VPN技術(shù)在圖書(shū)館網(wǎng)絡(luò)互聯(lián)中的應(yīng)用

摘要：圖書(shū)館所購(gòu)買(mǎi)的電子資源，大部分只允許擁有校內(nèi)IP地址的授權(quán)用戶(hù)訪問(wèn).對(duì)于某些在校外通過(guò)撥號(hào)等方式上網(wǎng)卻沒(méi)有固定fP地址的用戶(hù)，無(wú)法訪問(wèn)圖書(shū)館資源，該文提出利用vpn技術(shù)在校園網(wǎng)的基礎(chǔ)上架構(gòu)一個(gè)安全、可靠的專(zhuān)用虛擬網(wǎng)絡(luò)，專(zhuān)供圖書(shū)館管理系統(tǒng)使用。

關(guān)鍵詞：圖書(shū)館網(wǎng)絡(luò)互聯(lián)vpn技術(shù)

0引言

隨著Internet和信息技術(shù)的快速發(fā)展，人們?cè)絹?lái)越依賴(lài)Inter-net進(jìn)行各種數(shù)據(jù)交換和信息存取，高校信息化建設(shè)也進(jìn)一步完善，應(yīng)用系統(tǒng)逐漸豐富。圖書(shū)館信息資源得到飛速的發(fā)展，現(xiàn)在教師的教學(xué)、科研都離不開(kāi)圖書(shū)館信息資源。

然而對(duì)于圖書(shū)館來(lái)說(shuō)，基于安全和知識(shí)產(chǎn)權(quán)的考慮，文獻(xiàn)信息資源并不是無(wú)限制地對(duì)外開(kāi)放，圖書(shū)館許多信息資源僅限校內(nèi)訪問(wèn)。如圖書(shū)館所購(gòu)買(mǎi)的電子資源，大部分只允許擁有校內(nèi)IP地址的授權(quán)用戶(hù)訪問(wèn)。這樣，對(duì)于某些在校外通過(guò)撥號(hào)等方式上網(wǎng)卻沒(méi)有固定IP地址的用戶(hù)，以及范圍不在校園局域網(wǎng)內(nèi)的寬帶用戶(hù)就很難利用到校園圖書(shū)館網(wǎng)上的文獻(xiàn)資源。

此外，許多高校圖書(shū)館為了規(guī)范化管理，均采用統(tǒng)一的圖書(shū)館管理系統(tǒng)在校園網(wǎng)上支撐多校區(qū)圖書(shū)館業(yè)務(wù)，勢(shì)必存在許多安全隱患，為了安全起見(jiàn)一般采用獨(dú)立成網(wǎng)，但是這種做法費(fèi)用高而且不靈活。若能在校園網(wǎng)的基礎(chǔ)上架構(gòu)一個(gè)安全、可靠的專(zhuān)用虛擬網(wǎng)絡(luò)，專(zhuān)供圖書(shū)館管理系統(tǒng)使用，既廉價(jià)又方便。

本文介紹了運(yùn)用VPN技術(shù)來(lái)解決以上問(wèn)題的方案。

1 VPN描述

1.1 VPN的定義VPN(V；rtual private Network，虛擬專(zhuān)用網(wǎng))是一種通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密，在公網(wǎng)如因特網(wǎng)上傳輸私有數(shù)據(jù)，同時(shí)保證私有網(wǎng)絡(luò)安全性的技術(shù)。它是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)臨時(shí)、安全、邏輯上的專(zhuān)用通道，盡管沒(méi)有自己的專(zhuān)用線路，但是這個(gè)邏輯上的專(zhuān)用通道卻可以提供和專(zhuān)用網(wǎng)絡(luò)同樣的功能。

1.2 VPN的主要特點(diǎn)

1.2.1網(wǎng)際互聯(lián)安全性高VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代lPv6的安全特性，通過(guò)隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專(zhuān)用通道。實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

1_2.2經(jīng)濟(jì)實(shí)用、管理簡(jiǎn)化“由于VPN獨(dú)立于初始協(xié)議，用戶(hù)可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶(hù)在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開(kāi)銷(xiāo)和安全配置。

1.2.3可擴(kuò)展性好如果想擴(kuò)大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶(hù)；或者與原有的下級(jí)組織重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程地點(diǎn)增加VPN能力也很簡(jiǎn)單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。

1.2.4支持多種應(yīng)用由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運(yùn)用在廣域網(wǎng)上。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音，IP傳真等。

1.2.5有效實(shí)現(xiàn)網(wǎng)絡(luò)資源共建共享在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下，可以實(shí)現(xiàn)整個(gè)VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開(kāi)發(fā)帶來(lái)的巨大浪費(fèi)，甚至可以實(shí)現(xiàn)普通讀者在家用ADSL來(lái)訪問(wèn)公共圖書(shū)館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫(kù)。

2利用VPN實(shí)現(xiàn)圖書(shū)館網(wǎng)絡(luò)互聯(lián)

要實(shí)現(xiàn)對(duì)分布在不同地域的信息資源實(shí)行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總館與分館的資源，進(jìn)行內(nèi)部業(yè)務(wù)交流和開(kāi)展讀者服務(wù)工作，必須解決兩個(gè)問(wèn)題：第一，要建立圖書(shū)館網(wǎng)絡(luò)間的安全通道，保護(hù)鏈路的通訊安全。第二，要根據(jù)身份認(rèn)證實(shí)現(xiàn)圖書(shū)館網(wǎng)絡(luò)內(nèi)部共享資源的訪問(wèn)控制。利用VPN技術(shù)將有效解決上述問(wèn)題。

2.1采用自建方式構(gòu)建VPN網(wǎng)絡(luò)雖然可以通過(guò)ISP(Intemet Servlce Provider，網(wǎng)絡(luò)服務(wù)提供商)的中心交換設(shè)備來(lái)構(gòu)建專(zhuān)用通道，但公共圖書(shū)館內(nèi)部局域網(wǎng)互聯(lián)速度相對(duì)較快，所以圖書(shū)館VPN網(wǎng)絡(luò)互聯(lián)宜采用自建的方式。其優(yōu)勢(shì)如下：①多數(shù)公共圖書(shū)館都具備良好的計(jì)算機(jī)基礎(chǔ)設(shè)施和內(nèi)聯(lián)局域網(wǎng)，接入因特網(wǎng)帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢(shì)更加突出。在此基礎(chǔ)上自建VPN，既便捷又經(jīng)濟(jì)o②能使圖書(shū)館互聯(lián)網(wǎng)絡(luò)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。③開(kāi)發(fā)額外的新的應(yīng)用服務(wù)不用通過(guò)與ISP協(xié)商。圖書(shū)館信息技術(shù)應(yīng)用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據(jù)需要來(lái)配置自己的安全策略，滿(mǎn)足不同級(jí)別的安全需要。

2.2 VPN類(lèi)型的選擇目前國(guó)內(nèi)高校大多采用IPSec(IP Se-curlty)VPN技術(shù)來(lái)解決校外用戶(hù)訪問(wèn)校圖書(shū)館問(wèn)題。但由于IPSec協(xié)議最初是為了解決點(diǎn)對(duì)點(diǎn)的安全問(wèn)題而制定的。因此在此基礎(chǔ)上建立的遠(yuǎn)程接八方案面對(duì)越來(lái)越多終端站點(diǎn)時(shí)，已日漸顯得力不從心。

在此情況下，SSL(Secrulty Socket Layer)VPN技術(shù)應(yīng)運(yùn)而生。SSL VPN的突出優(yōu)勢(shì)在于Web安全和移動(dòng)接入。它可以提供遠(yuǎn)程的安全接入，而無(wú)需安裝或設(shè)定客戶(hù)端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對(duì)SSL VPN公認(rèn)的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶(hù)端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶(hù)只需要打開(kāi)IE瀏覽器訪問(wèn)圖書(shū)館的Internet IP即可成功接入圖書(shū)館。

但SSL VPN并不能取代IPSec VPN，因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面：而IPSec VPN是在兩個(gè)局域網(wǎng)之間通過(guò)Intemet建立安全連接，是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)之間的通信。并且，IPSec工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。從高校應(yīng)用來(lái)看，由于SSL接人方式下所有用戶(hù)的訪問(wèn)請(qǐng)求都是從SSL VPN設(shè)備的LAN口發(fā)起的。對(duì)于那些對(duì)單個(gè)用戶(hù)流量有嚴(yán)格限制的資源商來(lái)說(shuō)，集群SSL用戶(hù)的訪問(wèn)會(huì)被當(dāng)成一個(gè)用戶(hù)對(duì)待。這樣當(dāng)集群訪問(wèn)流量達(dá)到資源商限制的數(shù)值時(shí)，就極易造成該IP被禁用，從而導(dǎo)致所有SSL用戶(hù)無(wú)法繼續(xù)訪問(wèn)圖書(shū)館。

為解決這個(gè)問(wèn)題，可以將圖書(shū)館大量的校外用戶(hù)分為兩類(lèi)，一類(lèi)是使用圖書(shū)館資源較為頻繁、訪問(wèn)數(shù)據(jù)量較大的用戶(hù)(比如教師，但用戶(hù)數(shù)量少)；另一類(lèi)則是使用次數(shù)較少、訪問(wèn)數(shù)據(jù)不多的用戶(hù)(比如學(xué)生，但用戶(hù)將數(shù)量多)。通過(guò)用戶(hù)劃分，我們給教師用戶(hù)分配IPSec接入方式，這樣就可以把大流量的用戶(hù)分配到不同的IP地址上。避免IP流量過(guò)大造成IP被禁用問(wèn)題；而將那些數(shù)量眾多但訪問(wèn)量小的學(xué)生用戶(hù)分配SSL接入方式。利用SSL VPN無(wú)需部署客戶(hù)端的特性來(lái)降低客戶(hù)端的維護(hù)工作量，從而實(shí)現(xiàn)VPN在圖書(shū)館應(yīng)用的快速部署。

目前，許多VPN產(chǎn)品都能提供多種VPN接入形式，如：Cis-coASA5500系列可以在單一平臺(tái)上提供IPSec和基于SSL(Se-cureSocketsLayer，安全套協(xié)議)的VPN服務(wù)，避免了為SSL和IPSecVPN部署分立的平臺(tái)而導(dǎo)致低效和成本增加。

2.3 VPN支持的認(rèn)證技術(shù)一個(gè)VPN系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證方式，如基于機(jī)器特征碼、數(shù)字證書(shū)技術(shù)、遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證系統(tǒng)(RA-DIUS，Remote Authentication Dial In User Service)認(rèn)證、基于公開(kāi)密鑰基礎(chǔ)設(shè)施(PKl，Public Key Infrastructure)的證書(shū)認(rèn)證以及逐漸興起的生物識(shí)別技術(shù)等等。另外，還要提供基于用戶(hù)組策略的認(rèn)證。

2.4 VPN接入控制的選擇機(jī)制為了方便網(wǎng)絡(luò)使用者(包括館員、讀者、管理部門(mén)等等)互聯(lián)，所有局域網(wǎng)內(nèi)部的用戶(hù)都必須有使用VPN服務(wù)器代理的權(quán)限。因此，接入控制顯得比其他兩種隧道形式更為重要。可以采用兩級(jí)的控制機(jī)制，粗度的接入控制交給VPN服務(wù)器來(lái)完成，VPN服務(wù)器上的安全策略數(shù)據(jù)庫(kù)(SPD，Safety PolicyDatabase)可以實(shí)現(xiàn)基于類(lèi)似于用戶(hù)組級(jí)別的控制，既把所有用戶(hù)劃分為不同等級(jí)的組來(lái)配置接入控制策略。細(xì)度的接入控制將由獨(dú)立的認(rèn)證服務(wù)器來(lái)完成，可以使局域網(wǎng)共享一個(gè)證書(shū)機(jī)構(gòu)CA(Cer-tificate Authority，數(shù)字證書(shū)認(rèn)證中心)和安全策略服務(wù)器，由它來(lái)管理和發(fā)放數(shù)字證書(shū)，實(shí)現(xiàn)對(duì)控制資源的訪問(wèn)。

2.5 VPN數(shù)據(jù)安全采用分級(jí)處理方式數(shù)據(jù)安全包括數(shù)據(jù)加密、完整性檢測(cè)和抗篡改。VPN技術(shù)在支持多種加密算法的同時(shí)還提供了對(duì)數(shù)據(jù)完整性進(jìn)行檢測(cè)的功能。在數(shù)據(jù)安全上，采用分級(jí)處理方式，對(duì)不同的等級(jí)的用戶(hù)配置不同的數(shù)據(jù)安全策略，把用戶(hù)分為普通級(jí)、普通加密級(jí)、高級(jí)加密級(jí)。對(duì)在普通級(jí)的用戶(hù)通訊數(shù)據(jù)(例如：讀者訪問(wèn)圖書(shū)館電子資源)配置為不使用任何加密的安全策略：普通加密級(jí)的通訊數(shù)據(jù)采用低位的加密和散列函數(shù)進(jìn)行完整性檢測(cè)安全策略；高級(jí)加密級(jí)的通訊數(shù)據(jù)可以采用多位的加密+散列函數(shù)的安全策略。

2.6 VPN的設(shè)備選擇對(duì)于設(shè)備的選擇，可以根據(jù)自己的實(shí)際情況，結(jié)合已有網(wǎng)絡(luò)的特點(diǎn)從可擴(kuò)展性、效果、性能、價(jià)錢(qián)等進(jìn)行分析衡量選配。最好選擇集成防火墻功能的VPN產(chǎn)品，以保證加密的流量在解密后，同樣需要經(jīng)過(guò)嚴(yán)格的訪問(wèn)控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DoS(DenialofService，拒絕服務(wù))攻擊和入侵威脅，提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。

3總結(jié)

總之，VPN新技術(shù)綜合傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性和較好的服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本，建立安全的數(shù)據(jù)通道，滿(mǎn)足了用戶(hù)對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，在高校圖書(shū)館中構(gòu)建以公眾網(wǎng)為基礎(chǔ)的虛擬專(zhuān)用網(wǎng)(VPN)系統(tǒng)，能有效解決當(dāng)前高校圖書(shū)館資源的遠(yuǎn)程利用問(wèn)題和資源統(tǒng)一管理問(wèn)題。隨著VPN技術(shù)的日益成熟，VPN必將成為未來(lái)圖書(shū)館互聯(lián)網(wǎng)絡(luò)的主要發(fā)展方向。