術(shù)來(lái)解決校外用戶資源訪問(wèn)的這個(gè)問(wèn)題，也有不少高校在用SSL VPN技術(shù)連接多校區(qū)的圖書(shū)館，現(xiàn)將國(guó)內(nèi)應(yīng)用較多的兩類典型SSL VPN設(shè)備在此簡(jiǎn)要舉例。

艾克斯通SSLBuilder不但能為基于Web的業(yè)務(wù)應(yīng)用提供安全保護(hù)，還能為OA、數(shù)據(jù)庫(kù)等C/S模式的業(yè)務(wù)應(yīng)用提供安全保護(hù)。在圖書(shū)館的應(yīng)用案例有：重慶大學(xué)圖書(shū)館，中國(guó)數(shù)字圖書(shū)館建筑設(shè)計(jì)分館，測(cè)試中的有成都電子科技大學(xué)等。

深信服Sinfor SSL VPN實(shí)際上是IPSec/SSL一體化VPN,結(jié)合了IPSec和SSL兩大主流VPN功能的優(yōu)勢(shì)，對(duì)IPSec和SSL存在的不足之處進(jìn)行優(yōu)勢(shì)互補(bǔ)，應(yīng)用于陜西省圖書(shū)館、浙江樹(shù)人大學(xué)、廣東工業(yè)大學(xué)、華南師范大學(xué)、浙江林學(xué)院等。

2.5 SSL VPN的選擇

2.5.1 確定以讀者為主，還是以業(yè)務(wù)應(yīng)用為主

以讀者為主的方式將向遠(yuǎn)程用戶提供透明的和完全的網(wǎng)絡(luò)接入功能，因此需要的將是集IPsec和SSL VPN為一體的VPN。

以業(yè)務(wù)應(yīng)用程序?yàn)橹兀瑥?qiáng)調(diào)的是后端應(yīng)用程序集成并且在沒(méi)有客戶端軟件的模式下 (如通過(guò)瀏覽器)提供更好的訪問(wèn)功能，因此需要的將是SSL VPN。

2.5.2 安全策略的考慮

購(gòu)買的安全功能以實(shí)用、簡(jiǎn)單為宜，并盡可能充分發(fā)揮原有的安全配置功能。

2.5.3 確定用戶數(shù)

通過(guò)測(cè)試并核實(shí)以確定VPN設(shè)備的有效并發(fā)用戶，一般來(lái)說(shuō)圖書(shū)館遠(yuǎn)程訪問(wèn)用戶的并發(fā)數(shù)不會(huì)太大。

2.5.4 綜合安全、連接、維護(hù)、穩(wěn)定、高效等多方面考慮，功能應(yīng)該是以實(shí)用為宜

隨著校外用戶對(duì)有IP限制的數(shù)據(jù)庫(kù)資源訪問(wèn)需求的日益迫切，使得校外遠(yuǎn)程訪問(wèn)圖書(shū)館電子資源技術(shù)越來(lái)越受到關(guān)注，通過(guò)對(duì)基于SSL VPN技術(shù)的校外用戶資源訪問(wèn)模式的研究，SSL VPN技術(shù)勢(shì)必會(huì)在解決遠(yuǎn)程訪問(wèn)數(shù)字資源領(lǐng)域得到較大的應(yīng)用，也勢(shì)必會(huì)促使SSL VPN技術(shù)向著更加完善更加安全的方向發(fā)展。

［1］ VPN 技術(shù)誰(shuí)領(lǐng)風(fēng)騷？IPSec還是 SSL［EB/OL］.http://searchsecurity.techtarget.com.cn/392/2205392.shtml.

［2］ 專家解惑：什么才是真正的SSL VPN［EB/OL］.http://cisco.szpt.edu.cn/show.aspx?id=161&cid=29.

［3］ 馬軍鋒.SSL VPN技術(shù)原理及其應(yīng)用［J］.電信網(wǎng)技術(shù),2005,（8）.

［4］ VPN技術(shù)在高校圖書(shū)館中的應(yīng)用探討(2)［EB/OL］.http://tech.ccidnet.com/art/322/20060719/646513_2.html

［5］ 董其軍.基于SSL協(xié)議的數(shù)字圖書(shū)館用戶訪問(wèn)模式研究［J］.圖書(shū)館學(xué)研究,2005,（12）.