1、基于虚拟专用网络的数字图书馆远程访问模式设计论文关键词:虚拟专用网络 数字图书馆 远程访问 论文摘 要:对于图书馆服务而言,VPN 正在得到广泛的推广与应用,既能够为图书馆之间的资源共享提供网络传输途径,又可以为远程异地用户提供资源服务,本文在介绍虚拟专用网技术的基础上,给出了基于 VPN 的图书馆资源远程访问解决方案。 图书馆在使用过程中由于涉及到版权保护,容易导致异地用户或者外网用户无法对其资源进行访问。为了解决此问题,一个典型的远程访问技术 VPN(虚拟专用网)正在被越来越广泛的使用。本文在介绍虚拟专用网技术的基础上,给出了基于 VPN 的图书馆资源远程访问解决方案。 1 VPN 技术简
2、介 VPN 即虚拟专用网,SSL VPN 是 VPN 的一种。其实现软件既可以安装在现有服务器上也可以固化在专业的硬件上。基于虚拟专用网的图书馆数字资源访问技术优势集中体现在以下几个方面: 虚拟专用网的简单性。SSL VPN 是最简单的一种解决远程用户访问图书馆的形式。原因在于 SSL 协议是内嵌于用户浏览器中的,因此就舍去了客户端上安装软件的步骤,用户只需连接 Internet,就能通过网页访问图书馆资源。因此,通过 VPN 就可以在外网用户和图书馆之间的建立一条专用的数据传输通道,客户对资源的任何访问均需进行安全的身份验证。 虚拟专用网的安全性。采取 SSL VPN,攻击者难以侦测出系统网
3、络设置,攻击机会就会降低许多。通过 SSL VPN 进行连接,还能够在很大程度上低于病毒的侵害,保证了图书馆信息系统的安全运行。 保护敏感的数据。结合不同用户的身份,赋予其相应的访问权限。通过用户划分,降低客户端的维护工作量,保护了敏感数据,同时也实现虚拟专用网在图书馆应用的快速部署。 扩展性强。随着网络的扩张,虚拟专用网可以实现灵活的扩展。如果图书馆需要添加新的用户或新的子网,只需在 VPN 服务器上对已有网络软件配置进行相应的修改即可。 2 基于 VPN 的远程访问模式设计 2.1 SSL VPN 的具体部署方案 图书馆的 SSL VPN 所部署的位置是内网的防火墙后面,结合具体的安全控制
4、策略,为那些位置分散的用户架设从公网进入图书馆内网信息资源的访问途径。通常采取的方式为:对图书馆内网的信息资源服务器进行设置,使之为位于外部网络的用户提供虚拟地址,当位于外网的用户根据所提供的虚拟 URL 对图书馆内网资源进行访问时,由 SSL VPN 网关获取来自用户发起的连接,同时为远程客户与服务器之间建立加密、解密的隧道,同时采取一定的访问控制策略,通过对用户信息进行认证后,向不同的应用服务器进行映射。 结合图书馆用户的实际情况,(大部分图书馆用户均属于公网用户),在本文的设计中,以思科公司的产品应用为例,选择 CiscoASA5510 设备,利用其 SSL VPN 功能,布署于公网和策
5、略分流交换机之间。具体的做法是:以思科 CiscoASA 5510 服务器实现 Web VPN 功能,用户身份的验证由 Radius Server 服务器实现,处于外网的用户通过所在的网络服务商接入互联网,之后向 WebVPN 服务器发出身份验证的请求,身份验证通过以后,就可以对图书馆内网的图书资源进行访问。思科 CiscoASA 5510 服务器的外网接口与因特网相连,为此接口配置公网的 IP 地址,位于图书馆外网的用户可以通过公网地址对其进行访问,服务器的内网接口连接策略分流交换机,为此接口配置图书馆内网 IP 地址,使之可以和 Radius Server 服务器进行通讯,实现用户身份的验
6、证,用户通过验证之后,就会被分配一个图书馆内网的 IP 地址,就可以对图书馆资源服务器群进行访问了。 2.2 SSL VPN 的主要配置过程 以思科 ASA5510 内置的 SSL VPN 功能构建基于网络的虚拟专用网服务器,需要设置的内容包括 DNS、网关和 SSL VPN 的接口地址等,在初始化设置之后,为共享图书资源,还需要配置 SSL VPN 设备,下面对几个关键的配置进行介绍。 2.2.1 用户认证服务器的添加 因为只能允许一些特定的注册用户作为合法的外网用户,所以,为了对用户进行身份的确认,必须提供用户名和密码。图书馆远程访问的权限包括 SSL VPN 的使用期限和用户的并发数。本
7、文所选取的思科 ASA5510服务器能够兼容多种身份认证协议,系统的管理员可以结合单位内部的认证服务器进行认证,也可以使用 SSL VPN 内部的自建帐号进行认证,本文推荐采用的认证协议是 Radius, 进行如下配置: #启用 radius 协议认证 #配置 radius 服务器的使用的 key 和 IP 地址 #应用于内网口,配置 VPN 组使用 radius 协议 2.2.2 增设内网资源和访问资源 在系统的资源管理中增设 Web 资源或 APP 资源。例如,在”姓名”一栏中写入用户专属的名字,例如”图书馆资源网”;在”描述”一栏中写入描述内容;在”地址”一栏中写入访问网站的主机域名或是
8、 IP 地址。然后执行”Everything under this Url”和“Auto-allow Bookmark”,执行完毕后,对学术期刊网的远程访问设置进行保存。 2.2.3 用户角色管理的设置 这一步骤的主要内容是为用户建立不同访问权限的角色,并将这些角色与图书资源进行关联。这样,就能让不同角色的用户在成功登陆 SSL 之后,能够对相应角色所具有权限的图书馆资源进行访问。因为本文所选择的身份认证是 Radius 协议,所以由 radius 服务器来完成用户的建立和管理,此时思科 ASA5510 并不需要对本地用户进行建立,用户管理的工作量显著降低了。 2.2.4 外网用户的访问 因为
9、图书馆内网的 ASA5510 服务器与公网相连,所以对外提供 Web VPN 的地址就是外网口的 IP 地址。具有用户身份的外网用户在连接到因特网之后,输入图书馆内网地址就会接收到图书馆 SSL VPN 的界面,用户根据提示输入 ID 和密码,结果服务器认证后,就能够得到图书馆内网的 IP 地址以对图书馆资源进行访问。 3 结语 虚拟专用网是目前网络应用发展的趋势,随着信息技术的发展和宽带应用的普及,人们对网络依赖的日益增强,虚拟专用网应用也将变得更加广泛。对于图书馆服务而言,VPN 正在得到广泛的推广与应用,既能够为图书馆之间的资源共享提供网络传输途径,又可以为远程异地用户提供资源服务,提高了图书馆资源利用效率,必将成为未来图书馆的发展方向。 参考文献 1 张颖.利用 VPN 技术实现图书馆信息资源远程访问J.情报探索,2008(7)6970. 2 徐忻.利用开源软件实现基于 SSLVPN 的图书馆远程访问J.现代情报,2009(4)160-163. 3 翁惠明.浅议利用 VPN 技术构建虚拟专用网J.福建电脑,2010(8)6061. 4 王朗.利用 VPN 技术实现合并图书馆分馆互联J.现代图书情报技术,2010(5)3537.
