基于SSL VPN技术的远程资源访问模式研究

2010-04-11包瑞

河南图书馆学刊 2010年1期

包瑞

（新疆师范大学图书馆，新疆乌鲁木齐 830054）

各高校图书馆的数字资源日渐丰富，数据库的使用效益明显增强，这充分肯定了图书馆作为高校信息资源中心的地位，显现了图书馆为教学科研所发挥的重要保障作用。但随着读者对数据库的依赖性的日益增强，读者需要图书馆为他们提供随时随地的资源访问服务，伴随着移动技术的发展与普及、家住校外及各类出差交流学习的读者数量的不断增加，这类读者也要求享有访问本校图书馆数字资源的平等权利，如何才能既保障了本校师生的合法访问权益，同时又不违背相关的保护知识产权的法律规定，这对各图书馆提出了新的要求。

为解决校外用户远程访问的问题，各馆有不同的思路，目前采用VPN方案来解决校外用户的资源访问已经得到了多数图书馆的认同，但在VPN协议及产品的选择上难以决策，本文拟从对SSL VPN的分析着手对此问题进行阐述。

1 SSL VPN概念

1.1 VPN

VPN(Virtual Private Network)虚拟专用网络,是指在公用网络中建立专用的数据通信网络的技术,即利用公用线路来实现任意两个节点之间的安全专有连接技术，能够让移动用户、远程用户或分支机构安全地接入到内部网络。

VPN技术近年来大量应用于远程访问企业内部网络和企业移动办公，在解决高校多个校区数据访问方面也有较为广泛的应用。

VPN在远程访问上的解决思路是：用户可以在家中通过ADSL、LAN等方式接入互联网，获得公网合法地址后拨号校园网VPN网关的公网地址，通过构建一条用户到校园网的二层隧道，再通过VPN服务器给用户分配一个校园网地址来实现资源的远程访问。

1.2 IPsec VPN

IPSec VPN技术是由IPSec（IP安全体系架构）协议提供隧道安全保障，IPSec协议由一组协议套件组成，包括安全协议、密钥管理协议、安全联盟、加密、认证算法等,其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性，为通信双方建立一个安全隧道来保障通信安全。IPSec协议是基于网络层，IPSec VPN最适合 “网—网”(Site-Site)之间的虚拟专用网，即内部网虚拟专用网。

1.3 SSL VPN

SSL VPN采用当前广泛使用的工业级安全协议SSL(安全套接层)，提供基于应用层的访问控制，具有数据加密、完整性检测和认证机制，无需安装或设定客户端软件，授权用户能够通过Web浏览器安全地接入网络资源，SSL协议是基于应用层，SSL VPN多用于“客户—网”(Client-Site)连接。

1.4 SSL VPN与IPsec VPN区别

1.4.1 应用类型

IPsec VPN多用于网与网之间的安全接入，多用于企业总部与分部之间的访问,被用来对地理上分布在不同地方的办公室提供可靠的连接；SSL VPN应用于远程或移动用户的远程安全接入,SSL VPN可以实现较为具体的访问控制，这种功能减少了从无保护点、非信任网络或非授权用户访问内部资源带来的风险。

1.4.2 易用性

SSL VPN的用户访问使用通用的浏览器，无需安装特殊的客户端程序，即可通过SSL VPN隧道接入内部网络；而IPSec VPN的用户则需要安装专门的IPSec客户端软件。

1.4.3 应用程序访问

SSL VPN是基于应用层的VPN，而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势，部分高端产品也支持TCP/UDP的C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle 等[1]。

1.4.4 网络适应性

SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透防火墙；由于IPSec VPN对防火墙的安全策略的配置较为复杂（往往要开放一些非常用端口），所以IPSec客户端需要支持“NAT穿透”功能才能穿透防火墙。

1.4.5 管理维护成本

SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN对每个节点用户进行技术支持，对于用户来说专业性较强，对于管理人员来说工作量较大,管理成本较高。

1.5 SSL VPN的优势

SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的，SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点，避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题，从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，可以提供C/S应用和B/S应用访问，并非只能解决web应用。这其中最为重要的是网络访问功能，SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点[2]。

1.5.1 简单易用，降低了维护工作量

避免客户端的安装、配置和维护，否则在VPN策略稍有调整时，其管理难度和工作量将呈几何级数的增长，直接利用浏览器中内嵌的SSL协议就行，安全地访问网络中的信息，维护成本较低。

1.5.2 兼容性好

适用任何的终端及操作系统，不会出现不同的终端操作系统需要不同的客户端软件的现象，用户方无特殊操作要求。

1.5.3 兼具Web易用性和安全性

SSL VPN因为无需安装特殊的客户端，在基于浏览器/服务器（B/S）结构的工作时，可以直接通过浏览器内嵌的SSL加密协议就可以完成VPN访问，在Web的易用性和安全性方面架起了一座桥梁。

1.5.4 提供更精细的访问控制

因为所有内外部流量通常都经过单一的VPN硬件设备，这样就可以控制对资源和URL的访问，SSL VPN能对加密隧道进行细分，使终端用户能够同时接人Internet和访问内部企业网资源。另外，SSL VPN还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源[3]。

2 SSL VPN在图书馆的应用

2.1 需求

各类数据库提供商都对其数据库产品有相应的知识产权保护措施，以防止资源的非授权使用和无限制传播扩散，这样既保护了著作权人的个人利益，又保护了数据库提供商的商业利益，一般只有通过合法购买才能取得数据库的访问权，高校图书馆所购买的电子资源绝大多数都有IP地址范围限制，即超出学校IP范围的访问将被拒绝。

家住在校外的师生和出差在外的老师需要访问图书馆的资源将被认为是非授权用户，拒绝访问。并且绝大多数校外用户使用的都是动态IP地址，是不确定的，无法添加开放这些IP，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

因此在访问电子资源时，就需要一套可以将合法用户的非授权校外地址转为已授权的校内地址的远程访问的安全解决方案。

2.2 解决思路

通过在防火墙后安装SSL VPN设备，所有的校外用户只需打开IE浏览器访问图书馆的URL后，连接就将被SSL VPN设备取得，并验证该用户的身份，然后SSL代理服务器将连接映射到不同的应用服务器上。SSL VPN技术此时采用了一种类似代理性质的技术，所有的访问都是以SSL VPN设备的LAN口的名义发起的，所以只要SSL VPN设备的LAN口IP是一个合法的校园网IP，所有成功接入SSL的校外用户都可以成功访问这个SSL VPN设备LAN口所能访问的资源[4]。