利用SSL VPN构建数字资源远程访问平台

2013-10-28 07:01张凯贝蓓张建军
关键词:河北农业大学远程服务器

张凯,贝蓓,张建军

(河北农业大学 图书馆,河北 保定 071001)

利用SSL VPN构建数字资源远程访问平台

张凯,贝蓓,张建军

(河北农业大学 图书馆,河北 保定 071001)

对SSL(secure sockets layer,安全套接层协议层)VPN(virtual private network)系统的工作原理和SSL协议的运用进行了介绍.重点研究了资源管理、APP资源的配置和系统专线这几个重要的系统配置.分析了系统以https登录、虚拟IP池技术等为特点的显著特性.最后提出实际使用中的一些问题及解决办法.

SSL VPN;APP资源;虚拟IP池

在高校图书馆,大多数电子资源通常可以在学校网络的内部IP内被访问到,而这些电子资源在家中则无法访问.同时,越来越多的校外合作机构对电子资源的访问要求不断增加,因此为了使校外合作机构能在校园网IP以外访问资源,高校图书馆需要一种新的远程接入方式,来提高电子资源的利用率,实现电子资源共享的最大化.

VPN(virtual private network)即虚拟专用网技术,它可以在公用网络(通常是因特网)和特定的内部网之间建立一个临时的、可信的安全连接,并保证数据的安全传输.SSL(secure sockets layer,安全套接层协议层)VPN是VPN的一种.Netscape公司开发的SSL是一种互联网数据安全协议.SSL协议为数据通讯提供安全支持,并且被用于Web浏览器与服务器之间的加密数据传输与身份认证,是位于TCP/IP协议与各种应用层协议之间的协议[1].

与传统的远程接入方式IPSec VPN比较,SSL VPN不需要单独安装插件,使用简便,只需要通过浏览器即可访问;维护工作量小,不需要安装任何客户端软件,终端能上网就能用的特点,它们之间的差别类似于C/S构架和B/S构架的区别[2].

1 远程访问平台系统分析

为保障资源的合理利用、扩大电子资源使用范围,河北农业大学部署了深信服SSL VPN,为广大在校园网以外的师生和科研工作者搭建了图书馆数字资源远程安全访问平台.

1.1工作原理

工作原理是在图书馆的防火墙后面放置一个SSL代理服务器,即深信服SSL VPN设备,在校园网外的用户可以通过电脑、笔记本、手机等上网设备访问图书馆的各种电子资源,当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种电子资源服务器的虚拟通道.结构原理如图1所示[3-4].

在该远程访问平台上,管理员建立好用户名和密码,用户通过在浏览器地址栏里输入网址,登录到界面,按提示输入用户名和密码,并提交硬件特征码,经管理员审批后就可顺利访问图书馆的数字资源,同时支持短信认证、USBKey认证、动态令牌认证、终端硬件特征码认证等. 对于在家使用SSL VPN登录电子数据库的教师,为其设置用户名/密码和电脑终端硬件特征码双重认证,大幅提高接入用户身份鉴别安全性.

图1 SSL VPN结构

1.2SSL协议

1.2.1 SSL协议的分层结构

笔者搭建的SSL VPN平台是使用SSL 协议进行认证和加密的,并且为数据通讯提供安全支持.在图2中,SSL协议位于各种应用层协议与传输协议TCP之间.SSL协议包括:SSL握手协议(SSL handshake protocol)和SSL记录协议(SSL record protocol).SSL握手协议用于双方协商加密算法、身份认证、交换加密密钥等,是位于SSL记录协议上层的.SSL记录协议则是为高层协议提供数据封装、压缩、加密等支持.

SSL协议可用于保护正常运行于TCP之上的任何应用协议,如HTTP,FTP,SMTP或Telnet的通信.最常见的是用SSL来保护HTTP的通信.SSL协议进行服务器认证、加密算法、协商通信密钥的操作是在应用层协议前面完成的,所以应用层协议随后传送的数据会被加密,保证通信安全性.因此,高层的应用协议(HTTP,Telnet,FTP)可以透明地建立在SSL协议之上,可见其显著特点是与应用层协议无关.

SSL协议需要在握手之前建立TCP连接,所以不能保护UDP应用.如果考虑UDP协议层以上的安全防护,就要运用IP层的安全解决方案.

1.2.2 SSL协议的工作流程

首先,客户机和服务器相互交换信息.客户机发出client_hello,服务器以server_hello回应,这个过程会产生和交换防止重放攻击的随机数.安全参数是:会话ID、算法加密、版本协议等.同时随机数C1ientHello.Random 和 ServerHello.Random进行交换,用于计算机“会话主密钥”.其次,发送hello信息,服务器会发送自身证书,以确保被认证.随后为了请求证书,服务器发送certificate_request给客户,在这之前服务器会发送server_key_exchange,直到服务器的hello阶段结束,服务器会一直发送server_hello_done.再次,服务器请求客户机证书,客户机要回应无证书指示或者返回证书,这是单向认证时候的情况,即客户端没有证书.随后,Client 发布交换密钥信息.最后服务器回应Finished,握手完成信息,用来表示完整的握手信息交换全部完成.这时,服务器和客户开始通信完整性的检验,并且使用相同的对称密钥实现数据通讯.这标志着SSL 安全通道开始数据通信[5].

图2 SSL协议的分层结构

1.2.3 报警协议

报警协议是和SSL握手协议位于同一层的高层协议.SSL报警协议包含了错误的危害程度.在通信过程中如果其中一方发现任何异常,收到报警消息时当前连接就立即中断.根据严重程度,报警消息定义为Fatal错误和Warning消息.报警消息分为报警描述和报警等级2部分,结构如下:

enum {

fatal(2) , warning(1) } Alertlevel ;

报警等级分致命和警告.

bad__certficate,

close_notified,

certifcate__unknown,

uint8 padding_length,

decompresion_failure,

certficate__expired,

unsupported__certificate,

unexpected_messages,

certifcate__revoked,

handshake,

no__certificate,

} Alertdescrption;

2 系统后台配置

2.1资源管理与添加

用户登录后能够访问的电子资源是由管理员在后台添加的.根据资源的类型和所属网络协议的不同,可以灵活地添加3种不同的资源:APP资源、WEB资源和IP资源[6].

APP资源:主要用于定义、配置和管理各种类型的SSL VPN内网资源,以适应各种各样C/S结构的应用程序访问SSL VPN内网资源和内网服务器.它使用tcp协议,也是最经常使用的资源.河北农业大学图书馆大部分电子数据库都设置为APP资源形式,供读者访问.

WEB资源:通常是网页形式.它所定义的资源,是通过修改“访问地址”来实现访问的,有一定局限性.而APP资源几乎支持所有的C/S应用,包括Web,Mail和Ftp等.如果通过WEB资源无法实现,可以使用APP资源来添加.需要注意的是,添加的WEB资源例如:增加资源http://aaa/index.html,用户只能访问到index.html所在目录和子目录的链接,而不能访问其他目录的链接.

IP资源:主要用于定义、配置和管理各种基于IP协议的内网资源,以适应各种各样C/S结构及不同协议(TCP/UDP/ICMP)的应用程序访问SSL VPN内网资源和内网服务器.值得注意的,IP服务访问的内网服务器一定要放在设备LAN口或DMZ口端,即SSL VPN网关和服务器通信时一定要保证数据是从LAN口或DMZ口发出.而WEB和APP资源没有这个要求.

2.2APP资源的配置

在该SSL VPN系统里,主要是用户对图书馆内网的数据进行访问,而图书馆内网对用户本身并没有访问要求,所以在添加新资源时经常用到APP资源.

APP资源设置如图3所示.在系统后台“资源管理”的“APP资源”里新建资源.图中是河北农业大学购买的人大复印资料数据库的配置.“名称”即是用户登陆后看到的资源名称.“类型”选择HTTP.这是因为起初在图书馆主页的网站后台里建立人大复印资料数据库的链接地址时,使用的是HTTP形式.有一点需要注意,这里提到的类型选择HTTP是SSL VPN系统后台的设置,不是用户在前台登录时输入的地址开头,用户在地址栏中是输入以https为开头的.关于https登陆在本文系统特点分析中会提到.

图3 APP资源配置

“所属资源组”选择能够访问该资源的用户组,定义为默认用户组可以访问.“主机地址”选择单IP,并且输入人大复印资料在河北农业大学图书馆本地服务器上的地址,端口使用8080.这样用户就可以在前台访问该数据库内容.

2.3SSL VAN专线配置

为了访问的安全性,可以设置成系统专线访问,即用户接入SSL VPN后自动断开其余所有网络链接,防止黑客以终端用户主机作为进攻内网的工具.在建立用户或用户组时选择“接入SVPN后禁止该用户组上网”,这样客户端接入系统后,PC的默认路由会消失掉,同时生成到SSL VPN设备的主机路由.

3 系统特点分析

河北农业大学搭建的SSL VPN远程访问系统,改善了传统解决方案的不足,为使用者提供了快速、安全、易用的远程接入方式.其主要特点如下.

3.1使用https登录

用户在地址栏里输入以https开头的地址,而非普通的http.https也就是http的安全版本,是http的安全通道.它在http下加入SSL层,所以加密的具体内容需要SSL,因此https的安全基础是SSL.而http是无状态的,连接简单.https协议比http协议更加安全,因为其本身可进行加密传输、身份认证,并且由SSL+HTTP协议构建.http使用的端口是80而https使用的是443,两者的连接方式是完全不同的.

3.2虚拟IP池技术

利用IPTunnel的虚拟IP池技术,把高校网络的IP地址放入虚拟IP池里,这样外网用户就可以通过虚拟IP进行访问.也可以读取LDAP和Radius里面分配好的虚拟IP,让外网用户可以获得内网IP,访问校园网的内部电子资源;运用虚拟IP池,采用轮询方法,解决单个IP访问流量过大的矛盾,以免一些电子资源服务商封锁下载流量过大的IP地址[7].

3.3多线路复用技术

各个高校购买的电子资源一般位于教育网线路,但是有访问需求的外网用户大多都位于移动、电信等公网.本系统运用多线路复用技术,即可完成网络线路的自动选路,因此保证了移动、电信等不同网络运营商的访问速度,通过选路,可以实现外网用户浏览速度和校园网内网几乎相同,极大提升了使用效率.

4 问题解决

在该系统的使用过程中,经常有读者来电咨询使用中的一些疑问,笔者把主要的问题总结如下.

4.1客户端使用代理上网

有些用户会通过代理服务器上网,这时可以同SSL设备建立连接,但在使用APP和IP资源时,可能会遇到问题.因为代理会优先于控件和虚拟网卡抓包,访问数据无法被正常封装就传给代理服务器,从而使用户无法正常访问资源,这时可以将服务器内网地址填入排除列表,这样可以使SSL控件正常抓包封装.

4.2兼容性视图问题

在本系统中,笔者发现有大量用户使用IE8浏览器,经常会出现用户登录后看到的资源组列表文字显示不全的问题.经过研究发现,由于IE8支持新的网页标准,浏览某些不兼容的网站时会出现例如:网页显示不正常,出现图片错位和文字跑远等问题,给用户带来不便.

解决方法:登录到读者界面后,在该界面的IE工具中选择“兼容性视图设置”,把该网站的网址添加到兼容性列表中,这样设置就可以对特定网站实现兼容性显示.

4.3APP资源新建与重启网关

随着在河北农业大学图书馆注册的SSL VPN用户数量的增加,用户要求访问的资源越来越多.对于中外期刊、各种特色培训数据库、百家讲坛、借还书服务等远程访问要求不断增多.笔者在用APP方式增加资源时,新建的资源配置好后,点保存,可是用户只能看到旧的资源,新建的资源无法看到,即保存后此功能没有实现,而其他的常用设置比如新建和删除用户、硬件特征码审批等保存后即可实现.开始以为是IE版本兼容问题,后来试了几个版本都无法显示,最后在系统配置里把设备网关重新启动,问题才解决.

由此笔者认为APP资源设置的任何改动和一般的设置是不同的,它是和SSL VPN系统的硬件设备里涉及到底层的网关服务密切相关的.

5 结论

目前整个图书馆远程资源共享平台的教师用户已经有2 060多人.在使用中,SSL VPN设备运行稳定、使用效率高,操作便利,对电子数据库资源的普及和利用起到很大的促进作用,极大方便了广大师生和科研工作者查阅使用电子资源,推动了河北农业大学图书馆信息化的快速发展.

[1]金家琴.基于SSL VPN技术实现公共图书馆电子资源远程访问[J].图书馆杂志,2009,28(3):62-63.

JIN Jiaqin. Remote access to E-resources of public library based on SSL VPN[J].Library Journal,2009,28(3):62-63.

[2]丛欣.SSL/IPSec打造一体化VPN[J].计算机安全,2006(2):49-51.

[3]夏志方.远程访问图书馆电子资源技术综述[J].图书情报工作,2006(3):123-126.

XIA Zhifang.A reviews on techniques offering remote access to library digital resources[J].Library and Information Service,2006(3):123-126.

[4]郭玲,李伟生.SSL VPN 的设计与实现[J].计算机技术与发展,2007(8):148-150.

GUO Ling,LI Weisheng.Design and implementation of SSL VPN[J].Computer Technology and Development,2007(8):148-150.

[5]史默然,韩永飞,栗颖佳.SSL握手协议的分析及改进[J].电脑与信息技术,2012(4):8-10.

SHI Moran,HAN Yongfei,LI Yingjia.The analysis and improvement of SSL handshake protocol[J].Computer and Information Technology,2012(4):8-10.

[6]海滨,唐全.VPN技术及其安全优势的分析[J].电气电子教学学报,2003(6):46-49.

HAI Bin,TANG Quan.Analysis of VPN technique and superiority safety[J].Journal of Electrical & Electronic Engineering Education,2003(6):46-49.

[7]黄泽伟.VPN中的隧道技术研究[J].重庆电力高等专科学校学报,2004(4):42-46.

HUANG Zewei.Research on tunneling technology of VPN[J].Journal of Chongqing Electric Power College,2004(4):42-46.

ConstructionofremoteaccesssystemtothedigitalresourcesbasedonSSLVPN

ZHANGKai,BEIBei,ZHANGJianjun

(Library, Agricultural University of Hebei, Baoding 071001, China)

This paper describes the working principle of remote access system based on SSL(secure sockets layer)VPN(virtual private network). The use of the SSL protocol is introduced in the paper. Meanwhile, it focuses on resource management, APP resource settings and system line settings. In addition, it analyses system characteristics such as https login, virtual IP pool technology and so on. At last, it puts forward some problems and solutions in actual use.

SSL VPN;APP resource;virtual IP pool

10.3969/j.issn.1000-1565.2013.04.018

2012-12-20

2010年河北农业大学非生命学科与新兴学科基金项目;GALIS全国农学文献信息中心2012年研究项目

张凯(1980-),男,河北保定人,河北农业大学馆员,主要从事计算机信息化方向研究.

E-mail:zhangkai@hebau.edu.cn

G250

A

1000-1565(2013)04-0437-06

(责任编辑孟素兰)

猜你喜欢
河北农业大学远程服务器
让人胆寒的“远程杀手”:弹道导弹
河北农业大学120周年校庆公告
远程工作狂综合征
《河北农业大学(社会科学版)》2021年喜报
河北农业大学优秀教师
——张 焘
《河北农业大学学报》征稿简则
通信控制服务器(CCS)维护终端的设计与实现
远程诈骗
中国服务器市场份额出炉
得形忘意的服务器标准