包 瑞

（新疆師范大學圖書館，新疆 烏魯木齊 830054）

各高校圖書館的數(shù)字資源日漸豐富，數(shù)據(jù)庫的使用效益明顯增強，這充分肯定了圖書館作為高校信息資源中心的地位，顯現(xiàn)了圖書館為教學科研所發(fā)揮的重要保障作用。但隨著讀者對數(shù)據(jù)庫的依賴性的日益增強，讀者需要圖書館為他們提供隨時隨地的資源訪問服務，伴隨著移動技術的發(fā)展與普及、家住校外及各類出差交流學習的讀者數(shù)量的不斷增加，這類讀者也要求享有訪問本校圖書館數(shù)字資源的平等權利，如何才能既保障了本校師生的合法訪問權益，同時又不違背相關的保護知識產(chǎn)權的法律規(guī)定，這對各圖書館提出了新的要求。

為解決校外用戶遠程訪問的問題，各館有不同的思路，目前采用VPN方案來解決校外用戶的資源訪問已經(jīng)得到了多數(shù)圖書館的認同，但在VPN協(xié)議及產(chǎn)品的選擇上難以決策，本文擬從對SSL VPN的分析著手對此問題進行闡述。

1 SSL VPN概念

1.1 VPN

VPN(Virtual Private Network)虛擬專用網(wǎng)絡,是指在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術,即利用公用線路來實現(xiàn)任意兩個節(jié)點之間的安全專有連接技術，能夠讓移動用戶、遠程用戶或分支機構安全地接入到內(nèi)部網(wǎng)絡。

VPN技術近年來大量應用于遠程訪問企業(yè)內(nèi)部網(wǎng)絡和企業(yè)移動辦公，在解決高校多個校區(qū)數(shù)據(jù)訪問方面也有較為廣泛的應用。

VPN在遠程訪問上的解決思路是：用戶可以在家中通過ADSL、LAN等方式接入互聯(lián)網(wǎng)，獲得公網(wǎng)合法地址后撥號校園網(wǎng)VPN網(wǎng)關的公網(wǎng)地址，通過構建一條用戶到校園網(wǎng)的二層隧道，再通過VPN服務器給用戶分配一個校園網(wǎng)地址來實現(xiàn)資源的遠程訪問。

1.2 IPsec VPN

IPSec VPN技術是由IPSec（IP安全體系架構）協(xié)議提供隧道安全保障，IPSec協(xié)議由一組協(xié)議套件組成，包括安全協(xié)議、密鑰管理協(xié)議、安全聯(lián)盟、加密、認證算法等,其通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性，為通信雙方建立一個安全隧道來保障通信安全。IPSec協(xié)議是基于網(wǎng)絡層，IPSec VPN最適合 “網(wǎng)—網(wǎng)”(Site-Site)之間的虛擬專用網(wǎng)，即內(nèi)部網(wǎng)虛擬專用網(wǎng)。

1.3 SSL VPN

SSL VPN采用當前廣泛使用的工業(yè)級安全協(xié)議SSL(安全套接層)，提供基于應用層的訪問控制，具有數(shù)據(jù)加密、完整性檢測和認證機制，無需安裝或設定客戶端軟件，授權用戶能夠通過Web瀏覽器安全地接入網(wǎng)絡資源，SSL協(xié)議是基于應用層，SSL VPN多用于“客戶—網(wǎng)”(Client-Site)連接。

1.4 SSL VPN與IPsec VPN區(qū)別

1.4.1 應用類型

IPsec VPN多用于網(wǎng)與網(wǎng)之間的安全接入，多用于企業(yè)總部與分部之間的訪問,被用來對地理上分布在不同地方的辦公室提供可靠的連接；SSL VPN應用于遠程或移動用戶的遠程安全接入,SSL VPN可以實現(xiàn)較為具體的訪問控制，這種功能減少了從無保護點、非信任網(wǎng)絡或非授權用戶訪問內(nèi)部資源帶來的風險。

1.4.2 易用性

SSL VPN的用戶訪問使用通用的瀏覽器，無需安裝特殊的客戶端程序，即可通過SSL VPN隧道接入內(nèi)部網(wǎng)絡；而IPSec VPN的用戶則需要安裝專門的IPSec客戶端軟件。

1.4.3 應用程序訪問

SSL VPN是基于應用層的VPN，而IPsec VPN是基于網(wǎng)絡層的VPN。IPsec VPN對所有的IP應用均透明;而SSL VPN保護基于Web的應用更有優(yōu)勢，部分高端產(chǎn)品也支持TCP/UDP的C/S應用，例如文件共享、網(wǎng)絡鄰居、Ftp、Telnet、Oracle 等[1]。

1.4.4 網(wǎng)絡適應性

SSL VPN用戶不受上網(wǎng)方式限制，SSL VPN隧道可以穿透防火墻；由于IPSec VPN對防火墻的安全策略的配置較為復雜（往往要開放一些非常用端口），所以IPSec客戶端需要支持“NAT穿透”功能才能穿透防火墻。

1.4.5 管理維護成本

SSL VPN只需要維護中心節(jié)點的網(wǎng)關設備，客戶端免維護，降低了部署和支持費用。而IPSec VPN對每個節(jié)點用戶進行技術支持，對于用戶來說專業(yè)性較強，對于管理人員來說工作量較大,管理成本較高。

1.5 SSL VPN的優(yōu)勢

SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有缺點而出現(xiàn)的，SSL VPN繼承了IPSec VPN的遠程使用與內(nèi)網(wǎng)使用體驗一致、與應用無關的優(yōu)點，避免了因有客戶端而導致的使用維護不便、某些網(wǎng)絡條件下無法接通、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認證服務器結合、無法審計等問題，從功能上有網(wǎng)絡訪問、網(wǎng)上應用程序、Windows文件共享、移動電子郵件、應用程序訪問、傳統(tǒng)主機、終端服務器等眾多功能，可以提供C/S應用和B/S應用訪問，并非只能解決web應用。這其中最為重要的是網(wǎng)絡訪問功能，SSL VPN的網(wǎng)絡訪問功能避免了IPSec VPN的缺點而又繼承了IPSec VPN的優(yōu)點[2]。

1.5.1 簡單易用，降低了維護工作量

避免客戶端的安裝、配置和維護，否則在VPN策略稍有調(diào)整時，其管理難度和工作量將呈幾何級數(shù)的增長，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行，安全地訪問網(wǎng)絡中的信息，維護成本較低。

1.5.2 兼容性好

適用任何的終端及操作系統(tǒng)，不會出現(xiàn)不同的終端操作系統(tǒng)需要不同的客戶端軟件的現(xiàn)象，用戶方無特殊操作要求。

1.5.3 兼具Web易用性和安全性

SSL VPN因為無需安裝特殊的客戶端，在基于瀏覽器/服務器（B/S）結構的工作時，可以直接通過瀏覽器內(nèi)嵌的SSL加密協(xié)議就可以完成VPN訪問，在Web的易用性和安全性方面架起了一座橋梁。

1.5.4 提供更精細的訪問控制

因為所有內(nèi)外部流量通常都經(jīng)過單一的VPN硬件設備，這樣就可以控制對資源和URL的訪問，SSL VPN能對加密隧道進行細分，使終端用戶能夠同時接人Internet和訪問內(nèi)部企業(yè)網(wǎng)資源。另外，SSL VPN還能細化接入控制功能，提供用戶級別的鑒權，依據(jù)安全策略確保只有授權的用戶才能夠訪問特定的內(nèi)部網(wǎng)絡資源[3]。

2 SSL VPN在圖書館的應用

2.1 需求

各類數(shù)據(jù)庫提供商都對其數(shù)據(jù)庫產(chǎn)品有相應的知識產(chǎn)權保護措施，以防止資源的非授權使用和無限制傳播擴散，這樣既保護了著作權人的個人利益，又保護了數(shù)據(jù)庫提供商的商業(yè)利益，一般只有通過合法購買才能取得數(shù)據(jù)庫的訪問權，高校圖書館所購買的電子資源絕大多數(shù)都有IP地址范圍限制，即超出學校IP范圍的訪問將被拒絕。

家住在校外的師生和出差在外的老師需要訪問圖書館的資源將被認為是非授權用戶，拒絕訪問。并且絕大多數(shù)校外用戶使用的都是動態(tài)IP地址，是不確定的，無法添加開放這些IP，所以數(shù)據(jù)庫服務商無法確定訪問者的合法身份，因而自動屏蔽。

因此在訪問電子資源時，就需要一套可以將合法用戶的非授權校外地址轉(zhuǎn)為已授權的校內(nèi)地址的遠程訪問的安全解決方案。

2.2 解決思路

通過在防火墻后安裝SSL VPN設備，所有的校外用戶只需打開IE瀏覽器訪問圖書館的URL后，連接就將被SSL VPN設備取得，并驗證該用戶的身份，然后SSL代理服務器將連接映射到不同的應用服務器上。SSL VPN技術此時采用了一種類似代理性質(zhì)的技術，所有的訪問都是以SSL VPN設備的LAN口的名義發(fā)起的，所以只要SSL VPN設備的LAN口IP是一個合法的校園網(wǎng)IP，所有成功接入SSL的校外用戶都可以成功訪問這個SSL VPN設備LAN口所能訪問的資源[4]。

2.3 連接模式

2.3.1 Web瀏覽器模式

由于Web瀏覽器都內(nèi)置了SSL協(xié)議。只要在SSL/VPN服務器上集中配置安全策略即可，在客戶端無需做任何配置，使用十分方便。在這種模式中，SSL/VPN服務器扮演的角色相當于一個數(shù)據(jù)中轉(zhuǎn)服務器。

2.3.2 SSL/VPN客戶端模式

將客戶端程序在遠程計算機上進行安裝和配置。在這種模式中，SSL/VPN客戶端程序相當于一個代理客戶端。

2.3.3 LAN/LAN模式

LAN/LAN模式主要是針對在局域網(wǎng)之間的通信傳輸進行安全保護。這種模式下客戶端不需要做任何安裝和配置，僅需在兩個局域網(wǎng)內(nèi)的SSL VPN服務器上進行相應的配置[5]。

2.4 應用方案舉例

目前國內(nèi)已經(jīng)有不少高校采用了或者正嘗試使用SSL VPN技術來解決校外用戶資源訪問的這個問題，也有不少高校在用SSL VPN技術連接多校區(qū)的圖書館，現(xiàn)將國內(nèi)應用較多的兩類典型SSL VPN設備在此簡要舉例。

艾克斯通SSLBuilder不但能為基于Web的業(yè)務應用提供安全保護，還能為OA、數(shù)據(jù)庫等C/S模式的業(yè)務應用提供安全保護。在圖書館的應用案例有：重慶大學圖書館，中國數(shù)字圖書館建筑設計分館，測試中的有成都電子科技大學等。

深信服Sinfor SSL VPN實際上是IPSec/SSL一體化VPN,結合了IPSec和SSL兩大主流VPN功能的優(yōu)勢，對IPSec和SSL存在的不足之處進行優(yōu)勢互補，應用于陜西省圖書館、浙江樹人大學、廣東工業(yè)大學、華南師范大學、浙江林學院等。

2.5 SSL VPN的選擇

2.5.1 確定以讀者為主，還是以業(yè)務應用為主

以讀者為主的方式將向遠程用戶提供透明的和完全的網(wǎng)絡接入功能，因此需要的將是集IPsec和SSL VPN為一體的VPN。

以業(yè)務應用程序為重，強調(diào)的是后端應用程序集成并且在沒有客戶端軟件的模式下 (如通過瀏覽器)提供更好的訪問功能，因此需要的將是SSL VPN。

2.5.2 安全策略的考慮

購買的安全功能以實用、簡單為宜，并盡可能充分發(fā)揮原有的安全配置功能。

2.5.3 確定用戶數(shù)

通過測試并核實以確定VPN設備的有效并發(fā)用戶，一般來說圖書館遠程訪問用戶的并發(fā)數(shù)不會太大。

2.5.4 綜合安全、連接、維護、穩(wěn)定、高效等多方面考慮，功能應該是以實用為宜

隨著校外用戶對有IP限制的數(shù)據(jù)庫資源訪問需求的日益迫切，使得校外遠程訪問圖書館電子資源技術越來越受到關注，通過對基于SSL VPN技術的校外用戶資源訪問模式的研究，SSL VPN技術勢必會在解決遠程訪問數(shù)字資源領域得到較大的應用，也勢必會促使SSL VPN技術向著更加完善更加安全的方向發(fā)展。

［1］ VPN 技術誰領風騷？IPSec還是 SSL［EB/OL］.http://searchsecurity.techtarget.com.cn/392/2205392.shtml.

［2］ 專家解惑：什么才是真正的SSL VPN［EB/OL］.http://cisco.szpt.edu.cn/show.aspx?id=161&cid=29.

［3］ 馬軍鋒.SSL VPN技術原理及其應用［J］.電信網(wǎng)技術,2005,（8）.

［4］ VPN技術在高校圖書館中的應用探討(2)［EB/OL］.http://tech.ccidnet.com/art/322/20060719/646513_2.html

［5］ 董其軍.基于SSL協(xié)議的數(shù)字圖書館用戶訪問模式研究［J］.圖書館學研究,2005,（12）.