SSL VPN及其在高校图书馆资源远程访问中的应用
【摘要】 利用SSL VPN技术实现图书馆数字资源的远程访问是当今解决移动外网用户共享内网资源的最有效方式,文章介绍SSL VPN的定义、通信过程、优点、接入拓朴图,结合当前图书馆数字资源的建设和使用情况,阐述SSL VPN在图书馆中的应用。
【关键词】 图书馆;SSL VPN;数字资源;远程访问
高校图书馆是学校文献资源的中心,承担着为学校的教学、科研和管理工作提供文献信息服务。随着高等教育和互联网技术的高速发展,师生利用图书馆资源的方式和手段发生了巨大的变化,传统的到馆借阅方式逐步被网上借阅方式取代,人们利用文献信息的方式在某种意义上讲已经突破了时空的限制。师生在校外如何通过互联网共享学校的文献信息资源是近年来图书馆界和IT界研究较多的课题,目前外网用户共享内网资源的技术主要有电话拨号、代理服务器(proxy)、虚拟专用网(VPN),VPN是近年来发展较快,实现方式比较简便,较容易被接受的一种接入技术,现就VPN技术中的SSL VPN及其在图书馆信息资源共享中的应用进行介绍。
1 SSL VPN 概述
1.1 SSL VPN的概念 VPN(Virtual Private Network)是指依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)在公用网上建立的一条虚拟专用通道,让两个远距离的网络客户能在这个专用的网络通道中相互传递数据信息。学海网(www.xuehai.net)SSL VPN是采用SSL(Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,是一种在应用层协议和TCP/IP协议之间提供数据安全性的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户端认证[1]。SSL协议提供了网络上通信双方的安全保护,避免信息在网络传输过程中被截取、改编和破坏,现在SSL协议已成为Internet中用来鉴别用户身份及在浏览器与WEB服务器之间进行加密通讯的全球化标准。
1.2 SSL VPN的通信过程 SSL VPN一般的实现方式是在内网中的防火墙后面放置一个SSL代理服务器,SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间的连接,实现起来主要有握手协议、记录协议、警告协议的通信,SSL VPN的通信过程主要集中在握手协议上,主要有:第1步:SSL客户机连接到SSL服务器,并要求服务器验证身份;第2步:服务器通过发送它的数字证书证明自身的身份。这个交换包括整个证书链,直到某个证书颁发机构(CA),通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性; 第3步:服务器发出一个请求,对客户端的证书进行验证;第4步:双方协商用于加密的消息加密算法和用于完整性检查的HASH函数,通常由客户端提供它所支持的所有算法列表,然后由服务器选择其中最强大的加密算法;第5步:客户机和服务器通过下列步骤生成会话密钥。客户机生成一个随机数,并使用服务器的公钥(从服务器证书中获得)对它加密,再送到服务器;服务器用更加随机的数据,用客户机的公钥加密,发送至客户机以表示响应;使用 HASH函数从随机数据中生成密钥[2]。
1.3 SSL VPN的优点 相对于其它接入方式,SSL VPN在实现远程访问内网资源时有其独特的优势,因此,近年来SSL VPN技术在各个行业,特别在企业、高校、公司及政府部门得到了广泛的应用。①无需安装客户端软件。客户端的区别是SSL VPN最大的优势,有Web浏览器的地方的就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端,在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。这样,远程访问的用户可以在任何时间任何地点对应用资源进行访问。②适用大多数设备。基于 Web访问的开放体系可以在运行标准的浏览器下访问任何设备,包括非传统设备,如可以上网的电话和PDA等通讯产品等。 ③适用于大多数操作系统。可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问,不管操作系统是 Windows、Macinwsh、Unix还是 Linux。④支持网络驱动器访问。用户通过SSL VPN通信可以访问在网络驱动器上的资源。 ⑤良好的安全性。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。⑥较强的资源控制能力。基于Web的代理访问允许网络管理部门为远程访问用户进行详尽的资源访问控制,这样有利于对不同身份用户进行访问权限的控制。 ⑦经济实用性较好。使用SSL VPN具有很好的经济性,因为只需要在内网架设一台VPN硬件设备就可以实现所有用户的远程安全访问接入,远程用户只要依赖现有互联网设备就可以方便访问内网资源。 ⑧可以绕过防火墙和代理服务器进行访问。基于SSL的远程访问方案中,使用 NAT(网络地址转换)服务的远程用户或者因特网代理服务的用户可以绕过防火墙和代理服务器进行访问,这是采用基于 IPSec安全协议的远程访问很难或者根本做不到的[3]。
1.4 SSL VPN接入拓朴图 目前,一般大学校园网的网络结构是比较规范的,至少拥有一条大宽带的外网接口及防火墙、安全过滤网关系统、认证系统、路由交换机和大量的服务器,要实现内网资源的远程访问,只要在防火墙后面设置一台SSL VPN网关,并根据网络和用户的具体情况进行配置,就可以实现内网资源共享。SSL VPN在内部网中的应用结构,见图1。
学海网(www.xuehai.net)2 SSL VPN在高校图书馆中的应用
2.1 高校图书馆数字资源建设及应用 随着信息技术的快速发展,图书馆的数字化建设步伐也越来越快,图书馆的管理和服务正向数字化、网络化大步迈进。当前,几乎所有高校图书馆都建立了各自的数字图书馆,数字资源的建设经费比例也逐年的提高,师生获取文献资源的方式很大程度上趋向网络化发展。高校图书馆除了拥有各种各样的自建数据库,还引进了大量的外来数据库,包括电子图书、电子期刊、博硕士论文数据库、报纸、年鉴、专利、工具书、视听报告、教学资源库等等,这些资源有的是安装在本地服务器,有的是购买网上包库,但不管是哪种形式的数据库,由于受到知识产权保护和商业利益影响的限制,往往只限于本校的师生使用,其实现的方式一种是使用IP地址限制,即只允许某一特定范围内的IP地址用户拥有浏览和下载权限,这种用户的IP地址是相对固定的,一般是在学校的校园网;另一种访问方式是设定访问账号和密码,但这种方式往往是和访问及下载流量互相捆绑。第二种方式对用户数较多的大单位明显是不合适的,因为,随着多元化社会的发展,很多老师和学生住在校外,教师到外出差和学习、学生到外地实习等,这一部分人群对学校的数字资源拥有使用的权利,但现有条件又不能允许他们使用,因此,通过SSL VPN实现高校图书馆资源的远程共享是最为有效、最为简便和最为经济的途径。
2.2 SSL VPN在高校图书馆中的应用情况 由于SSL VPN具有安全性好、易于管理、实用性较强、扩展方便及性能可靠等诸多优点,近年来在实现高校校园网内网资源的远程访问中得到了广泛应用。SSL VPN是一种新兴的VPN技术,相对于IPSec,VPN具有明显的优越性,在解决外网用户访问内网Web服务方面日益受到人们的青睐,目前大多数高校图书馆都设置VPN服务,在内网资源的远程访问,特别是在解决图书馆数字资源的远程访问方面发挥了重要的作用,可以说,VPN技术解决了非校内用户共享内网优质资源的难题,SSL VPN的出现使得远程资源共享更加容易实现,同时也更容易被用户接受,因为对于用户而言,只要能够接入互联网,无需对客户电脑作任何设置,在https协议下直接输入SSL VPN网关的IP地址,就如同在内网一样享受到各种服务。
SSL VPN通过在Internet上建立移动用户与内部网间的专用数据通道,很好地解决了外网用户访问和使用图书馆数字资源时所面临的具体问题。同时,SSL VPN因其具有安全、灵活、低成本等优势,逐步成为了图书馆电子资源远访问的主流技术,为发挥数字资源的共享性和可传播性、提升信息服务质量和水平提供了良好的技术支持环境,图书馆数字资源访问真正突破了时空的限制。
【参考文献】
[1] 史春光.浅析基于SSL VPN 协议的VPN技术[J].信息技术,2009,(3):121-123.
[2] 易光华,傅光轩,胡艳,等.一种基于 SSL的 VPN的研究与实现[J].贵州大学学报:自然科学版,2006,23(2):289-291.
[3] 项顺伯.SSL VPN安全性分析[J].承德石油高等专科学校学报,2009,11(1):44-47.
