变态ＶＰＮ技术在公共图书馆总分馆体系网络互联中的应用★-57BT.COM

ＶＰＮ技术在公共图书馆总分馆体系网络互联中的应用

作者:我BT　文章来源:本站原创

　　　　本文作者：丁宁
　　图节馆建设2008(3)_嘲嘲黼黼黼黼黼鳓嘲黼嘲麟黼黼黼黼嘲嘲黼麟黼黼城市图书馆ApplicacionofⅥ)NTecllIlologyinmePublicLibra巧’sMain锄dBrallchSystemBasedonNetwork丁宁(南京图书馆江苏南京210018)【摘要】VPN是一种通过对网络数据进行封包和加密，在公网上传输私有数据，同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全好传奇，是介于公众网和专用网之间的一种网络。具有降低成本、易于扩展、保证安全等优点。最新传奇　　在图书馆总分馆体系中应用具有有效实现网络资源共建共享经济实用、管理简化可扩展性好支持多种应用，网际互联安全能高的优势。VPN将会成为未来公共图书馆互联网络安全的主要发展方向。【关键词】虚拟专网网络安全图书馆总分馆制【中国分类号】G250．7I文献标识码】B【AbstrscqVPNisatechnologywhichpackagesandencryptsnetworkdata，transmltsprivatedataon¨ne，andmeanwhileensuresthesecurjtyoftheprIvatenetwork．ItisanetworkwhichisbetweenthepubIicandpr．Vatenet、ⅣOrk，cOmbiningthecOnVenientfeatureOfpUbIicnetwOrkandthesecurityOfprivatenetwOrk．ThecharacteristicsofVPNareIowcost，easyexpansjonandsafety．Theapp¨cationofVPNjnthepublic¨brary。
　　smainandbranchsystempOssessesmanyadvantages：effectivecOcOnstructionandshar．ngOfnetworkr∞ources：econonlyandpra删ca咐。simpIifiedmanagementgood献p鲫sion：supponinga垤n嘶Ofapp¨catiOnshighsecurityinternetwOrking．VPNwi¨bethemaindirectiOnOfnetwOrkSecurityinthefuturepub¨cIibrary．【Keywords】VPN(VinualPr．vateNetwork)NetlIvorkSecurity：Lib限Ⅳ：MaInandb隐nchli最新传奇b豫吖system1引言随着信息时代的到来与公共图书馆体系的变革，以美国为代表的西方公共图书馆总分馆体系在我国的广东和上海落地生根，分别出现了以广东中山图书馆与上海图书馆为总馆，区域间众馆为分馆的总分馆结构的联合体系，并有逐渐向全国各地区推广的趋势。总分馆体系下，核心总馆的局域网络与分馆的网络互联，覆盖地理位置间隔遥远的省际、城际的众多图书馆。由于租用专线成本耗资巨大，各馆间利用公网互联实现资源共享已是必然的趋势。
　　然而，在公共网络不能保障互联的安全情况下，运用VPN技术能够实现不同地区、机构之间网络安全互联，为我们解决公共图书馆总分馆互联互通的安全问题提供了重要的参考。2VPN描述2．1vPN的定义及其主要技术VPN(VirtuaIPrivateNetwork，虚拟专用网)是一种通过对网络数据进行封包和加密，在公网如因特网上传输私有数据，同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全，足介于公众网和专用网之间的一种网络。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道，尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。换言之，VPN虽然不是物理上真正的专用网络，但却能够实现物理专用网络的功能。VPN作为一种综合的网络安全方案。包含了很多重要的技术。最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术11】。
　　公共图书馆总分馆体系可以利用vPN技术，通过开放的公用网络(通常是因特网)建立私有的、安全的数据传输通道，将远程的分馆连接起来，达到内部局域网的扩张。?9?2．2Ⅵ，N的主要特点2．2．1网际互联安全性高【2lVPN技术继承了现有网络的安全技术，并结合了下一代IPv6(IntemetPmtocolversionsix，因特网协议第6版【3】)的安全特性，通过隧道、认证、接入控制、数据加密技术，利用公网建立互联的虚拟专用通道，实现网络互联的安全。2．2．2经济实用、管理简化【4】由于VPN独立于初始协议，用户可以继续使用传统设备，保护了用户热血传奇在现有硬件和软件系统上的投资。
　　由于vPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。在vPN允许一个单一的wAN接口服务多种目的，可以同时为多个用户的移动网络终端提供安全的线路连接到内部网络，所以，只需要极少的WAN接口和设备。2．3可扩展性好f5l如果想扩大vPN的容量和覆盖范围，需做的事情很少，而且能及时实现。管理者只需与新加入的分馆签约，建立账户或者与原有的下级组织重签合约，扩大服务范围。在远程地点增加vPN能力也很简单，几条命令就可以使Extranet路由器拥有因特网和vPN能力，路由器还能对工作站自动进行配置。2．4支持多种应用由于vPN给我们提供了安全的通道，可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用，如IP语音，IP传真等。2．5有效实现网络资源共建共享在网络安全的保证下和认证技术的支持下，可以实现整个vPN体系中互联单位的资源共建共享，避免资源重复开发带来的巨大浪费，甚至可以实现普通读者在家用ADsL来访问公共图书馆局域网络中的全文数据库嘲。3利用VPN实现总分馆网络互联总分馆体系下，需要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理，并有效地利用各总馆与分馆的资源，进行内部业务交流和开展读者服务工作。这需要解决两个问题第一，要建立总分馆之间的网络问的安全通道，保护链路的通讯安全。第二，要根据身份认证实现总分馆之间的网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。
　　3．1总分馆vPN网络互联宜采用自建方式虽然可以通过IsP(InternetservicePmvider网络服务提供商)的中心交换设备来构建专用通道，但公共图书馆内部局域网，瓦联速度相对较快，所以总分馆VPN网络互联宜采用自建的方式。其优势如下：多数公共图书馆都具备良好的计算机基础设施和内联?lO?局域网，接入因特网带宽有百兆、甚至千兆，而总馆在这方面的优势更加突出。在此基础上自建vPN，既便捷又经济。该网游这一点真不错能使总分馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。可以确保得到业内最好的技术以满足自身的特殊需要，而且开发额外的新的应用服务不用通过与IsP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。可以根据需要来配置自己的安全策略，满足不同级别的安全需要。自建式vPN基于IPsec隧道技术，IPsec(IntemetProtocolSecurity，安全的IP隧道模式)是一种比较成熟的技术，是目前国内外普遍采用的隧道协议，也是下一代安全IP(IPv6)的重要安全认证部分。3．2Ⅵ，N安全技术的选择运用3．2．1应用类型选择按应用类型划分，vPN有3种隧道形式．①LAN到LAN．基于vPN的网络互联，网关(路由器)到网关(路由器)或网络到网络。②客户到LAN：基于VPN的远程访问，即单机连接到网络，又称点到站点，桌面到网络。③客户到客户：即单机到单机，又称端对端，用于内部网的两台主机之间的安全通信。从使用的方便性和配置维护的容易性考虑，总分馆VPN网络应该采用LAN到LAN隧道的形式。从使用的角度看，在这种隧道形式下，两局域网之间的通信连接是通过vPN网关服务器代理完成，用户主机不需要做专门的配置，也不用安装vPN软件，对用户来说，VPN网关是透明的，与具体应用无关，可以通过同一VPN服务器实现多种应用从管理的角度，只需维护好两端的VPN服务器，大大减少了维护的难度对于将来的扩展，在必要的时候可以提供客户到LAN、客户到客户的接入嘲，例如：图书馆读者远程电子资源的全文服务远程办公的图书馆管理者、内部下作人员之间需要交流的保密信息。目前，许多VPN产品都能提供多种隧道接入形式，只是根据不同的需要各有侧重，要选择在LAN到LAN隧道功能强大的产品，在满足大众需要的同时，可以兼顾个别需要。如：CiscoASA5500系列【7】还可以在单一平台上提供IPsec和基于SSL(securesocketsLayer，安全套协议)的vPN服务，无需部署两个并行解决方案，避免了为sSL和IPsecVPN部署分立的平台而导致低效和成本增加。3．2．2支持协议的选择自建vPN不收费网游应根据需要选择隧道协议，目前PP．rP(PointtoPointTunneling，点对点隧道协议)、I。
　　2TP(LayerTwoTunnelingProtocol，第二层隧道协议)和IPsec是比较常用的协议。
　　网络互联(LAN到LAN)和端到端连接多选择IPsec协议。一般远程访问VPN(即客户到LAN)多选择L2TP协议，为安全起见，还需选择IPSec来提供加密。
　　PPTP由于简单易用，而且支持NAT路由，因此在有些场合下也使用。
　　总之，IPsec是最安全的隧道协议，多数VPN产品都支持该协议。当然，越来越多的vPN产品开始支持PP，I'P和L2TP协议。除隧道协议之外，还要考察VPN可承载协议、网络地址转换(NAT，NetworkAddressTranslation)以及路由协议的支持情况。许多VPN产品的可承载协议除IP协议之外，还支持IPx、网络基本输入，输出系统协议(NetBl0S，NetworkBasicInput，Outputsystem)等网络协议。对NAT的支持对于一些网络共享的应用非常重要。
　　IPSec本身并不支持NAT，但可在VPN产品中加进这一功能。与IPSec产生直接冲突的是网络地址端口转换(NAPT，NetworkAddressPortTran8lation)和网络地址转换(NAT)。
　　NAT和NAPrI’在宽带网络中应用很广，IPsecVPN方案如果不支持NAPrI在这些场合就没有意义了。3．2．3支持的认证技术一个VPN系统应支持标准的认证方式，如基于机器特征码、数字证书技术、远程用户拨号认证系统(RADIuS，RemoteAuthenticationDialInUserService)认证、基于公开密钥基础设施(PKI，PublicKeyInfrastrIlcture)【8】的证书认证以及逐渐兴起的生物识别技术等等。另外，还要提供基于用户组策略的认证。对于一个大规模的vPN系统，PKI／KMI的(KeyManagementInfrastmcture，密钥管理中心矽提供实体(人员、设备、应用)信息的LDAP【8K“ghtweightDirectoryAccessProtocol，轻量级目录访问协议)目录服务及采用标准的强认证技术(令牌、Ic卡)是一个vPN系统成功实施和正常运行必不可少的条件。
　　而且，基于PKI的证书识别结合Ic卡和生物识别将是未来的认证主流技术。3．2．4接入控制的选择机制由LAN到LAN隧道技术特点决定，为了方便总分各馆间的网络使用者(包括馆员、读者、管理部门等等)互联，所有局域网内部的用户都必须有使用vPN服务器代理的权限。因此，接入控制显得比其他两种隧道形式更为重要。比如，可以采用两级的控制机制，粗度的接入控制交给VPN服务器来完成，VPN服务器上的安全策略数据库(sPD【81，safetyPolicyDatabase)可以实现基于类似于用户组级别的控制，既把所有用户划分为不同等级的组来配置接入控制策略。
　　细度的接入控制将由独立的认证服务器来完成，可以使局域网共享一个证书机构cA嘲(CertificateAuthority，数字证书认证中心)和安全策略服务器，由它来管理和发放数字证书，实现对控制资源的访问。3．2．5数据安全采用分级处理方式191数据安全包括数据加密、完整性检测和抗篡改。vPN技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上，可以采用分级处理方式，对不同的等级的用户配置不同的数据安全策略，把用户分为普通级、普通加密级、高级加密级，对在普通级的用户通讯数据(例姬读者访问图书馆电子资源)配置为不使用任何加密的安全策略普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。3．2．6VPN的设备选择基于IPSec的VPN，可以通过在主机上运行专门的VPN软件把该主机作为VPN服务器来实现，也可以通过硬件(专门的VPN设备)来实现。从性能上来说，硬件实现的效率比软件高，可以支持更多的用户。对于设备的选择。各馆可以根据自己的实际情况，结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。另外，vPN将lP数据包加密封装，往往会影响防火墙的性能，甚至影响安全策略的定义。
　　一般来说，独立的VPN产品与防火墙，特别是来自不同厂家的产品，难以协同工作，最好选择集成防火墙功能的vPN产品，以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护vPN网关免受DoS(DenialofSenrice，拒绝服务)攻击嗍和入侵威胁，提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。总之，VPN新技术综合传统数据网络的安全性和较好的服务质量，以及共享数据网络结构的简单和低成本，建立安全的数据通道，满足了用户对网络带宽、接入和服务不断增加的需求，必将成为未来公共图书馆互联网络安全的主要发展方向。参考文献：【1】焦青亮．虚拟网络vPN综述【J】．黑龙江科技信息，2007(1)：54．【2】唐淑娟，秦一方．井向阳．VPN技术与图书馆资源远程利用叨．情报探索，2007(1)：4951．【3】陈选育，李灿平．IPv6下基于IPsee的VPN的研究与性能分析【J】．广东通信技术，2007(1)：1l15．【4】韩明明．VIP技术在高校图书馆中的应用探讨【J】．高校图书情报论坛，2007(1)：43-45．【5】蒋东毅，吕述望，罗晓广．VIP的关键技术分析【J】．计算机工程与应用，2003(15)：173174．【6】姜琳．关于非校园网用户利用图书馆电子资源的研究用户【J】．现代情报，2006(2)：6466．[7】AsA下一代防火墙cigcoAsA5500系列商业版fEB／OL】．[200710051．ht‘p：，nnr．cisco．conl，web，CN／index．htIIll．【81carhonR．Davis．IPsecvPN的安全实施【M1．周水彬，冯登国，徐震，等译．北京：清华大学出版社，2002：151162．【9】蔡立军．网络安全技术『M】．清华大学出版社，2006．【作者简介】丁宁男，1965年生，馆员，南京图书馆读者服务部工作，研究方向为现代信息技术在图书馆的运用，发表论文数篇。【收稿日期：2007一lolo】。
　　本文《ＶＰＮ技术在公共图书馆总分馆体系网络互联中的应用》 --- 作者：丁宁

---上一篇：ＳＭＳ在远程英语学习中应用的实证研究

---下一篇：ＶＰＮ在跨校区校园网中的应用

本篇文章相关文章推荐：