基于虛擬專用網絡的數字圖書館遠程訪問模式設計

摘 要:對于圖書館服務而言，VPN正在得到廣泛的推廣與應用，既能夠為圖書館之間的資源共享提供網絡傳輸途徑，又可以為遠程異地用戶提供資源服務，本文在介紹虛擬專用網技術的基礎上，給出了基于VPN的圖書館資源遠程訪問解決方案。

關鍵詞:虛擬專用網絡數字圖書館遠程訪問

中圖分類號:G250.76文獻標識碼:A文章編號:1674-098X(2011)05(b)-0207-01

圖書館在使用過程中由于涉及到版權保護，容易導致異地用戶或者外網用戶無法對其資源進行訪問。為了解決此問題，一個典型的遠程訪問技術VPN(虛擬專用網)正在被越來越廣泛的使用。本文在介紹虛擬專用網技術的基礎上，給出了基于VPN的圖書館資源遠程訪問解決方案。

1 VPN技術簡介

VPN即虛擬專用網，SSL VPN是VPN的一種。其實現軟件既可以安裝在現有服務器上也可以固化在專業的硬件上。基于虛擬專用網的圖書館數字資源訪問技術優勢集中體現在以下幾個方面:

虛擬專用網的簡單性。SSL VPN是最簡單的一種解決遠程用戶訪問圖書館的形式。原因在于SSL協議是內嵌于用戶瀏覽器中的，因此就舍去了客戶端上安裝軟件的步驟，用戶只需連接Internet，就能通過網頁訪問圖書館資源。因此，通過VPN就可以在外網用戶和圖書館之間的建立一條專用的數據傳輸通道，客戶對資源的任何訪問均需進行安全的身份驗證。

虛擬專用網的安全性。采取SSL VPN，攻擊者難以偵測出系統網絡設置，攻擊機會就會降低許多。通過SSL VPN進行連接，還能夠在很大程度上低于病毒的侵害，保證了圖書館信息系統的安全運行。

保護敏感的數據。結合不同用戶的身份，賦予其相應的訪問權限。通過用戶劃分，降低客戶端的維護工作量，保護了敏感數據，同時也實現虛擬專用網在圖書館應用的快速部署。

擴展性強。隨著網絡的擴張，虛擬專用網可以實現靈活的擴展。如果圖書館需要添加新的用戶或新的子網，只需在VPN服務器上對已有網絡軟件配置進行相應的修改即可。

2 基于VPN的遠程訪問模式設計

2.1 SSL VPN 的具體部署方案

圖書館的SSL VPN所部署的位置是內網的防火墻后面，結合具體的安全控制策略，為那些位置分散的用戶架設從公網進入圖書館內網信息資源的訪問途徑。通常采取的方式為:對圖書館內網的信息資源服務器進行設置，使之為位于外部網絡的用戶提供虛擬地址，當位于外網的用戶根據所提供的虛擬URL對圖書館內網資源進行訪問時，由SSL VPN網關獲取來自用戶發起的連接，同時為遠程客戶與服務器之間建立加密、解密的隧道，同時采取一定的訪問控制策略，通過對用戶信息進行認證后，向不同的應用服務器進行映射。

結合圖書館用戶的實際情況，(大部分圖書館用戶均屬于公網用戶)，在本文的設計中，以思科公司的產品應用為例，選擇CiscoASA5510設備，利用其SSL VPN功能，布署于公網和策略分流交換機之間。具體的做法是:以思科CiscoASA 5510服務器實現Web VPN功能，用戶身份的驗證由Radius Server服務器實現，處于外網的用戶通過所在的網絡服務商接入互聯網，之后向WebVPN服務器發出身份驗證的請求，身份驗證通過以后，就可以對圖書館內網的圖書資源進行訪問。思科CiscoASA 5510服務器的外網接口與因特網相連，為此接口配置公網的IP地址，位于圖書館外網的用戶可以通過公網地址對其進行訪問，服務器的內網接口連接策略分流交換機，為此接口配置圖書館內網IP地址，使之可以和 Radius Server服務器進行通訊，實現用戶身份的驗證，用戶通過驗證之后，就會被分配一個圖書館內網的IP地址，就可以對圖書館資源服務器群進行訪問了。

2.2 SSL VPN的主要配置過程

以思科ASA5510內置的SSL VPN功能構建基于網絡的虛擬專用網服務器，需要設置的內容包括DNS、網關和SSL VPN的接口地址等，在初始化設置之后，為共享圖書資源，還需要配置SSL VPN設備，下面對幾個關鍵的配置進行介紹。

2.2.1 用戶認證服務器的添加

因為只能允許一些特定的注冊用戶作為合法的外網用戶，所以，為了對用戶進行身份的確認，必須提供用戶名和密碼。圖書館遠程訪問的權限包括SSL VPN的使用期限和用戶的并發數。本文所選取的思科ASA5510服務器能夠兼容多種身份認證協議，系統的管理員可以結合單位內部的認證服務器進行認證，也可以使用SSL VPN 內部的自建帳號進行認證，本文推薦采用的認證協議是Radius， 進行如下配置:

#啟用radius協議認證

#配置radius服務器的使用的key和IP 地址

#應用于內網口，配置VPN組使用radius協議

2.2.2 增設內網資源和訪問資源

在系統的資源管理中增設Web資源或APP資源。例如，在”姓名”一欄中寫入用戶專屬的名字，例如”圖書館資源網”;在”描述”一欄中寫入描述內容;在”地址”一欄中寫入訪問網站的主機域名或是IP地址。然后執行”Everything under this Url”和“Auto-allow Bookmark”，執行完畢后，對學術期刊網的遠程訪問設置進行保存。

2.2.3 用戶角色管理的設置

這一步驟的主要內容是為用戶建立不同訪問權限的角色，并將這些角色與圖書資源進行關聯。這樣，就能讓不同角色的用戶在成功登陸SSL之后，能夠對相應角色所具有權限的圖書館資源進行訪問。因為本文所選擇的身份認證是Radius協議，所以由radius服務器來完成用戶的建立和管理，此時思科ASA5510并不需要對本地用戶進行建立，用戶管理的工作量顯著降低了。

2.2.4 外網用戶的訪問

因為圖書館內網的ASA5510服務器與公網相連，所以對外提供Web VPN的地址就是外網口的 IP 地址。具有用戶身份的外網用戶在連接到因特網之后，輸入圖書館內網地址就會接收到圖書館 SSL VPN的界面，用戶根據提示輸入ID和密碼，結果服務器認證后，就能夠得到圖書館內網的 IP地址以對圖書館資源進行訪問。

3 結語

虛擬專用網是目前網絡應用發展的趨勢，隨著信息技術的發展和寬帶應用的普及，人們對網絡依賴的日益增強，虛擬專用網應用也將變得更加廣泛。對于圖書館服務而言，VPN正在得到廣泛的推廣與應用，既能夠為圖書館之間的資源共享提供網絡傳輸途徑，又可以為遠程異地用戶提供資源服務，提高了圖書館資源利用效率，必將成為未來圖書館的發展方向。

參考文獻

[1]張穎.利用VPN技術實現圖書館信息資源遠程訪問[J].情報探索，2008(7)69～70.

[2]徐忻.利用開源軟件實現基于SSLVPN的圖書館遠程訪問[J].現代情報，2009(4)160-163.

[3]翁惠明.淺議利用VPN技術構建虛擬專用網[J].福建電腦，2010(8)60～61.

[4]王朗.利用VPN技術實現合并圖書館分館互聯[J].現代圖書情報技術，2010(5)35～37.