ＳＳＬ?。郑校卧诟咝?shù)字圖書館的應(yīng)用

申飛駒

〔摘 要〕高校圖書 館在電子資源建設(shè)上投入了大量的精力,如何讓高校教師?學生在保障電子資源版權(quán)的前提 下,方便?安全?快捷地遠程訪問它們是目前許多高校面臨的一個問題?本文主要從SSL VP N技術(shù)角度來探討高校數(shù)字圖書館的遠程點對點訪問問題?

〔關(guān)鍵詞〕SSL VPN;身份認證; 數(shù)字圖書館

〔中圖分類號〕G250.76 〔文獻標識碼〕B 〔文章編 號〕1008-0821(2009)08-0075-03

Applications of SSL VPN in Unive rsity Digital LibraryShen Feiju

(Library,Nantong University,Nantong 226001,China)

〔Abstract〕University library has put a lot of effort into the digital resources.It

is a problem for many universities that how the teachers and students romote ac cess digital resources easily,safe,quickly but not infrige the copyright of digi tal resources.This paper discussed the romote P2P access problem about universit y digital library from SSL VPN.

〔Key words〕SSL VPN;identity

authentication;digital library

1 高校數(shù)字圖書館現(xiàn)狀

作為大學圖書館來說,為了讓本校師生盡可能地查閱到適當?shù)碾娮淤Y源,高校都購買了為數(shù) 眾多的電子資源?有的電子資源是鏡像到圖書館本地的,也有的是包庫使用?無 論是哪種形式的使用方法,各電子資源廠商出于版權(quán)保護的需要,都對其訪問進行了身份驗 證機制?高校圖書館所購買的電子資源大部分都有限制訪問的IP地址范圍?即:

(1)對于包庫使用的數(shù)據(jù)庫而言,采購的這些數(shù)據(jù)庫不是存放在圖書館服務(wù)器上,而是存 儲在提供商的服務(wù)器上?圖書館支付費用以后,數(shù)據(jù)庫服務(wù)商是根據(jù)訪問者的IP地址來判斷 是否是經(jīng)過授權(quán)的用戶?即使是鏡像到本地的數(shù)據(jù)庫,各數(shù)據(jù)庫廠商也在其使用平臺上作了 IP地址限制?只要是從校園網(wǎng)出去的IP地址都是認可的,因為校園網(wǎng)出口IP和部分公網(wǎng)IP地 址是屬于這個有限范圍的,所以校園網(wǎng)上的所有上網(wǎng)計算機都可以使用?

(2)如果教師?學生在家里上網(wǎng)或者一個老師到外地出差需要訪問這些電子資源,無論采 用PSTN撥號?ADSL?小區(qū)寬帶,使用的都是社會網(wǎng)絡(luò)運營商提供的IP地址,不是校園網(wǎng)的IP 地址范圍,因此數(shù)據(jù)庫服務(wù)商認為是非授權(quán)用戶,拒絕訪問?當然,我們也可以要求服務(wù)商 進一步開放更多的IP地址為合法用戶,但是這要求訪問者的IP地址是固定的?靜態(tài)的,而實 際上,絕大多數(shù)校外用戶使用的都是動態(tài)IP地址,是不確定的,所以數(shù)據(jù)庫服務(wù)商無法確定 訪問者的合法身份,因而自動屏蔽?

因此,就需要一套可管理?可認證?安全的遠程訪問電子圖書館的解決方案,將校園網(wǎng)當作 校外用戶的中轉(zhuǎn)站,使校外用戶通過鑒權(quán)后擁有校內(nèi)地址再訪問資源數(shù)據(jù)庫?

無論是從電子資源版權(quán)保護的目的,還是出于校園網(wǎng)絡(luò)安全的考慮,以及滿足不同計算機水 平人員的訪問需求,找到一個安全?簡便的遠程訪問解決方案,成為各高校亟待解決的問題 ?

部分高校采用反向代理和IPSec VPN這兩種方式提供校外遠程訪問,不過它們都因其自身缺 陷限制了在高校的規(guī)模應(yīng)用?

SSL VPN應(yīng)勢而生,它正好可以滿足高校數(shù)字圖書館遠程訪問的全面要求?

2 關(guān)于SSL VPN

SSL(Secure Socket Layer)安全套接字加密協(xié)議是網(wǎng)景(Netscape)公司提出的基于Web 應(yīng)用的安全協(xié)議,它包括:服務(wù)器認證?客戶認證(可選)?SSL鏈路上的數(shù)據(jù)完整性和SSL 鏈路上的數(shù)據(jù)保密性?SSL協(xié)議使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C 密性和完整性,它主要適用于點對點之間的信息傳輸,常用Web Server方式?SSL協(xié)議位于T CP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,它分為兩層:SSL記錄協(xié)議(SSL Record Protocol)?S SL握手協(xié)議(SSL Handshake Protocol)?SSL內(nèi)嵌于瀏覽器中,密鑰位長隨著瀏覽器的密 鑰位長而不同?

SSL VPN是為了彌補IPSec VPN的安全缺陷而發(fā)展起來的,大部分IPSec VPN僅對數(shù)據(jù)頭加密 傳輸,SSL VPN對數(shù)據(jù)整體進行加密傳輸?SSL VPN早期應(yīng)用于銀行的電子交易系統(tǒng)并且只支 持基于Web的Brower/Server應(yīng)用?隨著技術(shù)進步,SSL VPN相繼支持了Client/Server?SSH ?Telnet?FTP……等應(yīng)用,逐步走向遠程安全接入?在歐美,高達74%的用戶皆選擇SSL VP N這一方式進行遠程接入,而國內(nèi)則處于起步階段?

3 SSL VPN在高校數(shù)字圖書館的應(yīng)用

3.1 部署及遠程接入

SSL VPN是基于應(yīng)用層的VPN,它的部署非常簡便,可串接也可旁接,一般可把它作為一臺應(yīng) 用服務(wù)器布署于校園網(wǎng)絡(luò)的任意位置?正常情況下,SSL VPN部署在防火墻之后,需要將防 火墻上的一個固定的公網(wǎng)IP地址映射到SSL VPN上,或者只映射其IP地址的443端口即可?

在配置好SSL VPN服務(wù)器的應(yīng)用?用戶?權(quán)限后,使用人員可在任意能夠接入Internet的地 方通過瀏覽器,采用HTTPS方式訪問該固定公網(wǎng)IP(或者對應(yīng)域名),即可接入校園網(wǎng)正常訪 問數(shù)字圖書館(OA?郵件?電子資源……)?

HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議也是由Netscape開發(fā)并內(nèi)置于瀏覽器中,用于對數(shù)據(jù)進行壓縮和解壓操作,它是以安全為目標的HTTP通道,句法 類同HTTP體系?HTTPS使用443端口而不是像HTTP使用80端口那樣來與TCP/IP通信,它還包含 一個身份/驗證層?

3.2 技術(shù)優(yōu)勢

3.2.1 高安全性

數(shù)字圖書館系統(tǒng)如果與未經(jīng)授權(quán)的非信任站點連接,可能導致網(wǎng)絡(luò)攻擊,嚴重者可能遭至版 權(quán)電子資源大量泄露?所以必須保證遠程連接時數(shù)據(jù)傳輸及內(nèi)網(wǎng)站點的安全?

反向代理技術(shù)的數(shù)據(jù)傳輸是未加密的明文傳輸,而且大都僅支持〣/S應(yīng)用,對〤/S應(yīng) 用無法支持?另外,反向代理可能需要打開相關(guān)應(yīng)用的某些特殊端口,這給端口掃描攻擊留 下隱患?

IPSec VPN采用加密傳輸,但它是基于網(wǎng)絡(luò)層的傳輸,也即說當用戶建立IPSec VPN遠程連接 隧道后,與內(nèi)網(wǎng)用戶處于一個大的局域網(wǎng)內(nèi),一旦該機器有病毒?黑客攻擊等,很容易進入 內(nèi)網(wǎng),給局域網(wǎng)絡(luò)帶來安全隱患?

SSL VPN可采用128位不可逆加密技術(shù),在數(shù)據(jù)傳輸過程中即便被截獲,也只是一堆無用的亂 碼,故在數(shù)據(jù)傳輸中是安全的?

與IPSec VPN建立網(wǎng)絡(luò)層的透明連接不同,SSL VPN是基于應(yīng)用的連接,也即說遠程用戶通過 SSL VPN建立遠程連接隧道后,并非變成校園網(wǎng)內(nèi)的用戶,只能看到相關(guān)應(yīng)用,所有數(shù)據(jù)只 能到達SSL VPN服務(wù)器,再由該服務(wù)器轉(zhuǎn)發(fā),校園內(nèi)網(wǎng)對遠程用戶是隔離的黑盒子?即便遠 程用戶機器存在病毒?攻擊等安全隱患,也無法通過SSL VPN隧道進入校園網(wǎng)內(nèi)?使數(shù)字圖 書館系統(tǒng)的安全得到保證?

另外,SSL VPN還可做到在遠程用戶登錄前對其進行安全檢查,包括殺毒軟件是否安全?操 作系統(tǒng)補丁是否已打?注冊表是否被非法修改?駐留進程是否合法,如果有異常行為可禁止 其接入,使接入安全健壯性進一步加強?

3.2.2 使用簡便

IPSec VPN需要安裝專用客戶端軟件并進行相關(guān)配置才能建立遠程連接,這給不同計算機水 平的人員使用帶來困惑?數(shù)字圖書館的使用人員眾多,也會大大增加網(wǎng)絡(luò)管理人員的維護工 作量?SSL VPN是公認的瘦客戶端系統(tǒng),它通過瀏覽器建立遠程連接,無須安裝客戶端軟件,即便 在處理〤/S應(yīng)用?網(wǎng)絡(luò)共享?流媒體…等應(yīng)用時,也只安裝無須干預(yù)的ActiveX或Java控 件,這樣讓各式的用戶使用起來都得心應(yīng)手?

3.2.3 精細權(quán)限控制

IPSec VPN和反向代理都無法做到精細的權(quán)限控制,只能通過防火墻/路由器進行端口設(shè)置作 有限的控制?

SSL VPN由于其技術(shù)特點,可以做到細顆粒度的權(quán)限控制?不同的用戶有不同的授權(quán),例如 財務(wù)人員可訪問財務(wù)系統(tǒng)?網(wǎng)管人員可遠程調(diào)試網(wǎng)絡(luò)設(shè)備…,對數(shù)字圖書館資源也可細分權(quán) 限,不同權(quán)限級別用戶訪問相應(yīng)的資源,非授權(quán)應(yīng)用則無法訪問?

SSL VPN可建立組策略管理,例如設(shè)立專家組?教師組?學生組…,不同組賦予不同訪問權(quán) 限?也可建立基于角色的策略管理,給每一個角色賦予不同的權(quán)限?

SSL VPN還可設(shè)立臨時賬號,給那些需要臨時訪問數(shù)字圖書館的人員提供便利?一旦使用期 限截止,該賬號可自動注銷?

3.2.4 與認證系統(tǒng)結(jié)合

高校大多建有身份認證系統(tǒng),例如AD/LDAP系統(tǒng)?一卡通系統(tǒng)?Radius系統(tǒng)?Oracle/SQL Se rver數(shù)據(jù)庫系統(tǒng)?SSL VPN可與這些身份認證系統(tǒng)有機的結(jié)合,以防止用戶賬號被盜用后進 入數(shù)字圖書館系統(tǒng)竊取機密信息?

高校使用SSL VPN的人員眾多,而且流動性較大,如果采用人工建立或注銷用戶,則網(wǎng)絡(luò)管 理人員的維護工作量相當龐大?一旦與身份認證系統(tǒng)結(jié)合,則網(wǎng)絡(luò)管理人員無須手工建立賬 號,使用人員可通過既有的身份認證賬號進行登錄,首次登錄后賬號信息自動記錄到SSL VP N服務(wù)器,以后即進行雙重的賬號匹配?當使用人員賬號從認證系統(tǒng)注銷,SSL VPN將讓其遠 程匹配失敗無法登錄?這樣大大減輕網(wǎng)絡(luò)管理人員對SSL VPN的維護工作量?

3.3 對SSL VPN在數(shù)字圖書館應(yīng)用展望

SSL VPN處于不斷發(fā)展與完善中,針對高校數(shù)字圖書館的特點,期待在下列功能中進行演進 ?

3.3.1 入口鏈路均衡的支持

高校因其特點,有多條IPS線路接入:電信線路?網(wǎng)通線路?教育網(wǎng)線路…?眾所周知,當 跨運營商訪問時,其訪問速度存在明顯瓶頸?為了提高跨運營商訪問速度,部分高校在校園 網(wǎng)Internet出口處部署了鏈路均衡設(shè)備,這樣當遠程用戶通過電信線路訪問時,自動分配至 校園網(wǎng)絡(luò)的電信鏈路?在此種情況下,SSL VPN的訪問速度得到保證?但在未部署鏈路均衡 設(shè)備的高校中,通過SSL VPN跨運營商遠程接入時,對數(shù)字圖書館的訪問速度瓶頸變得相當 突出,給這些高校部署SSL VPN帶來困惑?故期待SSL VPN本身能夠加入鏈路均衡功能,以使 得SSL VPN在數(shù)字圖書館的應(yīng)用得到迅速普及?

3.3.2 出口鏈路的控制

高校數(shù)字圖書館購買的電子資源中,很多是遠程電子資源,其出口分布著不同的線路:電信 ?網(wǎng)通?教育網(wǎng)…,在解決入口的鏈路均衡后,出口仍然存在跨運營商的訪問瓶頸,只是這 一瓶頸不像入口訪問那樣明顯?如果要做到訪問速度的最大優(yōu)化,則SSL VPN需要對數(shù)字圖 書館的訪問出口同樣作鏈路均衡,也即說,當一個電信的遠程用戶通過鏈路均衡自動匹配電信線路接入數(shù)字圖書館后,如果他要訪問遠程的網(wǎng)通線路電子資源,則要自動匹配到網(wǎng)通線 路去?

3.3.3 對DDoS攻擊的防范

相對于早前的DoS攻擊,DDoS攻擊由于采用分布式傀儡機持續(xù)不斷地向目標主機發(fā)起無數(shù)連 接請求并發(fā)送垃圾數(shù)據(jù)包,造成正當?shù)倪B接請求無法得到響應(yīng),目標主機也無法及時處理正 常請求,從而無法與正常請求建立通訊,嚴重時造成目標主機癱瘓?SSL VPN由于要打開443 端口,也可能成為DDoS攻擊的對象?當然,專業(yè)的防DDoS攻擊設(shè)備相當昂貴,但SSL VPN可 加入適當?shù)姆繢DoS攻擊能力,以應(yīng)對DDoS的洪水攻擊?

隨著SSL VPN技術(shù)的不斷進步,相信能夠提供日益豐富的功能以滿足高校的數(shù)字圖書館遠程 訪問需求?

4 總 結(jié)

SSL VPN作為成熟的技術(shù),在數(shù)字圖書館逐步得到應(yīng)用?SSL VPN從功能上可以提供〤/S 應(yīng)用和〣/S應(yīng)用訪問,并非只能解決 Web應(yīng)用?比如許多高校圖書館編目都實現(xiàn)外包服 務(wù)?通過SSL VPN可以讓書商安全方便地連接到校內(nèi)圖書館系統(tǒng)服務(wù)器上,實現(xiàn)編目?本文 對此不作論述?

SSL VPN因其安全?方便?權(quán)限控制等優(yōu)點,相信會在數(shù)字圖書館得到普及?隨著SSL VPN的 大規(guī)模部署應(yīng)用,遠距離數(shù)字圖書館協(xié)作共享的時代已經(jīng)到來,城際之間?國際之間可建立 起互信?協(xié)作的連接訪問,以讓數(shù)字圖書館更好的服務(wù)于大眾?

參考文獻

[1]拓守恒.利用SSL/IPSec VPN打造安全的數(shù)字圖書館[J].陜西理工 學院學報:自然科學版,2008,24(1):69-72.

[2]吳敏,梁爽.實現(xiàn)SSL協(xié)議快速連接的一種解決方案[J].蘭州理工大學學報,200 8,34(1):98-101.

[3]吉妮.SSL VPN讓校內(nèi)資源發(fā)揮更大效能——Juniper公司東南大學解決方案[EB] .http:∥www.cnki.net

[4]覃東,曾紅亮.基于SSL的客戶端認證策略研究[J].計算機工程與設(shè)計,2008,2 9(2):312-314.