摘要：虛擬專用網(wǎng)（VPN，Virtual Private Network）是一種新興起的網(wǎng)絡(luò)技術(shù)，是建立在公用網(wǎng)絡(luò)（Internet）中的一條私密專用的通信線路，并結(jié)合了密碼與訪問控制等技術(shù)。本文根據(jù)VPN技術(shù)的研究，探討采用VPN技術(shù)遠(yuǎn)程訪問校園數(shù)字圖書館。

關(guān)鍵詞：虛擬專用網(wǎng)；SSL；數(shù)字圖書館

中圖分類號(hào)：TP391.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 23-0000-02

隨著互聯(lián)網(wǎng)的普及與信息訪問的增長，全球數(shù)字化信息的高度共享是未來的發(fā)展趨勢。我國高校越來越認(rèn)識(shí)到數(shù)字化校園建設(shè)的重要性，數(shù)字圖書館的建設(shè)則成為當(dāng)下校園網(wǎng)建設(shè)的新亮點(diǎn)。為了方便廣大師生的教學(xué)與學(xué)習(xí)的需求，各大高校都購置了大量的圖書資源、學(xué)術(shù)資源、各類數(shù)據(jù)庫資源。為了避免版權(quán)糾紛各大高校在建設(shè)與使用數(shù)字化圖書館的時(shí)候，對(duì)相應(yīng)的電子資源都采取了版權(quán)保護(hù)措施，可以使得數(shù)字資源在合法授權(quán)的情況下使用為了避免版權(quán)糾紛各大高校在建設(shè)和使用數(shù)字圖書館的。因此，方便快捷與安全的訪問校內(nèi)的數(shù)字圖書館就成為校園網(wǎng)絡(luò)建設(shè)急需解決的問題。

1 數(shù)字圖書館應(yīng)用的需求

無論何種類型的圖書都需要符合DRM（數(shù)字版權(quán)保護(hù)， Digital Rights Management）的相關(guān)規(guī)定。透過加密技術(shù)來防止數(shù)字產(chǎn)品被非授權(quán)使用。因此為了保護(hù)所購置的電子資源，采用限制訪問IP地址的范圍用于保護(hù)從提供商處購買的電子資源。此類資源是在提供商的服務(wù)器上的，并沒有存放在校園圖書館的服務(wù)器上，圖書館在支付給提供商所需費(fèi)用之后，只要是校園網(wǎng)IP地址范圍的，提供商都判斷是經(jīng)過授權(quán)的合法用戶。所以校園網(wǎng)內(nèi)的所有客戶端都能使用。但如果師生在校外上網(wǎng)需要訪問這些資源的時(shí)候，無論采用何種上網(wǎng)方式，如果都是來自網(wǎng)絡(luò)運(yùn)營商所提供的IP地址，也就是校園網(wǎng)外的地址范圍，這樣就會(huì)被提供商服務(wù)器確認(rèn)為沒有被授權(quán)的非法用戶，因此被拒絕訪問。隨著學(xué)院的長遠(yuǎn)發(fā)展，越來越多的師生需要在校外隨時(shí)隨地的訪問圖書館的資源，所以可以要求提供商進(jìn)一步擴(kuò)大IP地址的范圍，讓更多的師生成為合法用戶。

根據(jù)數(shù)字圖書館的需求，采用VPN技術(shù)就能解決目前圖書館資源與遠(yuǎn)程資源共享問題。通過采用VPN技術(shù)，可以設(shè)計(jì)一套兼管理、認(rèn)證和安全的遠(yuǎn)程訪問數(shù)字圖書館的方案，實(shí)現(xiàn)校外師生員工用戶訪問數(shù)字圖書館的電子資源。

2 VPN遠(yuǎn)程訪問技術(shù)

2.1 VPN技術(shù)概況

虛擬專用網(wǎng)是指依托于Internet服務(wù)提供商（ISP）和其它網(wǎng)絡(luò)服務(wù)提供商（NSP），在現(xiàn)有的公共網(wǎng)絡(luò)中建立專有的數(shù)據(jù)通信的網(wǎng)絡(luò)技術(shù)。使用虛擬專用網(wǎng)技術(shù)，用戶使用的是Internet公共數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路來制定一個(gè)最符合自身需求的網(wǎng)絡(luò)，而不再需要實(shí)際的長途數(shù)據(jù)線路。實(shí)現(xiàn) VPN的技術(shù)和方式有很多，但是所有的 VPN 通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的時(shí)候，都應(yīng)保證數(shù)據(jù)的專用性和安全性。VPN 采用加解密技術(shù)（Encryption）、隧道技術(shù)（Tunneling）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）、密鑰管理技術(shù)（Key Management）來保證數(shù)據(jù)的安全性，并且采用VPN技術(shù)可以使成本更低、可擴(kuò)充性與靈活性較好、便于管理等。將遠(yuǎn)程訪問技術(shù)應(yīng)用于校園網(wǎng)的數(shù)字圖書館建設(shè)，能為學(xué)院各項(xiàng)應(yīng)用資源與服務(wù)提供了便捷與安全保障。

2.2 VPN技術(shù)簡介

VPN主要采用隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)技術(shù)來保證網(wǎng)絡(luò)安全。

隧道技術(shù)是VPN的基本技術(shù)。類似點(diǎn)對(duì)點(diǎn)的連接技術(shù)，是一種在網(wǎng)絡(luò)之間并通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施傳遞數(shù)據(jù)的方式。傳輸過程是在源局域網(wǎng)與公網(wǎng)的出口處將數(shù)據(jù)作為負(fù)載封裝在數(shù)據(jù)包中進(jìn)行發(fā)送，數(shù)據(jù)包的包頭提供了路由信息，使得被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由，到達(dá)目的局域網(wǎng)與公網(wǎng)的接口處數(shù)據(jù)包將被解包并轉(zhuǎn)發(fā)到最終目的地。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的邏輯路徑就稱為“隧道”。而數(shù)據(jù)的封裝、傳輸及解封則是由隧道協(xié)議來完成的。

3 IPSec VPN與SSL VPN

3.1 IPSec VPN

IPSec VPN技術(shù)被較為廣泛的應(yīng)用，得益于IPSec能夠在IP層上提供相應(yīng)的保護(hù)。可以部署IPSec來保護(hù)兩個(gè)主機(jī)或兩個(gè)網(wǎng)關(guān)間、甚至主機(jī)和網(wǎng)關(guān)間的通信。IPSec能夠?yàn)槠髽I(yè)和服務(wù)提供商的基礎(chǔ)結(jié)構(gòu)提供所需的安全特性。

3.2 SSL VPN

新興起的遠(yuǎn)程訪問技術(shù)SSL VPN，是能通過Web瀏覽器或?qū)儆脩籼峁┡c企業(yè)內(nèi)部資源的安全連接。SSL VPN技術(shù)處于OSI模型的傳輸層和應(yīng)用層之間。

3.3 IPSec VPN與SSL VPN的比較

（1）客戶端易用性。IPSec VPN必須安裝專門的客戶端軟件，而SSL VPN則不用。

（2）安全性。IPSec安全協(xié)議的優(yōu)勢主要體現(xiàn)在只需在客戶和網(wǎng)絡(luò)資源邊緣處建立通道，僅保護(hù)從客戶到公司網(wǎng)絡(luò)邊緣的安全。但其所有運(yùn)行在內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)都是透明的，這樣會(huì)存在一定的安全隱患。

（3）可擴(kuò)展性。IPSec VPN與SSL VPN相比較，后者具有更好的可擴(kuò)展性。

（4）訪問控制。IPSec VPN僅能進(jìn)行網(wǎng)絡(luò)層的基于IP地址的包過濾。因此，對(duì)于通過VPN的用戶來說，內(nèi)部網(wǎng)絡(luò)是透明的。用戶為了可以訪問內(nèi)部所有的網(wǎng)絡(luò)資源，只要通過IPSec VPN網(wǎng)關(guān)就可以了。

4 SSL VPN遠(yuǎn)程訪問數(shù)字圖書館的方案設(shè)計(jì)

IPSec VPN為了能建立安全通信隧道，會(huì)在遠(yuǎn)程客戶端安裝必須的設(shè)備，然而在非圖書館控制設(shè)備中建立隧道很難。此外，復(fù)雜的客戶端對(duì)于新用戶來說非常麻煩，例如系統(tǒng)的承載、時(shí)間與管理問題等。IPSec VPN初始投入成本較低，但后期運(yùn)行成本較高。

SSL VPN提供增強(qiáng)的遠(yuǎn)程安全連入功能。IPSec VPN可以通過在兩個(gè)站點(diǎn)之間建立隧道來實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問，如果隧道建立完成，客戶端就如身處于圖書館局域網(wǎng)中，在用戶權(quán)限過大的情況下，便衍生出了很多安全的風(fēng)險(xiǎn)。SSL VPN能保證安全與可代理連接，用戶進(jìn)行資源訪問時(shí)在經(jīng)過驗(yàn)證之后就比較安全了。SSL VPN的加密隧道能被充分細(xì)分，因而使得客戶端能連入Internet的同時(shí)也能訪問圖書館資源；并且，SSL VPN仍能細(xì)化連入控制功能，能賦予不同用戶的不同訪問權(quán)限，這對(duì)于IPSec VPN來說不太現(xiàn)實(shí)。

實(shí)現(xiàn)SSL VPN的方式就是在瀏覽器中設(shè)置SSL代理。首先，瀏覽器客戶端與代理服務(wù)器端建立TCP的連接，并向其發(fā)出與遠(yuǎn)端的Web服務(wù)器的連接消息。此時(shí)，瀏覽器端與Web服務(wù)器端就建立了一條安全的通信信道，此安全信道是端到端的，盡管所有的消息經(jīng)過代理服務(wù)器，但其內(nèi)容代理服務(wù)器是無法解密和改動(dòng)的。

參考文獻(xiàn)：

[1]蔣東毅.VPN的關(guān)鍵技術(shù)分析[J].計(jì)算機(jī)工程與應(yīng)用，2003，（15）.

[2]王利冬.虛擬專用網(wǎng)絡(luò)的應(yīng)用[J].硅谷，2010（18）.

[3]常青.VPN技術(shù)綜述（下）[J].中國計(jì)算機(jī)用戶，2004（32）.

[4]黃毓俊.虛擬專網(wǎng)的秘密\"隧道\"[J].中國計(jì)算機(jī)用戶，2006（47）.

[5]劉云玲等.VPN及其安全技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2003（12）.

[6]菅永超.基于隧道技術(shù)的SSL VPN的改進(jìn)與設(shè)計(jì)[D].華中科技大學(xué)，2007.

[作者簡介]

萬欽（1982-），男，江西外語外貿(mào)職業(yè)學(xué)院講師，碩士研究生，研究方向：計(jì)算機(jī)應(yīng)用；毛海英（1971-），女，江西外語外貿(mào)職業(yè)學(xué)院講師，碩士研究生，研究方向：信息化教育。