針對出版社與分社、合作伙伴之間的出版信息安全交流，本文嘗試應(yīng)用VPN技術(shù)，利用Internet公眾網(wǎng)的公共資源，通過穿越Internet建立出版社與各分社、出版社與合作伙伴、遠程用戶安全訪問網(wǎng)絡(luò)，實現(xiàn)數(shù)字出版信息的安全可靠傳輸。

在當(dāng)今計算機網(wǎng)絡(luò)和信息數(shù)字化的快速發(fā)展下，時時刻刻影響著各個行業(yè)。文獻、圖書等信息資源的數(shù)字化、信息化也被推上出版信息化建設(shè)的舞臺上。傳統(tǒng)的新聞出版必須應(yīng)用數(shù)字出版給予豐富和有機補充，把原來靜態(tài)的文字、圖片、聲音、圖像等通過計算機的處理，變得生動形象，而且也節(jié)省資源，便于出版業(yè)信息推廣。數(shù)字出版在我國雖然起步較晚，但發(fā)展快，目前已經(jīng)形成了網(wǎng)絡(luò)圖書、網(wǎng)絡(luò)期刊等新業(yè)態(tài)。由于一些大的出版社擁有多個分社，分社與出版社距離相對較遠，為了便于出版社與分社、合作伙伴之間的信息安全交流，需要一個安全使用的網(wǎng)絡(luò)平臺，避免使用QQ、郵箱等方式造成的不安全因素，引起不必要的糾紛。針對出版社與分社、合作伙伴之間的出版信息的安全交流，本文嘗試應(yīng)用VPN技術(shù)，利用Internet公眾網(wǎng)的公共資源，通過穿越Internet建立出版社與各分社、出版社與合作伙伴、遠程用戶安全訪問網(wǎng)絡(luò)，實現(xiàn)數(shù)字出版信息的安全可靠傳輸。

一、數(shù)字出版VPN網(wǎng)絡(luò)構(gòu)建技術(shù)

數(shù)字出版是建立在計算機技術(shù)、通訊技術(shù)、網(wǎng)絡(luò)技術(shù)、流媒體技術(shù)、存儲技術(shù)、顯示技術(shù)等高新技術(shù)基礎(chǔ)上，融合并超越傳統(tǒng)出版內(nèi)容而發(fā)展起來的新興出版產(chǎn)業(yè)。數(shù)字化出版是在出版的整個過程中，將所有的信息都以統(tǒng)一的二進制代碼數(shù)字化形式存儲于光盤、磁盤等介質(zhì)中，信息的處理與接收則借助計算機或終端設(shè)備進行，它強調(diào)內(nèi)容的數(shù)字化、生產(chǎn)模式和運作流程的數(shù)字化、傳播載體的數(shù)字化和閱讀消費、學(xué)習(xí)形態(tài)的數(shù)字化[1]。數(shù)字出版包括創(chuàng)作數(shù)字化、編輯數(shù)字化、出版數(shù)字化、發(fā)行數(shù)字化、標(biāo)識數(shù)字化、管理數(shù)字化等，這一系列的數(shù)字化，需要一個安全實用的網(wǎng)絡(luò)來支撐。數(shù)字出版是推動社會發(fā)展的強有力工具，改進人們的信息交流方式，更加方便地獲取知識，對傳統(tǒng)出版業(yè)進行改造，使之更加強大，對社會作出更大貢獻。

建立數(shù)字出版安全網(wǎng)絡(luò)，便于出版社和分社之間的統(tǒng)一規(guī)劃、統(tǒng)一管理和統(tǒng)一建設(shè)，便于數(shù)字資源共享及安全傳輸與出版信息的安全信息交流；建立數(shù)字出版安全網(wǎng)絡(luò)，方便出版社和合作伙伴之間的數(shù)據(jù)信息安全交流；建立數(shù)字出版安全網(wǎng)絡(luò)，便于像出差用戶這樣的遠程移動用戶安全可靠地訪問出版社的數(shù)字資源。

1. VPN技術(shù)

虛擬專用網(wǎng)（VPN）指的是在公共網(wǎng)絡(luò)Internet上建立一個虛擬的“隧道”，通過虛擬“隧道”實現(xiàn)數(shù)據(jù)安全可靠的傳輸。好像在Internet上鋪設(shè)一條虛擬的“專線”，為數(shù)字出版社之間互聯(lián)及遠程訪問提供安全可靠的數(shù)字資源傳輸，既安全實用可靠，又節(jié)省成本。VPN包括跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的數(shù)據(jù)封裝、數(shù)據(jù)加密及解密、身份驗證和密鑰交換等，實現(xiàn)遠程用戶、出版社與分社的安全連接。

（1）IPSec VPN 是基于IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，解決了在公共網(wǎng)絡(luò)復(fù)雜環(huán)境上所面臨的開放性及不安全因素的威脅，實現(xiàn)在公共網(wǎng)絡(luò)上進行數(shù)字出版信息資源的安全傳輸。通過隧道技術(shù)、加密解密技術(shù)、密鑰交換技術(shù)、身份認(rèn)證技術(shù)來保證IP數(shù)據(jù)報的安全性、完整性、保密性和可用性。

（2）SSL VPN是基于SSL協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，是一套Internet數(shù)據(jù)安全協(xié)議，位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，同時為通訊雙方進行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等提供支持，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。

2. 數(shù)字出版網(wǎng)絡(luò)遠程訪問技術(shù)選擇

IPSec VPN與SSL VPN各有優(yōu)勢，二者優(yōu)缺點及選擇如圖2所示，IPSec VPN具有高效、安全等優(yōu)點，對于數(shù)字出版VPN網(wǎng)絡(luò)的建設(shè)，理想的方式是將SSL VPN和IPSec VPN二者結(jié)合起來使用。一方面為數(shù)出版社與分社、合作伙伴之間采用IPSec VPN連接；另一方面為移動用戶，遠程訪問出版社數(shù)字網(wǎng)絡(luò)采用SSL VPN連接。二者的有機結(jié)合，不但保障了各個分社與出版社、合作伙伴的數(shù)字出版等方面的信息安全交流，也保證了遠程用戶的安全訪問。

二、數(shù)字出版VPN網(wǎng)絡(luò)構(gòu)建與實踐

1. 數(shù)字出版VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建

根據(jù)數(shù)字出版網(wǎng)絡(luò)建設(shè)的需要，將出版社與分社、合作伙伴、移動用戶，利用VPN技術(shù)實現(xiàn)數(shù)字出版資源的共享及遠程訪問，如圖2所示。出版社的路由器1上，要求具有IPSec VPN和SSL VPN功能，如Cisco 1906C系列集成多業(yè)務(wù)路由器。路由器1、路由器2和路由器3分部作為隧道的節(jié)點，分別接入Internet，就可實現(xiàn)數(shù)字出版信息資源共享與交流。

2. 數(shù)字出版VPN網(wǎng)絡(luò)IP規(guī)劃

根據(jù)數(shù)字出版VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，IP地址規(guī)劃如表1所示。

3. 出版社與分社、合作伙伴的IPSec VPN配置

（1）路由器1上配置IPSec VPN，實現(xiàn)與分社網(wǎng)絡(luò)互聯(lián)。

A. 配置加密和密鑰方法。在路由器1上配置IKE策略，加密方式為3DES，也可用SHA等，但是隧道兩端的加密方式必須一樣，哈希算法MD5，認(rèn)證方式為預(yù)共享密鑰方式，秘鑰算法為group 2（2表示1024位，group 2安全性高，但更耗cpu），與分社路由器3進行身份驗證的預(yù)共享密鑰是ipsecvpn。主要配置：R1（config）#crypto isakmp key ipsecvpn address 219.33.210.38

B. 配置加密轉(zhuǎn)換規(guī)則及傳輸模式名稱。ipsectest為IPSec傳輸模式名稱，ESP采用DES加密，ESP認(rèn)證的Hash算法為MD 5，IPSec模式為Tunnel，傳輸模式名稱為ipse-test，創(chuàng)建crypto map，映射名稱為ipsecmap。主要配置如下：

R1（config）#crypto map ipsecmap 10 ipsec-isakmp

R1（config-crypto-map）#set peer 219.33.210.38

R1（config-crypto-map）#set transform ipse-test

（2）在分社路由器3和合作伙伴路由器2上配置IPSec VPN，實現(xiàn)與出版社互聯(lián)。

用類似的方法對分社路由器3和合作伙伴路由器2進行配置，需要注意加密算法、預(yù)共享密鑰、傳輸模式名稱、加密轉(zhuǎn)換規(guī)則與出版社路由器1保持一致，分社及合作伙伴配置的IP地址與出版社路由器1配置的IP地址要相互對應(yīng)。

4. 出版社與移動用戶SSL VPN配置

（1）開啟AAA，并配置SSL VPN Client撥號的賬戶信息，認(rèn)證方式為AAA 本地認(rèn)證，配置分配給SSL VPN Client地址池范圍。需要注意的是，如果地址池與出版社的內(nèi)網(wǎng)不在一個網(wǎng)段時，則需要創(chuàng)建一個和地址池在同一網(wǎng)段的lookback接口作為SSL VPN Client的網(wǎng)關(guān)。主要配置如下：

R1 （config）# aaa authentication login webvpn local

R1 （config）#ip local pool sslvpn-addpool 192.168.10.150 192.168.10.253

R1 （config）#username libsslvpn password libadmin123

（2）定義Webvpn的策略集，指定SSL VPN Client的訪問IP地址221.26.225.55及端口443，webvpn的名稱為vpnsslgateway，關(guān)聯(lián)IP地址池及AAA認(rèn)證策略，定義SSL VPN Client撥號的策略及DNS。主要配置如下：

R1 （config-webvpn-context）#gateway vpnssl-gateway

R1 （config-webvpn-context）#aaa authentication list webvpn

R1 （config-webvpn-context）#inservice

R1 （config-webvpn-context）#policy group sslvpnpolicy

R1 （config-webvpn-group）#functions svc-enabled

R1 （config-webvpn-group）#svc address-pool sslvpn-addpool

R1 （config-webvpn-group）#svc split include 192.168.10.0 255.255.255.0

R1 （config-webvpn-context）#default-group-policy sslvpnpolicy

（3）SSL VPN客戶端配置比較簡單，需要下載SSL VPN Client并安裝，初次需要安裝證書，然后嘗試進入SSL VPN Client撥號，輸入用戶名和密碼，驗證成功，即可連入出版社網(wǎng)絡(luò)，進行數(shù)字出版安全可靠的交流與訪問。

三、結(jié)束語

該方案充分利用Internet資源，在互聯(lián)網(wǎng)上建立一條安全“隧道”，通過“隧道”為出版社數(shù)字資源建立一個安全的跨地域網(wǎng)絡(luò)安全傳輸服務(wù)平臺，經(jīng)過實踐應(yīng)用，該技術(shù)方案運行平穩(wěn)，具有較好的吞吐量和連接數(shù)，保證數(shù)字出版資源安全傳輸及遠程訪問，不但節(jié)約資源，而且提高了數(shù)字出版的辦公效率。

（作者單位：承德石油高等專科學(xué)校）