VPN技术在数字图书馆中的应用
2009-11-19刘渝
刘 渝
〔摘 要〕越来越多的读者希望通过网络访问电子资源,利用VPN(虚拟专用网络)技术实现读者在信息资源的远程访问,就是一种安全可靠、切实可行的解决方案。本文介绍了VPN技术的基本原理、实现方式和VPN的几种关键技术,并对数字图书馆建设中常用的几种VPN技术作了一些探讨。
〔关键词〕虚拟专用网(VPN);数字图书馆;模式
〔中图分类号〕G250.76 〔文献标识码〕B 〔文章编号〕1008-0821(2009)09-0088-03
Application of VPN Technology in Digital LibraryLiu yu
(Hebei University and College Library and Information Work Committee,Baoding 071002,China)
〔Abstract〕More and more readers hope to use electronic resource by internet.It was a safe and practical solution that was found to remote access to the digital resource of university library by using VPN technology.This article introduced the basic principle and realizing method of VPN technology,as well as the important technology of VPN,the arctical also probed into several common use of VPN technology in digital library.
〔Key words〕virtual private network(VPN);digital library;remote access
近年来,随着网络技术和网络应用的迅猛发展,用户对专用网络的需求越来越大,同时面对业务数据流量的不断增长,用户对网络的高性能、高可靠性、灵活性、安全性、经济性和可扩展性等方面提出了更高的要求,使得传统的基于固定地点的租用专线(DDN、ATM/帧中继)联网方式已难以适应现代业务对专用网络的需求,尤其对一些特殊应用更加难以实现,如:异地办公和外出人员访问内部网络资源等。利用公网的资源来组建虚拟专用网络(VPN)已成为一种新的选择,VPN是利用公共网络建立的一个临时连接,是对企业内部网的扩展。VPN利用加密技术对经过隧道传输的数据进行加密,以保证数据仅指定的发送者和接收者了解,从而保证了数据的专用性和安全性。另外VPN可以按照优先级分配带资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生;VPN能够支持通过Intranet和Extranet的任何类型的数据流,支持多种类型的传输媒介,满足同时传输语音、图像等应用对高质量传输以及带宽增加的需求。
1 VPN技术概述
1.1 VPN的概念
VPN(Virtual Private Network)[1]是一种通过ISP和其它NSP在公网中建立用户私有专用网,通过私有隧道在公共数据网上仿真一条点到点的专线网络技术。利用VPN,用户无需拥有实际的长途数据线路,通过Internet公众数据网络就可虚拟地构建一个符合自己需求的专用网络。
1.2 VPN的工作原理
以Access VPN为例[2],VPN是C/S(客户端/服务端)模式的结构,要实现VPN连接,单位内部网络中须配置一台基于Windows/NT2000 Server或Windows2003 Server的VPN服务器,VPN服务器内置两块网卡,一端连接单位内部专用网络,另一端连接到Internet,也就是说VPN服务器必须拥有一个公网IP地址。当客户机要连接专用网时,首先与ISP的PPP服务器建立连接,PPP服务器再将所有的数据传送到VPN服务器,然后再由VPN服务器进行身份验证,最后将所有的数据传送到目标计算机。
VPN使用3个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应。如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果有,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
1.3 VPN的实现方式
VPN连接方式一般可分为两类:一是拨号VPN为移动用户和远程办公用户提供对单位内部网的远程访问,主要基于PPTP和L2F协议。这种VPN连接方式先通过普通的拨号(如Modem、ISDN、X•25、虚拟ADSL等)与公用网进行连接,然后再通过VPN专用网络连接项,输入目标网络的IP地址或域名进行连接。二是专线VPN是指企业已通过专线方式与公网建立了连接,这种连接方式一般都需要有静态的IP地址[3]。
无论何种连接方式,都要通过硬件VPN或软件VPN来实现。硬件VPN可以是具有VPN连接功能的路由器、防火墙、或是专用VPN交换机,如Cisco的VPN Concentrator 3000,北电的Contivity等。软件VPN是安装专门VPN软件或用Microsoft提供的Windows 2000 server自带的VPN包。
2 数字图书馆建设中常用的VPN模式
2.1 IPSec VPN模式
IPSec包括安全协议,及为这些安全协议协商安全参数的密钥管理协议。IPSec提供访问控制、数据完整性、身份认证、重放保护、加密以及数据流分类加密等服务。IPSec在IP层提供安全服务,它包括两个安全协议:AH(报文验证头协议)和ESP(报文安全封装协议)。目前国内已经有不少图书馆采用了或者正尝试使用VPN技术来解决这个问题,而且大多是采用IPSec VPN技术[4]。利用IPSec技术,校外用户在本机安装一个VPN客户端软件后经过配置连入图书馆网络,IPSec VPN中心端会给每个远程用户分配一个校园网IP地址,从而实现远程用户以校园网用户身份访问电子资源。
2.2 SSL VPN模式
IPSec VPN模式[5]有很多优点,技术相对成熟与稳定,安全性能较好。但也存在一些不足,例如用户配置比较繁杂、网络的兼容性较差。相比IPSecVPN来说,SSL VPN模式在以下几方面做了改进。首先SSL VPN模式操作简单,它不需要配置,可以立即安装,立即生效;其次是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;最后是SSL VPN对网络性能要求较低,兼容性好,适用任何终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆即可。SSL VPN技术采用了一种类似代理性质的技术,所有的访问都是以SSL VPN设备的LAN口的名义发起的,所以只要SSL VPN设备的LAN IP是一个合法的校园网IP,所有成功接入SSL的校外用户都可以成功访问这个SSL VPN设备LAN口所能访问的资源。IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信。并且,IPSec工作于网络层,不局限于Web应用。相比IPSec VPN来说,SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,在安全方面和应用的扩展性方面做得更好。
2.3 L2TP VPN模式
L2TP协议不仅支持已注册IP地址,也支持私有IP地址以及IPX,X2.5等多协议传输。L2TP将PPP分组进行隧道封装并在不同的传输媒体上传输。这种技术允许不同的网络场所共享如调制解调器、访问服务器、ISDN路由器等基础设施。从而将用户直接拨号访问服务器与PPP会话的逻辑终点的物理位置分隔。这使得异地访问和存取数据变得极为方便和安全。L2TP定义了一种将PPP分组封装传输的协议。它能逻辑地延伸PPP链接,将PPP链接的物理终点和逻辑终点相分离,从而使用户的远程访问能利用PPP成熟的鉴别、授权和审计等功能,但L2TP的安全性较差。而IPSec VPN模式则有一套强而灵活的IP层安全机制,能对IP数据流进行完整性、机密性、防重放攻击等的保护,也能灵活地提供控制的连接级、数据的分组级源鉴别。但是IPSec VPN仍然存在一些需要解决的问题,如多协议封装、用户级身份鉴别等。数字图书馆在使用VPN过程中,也可以将L2TP和IPSec相结合使用,利用IPSec弥补L2TP的安全方面的不足,同时又利用L2TP来弥补IPSec在多协议封装、用户级身份鉴别、授权等方面的不足。
2.4 MPLS VPN模式
MPLS(Multiprotocol Label Switch,多协议标签交换),集成了IP路由技术的灵活性和二层交换的简捷性,在面向无连接的IP网络中增加了MPLS这种面向连接的属性。MPLS可以看做是一种面向连接的技术。MPLS VPN是一种基于MPLS技术的VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)。在MPLS VPN模式中,根据PE(Provider Edge)设备是否参与VPN路由又可分为二层VPN和三层VPN。从整体来说MPLS VPN还是在发展和成型阶段[6]。其中三层MPLS BGP VPN相对来说比较成熟。在数字图书馆建设中,MPLS VPN具有很多优点,例如组建网络简单易行、管理和维护成本低、用户点多、速度快。通过MPLS VPN模式,用户端设备可以采用普通路由器,甚至是带简单路由功能的交换机,然后租用运营商相应速率的VPN端口,就可享用互联网巨大的带宽和高速转发能力。它以较低的价格,充分利用路由器的快速转发能力和巨大的传输带宽,满足用户较高带宽的应用要求,如视频、话音与数据的一体化传输。
3 组建图书馆VPN
校园网内用户可直接访问图书馆局域网内的各种数字资源,为使校园网用户在校外也能方便地检索到图书馆数字资源,需在校园网内建立一个VPN服务器,授权用户可通过它从校外访问图书馆内部资源,并通过适当的访问策略配置,以保证网络安全。以使用WindowsXP建立VPN服务器为例[7]。
3.1 配置VPN服务器
首先点击“开始”→“程序”→“附件”→“通讯”→新建连接向导后,选择“设置高级连接”。在随后弹出的对话框中选择“接受传入的连接”。接着系统会询问是否使用并口设备,此时应当选择跳过,因为我们并非通过并口直连这种落后的慢速方式。下一步是最关键的部分,此时须选择“允许虚拟专用连接”。如果未选择这一步,整个VPN配置将会被取消。接下来直接按“下一步”,完成拨入连接的创建,其它具体的设置可在创建工作完成后进行。当上述的步骤顺利完成之后,WindowsXP系统中就会生成一个远程控制报务器虚拟网络适配器,在“网络邻居”的属性中有一个“传入的连接”,它用于处理VPN的连接和IP地址的分配。在“传入的连接”属性中有“常规”、“用户”和“网络”3个选项卡。“常规”选项卡中可设置这台服务器在VPN服务中担当的角色,只按默认即可。在“用户”选项卡中,管理员可以对使用VPN的用户进行权限的分配和相应的设置,用户可根据具体的实际使用情况来选择。在“网络”选项卡的“Internet协议(TCP/IP)”的属性中可设置服务器分配给远程客户的IP地址,如选择“用DHCP自动指派TCP/IP地址”,则远程客户的IP地址由服务器的DHCP服务自动分配,但要求服务器已安装了DHCP服务。
3.2 赋予用户权限
在默认状态下,任何用户都会被拒绝拨入到VPN服务器,因此,在设置好VPN服务器后还必须进行赋权操作,通过远程访问策略的设定,可根据用户的不同特征分配不同的权限。如果要给一个用户赋予拨入到此服务器的权限,只需在用户管理器中,选中所要的用户后,单击右键→属性,在该用户属性窗口中选择“拨入”项,然后点击“允许访问”项,再确定,即可完成赋予此用户拨入权限的工作。
3.3 设置VPN客户端
远程用户在与VPN服务器连接之前,需先对VPN客户端软件进行配置。对于Window2000/xp,首先进入“新建连接”的界面,在“网络类型选择”中选择“连接到我的工作场所的网络”或“通过Internet连接到专用网络”,随后选择“虚拟私人网络连接”,在出现的登录界面或“目标地址”中输入VPN服务器的公网IP地址,并为该连接取个易理解的名称,至此,客户端的配置就已完成。
3.4 通过VPN连接访问图书馆
建立VPN连接后,就相当于在Internet建立了一个双方专用的虚拟通道。远程用户首先连入Internet,再用前面创建的连接进行连接,连接时用到的用户名、密码和拨入属性就是VPN服务器上事先设置的内容。连接成功后,远程用户被分配到校内图书馆私有IP地址,也就相当于远程用户成了图书馆专用网里的用户,可像在校内一样访问图书馆的各项电子资源,这样的访问是双方专用的,且具有很好的保密性能。
VPN技术代表了当今网络发展的最新趋势,它综合了传统数据网络性能的优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的安全连接,建设与维护费用比专线网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。根据Infonetice Research公司调查数据表明,用VPN替代租用线路来连接远程站点可节约20%~47%的开支,这种经济、安全和灵活的技术,在国外图书馆已经逐步普及。在国内,一些高校图书馆也开始应用VPN技术实现多校区图书馆互联和开展一些远程文献信息服务。VPN技术在高校图书馆的应用,必将提高图书馆利用效率,为图书馆的远程文献信息服务打开新局面,尤其为多校区图书馆之间资源的共享提供安全、高效、经济的网络传输和数据访问途径。随着VPN技术的日益成熟,它将在图书馆得到更为广泛的应用。
参考文献
[1]江先斌.VPN技术在图书馆中的应用[J].福建电脑,2004,(9):28.
[2]曾巧红.VPN技术在高校图书馆的应用[J].情报学报,2005,(6):53.
[3]魏华.VPN技术在图书馆远程访问中的应用[J].现代情报,2006,(1):41.
[4]王朗.利用VPN技术实现合并图书馆分馆互联[J].现代图书情报技术,2004,(5):24.
[5]赵丽萍.虚拟专用网VPN在图书馆资源共享中的应用[J].现代图书情报技术,2005,(2):38.
[6]周喜,等.VPN现状与在网区中的部署分析[J].计算机应用研究,2003,(2):105.
[7]石百千.基于WinXP系统的VPN技术在图书馆中的应用[J].大学图书情报学刊,2006,(4):37.
