基于虛擬專用網(wǎng)絡的數(shù)字圖書館遠程訪問模式設計

摘 要:對于圖書館服務而言，VPN正在得到廣泛的推廣與應用，既能夠為圖書館之間的資源共享提供網(wǎng)絡傳輸途徑，又可以為遠程異地用戶提供資源服務，本文在介紹虛擬專用網(wǎng)技術(shù)的基礎上，給出了基于VPN的圖書館資源遠程訪問解決方案。

關(guān)鍵詞:虛擬專用網(wǎng)絡數(shù)字圖書館遠程訪問

中圖分類號:G250.76文獻標識碼:A文章編號:1674-098X(2011)05(b)-0207-01

圖書館在使用過程中由于涉及到版權(quán)保護，容易導致異地用戶或者外網(wǎng)用戶無法對其資源進行訪問。為了解決此問題，一個典型的遠程訪問技術(shù)VPN(虛擬專用網(wǎng))正在被越來越廣泛的使用。本文在介紹虛擬專用網(wǎng)技術(shù)的基礎上，給出了基于VPN的圖書館資源遠程訪問解決方案。

1 VPN技術(shù)簡介

VPN即虛擬專用網(wǎng)，SSL VPN是VPN的一種。其實現(xiàn)軟件既可以安裝在現(xiàn)有服務器上也可以固化在專業(yè)的硬件上。基于虛擬專用網(wǎng)的圖書館數(shù)字資源訪問技術(shù)優(yōu)勢集中體現(xiàn)在以下幾個方面:

虛擬專用網(wǎng)的簡單性。SSL VPN是最簡單的一種解決遠程用戶訪問圖書館的形式。原因在于SSL協(xié)議是內(nèi)嵌于用戶瀏覽器中的，因此就舍去了客戶端上安裝軟件的步驟，用戶只需連接Internet，就能通過網(wǎng)頁訪問圖書館資源。因此，通過VPN就可以在外網(wǎng)用戶和圖書館之間的建立一條專用的數(shù)據(jù)傳輸通道，客戶對資源的任何訪問均需進行安全的身份驗證。

虛擬專用網(wǎng)的安全性。采取SSL VPN，攻擊者難以偵測出系統(tǒng)網(wǎng)絡設置，攻擊機會就會降低許多。通過SSL VPN進行連接，還能夠在很大程度上低于病毒的侵害，保證了圖書館信息系統(tǒng)的安全運行。

保護敏感的數(shù)據(jù)。結(jié)合不同用戶的身份，賦予其相應的訪問權(quán)限。通過用戶劃分，降低客戶端的維護工作量，保護了敏感數(shù)據(jù)，同時也實現(xiàn)虛擬專用網(wǎng)在圖書館應用的快速部署。

擴展性強。隨著網(wǎng)絡的擴張，虛擬專用網(wǎng)可以實現(xiàn)靈活的擴展。如果圖書館需要添加新的用戶或新的子網(wǎng)，只需在VPN服務器上對已有網(wǎng)絡軟件配置進行相應的修改即可。

2 基于VPN的遠程訪問模式設計

2.1 SSL VPN 的具體部署方案

圖書館的SSL VPN所部署的位置是內(nèi)網(wǎng)的防火墻后面，結(jié)合具體的安全控制策略，為那些位置分散的用戶架設從公網(wǎng)進入圖書館內(nèi)網(wǎng)信息資源的訪問途徑。通常采取的方式為:對圖書館內(nèi)網(wǎng)的信息資源服務器進行設置，使之為位于外部網(wǎng)絡的用戶提供虛擬地址，當位于外網(wǎng)的用戶根據(jù)所提供的虛擬URL對圖書館內(nèi)網(wǎng)資源進行訪問時，由SSL VPN網(wǎng)關(guān)獲取來自用戶發(fā)起的連接，同時為遠程客戶與服務器之間建立加密、解密的隧道，同時采取一定的訪問控制策略，通過對用戶信息進行認證后，向不同的應用服務器進行映射。

結(jié)合圖書館用戶的實際情況，(大部分圖書館用戶均屬于公網(wǎng)用戶)，在本文的設計中，以思科公司的產(chǎn)品應用為例，選擇CiscoASA5510設備，利用其SSL VPN功能，布署于公網(wǎng)和策略分流交換機之間。具體的做法是:以思科CiscoASA 5510服務器實現(xiàn)Web VPN功能，用戶身份的驗證由Radius Server服務器實現(xiàn)，處于外網(wǎng)的用戶通過所在的網(wǎng)絡服務商接入互聯(lián)網(wǎng)，之后向WebVPN服務器發(fā)出身份驗證的請求，身份驗證通過以后，就可以對圖書館內(nèi)網(wǎng)的圖書資源進行訪問。思科CiscoASA 5510服務器的外網(wǎng)接口與因特網(wǎng)相連，為此接口配置公網(wǎng)的IP地址，位于圖書館外網(wǎng)的用戶可以通過公網(wǎng)地址對其進行訪問，服務器的內(nèi)網(wǎng)接口連接策略分流交換機，為此接口配置圖書館內(nèi)網(wǎng)IP地址，使之可以和 Radius Server服務器進行通訊，實現(xiàn)用戶身份的驗證，用戶通過驗證之后，就會被分配一個圖書館內(nèi)網(wǎng)的IP地址，就可以對圖書館資源服務器群進行訪問了。

2.2 SSL VPN的主要配置過程

以思科ASA5510內(nèi)置的SSL VPN功能構(gòu)建基于網(wǎng)絡的虛擬專用網(wǎng)服務器，需要設置的內(nèi)容包括DNS、網(wǎng)關(guān)和SSL VPN的接口地址等，在初始化設置之后，為共享圖書資源，還需要配置SSL VPN設備，下面對幾個關(guān)鍵的配置進行介紹。

2.2.1 用戶認證服務器的添加

因為只能允許一些特定的注冊用戶作為合法的外網(wǎng)用戶，所以，為了對用戶進行身份的確認，必須提供用戶名和密碼。圖書館遠程訪問的權(quán)限包括SSL VPN的使用期限和用戶的并發(fā)數(shù)。本文所選取的思科ASA5510服務器能夠兼容多種身份認證協(xié)議，系統(tǒng)的管理員可以結(jié)合單位內(nèi)部的認證服務器進行認證，也可以使用SSL VPN 內(nèi)部的自建帳號進行認證，本文推薦采用的認證協(xié)議是Radius， 進行如下配置:

#啟用radius協(xié)議認證

#配置radius服務器的使用的key和IP 地址

#應用于內(nèi)網(wǎng)口，配置VPN組使用radius協(xié)議

2.2.2 增設內(nèi)網(wǎng)資源和訪問資源

在系統(tǒng)的資源管理中增設Web資源或APP資源。例如，在”姓名”一欄中寫入用戶專屬的名字，例如”圖書館資源網(wǎng)”;在”描述”一欄中寫入描述內(nèi)容;在”地址”一欄中寫入訪問網(wǎng)站的主機域名或是IP地址。然后執(zhí)行”Everything under this Url”和“Auto-allow Bookmark”，執(zhí)行完畢后，對學術(shù)期刊網(wǎng)的遠程訪問設置進行保存。

2.2.3 用戶角色管理的設置

這一步驟的主要內(nèi)容是為用戶建立不同訪問權(quán)限的角色，并將這些角色與圖書資源進行關(guān)聯(lián)。這樣，就能讓不同角色的用戶在成功登陸SSL之后，能夠?qū)ο鄳巧哂袡?quán)限的圖書館資源進行訪問。因為本文所選擇的身份認證是Radius協(xié)議，所以由radius服務器來完成用戶的建立和管理，此時思科ASA5510并不需要對本地用戶進行建立，用戶管理的工作量顯著降低了。

2.2.4 外網(wǎng)用戶的訪問

因為圖書館內(nèi)網(wǎng)的ASA5510服務器與公網(wǎng)相連，所以對外提供Web VPN的地址就是外網(wǎng)口的 IP 地址。具有用戶身份的外網(wǎng)用戶在連接到因特網(wǎng)之后，輸入圖書館內(nèi)網(wǎng)地址就會接收到圖書館 SSL VPN的界面，用戶根據(jù)提示輸入ID和密碼，結(jié)果服務器認證后，就能夠得到圖書館內(nèi)網(wǎng)的 IP地址以對圖書館資源進行訪問。

3 結(jié)語

虛擬專用網(wǎng)是目前網(wǎng)絡應用發(fā)展的趨勢，隨著信息技術(shù)的發(fā)展和寬帶應用的普及，人們對網(wǎng)絡依賴的日益增強，虛擬專用網(wǎng)應用也將變得更加廣泛。對于圖書館服務而言，VPN正在得到廣泛的推廣與應用，既能夠為圖書館之間的資源共享提供網(wǎng)絡傳輸途徑，又可以為遠程異地用戶提供資源服務，提高了圖書館資源利用效率，必將成為未來圖書館的發(fā)展方向。

參考文獻

[1]張穎.利用VPN技術(shù)實現(xiàn)圖書館信息資源遠程訪問[J].情報探索，2008(7)69～70.

[2]徐忻.利用開源軟件實現(xiàn)基于SSLVPN的圖書館遠程訪問[J].現(xiàn)代情報，2009(4)160-163.

[3]翁惠明.淺議利用VPN技術(shù)構(gòu)建虛擬專用網(wǎng)[J].福建電腦，2010(8)60～61.

[4]王朗.利用VPN技術(shù)實現(xiàn)合并圖書館分館互聯(lián)[J].現(xiàn)代圖書情報技術(shù)，2010(5)35～37.