〔摘 要〕對SSL協(xié)議原理及其在構(gòu)建VPN上的安全性、低成本、易配置等優(yōu)勢進行分析，提出了一個基于開源軟件SSL exploer構(gòu)建圖書館遠程訪問的方案，并對其具體實現(xiàn)方式及特點進行了探討。

〔關(guān)鍵詞〕電子資源；遠程訪問；開源軟件；SSL VPN；ssl-exploer

〔中圖分類號〕G250.72；TP393.2 〔文獻標識碼〕B 〔文章編號〕1008-0821(2009)04-0160-04

Remote Access to Library Based on SSL VPN Using Open Source SoftwareXu Xin

(Library，Chongqing Jiaotong University，Chongqing 400074，China)

〔Abstract〕The paper analyzed the principle of SSL protocol and its advantage of security，low cost，easy configuration，which constructs on VPN.Meanwhile，it suggested a project of remote access to library which was based on the open source software，ssl-exploer.And it also discussed the specific ways of realization and characters.

〔Key words〕digital resource；remote access；open source software；ssl vpnssl-exploer

遠程訪問圖書館，又叫校外訪問，是指突破IP地址的物理限制，可以在任何能上網(wǎng)的地方使用圖書館電子資源[1]。由于受知識產(chǎn)權(quán)保護、商業(yè)利益、訪問速度、圖書館局域網(wǎng)安全性等各方面因素影響，對于圖書館購買的電子資源，無論是電子資源開發(fā)商還是購買了電子資源的高校圖書館，都不希望就此成為免費的公眾資源。因此，大多數(shù)電子資源都是通過IP地址來控制訪問的，合法用戶通常被限制在校園網(wǎng)IP地址范圍內(nèi)使用。這樣造成了本校師生在校外無法使用圖書館電子資源的現(xiàn)象，不僅損害了圖書館合法用戶的利益，也影響了圖書館電子資源的利用率。針對這種情況，一些高校圖書館先后采取了諸如撥號上網(wǎng)、反向代理、VPN等各種不同的技術(shù)解決方案為本校合法用戶提供校外遠程訪問服務[2]。

從技術(shù)上講，VPN(虛擬專用網(wǎng))是目前解決遠程訪問的最好選擇，因為它能利用公共網(wǎng)絡將處于不同區(qū)域的多個局域網(wǎng)虛擬成一個局域網(wǎng)，并且能提供非常好的安全保障。但是采用傳統(tǒng)的基于IP層安全協(xié)議(IPSec)實現(xiàn)的VPN方案存在成本高、配置復雜等一些缺陷，相比之下，基于安全套接層協(xié)議(SSL)的SSL VPN方案能克服IPSec VPN的不足，同時具有安全接入控制、維護管理方便的特點。但是目前市場SSL VPN產(chǎn)品成熟度不高，標準混亂，本文從開源軟件研究入手，提出一個利用免費開源軟件構(gòu)建SSL VPN的圖書館電子資源訪問方案。以期對圖書館遠程訪問的具體實施起到參考作用。

1 SSL VPN技術(shù)概述

1.1 傳統(tǒng)IPSec VPN的缺點

VPN(virtual private network)是在公共通信網(wǎng)絡中建立一條虛擬的專用通道，利用公共通信網(wǎng)絡來傳輸內(nèi)部網(wǎng)絡數(shù)據(jù)的虛擬專用網(wǎng)絡。IPSec協(xié)議族是基于IP網(wǎng)絡層上，為保護IP通信安全而設(shè)計的一系列協(xié)議。通過IPSec協(xié)議族提供的隧道、加密和認證等安全服務而在公共網(wǎng)絡上構(gòu)造的虛擬專用網(wǎng)就叫做IPSec VPN，它能為兩個網(wǎng)絡之間數(shù)據(jù)傳輸提供安全性，是一個LAN to LAN的解決方案[3]。但是對校外訪問圖書館電子資源的應用而言，只是需要將若干分散的單個遠程用戶簡單方便、臨時地接入校園網(wǎng)絡，而不是把兩個網(wǎng)絡固定連在一起。因此，在這種場合下，IPSec VPN方案顯然不太適用，況且安裝、升級以及配置IPSec VPN客戶端軟件對普通用戶來說也是個較困難的問題，同時這種方案在穿越防火墻、配置路由器端口上也是非常麻煩的，需要對網(wǎng)絡配置進行修改調(diào)整，存在一定的安全隱患。

1.2 SSL協(xié)議及其安全性

近來基于SSL協(xié)議的SSL VPN技術(shù)嶄露頭角，SSL VPN技術(shù)實現(xiàn)的遠程訪問方案能實現(xiàn)安全接入，而且配置和管理方便、能穿透防火墻，建設(shè)成本比目前的IPSec VPN要低許多。

SSL的英文全稱是“Secure Sockets Layer”，中文名為“安全套接協(xié)議層”，它是網(wǎng)景(Netscape)公司提出的基于Web應用的安全協(xié)議。SSL協(xié)議指定了一種在應用程序協(xié)議(如HTTPS、Telnet、NMTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制，它為TCP/IP連接提供數(shù)據(jù)加密、服務器認證、消息完整性以及可選的客戶機認證[4]。

SSL協(xié)議主要由握手層協(xié)議和記錄層協(xié)議構(gòu)成，它與TCP/IP協(xié)議間的關(guān)系如圖1所示[5]。

由圖1可見，SSL其實在TCP之上建立了一個加密通道，通過這一層的數(shù)據(jù)經(jīng)過了加密，從而達到數(shù)據(jù)安全并且透明傳輸?shù)男Ч?。透明性使得幾乎所有的基于TCP的協(xié)議稍加改動就可以在SSL上運行。

1.3 SSL VPN實現(xiàn)方式

SSL VPN一般的實現(xiàn)方式是在內(nèi)部網(wǎng)的防火墻后面，放置一個SSL網(wǎng)關(guān)服務器，如果遠程用戶希望安全地連接到內(nèi)部網(wǎng)，用戶只需在瀏覽器地址欄上輸入SSL網(wǎng)關(guān)服務器的地址，訪問請求將被SSL網(wǎng)關(guān)服務器取得并驗證該用戶的身份，通過身份驗證后SSL網(wǎng)關(guān)服務器將根據(jù)遠程用戶的配置權(quán)限，提供相應的內(nèi)部網(wǎng)絡資源的訪問能力。

目前SSL VPN的主要實現(xiàn)技術(shù)有Web代理、應用轉(zhuǎn)換、SSL隧道等[6]。

(1)Web代理(Proxy)：SSL VPN網(wǎng)關(guān)將來自遠端瀏覽器的頁面請求(采用HTTPS協(xié)議)轉(zhuǎn)發(fā)給Web服務器，然后將服務器的響應回傳給遠程用戶。

(2)應用轉(zhuǎn)換(Application Translation)：對于非Web頁面的文件訪問，往往借助于應用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與內(nèi)部網(wǎng)的應用服務器通信，將這些服務器對客戶端的響應轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端。

(3)SSL隧道(SSL Tunnel)：它也需要在遠程用戶機器上運行一個小的Java或ActiveX程序，根據(jù)網(wǎng)絡層信息(如目的IP地址和端口號)進行安全加密的接入控制。

從以上分析可以看出，基于SSL協(xié)議實現(xiàn)的SSL VPN能夠滿足TCP協(xié)議網(wǎng)絡應用，包括傳統(tǒng)的C/S模式應用和目前盛行的B/S模式應用，同時具備了安全加密傳輸?shù)奶攸c。更重要的是SSL協(xié)議已經(jīng)被瀏覽器軟件內(nèi)置支持，客戶端無需安裝設(shè)置，使用簡單便捷，這是SSL VPN相對于Ipsec VPN的最大優(yōu)勢。

2 基于開源軟件實現(xiàn)SSL VPN方式的圖書館遠程訪問方案

2.1 方案設(shè)計思路

目前SSL VPN產(chǎn)品在VPN市場上比較熱門，種類較多，產(chǎn)品性能各有不同。但同時我們也看到，SSL VPN市場標準尚未統(tǒng)一，良莠不齊，產(chǎn)品普遍價格較高，這些都給用戶的SSL VPN設(shè)備選購帶來了不小的困難。

對圖書館電子資源遠程解決方案而言，Web方式訪問的電子資源雖然占多數(shù)，但目前也有少量C/S方式的數(shù)據(jù)資源，同時圖書館也要求解決方案滿足低成本，配置簡單，擴展性好，管理方便的特點。通過分析比較，結(jié)合圖書館的實際需求，我們選用一款免費的功能強大的開源軟件“ssl-explorer”來實現(xiàn)SSL VPN方式的圖書館遠程資源訪問，可大大節(jié)省網(wǎng)絡建設(shè)成本，設(shè)置及維護也很簡單。

2.2 ssl-explorer的特點

ssl-explorer是Internet上第一個開源的SSL VPN軟件，由3SP公司開發(fā)維護，分為2個版本：一個是免費的Community Edition(社區(qū)版)，另一個是需要付費的Enterprise Edition(企業(yè)版)。企業(yè)版的功能比社區(qū)版多，但是對圖書館電子資源遠程訪問需求而言，免費的社區(qū)版的功能已足夠滿足要求。

ssl-explorer是用JAVA語言開發(fā)的，能運行在各種操作系統(tǒng)平臺上。在對遠程用戶的鑒權(quán)認證方式上，既可以采用本地數(shù)據(jù)庫方式，也能與第三方鑒權(quán)方式相配合(如RADIUS，AD，LDAP)[7]。

在SSL VPN技術(shù)實現(xiàn)方式上，ssl-explorer軟件支持上文提及的Web代理、應用轉(zhuǎn)換、SSL隧道，其中Web代理又分為四種模式“Tunneled Web”(隧道Web)、“Replacement Proxy”(替換代理)、“Path-Based Reverse Proxy”(基于路徑的反向代理)、“Host-Based Reverse Proxy”(基于主機的反向代理)。

“Tunneled Web”是ssl explorer默認推薦模式，使用較簡單，這種方式的工作原理如圖2所示。

SSL VPN網(wǎng)關(guān)服務器是位于內(nèi)部網(wǎng)內(nèi)，它通過與因特網(wǎng)相連為遠程用戶提供SSL接入服務。遠程用戶使用Web瀏覽器訪問SSL VPN網(wǎng)關(guān)服務器，服務器啟用HTTPS協(xié)議首先對用戶的身份進行驗證，通過了身份驗證，用戶Web瀏覽器自動從SSL VPN網(wǎng)關(guān)服務器下載一個代理Agent程序(Java applet)，然后獲得一個該用戶權(quán)限所能訪問的內(nèi)部網(wǎng)絡資源列表。當用戶發(fā)出對某個內(nèi)部資源主機的Web訪問請求時，該請求不會直接發(fā)給擁有該資源的目標主機，而是被Agent截獲，將數(shù)據(jù)加密用HTTPS協(xié)議先發(fā)給SSL VPN服務器，SSL VPN服務器收到加密數(shù)據(jù)后，通過代理方式向目標主機發(fā)出請求，并接收來自目標主機資源的數(shù)據(jù)，然后使用SSL加密數(shù)據(jù)，最后通過HTTPS協(xié)議回發(fā)給遠程用戶[6]。

Web代理方式中另外3種方式，與上面過程類似，只是不需要下載Agent程序。不管使用那種代理模式，遠程用戶客戶端都只需使用Web瀏覽器，就能夠安全接入到SSL VPN網(wǎng)關(guān)服務器，通過網(wǎng)關(guān)服務器提供的SSL VPN服務，像內(nèi)部網(wǎng)絡用戶一樣方便地享用網(wǎng)絡資源。

2.3 系統(tǒng)的安裝與本地部署

整個方案的連接示意圖如圖3。

在校園網(wǎng)的防火墻之后部署1臺電腦安裝和配置ssl-explorer軟件作為SSL VPN網(wǎng)關(guān)服務器，即可實現(xiàn)圖書館電子資源遠程訪問。

安裝和配置ssl-explorer的主要步驟如下：

2.3.1 下載編譯ssl-explorer軟件

本文選擇windows xp系統(tǒng)安裝ssl-explorer。從“http：∥3sp.com/showSslExplorer.do”下載免費版“ssl-explorer for windows”軟件源碼，然后再安裝JDK1.5(或以上版本)和Apache ANT 1.6.0(或以上版本)2個軟件保證必要的編譯和運行環(huán)境，按照ssl-explorer的編譯配置幫助，利用ANT編譯安裝即可。

ssl-explorer安裝過程中需要注意以下幾個地方：

①SSL證書設(shè)置：可以選擇自建證書，提高系統(tǒng)安全性。

②鑒權(quán)方式：選擇本地數(shù)據(jù)庫最簡單，不需要其他專門的數(shù)據(jù)庫軟件支持。

③選擇管理員用戶名和密碼：后面的參數(shù)配置都要由管理員登錄來完成。

2.3.2 ssl-explorer系統(tǒng)參數(shù)配置

軟件安裝完成后，在本機上用瀏覽器訪問“https：∥localhost”，出現(xiàn)一個登錄界面，輸入管理員用戶名和密碼即進入系統(tǒng)管理頁面，系統(tǒng)參數(shù)設(shè)置都在這個頁面進行。在系統(tǒng)管理頁面需要注意的是“Resources”(資源)的訪問方式的參數(shù)設(shè)置，共有4種方式：

①“Web Forwards”，適用于Web應用。

②“SSL Tunnels”適用于基于TCP協(xié)議的C/S應用程序，類似于IPSec隧道實現(xiàn)技術(shù)。

③“Network Places”用于遠程用戶訪問內(nèi)部網(wǎng)的文件服務器(如FTP)。

④“Applications”用于網(wǎng)關(guān)服務器發(fā)布，由客戶端下載運行的在線應用擴展程序。

一般選擇“Web Forwards”即可。

2.3.3 訪問控制管理

在系統(tǒng)管理頁面的“Access Control”中可以設(shè)置遠程用戶組別、用戶賬號和初始密碼、訪問權(quán)限及策略、遠程IP限制等參數(shù)。

2.3.4 防火墻的參數(shù)設(shè)置

不需要對現(xiàn)有的防火墻或網(wǎng)絡設(shè)備做什么變動，只需要防火墻開啟了443端口，以便遠程用戶機器能夠通過HTTPS協(xié)議訪問ssl-explorer網(wǎng)關(guān)服務器。

2.4 軟件的優(yōu)化與改進

原始的ssl-explorer軟件無論從界面和功能設(shè)置上都不太適合中文用戶的使用習慣，因此需要對軟件做一些修改和完善。

2.4.1 漢化界面

ssl-explorer應用的主要障礙是界面漢化的問題，ssl-explorer是由ssl-explorer的服務器端代碼和客戶端agent代碼兩部分組成，漢化界面主要集中在服務器端，在Ant環(huán)境下對各模塊界面和文字和圖片進行替換即可。

2.4.2 客戶端agent的修改和編譯

客戶端agent其實是一個java applet程序，它會自動從SSL VPN網(wǎng)關(guān)服務器下載運行，不需要遠程用戶安裝和配置。這個applet軟件的界面很簡單，漢化較容易，需要改進的是增加對遠程用戶的提示幫助功能。另外客戶端的java applet需要突破java本身固有的安全限制，它的編譯和安裝方式與服務端有所不同，主要步驟如下：

①利用jdk\\bin目錄下的keytool創(chuàng)建RSA密鑰：

keytool-genkey-keystore[storename.store]-alias[aliasname]

keytool-genkey-alias[aliasname]-keyalg RSA

(注：[aliasname]代表密鑰的名稱)

②安裝自己的測試證書：

keytool-export-keystore[storename.store]-alias[aliasname]-file[certificate.cer]

keytool-export-alias[aliasname]-file[certificate.cer]

(注：[certificate.cer]代表證書的名稱，一般證書都以.cer為后綴名)

③生成Applet使用的jar文件(將編譯后的class文件打包成jar)：

jar cvf[jarname.jar][classfilename.class]

④用RSA密鑰簽名Applet：

jarsigner-keystore[storename.store][jarname.jar][aliasname]

jarsigner[jarname.jar][aliasname]

至此獲得的這個Applet就是能SSL VPN的客戶端agent程序。

2.5 ssl-explorer方案的優(yōu)勢

采用開源軟件ssl-explorer來實現(xiàn)SSL VPN方式的遠程訪問方案，主要有以下優(yōu)勢：

(1)“零安裝”的客戶端：不需要對客戶端做任何安裝配置，客戶端自動下載運行的Agent是Java Applet程序，完全兼容目前流行的各種web瀏覽器，對客戶端操作系統(tǒng)類型也沒有限制，具有廣泛的適用范圍。

(2)網(wǎng)絡部署靈活方便：使用建立在SSL基礎(chǔ)之上的HTTPS協(xié)議進行通訊，由于目前幾乎所有的防火墻和網(wǎng)絡設(shè)備都支持HTTPS協(xié)議，因此，不需要對設(shè)備或網(wǎng)絡設(shè)備做任何改變就能方便地實施。

(3)安全性高：遠程客戶端對圖書館內(nèi)部網(wǎng)絡的所有訪問都通過SSL VPN服務器代理完成，即客戶機與圖書館內(nèi)部網(wǎng)絡間沒有直接的網(wǎng)絡連接，所以黑客和病毒無法對圖書館內(nèi)部網(wǎng)絡進行破壞，加強對SSL VPN服務器的網(wǎng)絡安全防范措施即可提高對黑客和病毒的入侵攻擊。

(4)開源代碼免費，且功能可擴展：首先是開源軟件的免費，降低了建設(shè)成本，其次是有完整的軟件源代碼，圖書館技術(shù)人員能夠?qū)浖δ苓M行修改、完善和個性化改造。

3 結(jié) 語

利用開源軟件ssl-explorer實現(xiàn)的基于SSL VPN的圖書館電子資源遠程訪問方案具備安全性高、成本低、管理方便、易于擴展等優(yōu)點，有很好的推廣價值。該軟件的功能相當豐富，本文只是重點分析了針對B/S模式的實現(xiàn)方式，其他比如“SSL Tunnel”實現(xiàn)C/S模式遠程訪問、“Network Places”實現(xiàn)文件服務器訪問等等，限于篇幅都沒有深入探討。由于ssl-explorer的最新源碼可以從Internet自由下載，在具備源代碼的條件下，該軟件的功能擴充和完善工作并不是一件困難的事情。從長遠建設(shè)來看，要對開源軟件的功能進行擴展優(yōu)化或個性化改造，圖書館需要配備一定水平的技術(shù)人員，其實這也是圖書館數(shù)字化建設(shè)的必然要求和發(fā)展趨勢。

參考文獻

[1]夏志方.遠程訪問圖書館電子述[J].圖書情報工作，2006，(3)：123-126.

[2]葉新明，陳光鋒.校外訪問代理軟件的分析與比資源技術(shù)綜較[J].現(xiàn)代圖書情報技術(shù)，2006，(1)：83-85.

[3]海濱，唐全.VPN技術(shù)及其安全優(yōu)勢的分析[J].電氣電子教學學報，2003，(6)：46-49.

[4]張學杰，李大興.SSL技術(shù)在構(gòu)建VPN中的應用[J].計算機應用，2006，(8)：1827-1830.

[5]朱偉珠.基于SSL協(xié)議的數(shù)字圖書館資源遠程訪問[J].圖書館建設(shè)，2007，(5)：41-43.

[6]郭鈴，李偉生.SSL VPN的設(shè)計與實現(xiàn)[J].計算機技術(shù)與發(fā)展，2007，(8)：148-150.

[7]Installation Management[EB].http：∥3sp.com/en/kb/idx.php/49/0/Installation-Management.html(Accessed Aug.2，2008)