數字出版安全網絡的研究與實踐

針對出版社與分社、合作伙伴之間的出版信息安全交流，本文嘗試應用VPN技術，利用Internet公眾網的公共資源，通過穿越Internet建立出版社與各分社、出版社與合作伙伴、遠程用戶安全訪問網絡，實現數字出版信息的安全可靠傳輸。

在當今計算機網絡和信息數字化的快速發展下，時時刻刻影響著各個行業。文獻、圖書等信息資源的數字化、信息化也被推上出版信息化建設的舞臺上。傳統的新聞出版必須應用數字出版給予豐富和有機補充，把原來靜態的文字、圖片、聲音、圖像等通過計算機的處理，變得生動形象，而且也節省資源，便于出版業信息推廣。數字出版在我國雖然起步較晚，但發展快，目前已經形成了網絡圖書、網絡期刊等新業態。由于一些大的出版社擁有多個分社，分社與出版社距離相對較遠，為了便于出版社與分社、合作伙伴之間的信息安全交流，需要一個安全使用的網絡平臺，避免使用QQ、郵箱等方式造成的不安全因素，引起不必要的糾紛。針對出版社與分社、合作伙伴之間的出版信息的安全交流，本文嘗試應用VPN技術，利用Internet公眾網的公共資源，通過穿越Internet建立出版社與各分社、出版社與合作伙伴、遠程用戶安全訪問網絡，實現數字出版信息的安全可靠傳輸。

一、數字出版VPN網絡構建技術

數字出版是建立在計算機技術、通訊技術、網絡技術、流媒體技術、存儲技術、顯示技術等高新技術基礎上，融合并超越傳統出版內容而發展起來的新興出版產業。數字化出版是在出版的整個過程中，將所有的信息都以統一的二進制代碼數字化形式存儲于光盤、磁盤等介質中，信息的處理與接收則借助計算機或終端設備進行，它強調內容的數字化、生產模式和運作流程的數字化、傳播載體的數字化和閱讀消費、學習形態的數字化[1]。數字出版包括創作數字化、編輯數字化、出版數字化、發行數字化、標識數字化、管理數字化等，這一系列的數字化，需要一個安全實用的網絡來支撐。數字出版是推動社會發展的強有力工具，改進人們的信息交流方式，更加方便地獲取知識，對傳統出版業進行改造，使之更加強大，對社會作出更大貢獻。

建立數字出版安全網絡，便于出版社和分社之間的統一規劃、統一管理和統一建設，便于數字資源共享及安全傳輸與出版信息的安全信息交流；建立數字出版安全網絡，方便出版社和合作伙伴之間的數據信息安全交流；建立數字出版安全網絡，便于像出差用戶這樣的遠程移動用戶安全可靠地訪問出版社的數字資源。

1. VPN技術

虛擬專用網（VPN）指的是在公共網絡Internet上建立一個虛擬的“隧道”，通過虛擬“隧道”實現數據安全可靠的傳輸。好像在Internet上鋪設一條虛擬的“專線”，為數字出版社之間互聯及遠程訪問提供安全可靠的數字資源傳輸，既安全實用可靠，又節省成本。VPN包括跨共享網絡或公共網絡的數據封裝、數據加密及解密、身份驗證和密鑰交換等，實現遠程用戶、出版社與分社的安全連接。

（1）IPSec VPN 是基于IPSec協議來實現遠程接入的一種VPN技術，解決了在公共網絡復雜環境上所面臨的開放性及不安全因素的威脅，實現在公共網絡上進行數字出版信息資源的安全傳輸。通過隧道技術、加密解密技術、密鑰交換技術、身份認證技術來保證IP數據報的安全性、完整性、保密性和可用性。

（2）SSL VPN是基于SSL協議來實現遠程接入的一種VPN技術，是一套Internet數據安全協議，位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。為高層協議提供數據封裝、壓縮、加密等基本功能的支持，同時為通訊雙方進行身份認證、協商加密算法、交換加密密鑰等提供支持，被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。

2. 數字出版網絡遠程訪問技術選擇

IPSec VPN與SSL VPN各有優勢，二者優缺點及選擇如圖2所示，IPSec VPN具有高效、安全等優點，對于數字出版VPN網絡的建設，理想的方式是將SSL VPN和IPSec VPN二者結合起來使用。一方面為數出版社與分社、合作伙伴之間采用IPSec VPN連接；另一方面為移動用戶，遠程訪問出版社數字網絡采用SSL VPN連接。二者的有機結合，不但保障了各個分社與出版社、合作伙伴的數字出版等方面的信息安全交流，也保證了遠程用戶的安全訪問。

二、數字出版VPN網絡構建與實踐

1. 數字出版VPN網絡拓撲結構構建

根據數字出版網絡建設的需要，將出版社與分社、合作伙伴、移動用戶，利用VPN技術實現數字出版資源的共享及遠程訪問，如圖2所示。出版社的路由器1上，要求具有IPSec VPN和SSL VPN功能，如Cisco 1906C系列集成多業務路由器。路由器1、路由器2和路由器3分部作為隧道的節點，分別接入Internet，就可實現數字出版信息資源共享與交流。

2. 數字出版VPN網絡IP規劃

根據數字出版VPN網絡拓撲結構，IP地址規劃如表1所示。

3. 出版社與分社、合作伙伴的IPSec VPN配置

（1）路由器1上配置IPSec VPN，實現與分社網絡互聯。

A. 配置加密和密鑰方法。在路由器1上配置IKE策略，加密方式為3DES，也可用SHA等，但是隧道兩端的加密方式必須一樣，哈希算法MD5，認證方式為預共享密鑰方式，秘鑰算法為group 2（2表示1024位，group 2安全性高，但更耗cpu），與分社路由器3進行身份驗證的預共享密鑰是ipsecvpn。主要配置：R1（config）#crypto isakmp key ipsecvpn address 219.33.210.38

B. 配置加密轉換規則及傳輸模式名稱。ipsectest為IPSec傳輸模式名稱，ESP采用DES加密，ESP認證的Hash算法為MD 5，IPSec模式為Tunnel，傳輸模式名稱為ipse-test，創建crypto map，映射名稱為ipsecmap。主要配置如下：

R1（config）#crypto map ipsecmap 10 ipsec-isakmp

R1（config-crypto-map）#set peer 219.33.210.38

R1（config-crypto-map）#set transform ipse-test

（2）在分社路由器3和合作伙伴路由器2上配置IPSec VPN，實現與出版社互聯。

用類似的方法對分社路由器3和合作伙伴路由器2進行配置，需要注意加密算法、預共享密鑰、傳輸模式名稱、加密轉換規則與出版社路由器1保持一致，分社及合作伙伴配置的IP地址與出版社路由器1配置的IP地址要相互對應。

4. 出版社與移動用戶SSL VPN配置

（1）開啟AAA，并配置SSL VPN Client撥號的賬戶信息，認證方式為AAA 本地認證，配置分配給SSL VPN Client地址池范圍。需要注意的是，如果地址池與出版社的內網不在一個網段時，則需要創建一個和地址池在同一網段的lookback接口作為SSL VPN Client的網關。主要配置如下：

R1 （config）# aaa authentication login webvpn local

R1 （config）#ip local pool sslvpn-addpool 192.168.10.150 192.168.10.253

R1 （config）#username libsslvpn password libadmin123

（2）定義Webvpn的策略集，指定SSL VPN Client的訪問IP地址221.26.225.55及端口443，webvpn的名稱為vpnsslgateway，關聯IP地址池及AAA認證策略，定義SSL VPN Client撥號的策略及DNS。主要配置如下：

R1 （config-webvpn-context）#gateway vpnssl-gateway

R1 （config-webvpn-context）#aaa authentication list webvpn

R1 （config-webvpn-context）#inservice

R1 （config-webvpn-context）#policy group sslvpnpolicy

R1 （config-webvpn-group）#functions svc-enabled

R1 （config-webvpn-group）#svc address-pool sslvpn-addpool

R1 （config-webvpn-group）#svc split include 192.168.10.0 255.255.255.0

R1 （config-webvpn-context）#default-group-policy sslvpnpolicy

（3）SSL VPN客戶端配置比較簡單，需要下載SSL VPN Client并安裝，初次需要安裝證書，然后嘗試進入SSL VPN Client撥號，輸入用戶名和密碼，驗證成功，即可連入出版社網絡，進行數字出版安全可靠的交流與訪問。

三、結束語

該方案充分利用Internet資源，在互聯網上建立一條安全“隧道”，通過“隧道”為出版社數字資源建立一個安全的跨地域網絡安全傳輸服務平臺，經過實踐應用，該技術方案運行平穩，具有較好的吞吐量和連接數，保證數字出版資源安全傳輸及遠程訪問，不但節約資源，而且提高了數字出版的辦公效率。

（作者單位：承德石油高等?？茖W校）