论文部分内容阅读
摘要:VPN系统是目前较为有效、经济的一种联网方式,该文通过该系统的介绍,说明在目前高校图书馆采用VPN系统的必要性,及在图书采购中,供应商在可控情况下利用需求方提供图书馆管理系统,远程访问并进行图书编目加工。
关键词:VPN;图书馆;资源利用
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4220-02
On the Application of the SSL-VPN System in the Library
CHENG Quan
(Guangzhou Institute of Technology, Guangzhou 510700, China)
Abstract: The SSL-VPN system is effective and economic in network. The author introduces this system to emphasize the necessity of adopting the SSL-VPN system in the library. And the library can ask the supplier to take use of this system for remote access and cataloging process.
Key words: VPN; library; utilization of resources
1 VPN的提出,为什么需要VPN
近些年随着高校的不断扩大,分校区的建立,读者对图书馆要求越来越高,同时图书馆局限性得到暴露,表现一:由于数字图书馆的不断发展,绝大多数商用资源库采用了内容数字版权加密保护技术即DRM(Digital Rights Management),并通过IP地址或用户名 IP的形式对于读者的访问加以约束。这样动态IP用户对于资源的访问存在困难;表现二:图书采购、加工、入藏环节需考虑到各校区专业配置、读者需求及库室分配。按照我院以前的处理方法为邀请供应商上门进行图书加工的工作,总馆工作人员进行验收,入藏至总馆后,再选出分配给各分馆的图书,并再次修改馆藏库室,后发送给各分馆并提供给校区读者使用,这无疑使得图书馆的工作量大大增加。
如何充分利用资源,解决动态IP用户的访问限制,实现资源真正意义上的共享,同时减轻供应商到馆加工对图书馆管理的影响,减轻总馆工作负担,解决各校区读者数据的共享问题。以上种种导致作为文献资源保障中心的图书馆必须通过相关技术手段及设备实现总馆与分馆、图书馆与读者、图书馆与供应商之间数据流通等相关问题。
综合考虑,为了实现校区间数据流通,解决非校园网读者对图书馆提供数字资源的访问,供应商对高校图书馆的采访、编目库的访问,采用VPN技术实现无疑是最为经济、安全可靠的方案。
2 什么是VPN系统,采用SSL-VPN的必然性
2.1 VPN介绍
VPN的全称为Virtual Private Network 即虚拟专用网,它通过加密、 认证、 隧道协议等相应技术,在公用网络上实现安全专用通信的网络。需要时会利用因特网建立一个临时、 稳定、安全的隧道,该隧道的建立必须通过用户验证开放连接,在退出后就释放所占网站资源。
目前常用的VPN系统有IPSec VPN、SSL VPN二种。IP Sec(因特网安全协议)是一组范围广泛、开放的虚拟专用网安全协议的总称,是IETF(Internet Engineering Task Force,即互联网工程任务组)支持的标准之一。它对应用于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议 AH(为 IP包提供信息源验证和完整性保证)和 ESP(提供加密保证)、密匙交换管理协议 IKE和用于网络验证及加密的算法等。IP Sec的优势在于安全性高,通用型好,提供的是网络的安全服务。但是由于是基于网络层应用,远程计算机必须安装客户端软件来建立安全隧道,而且IP Sec隧道建立后,使远程客户端拥有内部网用户一样的权限和操作功能,会给内部网络带来安全风险,如果远程客户端的机器中有蠕虫病毒就很容易感染给图书馆内部网络。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。
2.2 SSL-VPN的优势
SSL VPN有三大好处,第一客户端安装只需要建立内嵌的SSL协议就可以,对于C/S应用则仅需安装IP控件即可;第二使用简单,客户端无需作出配置,除首次使用需要安装协议外,利用浏览器即可访问,使用;第三兼容性良好,可以在不同终端浏览器中使用;第四SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密;第五;因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。第五对于病毒的感染几乎小,此外通过相关协议可以加强病毒的防治;第六内部网络受黑客攻击的可能较少。
3 SSL VPN在我校中的应用
由于我院校区较多,较为分散,如完全采取通过租用专线的方式实现点到点之间的远程接入,这种方式无疑是一种迅速、安全且可靠的通信手段 , 但其成本过高 , 灵活性较差 , 而且对于内部网络的安全访问控制有限。这种远程接入对于学院来说也不完全适用。因此学院在中心校区及主馆所在的从化校区之间建立了专线连接,而其他校区与中心校区、其他校区之间则通过SSL VPN的形式进行数据的访问。通过这种形式节约了大量成本。
3.1 读者对电子资源的访问
由于我校老师大部分在从化校区工作,而家住广州校区,那么有限的在校时间内只能进行课程讲授,处理一些基本工作。对于科研,学习往往需要回到家中完成。这样就必须实现校内网络资源如图书馆电子期刊,电子图书等能够让老师便利的访问。通过SSL VPN的使用,只要登录成功后,教职工就可以无缝访问校园网内所有允许访问资源。
我院于2009年采购了深信服的SSL VPN系统一直使用至今,读者通过系统自带的IE浏览器,只要成功接入网络,深信服即会启用“虚拟IP池”技术,将校园网的IP段分配到虚拟IP池中,一旦用户接入验证成功(验证方式可以采用账号、密码,也可以采用DKEY),由VPN分配给用户相应的内网IP,从而可以畅通无阻的访问校内资源。同时由于校内采用了电信网及教育网并存的情况,同时访问者所在网络环境各异,可能采用电信或者或网通等,通过该SSL VPN系统,可以自动实现线路的选择,从而保证了用户访问的速度。
3.2 图书馆管理系统的运行
图书馆管理系统是图书馆业务进行的保证,同时也是规范图书馆业务开展的重要工具。因SSL VPN系统不仅支持B/S应用,同时也很好的支持C/S应用。对于未采用专线连接的校区间,则完全可以通过SSL VPN系统实现系统对于服务器的访问,实现校区间的B/S模式的OPAC系统及C/S模式的管理系统软件的访问,使用,同时也保证了校区间的通借通换的正常开展。
系统在运行前需应用浏览器成功登录VPN系统,且在业务开展期间,必须使登录窗口一直保持在任务栏中,不能关闭,一旦关闭该登录界面,则系统对于后台数据库的改写则终止,管理系统也会即可断开和服务器的连接。
3.3 图书供应商的图书加工
随着图书馆业务的发展,加上图书馆自身原因,目前绝大部分图书馆的图书加工工作基本由供应商进行,最终再通过本馆人员进行验收。VPN采用前图书馆一般采用两种方式进行图书的入藏工作,一是邀请供应商到馆加工,二是告知登录号,由供应商安排人员在本公司进行加工。对于到馆加工形式,往往会给图书馆管理带来一定的影响,首先表现在编目时间受图书馆开放时间制约,导致供应商加工时间增长,成本加大,延误了图书馆自身新书上架计划,其次对图书馆的安全管理方面带来一定影响。对于提供登录号由供应商在公司加工,也会带来一些问题,表现在供应商加工期间图书馆必须完全暂停本馆的数据的加工工作,否则会导致登录号重复,导致编目数据错误,其次编目期间的双方沟通、供应商完成编目质量较难掌控。
以我校为例,随着图书馆的发展图书馆采购量大幅增加,由于人手有限,相对速度较慢,此外编目质量也参差不齐,所以本馆人员进行图书加工编目工作渐渐不能满足需求。自从2006年起,我馆将数据编目,加工工作交由供应商完成,工作人员由编目加工转为对供应商提供数据进行验收工作。由于学校图书馆无固定IP,且图书馆管理系统不支持基于IP的客户端连接,因此初期我馆只能邀请供应商到馆加工,效率有所提高。自学校采用了深信服SSL VPN系统后,图书馆给供应商分配登陆VPN的账户,并做好只能访问图书管理系统应用的权限,并在供应商电脑中安装相应软件,分配编目代码等。具体配置情况如下:
图书馆采用深信服系统,管理平台为SSL VPN 4.01版本,通过IP资源管理添加数据库所在服务器的IP地址,如我馆使用内网IP地址为192.168.3.17,同时添加允许访问的端口号。接着通过控制台用户管理增添相应用户组,通过用户组的分配便于实现权限的分配,管理,随后在该用户组中添加用户帐号。最终通过角色管理来实现用户与资源的对应关系。
4 VPN系统的一些不足之处
4.1 系统使用繁琐,启用后需占用一定的资源
VPN初次使用需要安装相应的证书及多个控件,如系统控件、虚拟网卡、IP控件等,安装完毕后,该页面必须常驻系统,否则一旦关闭页面,则建立的通道也随之关闭,使用过程比较繁琐,同时常驻的页面也占用了一定的资源。
4.2 安全性加强,对普通读者来说操作其他存在一定的难度
目前随着操作系统的安全性提高,浏览器的版本不断升级,目前IE已经发展到IE8版本,系统自带防火墙及其他辅助管理系统的软件也越来越多,导致系统在使用过程中安装难度增大,如在安装相应控件及登录过程中,可能需求开放安装ACTIVEX的权限,也可能在弹出信息过程中,页面被阻止,要求允许页面的弹出,这些操作对于普通老师来说,难度相对较大,往往使用过程中受阻,难以成功访问。
4.3 并发数量有限,对于读者来说可能存在信息访问阻塞
对于高校来说,人数较多难以做到给每个人员分配一个访问账号,另外从成本考虑往往也会通过限定同时访问人次即并发次数的方式提供给读者使用。那么多用户的共同访问可能导致并发数达到最大允许值,这样读者在访问过程中就会出现访问阻塞的问题出现。
4.4 统计访问功能不够强大
作为VPN系统,在系统的访问统计功能方面不够强大,往往只可以查看到某个时间段在线人次或在线总时间,而对于访问流量控制、资源管理、查询、统计分析等功能及实时跨地域、多校区统一管理等等则功能不够。
参考文献:
[1] 白羽,何磊,白家明.校园数字教学资源的VPN准入模式的探讨及实现[J].计算机安全,2011(3).
[2] 王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].信息资源建设,2006(5).
[3] 张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7).
[4] 占卫东.基于VPN虚拟专网建设数字图书馆的实践与思考[J].中国信息界,2011(2).
关键词:VPN;图书馆;资源利用
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4220-02
On the Application of the SSL-VPN System in the Library
CHENG Quan
(Guangzhou Institute of Technology, Guangzhou 510700, China)
Abstract: The SSL-VPN system is effective and economic in network. The author introduces this system to emphasize the necessity of adopting the SSL-VPN system in the library. And the library can ask the supplier to take use of this system for remote access and cataloging process.
Key words: VPN; library; utilization of resources
1 VPN的提出,为什么需要VPN
近些年随着高校的不断扩大,分校区的建立,读者对图书馆要求越来越高,同时图书馆局限性得到暴露,表现一:由于数字图书馆的不断发展,绝大多数商用资源库采用了内容数字版权加密保护技术即DRM(Digital Rights Management),并通过IP地址或用户名 IP的形式对于读者的访问加以约束。这样动态IP用户对于资源的访问存在困难;表现二:图书采购、加工、入藏环节需考虑到各校区专业配置、读者需求及库室分配。按照我院以前的处理方法为邀请供应商上门进行图书加工的工作,总馆工作人员进行验收,入藏至总馆后,再选出分配给各分馆的图书,并再次修改馆藏库室,后发送给各分馆并提供给校区读者使用,这无疑使得图书馆的工作量大大增加。
如何充分利用资源,解决动态IP用户的访问限制,实现资源真正意义上的共享,同时减轻供应商到馆加工对图书馆管理的影响,减轻总馆工作负担,解决各校区读者数据的共享问题。以上种种导致作为文献资源保障中心的图书馆必须通过相关技术手段及设备实现总馆与分馆、图书馆与读者、图书馆与供应商之间数据流通等相关问题。
综合考虑,为了实现校区间数据流通,解决非校园网读者对图书馆提供数字资源的访问,供应商对高校图书馆的采访、编目库的访问,采用VPN技术实现无疑是最为经济、安全可靠的方案。
2 什么是VPN系统,采用SSL-VPN的必然性
2.1 VPN介绍
VPN的全称为Virtual Private Network 即虚拟专用网,它通过加密、 认证、 隧道协议等相应技术,在公用网络上实现安全专用通信的网络。需要时会利用因特网建立一个临时、 稳定、安全的隧道,该隧道的建立必须通过用户验证开放连接,在退出后就释放所占网站资源。
目前常用的VPN系统有IPSec VPN、SSL VPN二种。IP Sec(因特网安全协议)是一组范围广泛、开放的虚拟专用网安全协议的总称,是IETF(Internet Engineering Task Force,即互联网工程任务组)支持的标准之一。它对应用于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议 AH(为 IP包提供信息源验证和完整性保证)和 ESP(提供加密保证)、密匙交换管理协议 IKE和用于网络验证及加密的算法等。IP Sec的优势在于安全性高,通用型好,提供的是网络的安全服务。但是由于是基于网络层应用,远程计算机必须安装客户端软件来建立安全隧道,而且IP Sec隧道建立后,使远程客户端拥有内部网用户一样的权限和操作功能,会给内部网络带来安全风险,如果远程客户端的机器中有蠕虫病毒就很容易感染给图书馆内部网络。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。
2.2 SSL-VPN的优势
SSL VPN有三大好处,第一客户端安装只需要建立内嵌的SSL协议就可以,对于C/S应用则仅需安装IP控件即可;第二使用简单,客户端无需作出配置,除首次使用需要安装协议外,利用浏览器即可访问,使用;第三兼容性良好,可以在不同终端浏览器中使用;第四SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密;第五;因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。第五对于病毒的感染几乎小,此外通过相关协议可以加强病毒的防治;第六内部网络受黑客攻击的可能较少。
3 SSL VPN在我校中的应用
由于我院校区较多,较为分散,如完全采取通过租用专线的方式实现点到点之间的远程接入,这种方式无疑是一种迅速、安全且可靠的通信手段 , 但其成本过高 , 灵活性较差 , 而且对于内部网络的安全访问控制有限。这种远程接入对于学院来说也不完全适用。因此学院在中心校区及主馆所在的从化校区之间建立了专线连接,而其他校区与中心校区、其他校区之间则通过SSL VPN的形式进行数据的访问。通过这种形式节约了大量成本。
3.1 读者对电子资源的访问
由于我校老师大部分在从化校区工作,而家住广州校区,那么有限的在校时间内只能进行课程讲授,处理一些基本工作。对于科研,学习往往需要回到家中完成。这样就必须实现校内网络资源如图书馆电子期刊,电子图书等能够让老师便利的访问。通过SSL VPN的使用,只要登录成功后,教职工就可以无缝访问校园网内所有允许访问资源。
我院于2009年采购了深信服的SSL VPN系统一直使用至今,读者通过系统自带的IE浏览器,只要成功接入网络,深信服即会启用“虚拟IP池”技术,将校园网的IP段分配到虚拟IP池中,一旦用户接入验证成功(验证方式可以采用账号、密码,也可以采用DKEY),由VPN分配给用户相应的内网IP,从而可以畅通无阻的访问校内资源。同时由于校内采用了电信网及教育网并存的情况,同时访问者所在网络环境各异,可能采用电信或者或网通等,通过该SSL VPN系统,可以自动实现线路的选择,从而保证了用户访问的速度。
3.2 图书馆管理系统的运行
图书馆管理系统是图书馆业务进行的保证,同时也是规范图书馆业务开展的重要工具。因SSL VPN系统不仅支持B/S应用,同时也很好的支持C/S应用。对于未采用专线连接的校区间,则完全可以通过SSL VPN系统实现系统对于服务器的访问,实现校区间的B/S模式的OPAC系统及C/S模式的管理系统软件的访问,使用,同时也保证了校区间的通借通换的正常开展。
系统在运行前需应用浏览器成功登录VPN系统,且在业务开展期间,必须使登录窗口一直保持在任务栏中,不能关闭,一旦关闭该登录界面,则系统对于后台数据库的改写则终止,管理系统也会即可断开和服务器的连接。
3.3 图书供应商的图书加工
随着图书馆业务的发展,加上图书馆自身原因,目前绝大部分图书馆的图书加工工作基本由供应商进行,最终再通过本馆人员进行验收。VPN采用前图书馆一般采用两种方式进行图书的入藏工作,一是邀请供应商到馆加工,二是告知登录号,由供应商安排人员在本公司进行加工。对于到馆加工形式,往往会给图书馆管理带来一定的影响,首先表现在编目时间受图书馆开放时间制约,导致供应商加工时间增长,成本加大,延误了图书馆自身新书上架计划,其次对图书馆的安全管理方面带来一定影响。对于提供登录号由供应商在公司加工,也会带来一些问题,表现在供应商加工期间图书馆必须完全暂停本馆的数据的加工工作,否则会导致登录号重复,导致编目数据错误,其次编目期间的双方沟通、供应商完成编目质量较难掌控。
以我校为例,随着图书馆的发展图书馆采购量大幅增加,由于人手有限,相对速度较慢,此外编目质量也参差不齐,所以本馆人员进行图书加工编目工作渐渐不能满足需求。自从2006年起,我馆将数据编目,加工工作交由供应商完成,工作人员由编目加工转为对供应商提供数据进行验收工作。由于学校图书馆无固定IP,且图书馆管理系统不支持基于IP的客户端连接,因此初期我馆只能邀请供应商到馆加工,效率有所提高。自学校采用了深信服SSL VPN系统后,图书馆给供应商分配登陆VPN的账户,并做好只能访问图书管理系统应用的权限,并在供应商电脑中安装相应软件,分配编目代码等。具体配置情况如下:
图书馆采用深信服系统,管理平台为SSL VPN 4.01版本,通过IP资源管理添加数据库所在服务器的IP地址,如我馆使用内网IP地址为192.168.3.17,同时添加允许访问的端口号。接着通过控制台用户管理增添相应用户组,通过用户组的分配便于实现权限的分配,管理,随后在该用户组中添加用户帐号。最终通过角色管理来实现用户与资源的对应关系。
4 VPN系统的一些不足之处
4.1 系统使用繁琐,启用后需占用一定的资源
VPN初次使用需要安装相应的证书及多个控件,如系统控件、虚拟网卡、IP控件等,安装完毕后,该页面必须常驻系统,否则一旦关闭页面,则建立的通道也随之关闭,使用过程比较繁琐,同时常驻的页面也占用了一定的资源。
4.2 安全性加强,对普通读者来说操作其他存在一定的难度
目前随着操作系统的安全性提高,浏览器的版本不断升级,目前IE已经发展到IE8版本,系统自带防火墙及其他辅助管理系统的软件也越来越多,导致系统在使用过程中安装难度增大,如在安装相应控件及登录过程中,可能需求开放安装ACTIVEX的权限,也可能在弹出信息过程中,页面被阻止,要求允许页面的弹出,这些操作对于普通老师来说,难度相对较大,往往使用过程中受阻,难以成功访问。
4.3 并发数量有限,对于读者来说可能存在信息访问阻塞
对于高校来说,人数较多难以做到给每个人员分配一个访问账号,另外从成本考虑往往也会通过限定同时访问人次即并发次数的方式提供给读者使用。那么多用户的共同访问可能导致并发数达到最大允许值,这样读者在访问过程中就会出现访问阻塞的问题出现。
4.4 统计访问功能不够强大
作为VPN系统,在系统的访问统计功能方面不够强大,往往只可以查看到某个时间段在线人次或在线总时间,而对于访问流量控制、资源管理、查询、统计分析等功能及实时跨地域、多校区统一管理等等则功能不够。
参考文献:
[1] 白羽,何磊,白家明.校园数字教学资源的VPN准入模式的探讨及实现[J].计算机安全,2011(3).
[2] 王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].信息资源建设,2006(5).
[3] 张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7).
[4] 占卫东.基于VPN虚拟专网建设数字图书馆的实践与思考[J].中国信息界,2011(2).