当前,国内很多高校图书馆每年都购置了大量的数据资源供广大师生开展教学研究,这些数据资源对于学院学科建设和科研工作有着很重要的意义。然而图书馆数字资源对外开放是有限制条件的,数据库提供商为了自身利益和保护知识产权等原因,其网络数据库对授权用户的身份认证一般都采取IP地址认证的方式,即在和使用单位签署购买合同后,使用单位提供本单位的IP地址清单,数据库提供商只对这些IP地址开通访问权限。因此,高校师生只有使用校园网IP地址范围内的计算机,才能查询图书馆所购买的各类数字资源。IP控制的这种局限性,使得师生们无法在校园外通过拨号或ADSL等宽带上网方式查阅校内的数字资源,造成极大的不便,也影响了图书馆所购数字资源的利用率及使用效益。
而利用虚拟专用网络(Virtual Private Network,VPN)技术实现校外合法用户对校内数字资源的远程访问,就是一种费用较低、安全可靠、切实可行的解决方案。目前,我校江苏技术师范学院就是通过建立VPN网络来实现校外师生对图书馆电子数字资源的远程访问。
VPN技术概述
VPN的概念
VPN是一种通过ISP 和其它NSP在公网中建立用户私有专用网,通过私有隧道在公共数据网上仿真一条点到点的专线网络技术。利用VPN,用户无需拥有实际的长途数据线路,通过Internet公众数据网络就可虚拟地构建一个符合自己需求的专用网络。
VPN的工作原理
以Access VPN为例,VPN是C/S (客户端/服务端)模式的结构,要实现VPN连接,单位内部网络中须配置一台基于Windows/NT2000 Server或Windows2003Server的VPN服务器,VPN服务器内置两块网卡,一端连接单位内部专用网络,另一端连接到Internet,也就是说VPN 服务器必须拥有一个公网IP地址。当客户机要连接专用网时,首先与ISP的PPP服务器建立连接,PPP服务器再将所有的数据传送到VPN服务器,然后再由VPN服务器进行身份验证,最后将所有的数据传送到目标计算机。
VPN使用3个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应。如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果有,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
VPN的实现方式
VPN连接方式一般可分为两类:一是拨号VPN为移动用户和远程办公用户提供对单位内部网的远程访问,主要基于PPTP和L2F协议。这种VPN连接方式先通过普通的拨号与公用网进行连接,然后再通过VPN专用网络连接项,输入目标网络的IP地址或域名进行连接。二是专线VPN是指企业已通过专线方式与公网建立了连接,这种连接方式一般都需要有静态的IP 地址。无论何种连接方式,都要通过硬件VPN或软件VPN来实现。硬件VPN可以是具有VPN连接功能的路由器、防火墙、或是专用VPN交换机。软件VPN是安装专门VPN软件或用Microsoft提供的Windows 2000server自带的VPN包。
实现图书馆数字资源共享
在高校图书馆中,用户都是通过访问Web服务器来获取大量的文献资源。目前江苏技术师范学院图书馆的数据资源中既有镜像资源也有网络数据库,主要包括:15个中文数据,如:中国期刊库(CNKI)、全国报刊索引、超星数字图书馆、国研网数据库等;6个外文数据库,如:EBSCO、ENPS万方外文文献数据库等;5个特色数据库及各种试用数据库等。对绝大多数教职工来说,以前只能在校本部使用这些资源,给他们带来极大的不便。通过对本馆用户的应用需求分析,发现这些应用基本上是使用固定端口的基于TCP/IP协议的应用,完全可以采用基于SSL VPN技术中的Web浏览器模式来实现。
图 VPN网络远程访问图书资源拓扑
利用VPN实现远程访问,即将校外IP地址转换为校内IP地址,从而获得合法的访问电子资源的权限。可以用两台服务器(可以是Linux或Windows 2000)来实现VPN的功能。其中一台负责用户认证和生成用户证书(CA),建立SSL连接,另一台负责用户名和密码的认证。具体过程如下:用户首先通过Web 页面进行图书馆帐号认证,认证成功提交证书申请请求,然后用户获得数字证书。VPN服务器通过用户数字证书和用户口令进行用户合法性验证。
对证书的验证除了验证证书的合法性外,还要验证证书的有效期和CRL(证书撤销列表),同时客户端也要验证服务器端的证书。证书验证成功后,客户端和服务器之间会建立起SSL连接,此时数据开始加密传输。随后服务器通过LDAP(轻量目录访问协议)服务器验证用户名和密码。验证成功后,客户端和服务器之间建立起VPN连接,此时远程客户只需输入图书馆服务器地址、图书馆确认的用户名和密码就可以登录图书馆服务器,获得图书馆内部网IP地址,实现对图书馆资源的访问。
允许校园网外的用户通过不同的ISP(互联网服务提供商,Internet Service Provider)访问VPN iGate4.0安全网关设备,给用户提供最快捷的体验。使用校园网原有的AD(目录服务,Active Directory)或者LDAP(轻量目录访问协议,Lightweight Directory Access Protocol)服务器与iGate4.0配合,对外网用户进行认证。在iGate4.0上配置不同的服务,并按照用户角色的不同,给不同用户分配不同的服务。此时,外网用户通过最简单的基于Web的访问、登录过程,分配到一个内网的IP地址,即可使用图书馆内的各种应用,而不受防火墙的阻隔,既满足了远程移动应用的需求,又确保了图书馆内的资源和网络的安全。
数字资源远程访问
江苏技术师范学院采用VPN来实现图书馆数字资源远程访问。VPN软件主要包括VPN安全管理中心和客户端,校外用户在本机安装一个VPN客户端软件,经过配置接入校园网后,VPN管理中心会给每个远程用户分配一个校园网IP地址,从而实现远程用户以校园网用户身份访问图书馆数字资源。
VPN安全管理中心
VPN安全管理中心(SMC)是一套用于对整个VPN网络进行集中统一管理的软件系统,可运行在Windows 2000/XP或Linux系统平台上。它由安全策略服务器(SPS)和中心管理器(SMC Manager)两个相对独立的子系统组成。SPS是一个基于数据库的后台服务程序,可运行在Windows2000/XP/2003系统平台上;SMCManager是基于Windows的图形界面程序,主要完成浏览、配置SPS所维护的VPN 设备信息和VPN 安全策略信息。VPN网络采用“基于数字证书的集中认证、分级管理”模型对VPN设备的证书签发、策略分发进行管理。
VPN使用条件与方法
用户使用VPN须具备两个条件:一是用户已经通过电信、网通、移动或有线宽带等方式接入了互联网;二是具有校园网上网账号。
在实际使用中,打开浏览器(IE),输入http://210.29.192.20,就可以进入使用界面。
在用户框中输入本人VPN账号或校内上网账号;在密码中输入123321(首次登录密码)或自行设定的密码,打开如图3所示界面。若多次尝试未成功,请与校网络管理中心联系。
单击左下角“客户端下载”超链接,下载VPN客户端程序。
双击刚下载的文件RnasSetup.exe,进行安装。
安装完成后,在登录界面输入本人校内上网账号,密码(123321或已更改的密码),点击登录。登录成功后,屏幕右下角状态栏将出现相关图标,并显示登录后获取的校内IP地址(192.168.115.*)。这样就可以访问江苏技术师范学院校内资源了。
由于VPN多种安全、便捷、易于管理的特性,使它越来越受到学校、企业、政府等机构的青睐,尤其成为广大师生校外远程访问图书馆电子资源的方式首选。随着Internet的发展,VPN技术将更加完善,应用在更广泛的领域,发挥更加重要的作用。
抓住数字图书馆建设的机遇,让远程访问系统与数字图书馆建设有机结合,不仅让数字图书馆的时空得到扩展,更可以与数字图书馆中的文献传递、虚拟参考咨询等系统相结合,提升图书馆为用户服务的水平。(作者单位为江苏技术师范学院图书馆)
转载自:http://www.edu.cn/tsg_6497/20120608/t20120608_788000_1.shtml
