申飞驹
〔摘 要〕高校图书 馆在电子资源建设上投入了大量的精力,如何让高校教师、学生在保障电子资源版权的前提 下,方便、安全、快捷地远程访问它们是目前许多高校面临的一个问题。本文主要从SSL VP N技术角度来探讨高校数字图书馆的远程点对点访问问题。
〔关键词〕SSL VPN;身份认证; 数字图书馆
〔中图分类号〕G250.76 〔文献标识码〕B 〔文章编 号〕1008-0821(2009)08-0075-03
Applications of SSL VPN in Unive rsity Digital LibraryShen Feiju
(Library,Nantong University,Nantong 226001,China)
〔Abstract〕University library has put a lot of effort into the digital resources.It
is a problem for many universities that how the teachers and students romote ac cess digital resources easily,safe,quickly but not infrige the copyright of digi tal resources.This paper discussed the romote P2P access problem about universit y digital library from SSL VPN.
〔Key words〕SSL VPN;identity
authentication;digital library
1 高校数字图书馆现状
作为大学图书馆来说,为了让本校师生尽可能地查阅到适当的电子资源,高校都购买了为数 众多的电子资源。有的电子资源是镜像到图书馆本地的,也有的是包库使用。无 论是哪种形式的使用方法,各电子资源厂商出于版权保护的需要,都对其访问进行了身份验 证机制。高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即:
(1)对于包库使用的数据库而言,采购的这些数据库不是存放在图书馆服务器上,而是存 储在提供商的服务器上。图书馆支付费用以后,数据库服务商是根据访问者的IP地址来判断 是否是经过授权的用户。即使是镜像到本地的数据库,各数据库厂商也在其使用平台上作了 IP地址限制。只要是从校园网出去的IP地址都是认可的,因为校园网出口IP和部分公网IP地 址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
(2)如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采 用PSTN拨号、ADSL、小区宽带,使用的都是社会网络运营商提供的IP地址,不是校园网的IP 地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商 进一步开放更多的IP地址为合法用户,但是这要求访问者的IP地址是固定的、静态的,而实 际上,绝大多数校外用户使用的都是动态IP地址,是不确定的,所以数据库服务商无法确定 访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作 校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。
无论是从电子资源版权保护的目的,还是出于校园网络安全的考虑,以及满足不同计算机水 平人员的访问需求,找到一个安全、简便的远程访问解决方案,成为各高校亟待解决的问题 。
部分高校采用反向代理和IPSec VPN这两种方式提供校外远程访问,不过它们都因其自身缺 陷限制了在高校的规模应用。
SSL VPN应势而生,它正好可以满足高校数字图书馆远程访问的全面要求。
2 关于SSL VPN
SSL(Secure Socket Layer)安全套接字加密协议是网景(Netscape)公司提出的基于Web 应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL 链路上的数据保密性。SSL协议使用公开密钥体制和X.509数字证书技术保护信息传输的机 密性和完整性,它主要适用于点对点之间的信息传输,常用Web Server方式。SSL协议位于T CP/IP协议与各种应用层协议之间,它分为两层:SSL记录协议(SSL Record Protocol)、S SL握手协议(SSL Handshake Protocol)。SSL内嵌于浏览器中,密钥位长随着浏览器的密 钥位长而不同。
SSL VPN是为了弥补IPSec VPN的安全缺陷而发展起来的,大部分IPSec VPN仅对数据头加密 传输,SSL VPN对数据整体进行加密传输。SSL VPN早期应用于银行的电子交易系统并且只支 持基于Web的Brower/Server应用。随着技术进步,SSL VPN相继支持了Client/Server、SSH 、Telnet、FTP……等应用,逐步走向远程安全接入。在欧美,高达74%的用户皆选择SSL VP N这一方式进行远程接入,而国内则处于起步阶段。
3 SSL VPN在高校数字图书馆的应用
3.1 部署及远程接入
SSL VPN是基于应用层的VPN,它的部署非常简便,可串接也可旁接,一般可把它作为一台应 用服务器布署于校园网络的任意位置。正常情况下,SSL VPN部署在防火墙之后,需要将防 火墙上的一个固定的公网IP地址映射到SSL VPN上,或者只映射其IP地址的443端口即可。
在配置好SSL VPN服务器的应用、用户、权限后,使用人员可在任意能够接入Internet的地 方通过浏览器,采用HTTPS方式访问该固定公网IP(或者对应域名),即可接入校园网正常访 问数字图书馆(OA、邮件、电子资源……)。
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议也是由Netscape开发并内置于浏览器中,用于对数据进行压缩和解压操作,它是以安全为目标的HTTP通道,句法 类同HTTP体系。HTTPS使用443端口而不是像HTTP使用80端口那样来与TCP/IP通信,它还包含 一个身份/验证层。
3.2 技术优势
3.2.1 高安全性
数字图书馆系统如果与未经授权的非信任站点连接,可能导致网络攻击,严重者可能遭至版 权电子资源大量泄露。所以必须保证远程连接时数据传输及内网站点的安全。
反向代理技术的数据传输是未加密的明文传输,而且大都仅支持〣/S应用,对〤/S应 用无法支持。另外,反向代理可能需要打开相关应用的某些特殊端口,这给端口扫描攻击留 下隐患。
IPSec VPN采用加密传输,但它是基于网络层的传输,也即说当用户建立IPSec VPN远程连接 隧道后,与内网用户处于一个大的局域网内,一旦该机器有病毒、黑客攻击等,很容易进入 内网,给局域网络带来安全隐患。
SSL VPN可采用128位不可逆加密技术,在数据传输过程中即便被截获,也只是一堆无用的乱 码,故在数据传输中是安全的。
与IPSec VPN建立网络层的透明连接不同,SSL VPN是基于应用的连接,也即说远程用户通过 SSL VPN建立远程连接隧道后,并非变成校园网内的用户,只能看到相关应用,所有数据只 能到达SSL VPN服务器,再由该服务器转发,校园内网对远程用户是隔离的黑盒子。即便远 程用户机器存在病毒、攻击等安全隐患,也无法通过SSL VPN隧道进入校园网内。使数字图 书馆系统的安全得到保证。
另外,SSL VPN还可做到在远程用户登录前对其进行安全检查,包括杀毒软件是否安全、操 作系统补丁是否已打、注册表是否被非法修改、驻留进程是否合法,如果有异常行为可禁止 其接入,使接入安全健壮性进一步加强。
3.2.2 使用简便
IPSec VPN需要安装专用客户端软件并进行相关配置才能建立远程连接,这给不同计算机水 平的人员使用带来困惑。数字图书馆的使用人员众多,也会大大增加网络管理人员的维护工 作量。SSL VPN是公认的瘦客户端系统,它通过浏览器建立远程连接,无须安装客户端软件,即便 在处理〤/S应用、网络共享、流媒体…等应用时,也只安装无须干预的ActiveX或Java控 件,这样让各式的用户使用起来都得心应手。
3.2.3 精细权限控制
IPSec VPN和反向代理都无法做到精细的权限控制,只能通过防火墙/路由器进行端口设置作 有限的控制。
SSL VPN由于其技术特点,可以做到细颗粒度的权限控制。不同的用户有不同的授权,例如 财务人员可访问财务系统、网管人员可远程调试网络设备…,对数字图书馆资源也可细分权 限,不同权限级别用户访问相应的资源,非授权应用则无法访问。
SSL VPN可建立组策略管理,例如设立专家组、教师组、学生组…,不同组赋予不同访问权 限。也可建立基于角色的策略管理,给每一个角色赋予不同的权限。
SSL VPN还可设立临时账号,给那些需要临时访问数字图书馆的人员提供便利。一旦使用期 限截止,该账号可自动注销。
3.2.4 与认证系统结合
高校大多建有身份认证系统,例如AD/LDAP系统、一卡通系统、Radius系统、Oracle/SQL Se rver数据库系统。SSL VPN可与这些身份认证系统有机的结合,以防止用户账号被盗用后进 入数字图书馆系统窃取机密信息。
高校使用SSL VPN的人员众多,而且流动性较大,如果采用人工建立或注销用户,则网络管 理人员的维护工作量相当庞大。一旦与身份认证系统结合,则网络管理人员无须手工建立账 号,使用人员可通过既有的身份认证账号进行登录,首次登录后账号信息自动记录到SSL VP N服务器,以后即进行双重的账号匹配。当使用人员账号从认证系统注销,SSL VPN将让其远 程匹配失败无法登录。这样大大减轻网络管理人员对SSL VPN的维护工作量。
3.3 对SSL VPN在数字图书馆应用展望
SSL VPN处于不断发展与完善中,针对高校数字图书馆的特点,期待在下列功能中进行演进 。
3.3.1 入口链路均衡的支持
高校因其特点,有多条IPS线路接入:电信线路、网通线路、教育网线路…。众所周知,当 跨运营商访问时,其访问速度存在明显瓶颈。为了提高跨运营商访问速度,部分高校在校园 网Internet出口处部署了链路均衡设备,这样当远程用户通过电信线路访问时,自动分配至 校园网络的电信链路。在此种情况下,SSL VPN的访问速度得到保证。但在未部署链路均衡 设备的高校中,通过SSL VPN跨运营商远程接入时,对数字图书馆的访问速度瓶颈变得相当 突出,给这些高校部署SSL VPN带来困惑。故期待SSL VPN本身能够加入链路均衡功能,以使 得SSL VPN在数字图书馆的应用得到迅速普及。
3.3.2 出口链路的控制
高校数字图书馆购买的电子资源中,很多是远程电子资源,其出口分布着不同的线路:电信 、网通、教育网…,在解决入口的链路均衡后,出口仍然存在跨运营商的访问瓶颈,只是这 一瓶颈不像入口访问那样明显。如果要做到访问速度的最大优化,则SSL VPN需要对数字图 书馆的访问出口同样作链路均衡,也即说,当一个电信的远程用户通过链路均衡自动匹配电信线路接入数字图书馆后,如果他要访问远程的网通线路电子资源,则要自动匹配到网通线 路去。
3.3.3 对DDoS攻击的防范
相对于早前的DoS攻击,DDoS攻击由于采用分布式傀儡机持续不断地向目标主机发起无数连 接请求并发送垃圾数据包,造成正当的连接请求无法得到响应,目标主机也无法及时处理正 常请求,从而无法与正常请求建立通讯,严重时造成目标主机瘫痪。SSL VPN由于要打开443 端口,也可能成为DDoS攻击的对象。当然,专业的防DDoS攻击设备相当昂贵,但SSL VPN可 加入适当的防DDoS攻击能力,以应对DDoS的洪水攻击。
随着SSL VPN技术的不断进步,相信能够提供日益丰富的功能以满足高校的数字图书馆远程 访问需求。
4 总 结
SSL VPN作为成熟的技术,在数字图书馆逐步得到应用。SSL VPN从功能上可以提供〤/S 应用和〣/S应用访问,并非只能解决 Web应用。比如许多高校图书馆编目都实现外包服 务。通过SSL VPN可以让书商安全方便地连接到校内图书馆系统服务器上,实现编目。本文 对此不作论述。
SSL VPN因其安全、方便、权限控制等优点,相信会在数字图书馆得到普及。随着SSL VPN的 大规模部署应用,远距离数字图书馆协作共享的时代已经到来,城际之间、国际之间可建立 起互信、协作的连接访问,以让数字图书馆更好的服务于大众。
参考文献
[1]拓守恒.利用SSL/IPSec VPN打造安全的数字图书馆[J].陕西理工 学院学报:自然科学版,2008,24(1):69-72.
[2]吴敏,梁爽.实现SSL协议快速连接的一种解决方案[J].兰州理工大学学报,200 8,34(1):98-101.
[3]吉妮.SSL VPN让校内资源发挥更大效能——Juniper公司东南大学解决方案[EB] .http:∥www.cnki.net
[4]覃东,曾红亮.基于SSL的客户端认证策略研究[J].计算机工程与设计,2008,2 9(2):312-314.