曾斯

摘要：文章介紹了VPN技術的特點、關鍵技術，并對該技術解決高校多校區(qū)圖書館資源共享和校外用戶遠程訪問圖書館數(shù)字資源的問題進行了探討。

關鍵詞：VPN；數(shù)字圖書館；遠程訪問

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）08-0039-03

Abstract： This paper introduces the features of VPN technology、the key technology，F(xiàn)or solving the multi-campus library resources sharing and the external users remote access to library digital resources problems are discussed on the technology.

Key words： VPN； digital library； remote access

1 引言

隨著網(wǎng)絡技術的發(fā)展，高等院校數(shù)字化圖書館建設的步伐也在不斷的加快，隨之面對的問題也是復雜多樣。由于各高校圖書館數(shù)字資源具有開放性和專用性，即所有文獻數(shù)字資源可以為廣大師生員工共享，校內(nèi)資源只能在學校網(wǎng)絡內(nèi)供讀者查詢使用。另外，基于很多高校多校區(qū)、地域分散的運行模式。以湖南環(huán)境生物職業(yè)技術學院為例，該院分為南北兩個校區(qū)，而且兩個校區(qū)相隔距離較遠，在兩個校區(qū)之間通過網(wǎng)絡互聯(lián)實現(xiàn)校園網(wǎng)內(nèi)圖書館數(shù)字資源共享對教師的教學和科研是非常有必要的，也是今后數(shù)字圖書館發(fā)展的趨勢。由于因特網(wǎng)通訊處于開放式的環(huán)境中，信息在傳輸?shù)倪^程中很難保證其安全性和私密性。因此，在具有安全性、保密性、可管理性的同時，很大程度降低了網(wǎng)絡的使用率。對于校園網(wǎng)遠程接入訪問的需求，而且又需要保證圖書館數(shù)字資源在多校區(qū)網(wǎng)絡環(huán)境中的安全傳輸，同時又能方便快捷地訪問校內(nèi)圖書館數(shù)字資源，使圖書館數(shù)字資源得到最大化的利用成為當前數(shù)字圖書館網(wǎng)絡建設需要解決的重大問題。VPN（ Virtual Private Network） 技術的優(yōu)勢就能很好地解決上述圖書館網(wǎng)絡建設的需求，它可以實現(xiàn)讀者在校外對校內(nèi)圖書館數(shù)字資源的遠程訪問，并且可以實現(xiàn)在多個校區(qū)間圖書館數(shù)字資源的安全共享與通信，是一種安全可靠、切實可行的解決方案。

2 VPN概念

VP N （ Virtual Private Network），即虛擬專用網(wǎng)絡。VPN被定義為通過公用網(wǎng)絡建立一條私有專網(wǎng)的安全隧道。它不具有自己的專用的物理線路，但是卻可以提供和專網(wǎng)相同的功能。其技術主要利用了公用網(wǎng)絡（主要是互聯(lián)網(wǎng)）將多個私有的網(wǎng)絡或網(wǎng)絡節(jié)點進行連接。通過公用網(wǎng)絡進行連接可以大大降低通信的成本。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接不需要傳統(tǒng)專用網(wǎng)連接端到端的物理鏈路，而是通過一個已經(jīng)存在的具有共享功能的網(wǎng)絡中實現(xiàn)，該虛擬網(wǎng)只有在用戶需要遠程連接的時候才建立。盡管沒有自己的專用的物理線路，但是這個邏輯上的專用通道提供的功能同樣可以媲美專用網(wǎng)絡。所謂虛擬，是指用戶不再需要具有物理的長途數(shù)據(jù)線路，而是將其建立在分布廣泛的公用網(wǎng)絡，尤其是因特網(wǎng)上。而虛擬專用網(wǎng)絡是指用戶可以根據(jù)各個節(jié)點的實際連接需要來定制一個滿足實際需求的一個個性化的網(wǎng)絡。VPN既可以讓客戶端連接到公用網(wǎng)所能夠連接的任何位置，也可以很好地解決網(wǎng)絡傳輸過程中存在的安全性、共享性、私密性和可管理性等問題，在提高網(wǎng)絡的使用率的同時，也降低了網(wǎng)絡的使用成本。

3 VPN安全技術

VPN與傳統(tǒng)網(wǎng)絡相比有其明顯的優(yōu)越性。它不僅擁有傳統(tǒng)網(wǎng)絡的安全性，結(jié)合了下一代IPv6的安全性，通過各種VPN技術，利用公共網(wǎng)絡來建立虛擬專用通道，保證了網(wǎng)絡連接的安全性。另外VPN技術經(jīng)濟實用、管理起來更加簡單。因為VPN是搭建在公用網(wǎng)絡上的，高校數(shù)字圖書館網(wǎng)絡連接采用VPN技術方案跟購置專用的遠程接入設備來比，大大減少了系統(tǒng)運行及維護所需的成本。而且VPN能夠支持通過因特網(wǎng)和外聯(lián)網(wǎng)的任何類型的數(shù)據(jù)形式，方便快捷地增加新的網(wǎng)絡節(jié)點，支持各種類型的傳輸介質(zhì)，如圖形圖像、聲音、視頻、等數(shù)據(jù)的同時傳輸而且又能滿足不斷增加的帶寬需求。由于數(shù)據(jù)傳輸?shù)乃接行?，VPN用戶更關心數(shù)據(jù)是否安全，目前VPN主要采用以下四項技術來保證數(shù)據(jù)的安全性，分別為隧道技術、密鑰管理技術、加解密技術和身份認證技術。

3.1隧道技術（Tunneling）

隧道技術（Tunneling）是一種在互聯(lián)網(wǎng)或者專用網(wǎng)絡設備之間進行數(shù)據(jù)加密的傳輸技術。它是一種基于點對點的連接技術，是VPN技術的核心。進行通信的數(shù)據(jù)信息可以是所有通信協(xié)議的數(shù)據(jù)包。隧道協(xié)議將這些協(xié)議的數(shù)據(jù)包重新封裝以后通過隧道在新的數(shù)據(jù)包中進行發(fā)送。新的包頭包括了路由信息，從而使封裝的數(shù)據(jù)通過公共互聯(lián)網(wǎng)絡傳輸。數(shù)據(jù)傳遞時經(jīng)過的邏輯通道稱為隧道。當數(shù)據(jù)包到達通信終點以后，將被拆封并轉(zhuǎn)發(fā)到最終目的地。在隧道的創(chuàng)建之前，通信雙方（服務器和客戶機）一定要使用同樣的隧道協(xié)議，即第二層和第三層協(xié)議，包括有L2TP、PPTP、L2F、IPsec和VTP協(xié)議。對于任何一種協(xié)議都是由傳遞的介質(zhì)、不一樣的封裝形式和用戶的數(shù)據(jù)包三者組成的。至于在數(shù)據(jù)傳輸過程中采用何種隧道完全依照于數(shù)據(jù)的來源。

3.2密鑰管理技術（Key Management）

密鑰管理技術的主要功能是通過密鑰交換和密鑰分配建立公共密鑰，并保證密鑰在公共網(wǎng)絡上安全地傳遞而不會被盜取。密鑰的分配方法大致分為兩種，第一種是通過手工配置的方式，第二種是采用密鑰交換協(xié)議動態(tài)分發(fā)的方式。兩種方式比較起來，前者由于密鑰更新較難，所以適合于簡單的網(wǎng)絡，后者可以動態(tài)生成密鑰且可隨時快速更新，因此更適合于復雜的網(wǎng)絡。

3.3加解密技術（Encryption & Decryption）

VPN是通過公共網(wǎng)絡建立的，為了保證數(shù)據(jù)在傳輸?shù)倪^程中不被他人讀取或截取，加解密技術利用傳輸數(shù)據(jù)包進行隱藏的方法，保證只有通信的發(fā)送者和接受者才能加解密數(shù)據(jù)，同時確保網(wǎng)絡中其他未授權的用戶無法獲得該信息。當數(shù)據(jù)在剛發(fā)送時，由路由器對數(shù)據(jù)進行硬件加密，當?shù)竭_目的地以后，再由路由器對數(shù)據(jù)進行解密，這時用戶才能真正獲得所傳遞的信息。加解密技術的方法普通數(shù)據(jù)的加解密方法基本一致，其此技術已較成熟，VPN技術可以直接取用。

3.4身份認證技術（Authentication）

身份認證技術是在計算機網(wǎng)絡中確認操作者身份的過程而產(chǎn)生的有效解決方法。也是保證數(shù)據(jù)安全性的一個關鍵技術，用戶身份驗證技術在VPN隧道打開前都需要對用戶來確定是否具有合法身份以及確定該用戶擁有哪些權限。目前，該技術通常有用戶名/密碼、智能卡、動態(tài)/靜態(tài)口令牌以及數(shù)字證書等認證方法。

在以上列舉的四種方法中，在實際的網(wǎng)絡連接和數(shù)據(jù)訪問過程中，往往是結(jié)合起來進行使用的。比如在訪問數(shù)據(jù)時，首先由客戶機通過VPN服務器請求連接，接下來由VPN服務器接受請求并發(fā)送驗證信息給客戶機，目的是為了確認該用戶是否已授權，然后服務器根據(jù)客戶機發(fā)送過來的加密信息進行檢查，并判斷該用戶是否合法，如果是，應該授予何種訪問權限，開放哪些資源，比如老師和學生的訪問權限和對資源的訪問往往是不同的，目的也是為了保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

4 VPN技術在高校圖書館中的應用

當前，隨著信息技術的發(fā)展，高校數(shù)字資源的不斷增多，教師的教學和科研很大程度上需要借鑒于高校圖書館的數(shù)字資源。而且由于高校的建設規(guī)模不斷擴大，在多校區(qū)環(huán)境下，教師和學生在多個校區(qū)上課和學習，這就使得師生需要跨校區(qū)訪問圖書館的數(shù)字資源。在多數(shù)高校中，圖書館所訂購的數(shù)字資源只允許在校園網(wǎng)內(nèi)部進行訪問。然而在校外的教師上網(wǎng)所用的網(wǎng)絡地址不是校園網(wǎng)內(nèi)部的IP地址，所以就不會被認定為圖書館數(shù)字資源的合法用戶，訪問就會受限。為了解決資源訪問受IP地址限制的問題，高校圖書館VPN技術既能控制電子資源的專用性，同時又能保證數(shù)據(jù)在公共互聯(lián)網(wǎng)傳輸時的私密性和安全性，因此非常適合于各高校多校區(qū)圖書館的遠程訪問。

要實現(xiàn)圖書館的數(shù)字資源在不同校區(qū)之間共享需進行有效的統(tǒng)一協(xié)調(diào)和管理，要解決以下幾個問題，第一，要建立數(shù)字圖書館網(wǎng)絡間的傳輸安全，確保數(shù)據(jù)在傳輸過程中的私密性。第二，通過提供身份認證，確保只有被授權的用戶才能實現(xiàn)圖書館網(wǎng)絡間資源的訪問。第三，為了避免數(shù)據(jù)在傳輸過程中遭到惡意篡改或損壞，需要采用完整性驗證。

目前大部分的高校圖書館采用的都是SSL VPN、IPSecVPN以及和專線等混合搭配的方法來實現(xiàn)對校外的各種訪問。

4.1 SSL VPN技術

SSL （Secure Socket Layer）技術，即安全套接字層，是VPN中的一種，它是近些年來提出的一種新的VPN的構建方法，通過加密技術對數(shù)據(jù)進行封裝，實現(xiàn)VPN高強度的數(shù)據(jù)加密通信，從而在應用層保證了數(shù)據(jù)的安全性。SSL VPN是目前解決遠程用戶訪問圖書館數(shù)字資源最安全最簡單的解決技術，因此它也是一種在網(wǎng)絡上使用最普遍的安全通訊協(xié)議。SSL通過簡單易用的方法實現(xiàn)信息的遠程連接。所有安裝了標準的Web瀏覽器的機器都可以使用SSL VPN。由于SSL內(nèi)嵌在瀏覽器中，它并不需要像傳統(tǒng)的VPN一樣必須為每一臺客戶機都安裝客戶端軟件。而且SSL VPN不會受到安裝在服務器和客戶端之間的防火墻等設備的影響，穿透能力較強。所以說SSL VPN是目前解決遠程用戶訪問校內(nèi)圖書館數(shù)字資源最簡單的一種網(wǎng)絡技術，因此非常適合于校外師生員工的安全接入。

4.2 IPsec VPN 技術

IPsec VPN即指采用IPsec協(xié)議來實現(xiàn)遠程接入的一種VPN技術，IPsec全稱為Internet Protocol Security。IPsec VPN采用的是IPsec協(xié)議，它是建立于IPsec 技術之上的一種VPN技術，IP層能為IPsec VPN 技術提供保護機制，因此獨立于應用程序，它以自己的封包封裝原始的IP信息，一旦IPsec建立加密隧道后，就可以實現(xiàn)各種類型的連接。IPsec能夠為客戶端和服務提供商的基礎結(jié)構提供安全保障。從應用范圍來看，IPsec VPN幾乎可以滿足任何網(wǎng)絡，最適合的環(huán)境是固定辦公區(qū)域，多應用于兩個局域網(wǎng)之間點對點的連接，但是它要求所有連接客戶端環(huán)境都需要安裝IPsec VPN客戶端程序，這就使得連接起來更加復雜。

5 結(jié)束語

由于VPN具有安全性好，實用性強、運營成本低、易于管理以及可靠性好等諸多優(yōu)點，近些年來越來越廣泛的應用在高校圖書館的遠程訪問中，有效地解決了圖書館資源的遠程訪問和多校區(qū)間的資源共享，提高了高校圖書館數(shù)字資源的利用率。各高校應根據(jù)自身校園網(wǎng)的實際建設和圖書館的需求，結(jié)合多種網(wǎng)絡技術制定VPN方案，讓高校圖書館資源更好地為廣大師生服務。隨著網(wǎng)絡的普及和迅猛發(fā)展，人員流動性的日益加大，VPN的應用領域也將越來越廣泛。

參考文獻 ：

[1] 李芳.對 VPN 技術的研究及應用[J].硅谷，2010（3）：89.

[2] 陳月從.VPN 技術在多校區(qū)圖書館數(shù)據(jù)資源共享中的應用研究[J].科技情報開發(fā)與經(jīng)濟，2011（8）：11-14.

[3] 喬曉琳.基于IPsec VPN應用研究[J].電腦知識與技術，2010（5）：1072-1074.

[4] 朱克亮.用 VPN 技術實現(xiàn)高校圖書館之間數(shù)字資源的共享[J].電腦知識與技術，2009（31） ： 8623-8624.