導(dǎo)語：VPN技術(shù)在圖書館互聯(lián)的運用透析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：圖書館所購買的電子資源，大部分只允許擁有校內(nèi)IP地址的授權(quán)用戶訪問，對于某些在校外通過撥號等方式上網(wǎng)卻沒有固定IP地址的用戶，無法訪問圖書館資源，該文提出利用vpn技術(shù)在校園網(wǎng)的基礎(chǔ)上架構(gòu)一個安全、可靠的專用虛擬網(wǎng)絡(luò)，專供圖書館管理系統(tǒng)使用。

關(guān)鍵詞：圖書館網(wǎng)絡(luò)互聯(lián)vpn技術(shù)

0引言

隨著Internet和信息技術(shù)的快速發(fā)展，人們越來越依賴Internet進(jìn)行各種數(shù)據(jù)交換和信息存取，高校信息化建設(shè)也進(jìn)一步完善，應(yīng)用系統(tǒng)逐漸豐富，圖書館信息資源得到飛速的發(fā)展，現(xiàn)在教師的教學(xué)、科研都離不開圖書館信息資源。

然而對于圖書館來說，基于安全和知識產(chǎn)權(quán)的考慮，文獻(xiàn)信息資源并不是無限制地對外開放，圖書館許多信息資源僅限校內(nèi)訪問。如圖書館所購買的電子資源，大部分只允許擁有校內(nèi)IP地址的授權(quán)用戶訪問。這樣，對于某些在校外通過撥號等方式上網(wǎng)卻沒有固定IP地址的用戶，以及范圍不在校園局域網(wǎng)內(nèi)的寬帶用戶就很難利用到校園圖書館網(wǎng)上的文獻(xiàn)資源。

此外，許多高校圖書館為了規(guī)范化管理，均采用統(tǒng)一的圖書館管理系統(tǒng)在校園網(wǎng)上支撐多校區(qū)圖書館業(yè)務(wù)，勢必存在許多安全隱患，為了安全起見一般采用獨立成網(wǎng)，但是這種做法費用高而且不靈活。若能在校園網(wǎng)的基礎(chǔ)上架構(gòu)一個安全、可靠的專用虛擬網(wǎng)絡(luò)，專供圖書館管理系統(tǒng)使用，既廉價又方便。

本文介紹了運用VPN技術(shù)來解決以上問題的方案。

1VPN描述

1.1VPN的定義VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）是一種通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密，在公網(wǎng)如因特網(wǎng)上傳輸私有數(shù)據(jù)，同時保證私有網(wǎng)絡(luò)安全性的技術(shù)。它是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個臨時、安全、邏輯上的專用通道，盡管沒有自己的專用線路，但是這個邏輯上的專用通道卻可以提供和專用網(wǎng)絡(luò)同樣的功能[1]。

1.2VPN的主要特點

1.2.1網(wǎng)際互聯(lián)安全性高[2]VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

1.2.2經(jīng)濟實用、管理簡化[3]由于VPN獨立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷和安全配置。

1.2.3可擴展性好[4]如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務(wù)范圍。在遠(yuǎn)程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對工作站自動進(jìn)行配置。

1.2.4支持多種應(yīng)用由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運用在廣域網(wǎng)上。VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真等。

1.2.5有效實現(xiàn)網(wǎng)絡(luò)資源共建共享在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下，可以實現(xiàn)整個VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開發(fā)帶來的巨大浪費，甚至可以實現(xiàn)普通讀者在家用ADSL來訪問公共圖書館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫。

2利用VPN實現(xiàn)圖書館網(wǎng)絡(luò)互聯(lián)

要實現(xiàn)對分布在不同地域的信息資源實行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總館與分館的資源，進(jìn)行內(nèi)部業(yè)務(wù)交流和開展讀者服務(wù)工作，必須解決兩個問題：第一，要建立圖書館網(wǎng)絡(luò)間的安全通道，保護(hù)鏈路的通訊安全。第二，要根據(jù)身份認(rèn)證實現(xiàn)圖書館網(wǎng)絡(luò)內(nèi)部共享資源的訪問控制。利用VPN技術(shù)將有效解決上述問題。

2.1采用自建方式構(gòu)建VPN網(wǎng)絡(luò)雖然可以通過ISP（InternetServiceProvider，網(wǎng)絡(luò)服務(wù)提供商）的中心交換設(shè)備來構(gòu)建專用通道，但公共圖書館內(nèi)部局域網(wǎng)互聯(lián)速度相對較快，所以圖書館VPN網(wǎng)絡(luò)互聯(lián)宜采用自建的方式。其優(yōu)勢如下：①多數(shù)公共圖書館都具備良好的計算機基礎(chǔ)設(shè)施和內(nèi)聯(lián)局域網(wǎng)，接入因特網(wǎng)帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢更加突出。在此基礎(chǔ)上自建VPN，既便捷又經(jīng)濟。②能使圖書館互聯(lián)網(wǎng)絡(luò)對所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。③開發(fā)額外的新的應(yīng)用服務(wù)不用通過與ISP協(xié)商。圖書館信息技術(shù)應(yīng)用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據(jù)需要來配置自己的安全策略，滿足不同級別的安全需要。

2.2VPN類型的選擇目前國內(nèi)高校大多采用IPSec（IPSecurity）VPN技術(shù)來解決校外用戶訪問校圖書館問題。但由于IPSec協(xié)議最初是為了解決點對點的安全問題而制定的。因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案面對越來越多終端站點時，已日漸顯得力不從心。

在此情況下，SSL（SecruitySocketLayer）VPN技術(shù)應(yīng)運而生。SSLVPN的突出優(yōu)勢在于Web安全和移動接入。它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSLVPN公認(rèn)的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的InternetIP即可成功接入圖書館。

但SSLVPN并不能取代IPSecVPN，因為這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSecVPN是在兩個局域網(wǎng)之間通過Intemet建立安全連接，是實現(xiàn)點對點之間的通信。并且，IPSec工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。從高校應(yīng)用來看，由于SSL接人方式下所有用戶的訪問請求都是從SSLVPN設(shè)備的LAN口發(fā)起的。對于那些對單個用戶流量有嚴(yán)格限制的資源商來說，集群SSL用戶的訪問會被當(dāng)成一個用戶對待。這樣當(dāng)集群訪問流量達(dá)到資源商限制的數(shù)值時，就極易造成該IP被禁用，從而導(dǎo)致所有SSL用戶無法繼續(xù)訪問圖書館。

為解決這個問題，可以將圖書館大量的校外用戶分為兩類，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶（比如教師，但用戶數(shù)量少）；另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶（比如學(xué)生，但用戶將數(shù)量多）。通過用戶劃分，我們給教師用戶分配IPSec接入方式，這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過大造成IP被禁用問題；而將那些數(shù)量眾多但訪問量小的學(xué)生用戶分配SSL接入方式。利用SSLVPN無需部署客戶端的特性來降低客戶端的維護(hù)工作量，從而實現(xiàn)VPN在圖書館應(yīng)用的快速部署。

目前，許多VPN產(chǎn)品都能提供多種VPN接入形式，如：CiscoASA5500系列可以在單一平臺上提供IPSec和基于SSL（SecureSocketsLayer，安全套協(xié)議）的VPN服務(wù)，避免了為SSL和IPSecVPN部署分立的平臺而導(dǎo)致低效和成本增加。

2.3VPN支持的認(rèn)證技術(shù)一個VPN系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證方式，如基于機器特征碼、數(shù)字證書技術(shù)、遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)（RADIUS，RemoteAuthenticationDialInUserService）認(rèn)證、基于公開密鑰基礎(chǔ)設(shè)施（PKI，PublicKeyInfrastructure）[5]的證書認(rèn)證以及逐漸興起的生物識別技術(shù)等等。另外，還要提供基于用戶組策略的認(rèn)證。

2.4VPN接入控制的選擇機制為了方便網(wǎng)絡(luò)使用者（包括館員、讀者、管理部門等等）互聯(lián)，所有局域網(wǎng)內(nèi)部的用戶都必須有使用VPN服務(wù)器的權(quán)限。因此，接入控制顯得比其他兩種隧道形式更為重要。可以采用兩級的控制機制，粗度的接入控制交給VPN服務(wù)器來完成，VPN服務(wù)器上的安全策略數(shù)據(jù)庫（SPD,SafetyPolicyDatabase）可以實現(xiàn)基于類似于用戶組級別的控制，既把所有用戶劃分為不同等級的組來配置接入控制策略。細(xì)度的接入控制將由獨立的認(rèn)證服務(wù)器來完成，可以使局域網(wǎng)共享一個證書機構(gòu)CA（CertificateAuthority，數(shù)字證書認(rèn)證中心）和安全策略服務(wù)器，由它來管理和發(fā)放數(shù)字證書，實現(xiàn)對控制資源的訪問。

2.5VPN數(shù)據(jù)安全采用分級處理方式數(shù)據(jù)安全包括數(shù)據(jù)加密、完整性檢測和抗篡改。VPN技術(shù)在支持多種加密算法的同時還提供了對數(shù)據(jù)完整性進(jìn)行檢測的功能。在數(shù)據(jù)安全上，采用分級處理方式，對不同的等級的用戶配置不同的數(shù)據(jù)安全策略，把用戶分為普通級、普通加密級、高級加密級。對在普通級的用戶通訊數(shù)據(jù)（例如：讀者訪問圖書館電子資源）配置為不使用任何加密的安全策略；普通加密級的通訊數(shù)據(jù)采用低位的加密和散列函數(shù)進(jìn)行完整性檢測安全策略；高級加密級的通訊數(shù)據(jù)可以采用多位的加密+散列函數(shù)的安全策略。

2.6VPN的設(shè)備選擇對于設(shè)備的選擇，可以根據(jù)自己的實際情況，結(jié)合已有網(wǎng)絡(luò)的特點從可擴展性、效果、性能、價錢等進(jìn)行分析衡量選配。最好選擇集成防火墻功能的VPN產(chǎn)品，以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DoS（DenialofService，拒絕服務(wù)）攻擊和入侵威脅，提供更好的處理性能，簡化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。

3總結(jié)

總之，VPN新技術(shù)綜合傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性和較好的服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡單和低成本，建立安全的數(shù)據(jù)通道，滿足了用戶對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，在高校圖書館中構(gòu)建以公眾網(wǎng)為基礎(chǔ)的虛擬專用網(wǎng)（VPN）系統(tǒng)，能有效解決當(dāng)前高校圖書館資源的遠(yuǎn)程利用問題和資源統(tǒng)一管理問題。隨著VPN技術(shù)的日益成熟，VPN必將成為未來圖書館互聯(lián)網(wǎng)絡(luò)的主要發(fā)展方向。

參考文獻(xiàn)：

[1]焦青亮.虛擬網(wǎng)絡(luò)VPN綜述[J].黑龍江科技信息.2007(1):54.

[2]唐淑娟，秦一方，井向陽.VPN技術(shù)與圖書館資源遠(yuǎn)程利用[J].情報探索.2007(1):49-51.

[3]韓明明.VIP技術(shù)在高校圖書館中的應(yīng)用探討[J].高校圖書情報論壇.2007(1):43-45.

[4]蔣東毅，呂述望，羅曉廣.VIP的關(guān)鍵技術(shù)分析[J].計算機工程與應(yīng)用.2003(15):173-174.

[5]CarhonR.Davis.IPSecVPN的安全實施[M].周水彬，馮登國，徐震，等譯.北京:清華大學(xué)出版社.2002:151-162.