基于SSL 协议的VPN 电子资源远程访问方案的研究与实现.doc

基于SSL协议的VPN电子资源远程访问方案的研究与实现鲍劼(中国矿业大学图书馆，徐州，江苏，221008)摘要：对国内高校图书馆电子资源校外访问采用的技术进行调查，并深入分析现有各类技术的优劣。最后，以中国矿业大学图书馆为例，就VPN远程访问的解决方案、如何获得高安全性、高性能的的VPN远程访问，及实施中遇到的问题及解决方法进行详细说明。关键词：远程访问；VPN；SSL；实例Solution Based on SSL VPN Technique on Remote Access to Library Digital ResourcesBaoJie(Library, China University of Mining and Technology, Xuzhou 221008, China)Abstract: Technologies of access from outside of campus are studied and compared firstly. VPN remote access solution with high security and performance is demonstrated in the environment of library in China University of Mining and Technology. Problems and the corresponding methods during implementing are also specified. Key words: remote access; VPN; SSL; instance随着高校图书馆数字化的发展，各图书馆每年购置大量的电子资源，为了防止数字产品的非授权使用，保护电子资源的知识产权，这些电子资源均限制在校园网内访问。这也就给用户从校外访问图书馆电子资源带来了困难，同时也降低了电子资源的利用率。这种基于数字版权的保护需求而引发的电子资源受限访问（受限IP）问题，成为高校图书馆数字化建设中迫切需要解决的问题。现在，很多高校已经着手解决此问题1，采用的技术及相关产品种类较多，为此，笔者通过网络对国内高校图书馆采用的电子资源校外访问技术进行调查，并深入分析现有各类技术的优劣，最后以中国矿业大学图书馆为例，提出一套基于SSL的VPN解决方案，并对其应用给予详细说明。1 国内高校图书馆电子资源校外访问技术的调查与分析1.1 国内高校图书馆电子资源校外访问技术的调查笔者通过上网直接搜索为主要调查手段，个别电话咨询为辅助手段，对国内20所重点高校图书馆、网络中心等相关机构网站进行搜索调查，具体情况见表1。VPN技术远程访问管理系统代理服务其他技术多种技术并用数量（所）114113百分比（%）55%20%5%5%15%表1 20所高校图书馆电子资源校外访问技术统计表从表1数据可以看出，在调查的20所高校图书馆中实现图书馆电子资源校外访问的方式以VPN（Virtual Private Network，虚拟专用网）为最主要的实现方式，其次有4所学校采用的技术是公司开发的集成远程访问管理系统，例如清华大学、武汉大学等都采用的是“IFC易瑞授权访问系统”。另外，有3所图书馆是多种技术并用，其中有2所是代理服务和VPN两项并用，但同时笔者注意到，这2所高校图书馆基本是最初采用代理服务，然后近期开始测试、使用VPN，同时结合原先的代理服务；还有1所是复旦大学图书馆，他们是自主研发的专用工具结合代理服务。采用其他技术和仅使用代理服务的图书馆很少。综上分析，VPN作为一种成熟的网络技术，已被广泛地应用在国内高校图书馆，以解决校外访问图书馆电子资源的问题。同时，性能较好的集成软件也被逐渐采纳，而代理服务这种技术已经很少被国内高校图书馆使用或者将逐步被VPN技术所代替。1.2 三种主要校外访问技术的分析代理服务器是最早用以解决高校图书馆校外访问问题的一项技术，但是因为操作复杂需要设置客户端、网速不够稳定、服务器易受攻击、兼容性差、无法对使用情况进行跟踪统计和分析等缺陷，代理服务技术已逐渐被其他技术所代替。改进型的代理服务器软件如EZproxy采用“URL重写”技术，无需设置浏览器、操作友好、也拥有较强大的日志和分析功能，但是，目前只能用于B/S模式的资源访问，对于C/S模式的资源仍无法访问。国内采用该技术的高校图书馆很少，在欧美高校却得到了广泛应用2。远程访问管理系统也逐渐被一些高校采用，它是一种专门针对校外访问的集成系统。目前，此类系统产品较多：北京英富森信息技术的IFC易瑞授权访问系统；上海半坡信息技术的RasDL；合肥中图数字技术的DRRAS等。以IFC易瑞远程访问系统为例介绍，系统采用URL地址重写技术、跨域名Cookie技术、虚拟主机技术、流量跟踪监测技术、微软HTTP.SYS等技术实现统一认证和单点登陆、资源访问统计与分析、授权与流量控制、负载均衡等功能。此类集成系统的操作友好性强，但整个系统安装较为复杂，系统后台管理的电子资源配置较为繁琐。最后，我们来重点分析目前应用最为广泛的VPN技术。在调查的20所高校图书馆中采用VPN技术的有13所，同时笔者发现这13所高校采用的VPN技术基于的协议有所不同，具体情况见表2。SSLIPSecPPTP两种协议并用其它数量（所）62122百分比（%）46%15%8%15%15%表2 VPN协议类型从表2数据可以看出，目前高校图书馆采用的VPN技术以基于SSL（Secure Sockets Layer，安全套接层协议）协议为主，也有高校图书馆采用两种协议VPN并用，如中山大学、西安交通大学都是PPTP（Point to Point Tunneling Protocol，点对点隧道协议）VPN和SSL VPN共用，还有较少一部分高校图书馆VPN采用Ipsec（Internet Protocol Security，因特网协议安全性）、L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）、OpenSSL(开源SSL)等协议。采用不同协议，其安全性、易用性、管理性都有很大差异。PPTP和L2TP属于第二层隧道协议。PPTP的优势是Microsoft公司支持，Windows NT4.0已经包括了PPTP客户机和服务器功能；另一个优势是它支持流量控制。PPTP需要用户在其PC上配置PPTP，这样即给用户带来不便也造成网络的安全隐患； PPTP要求网络为IP网络，不具有隧道终点的验证功能；另外，PPTP协议网络设备穿透能力有限，不能穿透某些路由设备或者防火墙。L2TP支持隧道验证，支持多种协议，解决多个PPP链路的捆绑问题。虽然PPTP和L2TP有其各自的优点，但是都没有很好地解决隧道加密和数据加密问题。第三层隧道协议IPSec则把多种安全技术集合到一起，能够建立一个安全、可靠的隧道。IPSec VPN的最大优点是客户端支持所有IP层协议，对应用层协议完全透明，但是，IPSec VPN的缺点也很多：1、部署复杂，需要专门的客户端软件；2、由于是IP层协议，对于防火墙等访问控制设备不透明，对NAT（网络地址转换）和Proxy（应用代理）等穿透性差；3、应用层安全性不好，最多只能提供IP地址和传输层端口这种粒度的访问控制，对应用层协议的细粒度强访问控制无能为力，更谈不上入侵检测与防御、防病毒、抗攻击等深层次的安全功能3。SSL是一种在Web服务协议（HTTP）和TCP/IP协议之间提供数据连接安全性的协议，为TCPIP连接提供数据加密、服务器身份认证、消息完整性验证。SSL VPN的优点：1、通信基于标准TCP/UDP协议传输，因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙，解决IP冲突问题；2、部署简单，无需客户端，维护成本低；3、能实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低配置和运行支撑成本；4、安全性高，受黑客攻击的几率很小，感染病毒的可能性也很低，即使感染了也仅是一台主机，不会影响到整个网络4-6。如何从类型众多的VPN中选择适合自己的？我们应该主要考虑图书馆的实际环境和特殊需求。2 基于SSL协议的VPN电子资源校外访问系统的设计与实现以中国矿业大学图书馆为例2.1 系统选择选择校外访问系统时，我们主要考虑以下五点因素：1、中国矿业大学图书馆面对的读者包括各种专业类型的教师、学生，由于掌握计算机操作水平不一，我们要求系统能够提供便捷的使用方式，无需下载客户端软件，无需进行客户端配置；2、系统要具有良好的穿透力，可以绕过防火墙和NAT服务，以便读者能够顺利地访问电子资源服务器；3、对于学生宿舍使用上网卡上网的模式，要求系统能够解决IP冲突问题；4、电子资源既有B/S模式又有C/S模式，要求系统对两种模式都能访问；5、考虑电子资源的版权保护，我们要求系统具有较强的安全性。对于图书馆的特殊需求，我们希望能够提供灵活的访问日志分析，能够了解资源访问情况，为图书馆分析电子资源的利用率提供参考。通过分析各种校外访问技术特点，结合图书馆实际环境，最终我们确定采用基于SSL协议的VPN远程访问系统，使用的硬件设备为深信服科技的SINFOR SSL VPN M5100 (以下简称SSVM)。SSL VPN有路由和单臂两种组网模式。路由模式即VPN设备充当网关设备，或者将其部署在路由器与交换器之间； 单臂模式即把VPN设备部署在交换机之下，仍然支持多条Internet线路复用。考虑到路由模式更加容易建立，更加有效，在没有一些特殊情况下，我们采用路由模式组网。我馆SSVM设备的网络拓扑结构见图1。图1 中国矿业大学VPN设备网络拓扑图2.2 地址映射开始使用阶段，有用户反映在远程访问时速度较慢。我们发现，用户在校外上网大都处于公网上，而SSVM设备IP属于教育网地址，因此，由于用户和设备分属不同的网络，会出现互联速度慢的情况。为此，我们采取地址映射来解决该问题，即把SSVM设备的教育网IP地址映射到一个公网IP地址上。用户在校外上网大都获取的是公网IP地址，访问SSVM设备时使用的URL地址是公网IP地址，这样无需不同网络的线路跳转。用户访问到达SSVM设备后，相当于用SSVM设备代替用户对局域网内的资源进行访问，这时使用的就是SSVM设备的校内教育网IP地址了。通过这样的处理，大大提高了访问速度。2.3 用户认证方式为了保证电子资源真正被我校读者访问，保护电子资源的知识产权，需要进行严格的身份认证。为此，我们采用用户名/口令和硬件特征码相结合的认证方式。硬件特征码认证是一种基于硬件特征的证书认证系统，当用户从客户端通过输入用户名和口令登录系统时，该证书会提取用户计算机的部分硬件特征（如网卡、硬盘等），生成认证证书。通俗讲，就是通过认证证书，用户的账号和计算机的硬盘、网卡绑定，通过对硬件特征的验证，保障只有指定的硬件设备才能接入授权的网络，避免了账号盗用等安全隐患。我们一般指定用户的账号可以和2台计算机硬件进行绑定，当然这个数字根据需要由管理员自行设置。2.4支持不同访问方式的电子资源由于我馆电子资源种类繁多，除了传统的WEB资源，现在还有一些C/S模式、FTP下载方式访问的电子资源，为了能够顺利访问这些资源，系统提供了 “APP资源”管理方式，该资源管理方式几乎支持所有的C/S应用，包括WEB，Mail和FTP等。通过添加“资源”，把我馆提供访问的所有电子资源网址进行整合，生成列表。当用户登录时，就会看到针对该用户的资源列表供他使用（见图2）。图2 电子资源列表2.5权限管理我馆提供校外访问服务的模式是，对于有需要的教师、学生可以通过Email方式申请账号。为了更好地管理用户，我们采取分组管理方式，即根据用户身份建立不同的访问权限用户组，每个用户对应其相应的组。通过系统提供的“角色管理”模块，实现不同用户组与相关资源的灵活关联，这样可以直观地管理控制接入用户的访问权限，做到只给相关用户授予相关访问权限（见图3）。图3 用户、资源关联图2.6 精细的访问监控和日志审计 在实际工作中我们需要对远程访问用户的流量、用户行为进行监控，通过流量监控我们能够直观看到用户的带宽使用情况，对于下载流量过大的用户，我们可以关闭其下载权限，实现防止恶意下载。同时，系统集成了“防DOS攻击”功能，以监测单位时间内某个IP向网关发送的数据量，当超过一定值时，SSVM设备会认为受到此IP的DOS攻击，并会阻断此IP一段时间从而保护自己。 日志审计非常重要。通过系统日志、设备运行日志、用户日志等，我们能够很好的对设备进行管理，同时可以追踪用户访问行为，以此来规范读者的网络行为。2.7 加速技术SSL VPN系统具有严格的认证体系和高安全强度的数据加密操作，在加强安全防范的同时，系统也为之损耗近80%的性能，使得用户访问起来感觉速度有些慢，为了解决此问题，我们可以采用加速技术。目前，有三种加速方案：软件方案、加速卡方案和卸载卡方案。我们采用的是卸载卡方案。通过安装卸载卡，能够很好的提升系统速度。3 结语 通过对国内高校图书馆校外访问系统的调查与分析研究，给出了各种远程访问系统的技术特点，从而避免我们在选择解决方案时，采用功能受到限制，使用不够方便、缺乏安全审计等不完善的校外远程访问系统。另外，针对我馆在SSL VPN的实际应用中出现的问题，通过地址映射、硬件特征码认证方式、权限管理、日志审计、加速技术等解决方法，完善我馆电子资源VPN远程访问解决