章 文

（华南理工大学 图书馆，广东 广州 510000）

0 引言

在进入新世纪以后，教学科研对图书馆的数字资源的依赖性越来越强，所以高校图书馆的数字化建设是其中的重中之重，一个完备的数字化资源中心，能够对对一个高校的科研起到极其强有力的支撑作用。而目前高校图书馆的数字资源，由于版权和网络的问题，一般对部分资源实行IP限制，使其只能本校师生在校内访问，但如果在校外，就无能为力，怎么建立一个让合法读者能够在任何地方可靠、方便、高效、安全地获取图书馆电子资源，成了数字化图书馆建设的一个难题，SSL VPN技术的出现为该问题的解决提供的可行的策略。

1 SSL VPN技术

VPN技术，其英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯隧道，通过这些隧道形成一个虚拟的私有局域网络，很好的解决了远程访问问题。

但是传统的VPN只提供的连接隧道，并没有对数据进行加密，安全性不高，于是引入了SSL技术。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持，通过SSL VPN能够完美实现登陆限制以及远程安全访问。

SSL VPN访问流程可以简化为下面四步：

（1）用户提交用户名和密码；

（2）服务器验证用户名和密码是否正确；

（3）允许用户接入并建立从用户到SSL VPN服务器的通信隧道；

（4）用户通过隧道访问特定资源，访问请求SSL VPN服务器后，由服务器代理用户进行资源访问，并将取回的信息通过隧道传回给用户。

图1 SSL VPN远程登录系统网络拓扑结构

2 SSL VPN适合图书馆的优点

2.1 使用与维护简单，易于扩展适用人群，SSL VPN的使用不需要任何安装，只需要一个常见的浏览器，如IE，火狐等，使用简单这一特点，恰好是高校图书馆最需要的。

2.2 因为SSL VPN的会话传输是基于会话层的，能够适应各种ISP供应商，具有超强的适应性，对于近几年兴起的移动平台也有很好的支持性。

2.3 完善的用户行为控制，因为有了SSL进行身份认证，所以可以根据不同的用户，设置不同的使用权限，同时也可以监控每个用户的流量以及资源的使用情况，该特性对于高校人员的划分极其有用，高校包含了本科生，研究生，教授等不同级别的人员，对这些用户区分是很重要的；同时，监控统计每个资源的使用频率，对评估教学科研情况也能起到了重要的作用。

2.4 SSL VPN使用SSL协议进行加密，保证了信息的真实性、完整性和保密性，对于高校图书馆购买的非公开免费资源或者一些军工保密资源，这点尤其重要。

3 基于SSL VPN的图书馆数字资源远程访问系统部署方案的探讨

现今SSL VPN平台架构技术越来越成熟，其强大的用户验证及行为控制，高效稳定安全的数据传输，让各高校图书馆纷纷选择SSL VPN作为远程访问的解决方案，相信各个图书馆的SSL VPN系统都大同小异，但是由于各个高校图书馆的网络情况各不相同，这对VPN系统的部署提出了不同的要求。以深信服公司的M5100-S服务器为例，有两种普通的部署模式：

（1）网关模式：该模式下，VPN处于局域网的前面，与核心交换机串联，所有的数据都要通过VPN服务器的验证，从而达到过滤重复消息，阻止非法登录的作用；

（2）单臂模式：该模式下VPN服务器位于防火墙后面，直接连到核心交换机上，允许来自局域网的数据不通过VPN服务器，让防火墙的功效得到了充分的发挥，同时VPN服务器死机不会造成网络的瘫痪。

笔者以某图书馆作为案列，详细介绍在图书馆的资源情况和网络环境下，究竟该部署何种部署模式,该图书馆绝大部分的数字资源都对IP进行了限制，数字资源访问总的来说可以分为本地资源请求和异地资源请求，而请求的来源可以分为校内，教育网内，和非教育网请求，对于来自局域网内的申请，为了提高效率，对这类申请就不通过VPN服务器，所以初步选用单臂模式进行部署。

进一步分析，由于存在非教育网的请求，为了实现能够跨网访问VPN服务器，有很多方法可以实现，比如在馆内接入ADSL专线直连到服务器上，但这种方法需要非教育网运营商接入专线，额外耗费资金，该图书馆选择对服务器的IP地址与电信网IP地址进行映射的方法，让非教育网用户能够直接访问VPN服务器，受技术限制，该映射为双向映射，每次出入都会改变信息头的IP信息，这是该校与其他学校网络环境最大的不同，这点就导致了如果有读者在电信网申请异地资源，那么因为双向映射，由VPN服务器发出去的申请所包含的IP信息因为通过了学校网关，就会映射成电信的IP，从而无法通过IP审核，导致申请失败，于是，为了避免这种情况，该图书馆放弃了原有的单臂模式部署策略，创造性的采用了非常规的双线网关模式，普通的网关模式只有一条线路，即VPN服务器本来的IP，而双线网关模式使用了两个IP，对访问请求在服务器内部进行内部跳转，用于应付不同的情况。

在双线网关模式下，VPN服务器上部署了两个IP，这里分别标记为IP1和IP2，IP1配置给WAN口，用于映射到公网，给外网或者外校访问用来登陆服务器以及建立通信隧道，来自教育网外的访问首先通过学校的映射，才能对IP1进行访问，LAN口配置IP2，用于代理用户访问内网以及从教育网访问公网资源。用户登录SSL VPN服务器和建立通信隧道与普通部署模式相同，后面VPN代理访问的过程就出现了变化，不再是使用IP1访问资源，而是在服务器内部进行了一次线路跳转，使用LAN口的IP2代理访问资源，通过IP2进行的访问不存在映射变换，这样巧妙的避过了校内IP1出校改变IP导致申请失败的问题，同时所有申请都经过了验证，安全性方面也得到了保障。

图2 双线网关模式访问流程图

SSL VPN的一个重大的优点就是提供身份认证，该型号服务器支持四种认证方式：本地密码验证，LDAP认证，Radius认证，证书与USB-KEY认证。最初的设想是通过LDAP技术导入学校认证中心的数据，来进行身份验证，但实际情况与设想出入很大，该模式安全度极低，为了安全起见，放弃了该种方式；其次本地密码验证，采用此种方式数据维护工作量比较大，而证书认证对用户体验非常不友好，最后，确定使用Radius认证，该认证的方式就是在VPN服务器以外，多部署一个Radius服务器，用户想SSL VPN发送申请后，VPN服务器建立隧道，并将申请信息转发到Radius服务器进行身份验证，Radius服务器调用图书馆核心读者库数据验证用户身份，并根据结果返回相应的用户信息，调用不同的用户资源。该种认证方式，维护简单，同时所有服务器处于同一防火墙下面，数据在局域网内部传递，安全性高。

该图书馆在SSL VPN的部署上，没有马虎了事，而是详细调研了实际网络情况和各类资源数据库以及读者习惯情况，同时不墨守陈规，创造性地采用了其他高校图书馆没用过的部署模式，起到了极好的效果，整个系统稳定、高效、安全。获得了广大师生的好评。

4 结束

SSL VPN的出现，大大降低了远程访问的成本，并且能够强有力的控制用户的行为，让高校图书馆数字化建设如虎添翼，目前SSL VPN已经成为了高校图书馆远程访问的主流技术。对于每个高校图书馆不同的网络环境，希望能够为SSL VPN平台找到一个最合适的本地部署方案，尽可能的提升远程访问系统的可靠性和高效性，为广大师生提供一个良好的使用体验。

［1］曾巧红，徐文贤，林绮屏.基于SSL VPN的图书馆远程访问系统的构建[J].情报科学，Vol，25 No.10.

［2］邹凯，陈添源.基于SSL VPN的图书馆远程访问平台构建[J].教育信息化,No.39.