VPN技術在圖書館互聯(lián)的運用透析

導語：VPN技術在圖書館互聯(lián)的運用透析一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：圖書館所購買的電子資源，大部分只允許擁有校內IP地址的授權用戶訪問，對于某些在校外通過撥號等方式上網卻沒有固定IP地址的用戶，無法訪問圖書館資源，該文提出利用vpn技術在校園網的基礎上架構一個安全、可靠的專用虛擬網絡，專供圖書館管理系統(tǒng)使用。

關鍵詞：圖書館網絡互聯(lián)vpn技術

0引言

隨著Internet和信息技術的快速發(fā)展，人們越來越依賴Internet進行各種數據交換和信息存取，高校信息化建設也進一步完善，應用系統(tǒng)逐漸豐富，圖書館信息資源得到飛速的發(fā)展，現(xiàn)在教師的教學、科研都離不開圖書館信息資源。

然而對于圖書館來說，基于安全和知識產權的考慮，文獻信息資源并不是無限制地對外開放，圖書館許多信息資源僅限校內訪問。如圖書館所購買的電子資源，大部分只允許擁有校內IP地址的授權用戶訪問。這樣，對于某些在校外通過撥號等方式上網卻沒有固定IP地址的用戶，以及范圍不在校園局域網內的寬帶用戶就很難利用到校園圖書館網上的文獻資源。

此外，許多高校圖書館為了規(guī)范化管理，均采用統(tǒng)一的圖書館管理系統(tǒng)在校園網上支撐多校區(qū)圖書館業(yè)務，勢必存在許多安全隱患，為了安全起見一般采用獨立成網，但是這種做法費用高而且不靈活。若能在校園網的基礎上架構一個安全、可靠的專用虛擬網絡，專供圖書館管理系統(tǒng)使用，既廉價又方便。

本文介紹了運用VPN技術來解決以上問題的方案。

1VPN描述

1.1VPN的定義VPN（VirtualPrivateNetwork，虛擬專用網）是一種通過對網絡數據進行封包和加密，在公網如因特網上傳輸私有數據，同時保證私有網絡安全性的技術。它是利用公共網絡資源和設備建立一個臨時、安全、邏輯上的專用通道，盡管沒有自己的專用線路，但是這個邏輯上的專用通道卻可以提供和專用網絡同樣的功能[1]。

1.2VPN的主要特點

1.2.1網際互聯(lián)安全性高[2]VPN技術繼承了現(xiàn)有網絡的安全技術，并結合了下一代IPv6的安全特性，通過隧道、認證、接入控制、數據加密技術，利用公網建立互聯(lián)的虛擬專用通道，實現(xiàn)網絡互聯(lián)的安全。

1.2.2經濟實用、管理簡化[3]由于VPN獨立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷和安全配置。

1.2.3可擴展性好[4]如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務范圍。在遠程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網和VPN能力，路由器還能對工作站自動進行配置。

1.2.4支持多種應用由于VPN給我們提供了安全的通道，可以把目前在局域網上的應用直接運用在廣域網上。VPN則可以支持各種高級的應用，如IP語音，IP傳真等。

1.2.5有效實現(xiàn)網絡資源共建共享在網絡安全的保證下和認證技術的支持下，可以實現(xiàn)整個VPN體系中互聯(lián)單位的資源共建共享，避免資源重復開發(fā)帶來的巨大浪費，甚至可以實現(xiàn)普通讀者在家用ADSL來訪問公共圖書館局域網絡中的全文數據庫。

2利用VPN實現(xiàn)圖書館網絡互聯(lián)

要實現(xiàn)對分布在不同地域的信息資源實行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總館與分館的資源，進行內部業(yè)務交流和開展讀者服務工作，必須解決兩個問題：第一，要建立圖書館網絡間的安全通道，保護鏈路的通訊安全。第二，要根據身份認證實現(xiàn)圖書館網絡內部共享資源的訪問控制。利用VPN技術將有效解決上述問題。

2.1采用自建方式構建VPN網絡雖然可以通過ISP（InternetServiceProvider，網絡服務提供商）的中心交換設備來構建專用通道，但公共圖書館內部局域網互聯(lián)速度相對較快，所以圖書館VPN網絡互聯(lián)宜采用自建的方式。其優(yōu)勢如下：①多數公共圖書館都具備良好的計算機基礎設施和內聯(lián)局域網，接入因特網帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢更加突出。在此基礎上自建VPN，既便捷又經濟。②能使圖書館互聯(lián)網絡對所有的安全認證、網絡系統(tǒng)以及網絡訪問情況進行控制，建立端到端的安全結構，集成和協(xié)調現(xiàn)有的內部安全技術。③開發(fā)額外的新的應用服務不用通過與ISP協(xié)商。圖書館信息技術應用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據需要來配置自己的安全策略，滿足不同級別的安全需要。

2.2VPN類型的選擇目前國內高校大多采用IPSec（IPSecurity）VPN技術來解決校外用戶訪問校圖書館問題。但由于IPSec協(xié)議最初是為了解決點對點的安全問題而制定的。因此在此基礎上建立的遠程接入方案面對越來越多終端站點時，已日漸顯得力不從心。

在此情況下，SSL（SecruitySocketLayer）VPN技術應運而生。SSLVPN的突出優(yōu)勢在于Web安全和移動接入。它可以提供遠程的安全接入，而無需安裝或設定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSLVPN公認的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶端不需要安裝，直接利用瀏覽器中內嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的InternetIP即可成功接入圖書館。

但SSLVPN并不能取代IPSecVPN，因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSecVPN是在兩個局域網之間通過Intemet建立安全連接，是實現(xiàn)點對點之間的通信。并且，IPSec工作于網絡層，不局限于Web應用。從高校應用來看，由于SSL接人方式下所有用戶的訪問請求都是從SSLVPN設備的LAN口發(fā)起的。對于那些對單個用戶流量有嚴格限制的資源商來說，集群SSL用戶的訪問會被當成一個用戶對待。這樣當集群訪問流量達到資源商限制的數值時，就極易造成該IP被禁用，從而導致所有SSL用戶無法繼續(xù)訪問圖書館。

為解決這個問題，可以將圖書館大量的校外用戶分為兩類，一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶（比如教師，但用戶數量少）；另一類則是使用次數較少、訪問數據不多的用戶（比如學生，但用戶將數量多）。通過用戶劃分，我們給教師用戶分配IPSec接入方式，這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過大造成IP被禁用問題；而將那些數量眾多但訪問量小的學生用戶分配SSL接入方式。利用SSLVPN無需部署客戶端的特性來降低客戶端的維護工作量，從而實現(xiàn)VPN在圖書館應用的快速部署。

目前，許多VPN產品都能提供多種VPN接入形式，如：CiscoASA5500系列可以在單一平臺上提供IPSec和基于SSL（SecureSocketsLayer，安全套協(xié)議）的VPN服務，避免了為SSL和IPSecVPN部署分立的平臺而導致低效和成本增加。

2.3VPN支持的認證技術一個VPN系統(tǒng)應支持標準的認證方式，如基于機器特征碼、數字證書技術、遠程用戶撥號認證系統(tǒng)（RADIUS，RemoteAuthenticationDialInUserService）認證、基于公開密鑰基礎設施（PKI，PublicKeyInfrastructure）[5]的證書認證以及逐漸興起的生物識別技術等等。另外，還要提供基于用戶組策略的認證。

2.4VPN接入控制的選擇機制為了方便網絡使用者（包括館員、讀者、管理部門等等）互聯(lián)，所有局域網內部的用戶都必須有使用VPN服務器的權限。因此，接入控制顯得比其他兩種隧道形式更為重要。可以采用兩級的控制機制，粗度的接入控制交給VPN服務器來完成，VPN服務器上的安全策略數據庫（SPD,SafetyPolicyDatabase）可以實現(xiàn)基于類似于用戶組級別的控制，既把所有用戶劃分為不同等級的組來配置接入控制策略。細度的接入控制將由獨立的認證服務器來完成，可以使局域網共享一個證書機構CA（CertificateAuthority，數字證書認證中心）和安全策略服務器，由它來管理和發(fā)放數字證書，實現(xiàn)對控制資源的訪問。

2.5VPN數據安全采用分級處理方式數據安全包括數據加密、完整性檢測和抗篡改。VPN技術在支持多種加密算法的同時還提供了對數據完整性進行檢測的功能。在數據安全上，采用分級處理方式，對不同的等級的用戶配置不同的數據安全策略，把用戶分為普通級、普通加密級、高級加密級。對在普通級的用戶通訊數據（例如：讀者訪問圖書館電子資源）配置為不使用任何加密的安全策略；普通加密級的通訊數據采用低位的加密和散列函數進行完整性檢測安全策略；高級加密級的通訊數據可以采用多位的加密+散列函數的安全策略。

2.6VPN的設備選擇對于設備的選擇，可以根據自己的實際情況，結合已有網絡的特點從可擴展性、效果、性能、價錢等進行分析衡量選配。最好選擇集成防火墻功能的VPN產品，以保證加密的流量在解密后，同樣需要經過嚴格的訪問控制策略的檢查，保護VPN網關免受DoS（DenialofService，拒絕服務）攻擊和入侵威脅，提供更好的處理性能，簡化網絡管理的任務，快速適應動態(tài)、變化的網絡環(huán)境。

3總結

總之，VPN新技術綜合傳統(tǒng)數據網絡的安全性和較好的服務質量，以及共享數據網絡結構的簡單和低成本，建立安全的數據通道，滿足了用戶對網絡帶寬、接入和服務不斷增加的需求，在高校圖書館中構建以公眾網為基礎的虛擬專用網（VPN）系統(tǒng)，能有效解決當前高校圖書館資源的遠程利用問題和資源統(tǒng)一管理問題。隨著VPN技術的日益成熟，VPN必將成為未來圖書館互聯(lián)網絡的主要發(fā)展方向。

參考文獻：

[1]焦青亮.虛擬網絡VPN綜述[J].黑龍江科技信息.2007(1):54.

[2]唐淑娟，秦一方，井向陽.VPN技術與圖書館資源遠程利用[J].情報探索.2007(1):49-51.

[3]韓明明.VIP技術在高校圖書館中的應用探討[J].高校圖書情報論壇.2007(1):43-45.

[4]蔣東毅，呂述望，羅曉廣.VIP的關鍵技術分析[J].計算機工程與應用.2003(15):173-174.

[5]CarhonR.Davis.IPSecVPN的安全實施[M].周水彬，馮登國，徐震，等譯.北京:清華大學出版社.2002:151-162.