利用SSL VPN構建數字資源遠程訪問平臺

張凱，貝蓓，張建軍

(河北農業大學 圖書館，河北 保定 071001)

利用SSL VPN構建數字資源遠程訪問平臺

張凱，貝蓓，張建軍

(河北農業大學 圖書館，河北 保定 071001)

對SSL(secure sockets layer，安全套接層協議層)VPN(virtual private network)系統的工作原理和SSL協議的運用進行了介紹.重點研究了資源管理、APP資源的配置和系統專線這幾個重要的系統配置.分析了系統以https登錄、虛擬IP池技術等為特點的顯著特性.最后提出實際使用中的一些問題及解決辦法.

SSL VPN；APP資源；虛擬IP池

在高校圖書館，大多數電子資源通常可以在學校網絡的內部IP內被訪問到，而這些電子資源在家中則無法訪問.同時，越來越多的校外合作機構對電子資源的訪問要求不斷增加，因此為了使校外合作機構能在校園網IP以外訪問資源，高校圖書館需要一種新的遠程接入方式，來提高電子資源的利用率，實現電子資源共享的最大化.

VPN(virtual private network)即虛擬專用網技術，它可以在公用網絡(通常是因特網)和特定的內部網之間建立一個臨時的、可信的安全連接，并保證數據的安全傳輸.SSL(secure sockets layer，安全套接層協議層)VPN是VPN的一種.Netscape公司開發的SSL是一種互聯網數據安全協議.SSL協議為數據通訊提供安全支持，并且被用于Web瀏覽器與服務器之間的加密數據傳輸與身份認證,是位于TCP/IP協議與各種應用層協議之間的協議[1].

與傳統的遠程接入方式IPSec VPN比較，SSL VPN不需要單獨安裝插件，使用簡便，只需要通過瀏覽器即可訪問；維護工作量小，不需要安裝任何客戶端軟件，終端能上網就能用的特點,它們之間的差別類似于C/S構架和B/S構架的區別[2].

1 遠程訪問平臺系統分析

為保障資源的合理利用、擴大電子資源使用范圍，河北農業大學部署了深信服SSL VPN，為廣大在校園網以外的師生和科研工作者搭建了圖書館數字資源遠程安全訪問平臺.

1.1工作原理

工作原理是在圖書館的防火墻后面放置一個SSL代理服務器，即深信服SSL VPN設備，在校園網外的用戶可以通過電腦、筆記本、手機等上網設備訪問圖書館的各種電子資源，當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將提供一個遠程用戶與各種電子資源服務器的虛擬通道.結構原理如圖1所示[3-4].

在該遠程訪問平臺上，管理員建立好用戶名和密碼，用戶通過在瀏覽器地址欄里輸入網址，登錄到界面，按提示輸入用戶名和密碼，并提交硬件特征碼，經管理員審批后就可順利訪問圖書館的數字資源,同時支持短信認證、USBKey認證、動態令牌認證、終端硬件特征碼認證等. 對于在家使用SSL VPN登錄電子數據庫的教師，為其設置用戶名/密碼和電腦終端硬件特征碼雙重認證,大幅提高接入用戶身份鑒別安全性.

圖1 SSL VPN結構

1.2SSL協議

1.2.1 SSL協議的分層結構

筆者搭建的SSL VPN平臺是使用SSL 協議進行認證和加密的，并且為數據通訊提供安全支持.在圖2中，SSL協議位于各種應用層協議與傳輸協議TCP之間.SSL協議包括：SSL握手協議(SSL handshake protocol)和SSL記錄協議(SSL record protocol).SSL握手協議用于雙方協商加密算法、身份認證、交換加密密鑰等，是位于SSL記錄協議上層的.SSL記錄協議則是為高層協議提供數據封裝、壓縮、加密等支持.

SSL協議可用于保護正常運行于TCP之上的任何應用協議，如HTTP,FTP,SMTP或Telnet的通信.最常見的是用SSL來保護HTTP的通信.SSL協議進行服務器認證、加密算法、協商通信密鑰的操作是在應用層協議前面完成的，所以應用層協議隨后傳送的數據會被加密，保證通信安全性.因此，高層的應用協議(HTTP,Telnet,FTP)可以透明地建立在SSL協議之上，可見其顯著特點是與應用層協議無關.

SSL協議需要在握手之前建立TCP連接，所以不能保護UDP應用.如果考慮UDP協議層以上的安全防護，就要運用IP層的安全解決方案.

1.2.2 SSL協議的工作流程

首先，客戶機和服務器相互交換信息.客戶機發出client_hello，服務器以server_hello回應,這個過程會產生和交換防止重放攻擊的隨機數.安全參數是：會話ID、算法加密、版本協議等.同時隨機數C1ientHello.Random 和 ServerHello.Random進行交換，用于計算機“會話主密鑰”.其次，發送hello信息，服務器會發送自身證書，以確保被認證.隨后為了請求證書，服務器發送certificate_request給客戶，在這之前服務器會發送server_key_exchange,直到服務器的hello階段結束，服務器會一直發送server_hello_done.再次，服務器請求客戶機證書，客戶機要回應無證書指示或者返回證書，這是單向認證時候的情況，即客戶端沒有證書.隨后，Client 發布交換密鑰信息.最后服務器回應Finished，握手完成信息，用來表示完整的握手信息交換全部完成.這時，服務器和客戶開始通信完整性的檢驗，并且使用相同的對稱密鑰實現數據通訊.這標志著SSL 安全通道開始數據通信[5].

圖2 SSL協議的分層結構

1.2.3 報警協議

報警協議是和SSL握手協議位于同一層的高層協議.SSL報警協議包含了錯誤的危害程度.在通信過程中如果其中一方發現任何異常，收到報警消息時當前連接就立即中斷.根據嚴重程度，報警消息定義為Fatal錯誤和Warning消息.報警消息分為報警描述和報警等級2部分，結構如下：

enum {

fatal(2) , warning(1) } Alertlevel ;

報警等級分致命和警告.

bad__certficate,

close_notified,

certifcate__unknown,

uint8 padding_length,

decompresion_failure,

certficate__expired,

unsupported__certificate,

unexpected_messages,

certifcate__revoked,

handshake,

no__certificate,

} Alertdescrption;

2 系統后臺配置

2.1資源管理與添加

用戶登錄后能夠訪問的電子資源是由管理員在后臺添加的.根據資源的類型和所屬網絡協議的不同，可以靈活地添加3種不同的資源:APP資源、WEB資源和IP資源[6].

APP資源：主要用于定義、配置和管理各種類型的SSL VPN內網資源，以適應各種各樣C/S結構的應用程序訪問SSL VPN內網資源和內網服務器.它使用tcp協議，也是最經常使用的資源.河北農業大學圖書館大部分電子數據庫都設置為APP資源形式，供讀者訪問.

WEB資源：通常是網頁形式.它所定義的資源，是通過修改“訪問地址”來實現訪問的，有一定局限性.而APP資源幾乎支持所有的C/S應用，包括Web,Mail和Ftp等.如果通過WEB資源無法實現，可以使用APP資源來添加.需要注意的是，添加的WEB資源例如：增加資源http://aaa/index.html，用戶只能訪問到index.html所在目錄和子目錄的鏈接，而不能訪問其他目錄的鏈接.

IP資源：主要用于定義、配置和管理各種基于IP協議的內網資源，以適應各種各樣C/S結構及不同協議(TCP/UDP/ICMP)的應用程序訪問SSL VPN內網資源和內網服務器.值得注意的，IP服務訪問的內網服務器一定要放在設備LAN口或DMZ口端，即SSL VPN網關和服務器通信時一定要保證數據是從LAN口或DMZ口發出.而WEB和APP資源沒有這個要求.

2.2APP資源的配置

在該SSL VPN系統里，主要是用戶對圖書館內網的數據進行訪問，而圖書館內網對用戶本身并沒有訪問要求,所以在添加新資源時經常用到APP資源.

APP資源設置如圖3所示.在系統后臺“資源管理”的“APP資源”里新建資源.圖中是河北農業大學購買的人大復印資料數據庫的配置.“名稱”即是用戶登陸后看到的資源名稱.“類型”選擇HTTP.這是因為起初在圖書館主頁的網站后臺里建立人大復印資料數據庫的鏈接地址時，使用的是HTTP形式.有一點需要注意，這里提到的類型選擇HTTP是SSL VPN系統后臺的設置，不是用戶在前臺登錄時輸入的地址開頭,用戶在地址欄中是輸入以https為開頭的.關于https登陸在本文系統特點分析中會提到.

圖3 APP資源配置

“所屬資源組”選擇能夠訪問該資源的用戶組，定義為默認用戶組可以訪問.“主機地址”選擇單IP，并且輸入人大復印資料在河北農業大學圖書館本地服務器上的地址，端口使用8080.這樣用戶就可以在前臺訪問該數據庫內容.

2.3SSL VAN專線配置

為了訪問的安全性，可以設置成系統專線訪問，即用戶接入SSL VPN后自動斷開其余所有網絡鏈接，防止黑客以終端用戶主機作為進攻內網的工具.在建立用戶或用戶組時選擇“接入SVPN后禁止該用戶組上網”,這樣客戶端接入系統后，PC的默認路由會消失掉，同時生成到SSL VPN設備的主機路由.

3 系統特點分析

河北農業大學搭建的SSL VPN遠程訪問系統，改善了傳統解決方案的不足，為使用者提供了快速、安全、易用的遠程接入方式.其主要特點如下.

3.1使用https登錄

用戶在地址欄里輸入以https開頭的地址，而非普通的http.https也就是http的安全版本，是http的安全通道.它在http下加入SSL層，所以加密的具體內容需要SSL，因此https的安全基礎是SSL.而http是無狀態的，連接簡單.https協議比http協議更加安全，因為其本身可進行加密傳輸、身份認證，并且由SSL+HTTP協議構建.http使用的端口是80而https使用的是443，兩者的連接方式是完全不同的.

3.2虛擬IP池技術

利用IPTunnel的虛擬IP池技術，把高校網絡的IP地址放入虛擬IP池里，這樣外網用戶就可以通過虛擬IP進行訪問.也可以讀取LDAP和Radius里面分配好的虛擬IP，讓外網用戶可以獲得內網IP，訪問校園網的內部電子資源；運用虛擬IP池，采用輪詢方法，解決單個IP訪問流量過大的矛盾，以免一些電子資源服務商封鎖下載流量過大的IP地址[7].

3.3多線路復用技術

各個高校購買的電子資源一般位于教育網線路，但是有訪問需求的外網用戶大多都位于移動、電信等公網.本系統運用多線路復用技術，即可完成網絡線路的自動選路,因此保證了移動、電信等不同網絡運營商的訪問速度，通過選路，可以實現外網用戶瀏覽速度和校園網內網幾乎相同，極大提升了使用效率.

4 問題解決

在該系統的使用過程中，經常有讀者來電咨詢使用中的一些疑問，筆者把主要的問題總結如下.

4.1客戶端使用代理上網

有些用戶會通過代理服務器上網，這時可以同SSL設備建立連接，但在使用APP和IP資源時，可能會遇到問題.因為代理會優先于控件和虛擬網卡抓包，訪問數據無法被正常封裝就傳給代理服務器，從而使用戶無法正常訪問資源,這時可以將服務器內網地址填入排除列表,這樣可以使SSL控件正常抓包封裝.

4.2兼容性視圖問題

在本系統中，筆者發現有大量用戶使用IE8瀏覽器,經常會出現用戶登錄后看到的資源組列表文字顯示不全的問題.經過研究發現，由于IE8支持新的網頁標準，瀏覽某些不兼容的網站時會出現例如：網頁顯示不正常，出現圖片錯位和文字跑遠等問題,給用戶帶來不便.

解決方法：登錄到讀者界面后，在該界面的IE工具中選擇“兼容性視圖設置”，把該網站的網址添加到兼容性列表中,這樣設置就可以對特定網站實現兼容性顯示.

4.3APP資源新建與重啟網關

隨著在河北農業大學圖書館注冊的SSL VPN用戶數量的增加，用戶要求訪問的資源越來越多.對于中外期刊、各種特色培訓數據庫、百家講壇、借還書服務等遠程訪問要求不斷增多.筆者在用APP方式增加資源時，新建的資源配置好后，點保存,可是用戶只能看到舊的資源，新建的資源無法看到,即保存后此功能沒有實現,而其他的常用設置比如新建和刪除用戶、硬件特征碼審批等保存后即可實現.開始以為是IE版本兼容問題，后來試了幾個版本都無法顯示,最后在系統配置里把設備網關重新啟動，問題才解決.

由此筆者認為APP資源設置的任何改動和一般的設置是不同的，它是和SSL VPN系統的硬件設備里涉及到底層的網關服務密切相關的.

5 結論

目前整個圖書館遠程資源共享平臺的教師用戶已經有2 060多人.在使用中，SSL VPN設備運行穩定、使用效率高，操作便利，對電子數據庫資源的普及和利用起到很大的促進作用,極大方便了廣大師生和科研工作者查閱使用電子資源，推動了河北農業大學圖書館信息化的快速發展.

[1]金家琴.基于SSL VPN技術實現公共圖書館電子資源遠程訪問[J].圖書館雜志，2009，28(3)：62-63.

JIN Jiaqin. Remote access to E-resources of public library based on SSL VPN[J].Library Journal，2009，28(3)：62-63.

[2]叢欣.SSL/IPSec打造一體化VPN[J].計算機安全，2006(2)：49-51.

[3]夏志方.遠程訪問圖書館電子資源技術綜述[J].圖書情報工作，2006(3)：123-126.

XIA Zhifang.A reviews on techniques offering remote access to library digital resources[J].Library and Information Service，2006(3)：123-126.

[4]郭玲，李偉生.SSL VPN 的設計與實現[J].計算機技術與發展，2007(8)：148-150.

GUO Ling，LI Weisheng.Design and implementation of SSL VPN[J].Computer Technology and Development，2007(8)：148-150.

[5]史默然，韓永飛，栗穎佳.SSL握手協議的分析及改進[J].電腦與信息技術，2012(4)：8-10.

SHI Moran，HAN Yongfei，LI Yingjia.The analysis and improvement of SSL handshake protocol[J].Computer and Information Technology，2012(4)：8-10.

[6]海濱，唐全.VPN技術及其安全優勢的分析[J].電氣電子教學學報，2003(6)：46-49.

HAI Bin，TANG Quan.Analysis of VPN technique and superiority safety[J].Journal of Electrical & Electronic Engineering Education，2003(6)：46-49.

[7]黃澤偉.VPN中的隧道技術研究[J].重慶電力高等專科學校學報，2004(4)：42-46.

HUANG Zewei.Research on tunneling technology of VPN[J].Journal of Chongqing Electric Power College，2004(4)：42-46.

ConstructionofremoteaccesssystemtothedigitalresourcesbasedonSSLVPN

ZHANGKai,BEIBei,ZHANGJianjun

(Library, Agricultural University of Hebei, Baoding 071001, China)

This paper describes the working principle of remote access system based on SSL(secure sockets layer)VPN(virtual private network). The use of the SSL protocol is introduced in the paper. Meanwhile, it focuses on resource management, APP resource settings and system line settings. In addition, it analyses system characteristics such as https login, virtual IP pool technology and so on. At last, it puts forward some problems and solutions in actual use.

SSL VPN；APP resource；virtual IP pool

10.3969/j.issn.1000-1565.2013.04.018

2012-12-20

2010年河北農業大學非生命學科與新興學科基金項目；GALIS全國農學文獻信息中心2012年研究項目

張凱(1980-)，男，河北保定人，河北農業大學館員，主要從事計算機信息化方向研究.

E-mail:zhangkai@hebau.edu.cn

G250

A

1000-1565(2013)04-0437-06

(責任編輯孟素蘭)