摘要:图书馆所购买的电子资源,大部分只允许拥有校内ip地址的授权用户访问,对于某些在校外通过拨号等方式上网却没有固定ip地址的用户,无法访问图书馆资源,该文提出利用vpn技术在校园网的基础上架构一个安全、可靠的专用虚拟网络,专供图书馆管理系统使用。
关键词:图书馆 网络互联 vpn技术
0 引言
随着internet和信息技术的快速发展,人们越来越依赖internet进行各种数据交换和信息存取,高校信息化建设也进一步完善,应用系统逐渐丰富,图书馆信息资源得到飞速的发展,现在教师的教学、科研都离不开图书馆信息资源。
然而对于图书馆来说,基于安全和知识产权的考虑,文献信息资源并不是无限制地对外开放,图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源,大部分只允许拥有校内ip地址的授权用户访问。这样,对于某些在校外通过拨号等方式上网却没有固定ip地址的用户,以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。
此外,许多高校图书馆为了规范化管理,均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务,势必存在许多安全隐患,为了安全起见一般采用独立成网,但是这种做法费用高而且不灵活。WWW.133229.COm若能在校园网的基础上架构一个安全、可靠的专用虚拟网络,专供图书馆管理系统使用,既廉价又方便。
本文介绍了运用vpn技术来解决以上问题的方案。
1 vpn描述
1.1 vpn的定义 vpn(virtual private network,虚拟专用网)是一种通过对网络数据进行封包和加密,在公网如因特网上传输私有数据,同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能[1]。
1.2 vpn的主要特点
1.2.1 网际互联安全性高[2] vpn技术继承了现有网络的安全技术,并结合了下一代ipv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
1.2.2 经济实用、管理简化[3] 由于vpn独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于vpn可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
1.2.3 可扩展性好[4] 如果想扩大vpn的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加vpn能力也很简单,几条命令就可以使extranet路由器拥有因特网和vpn能力,路由器还能对工作站自动进行配置。
1.2.4 支持多种应用 由于vpn给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。vpn则可以支持各种高级的应用,如ip语音,ip传真等。
1.2.5 有效实现网络资源共建共享 在网络安全的保证下和认证技术的支持下,可以实现整个vpn体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用adsl来访问公共图书馆局域网络中的全文数据库。
2 利用vpn实现图书馆网络互联
要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理,并有效地利用各总馆与分馆的资源,进行内部业务交流和开展读者服务工作,必须解决两个问题:第一,要建立图书馆网络间的安全通道,保护链路的通讯安全。第二,要根据身份认证实现图书馆网络内部共享资源的访问控制。利用vpn技术将有效解决上述问题。
2.1 采用自建方式构建vpn网络 虽然可以通过isp(internet service provider,网络服务提供商)的中心交换设备来构建专用通道,但公共图书馆内部局域网互联速度相对较快,所以图书馆vpn网络互联宜采用自建的方式。其优势如下:①多数公共图书馆都具备良好的计算机基础设施和内联局域网,接入因特网带宽有百兆、甚至千兆,而总馆在这方面的优势更加突出。在此基础上自建vpn,既便捷又经济。②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与isp协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略,满足不同级别的安全需要。
2.2 vpn类型的选择 目前国内高校大多采用ipsec(ip security)vpn技术来解决校外用户访问校图书馆问题。但由于ipsec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接入方案面对越来越多终端站点时,已日渐显得力不从心。
在此情况下,ssl(secruity socket layer)vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入。它可以提供远程的安全接入,而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前,对ssl vpn公认的三大好处:一是它不需要配置,可以立即安装立即生效和使用;二是客户端不需要安装,直接利用浏览器中内嵌的ssl协议就行;三是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆。
但ssl vpn并不能取代ipsec vpn,因为这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过intemet建立安全连接,是实现点对点之间的通信。并且,ipsec工作于网络层,不局限于web应用。从高校应用来看,由于ssl接人方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的。对于那些对单个用户流量有严格限制的资源商来说,集群ssl用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时,就极易造成该ip被禁用,从而导致所有ssl用户无法继续访问图书馆。
为解决这个问题,可以将图书馆大量的校外用户分为两类,一类是使用图书馆资源较为频繁、访问数据量较大的用户(比如教师,但用户数量少);另一类则是使用次数较少、访问数据不多的用户(比如学生,但用户将数量多)。通过用户划分,我们给教师用户分配ipsec接入方式,这样就可以把大流量的用户分配到不同的ip地址上。避免ip流量过大造成ip被禁用问题;而将那些数量众多但访问量小的学生用户分配ssl接入方式。利用ssl vpn无需部署客户端的特性来降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。
目前,许多vpn产品都能提供多种vpn接入形式,如:ciscoasa5500系列可以在单一平台上提供ipsec和基于ssl(securesocketslayer,安全套协议)的vpn服务,避免了为ssl和ipsecvpn部署分立的平台而导致低效和成本增加。
2.3 vpn支持的认证技术 一个vpn系统应支持标准的认证方式,如基于机器特征码、数字证书技术、远程用户拨号认证系统(radius,remote authentication dial in user service)认证、基于公开密钥基础设施(pki,public key infrastructure)[5]的证书认证以及逐渐兴起的生物识别技术等等。另外,还要提供基于用户组策略的认证。
2.4 vpn接入控制的选择机制 为了方便网络使用者(包括馆员、读者、管理部门等等)互联,所有局域网内部的用户都必须有使用vpn服务器代理的权限。因此,接入控制显得比其他两种隧道形式更为重要。可以采用两级的控制机制,粗度的接入控制交给vpn服务器来完成,vpn服务器上的安全策略数据库(spd,safety policy database)可以实现基于类似于用户组级别的控制,既把所有用户划分为不同等级的组来配置接入控制策略。细度的接入控制将由独立的认证服务器来完成,可以使局域网共享一个证书机构ca(certificate authority,数字证书认证中心)和安全策略服务器,由它来管理和发放数字证书,实现对控制资源的访问。
2.5 vpn数据安全采用分级处理方式 数据安全包括数据加密、完整性检测和抗篡改。vpn技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上,采用分级处理方式,对不同的等级的用户配置不同的数据安全策略,把用户分为普通级、普通加密级、高级加密级。对在普通级的用户通讯数据(例如:读者访问图书馆电子资源)配置为不使用任何加密的安全策略;普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略;高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。
2.6 vpn的设备选择 对于设备的选择,可以根据自己的实际情况,结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。最好选择集成防火墙功能的vpn产品,以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护vpn网关免受dos(denialofservice,拒绝服务)攻击和入侵威胁,提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。
3 总结
总之,vpn新技术综合传统数据网络的安全性和较好的服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道,满足了用户对网络带宽、接入和服务不断增加的需求,在高校图书馆中构建以公众网为基础的虚拟专用网(vpn)系统,能有效解决当前高校图书馆资源的远程利用问题和资源统一管理问题。随着vpn技术的日益成熟,vpn必将成为未来图书馆互联网络的主要发展方向。
参考文献:
[1]焦青亮.虚拟网络vpn综述[j].黑龙江科技信息.2007(1):54.
[2]唐淑娟,秦一方,井向阳.vpn技术与图书馆资源远程利用[j].情报探索.2007(1):49-51.
[3]韩明明.vip技术在高校图书馆中的应用探讨[j].高校图书情报论坛.2007(1):43-45.
[4]蒋东毅,吕述望,罗晓广.vip的关键技术分析[j].计算机工程与应用.2003(15):173-174.
[5]carhon r. davis.ipsec vpn的安全实施[m].周水彬,冯登国,徐震, 等译.北京:清华大学出版社.2002:151-162.