基于虚拟专用网络的数字图书馆远程访问模式设计

　　论文关键词:虚拟专用网络　数字图书馆　远程访问 
　　论文摘 要:对于图书馆服务而言,VPN正在得到广泛的推广与应用,既能够为图书馆之间的资源共享提供网络传输途径,又可以为远程异地用户提供资源服务,本文在介绍虚拟专用网技术的基础上,给出了基于VPN的图书馆资源远程访问解决方案。 
　　 
　　图书馆在使用过程中由于涉及到版权保护,容易导致异地用户或者外网用户无法对其资源进行访问。为了解决此问题,一个典型的远程访问技术VPN(虚拟专用网)正在被越来越广泛的使用。本文在介绍虚拟专用网技术的基础上,给出了基于VPN的图书馆资源远程访问解决方案。 
　　 
　　1 VPN技术简介 
　　VPN即虚拟专用网,SSL VPN是VPN的一种。其实现软件既可以安装在现有服务器上也可以固化在专业的硬件上。基于虚拟专用网的图书馆数字资源访问技术优势集中体现在以下几个方面: 
　　虚拟专用网的简单性。SSL VPN是最简单的一种解决远程用户访问图书馆的形式。原因在于SSL协议是内嵌于用户浏览器中的,因此就舍去了客户端上安装软件的步骤,用户只需连接Internet,就能通过网页访问图书馆资源。因此,通过VPN就可以在外网用户和图书馆之间的建立一条专用的数据传输通道,客户对资源的任何访问均需进行安全的身份验证。 
　　虚拟专用网的安全性。采取SSL VPN,攻击者难以侦测出系统网络设置,攻击机会就会降低许多。通过SSL VPN进行连接,还能够在很大程度上低于病毒的侵害,保证了图书馆信息系统的安全运行。 
　　保护敏感的数据。结合不同用户的身份,赋予其相应的访问权限。通过用户划分,降低客户端的维护工作量,保护了敏感数据,同时也实现虚拟专用网在图书馆应用的快速部署。 
　　扩展性强。随着网络的扩张,虚拟专用网可以实现灵活的扩展。如果图书馆需要添加新的用户或新的子网,只需在VPN服务器上对已有网络软件配置进行相应的修改即可。 
　　 
　　2 基于VPN的远程访问模式设计 
　　2.1 SSL VPN 的具体部署方案 
　　图书馆的SSL VPN所部署的位置是内网的防火墙后面,结合具体的安全控制策略,为那些位置分散的用户架设从公网进入图书馆内网信息资源的访问途径。通常采取的方式为:对图书馆内网的信息资源服务器进行设置,使之为位于外部网络的用户提供虚拟地址,当位于外网的用户根据所提供的虚拟URL对图书馆内网资源进行访问时,由SSL VPN网关获取来自用户发起的连接,同时为远程客户与服务器之间建立加密、解密的隧道,同时采取一定的访问控制策略,通过对用户信息进行认证后,向不同的应用服务器进行映射。 
　　结合图书馆用户的实际情况,(大部分图书馆用户均属于公网用户),在本文的设计中,以思科公司的产品应用为例,选择CiscoASA5510设备,利用其SSL VPN功能,布署于公网和策略分流交换机之间。具体的做法是:以思科CiscoASA 5510服务器实现Web VPN功能,用户身份的验证由Radius Server服务器实现,处于外网的用户通过所在的网络服务商接入互联网,之后向WebVPN服务器发出身份验证的请求,身份验证通过以后,就可以对图书馆内网的图书资源进行访问。思科CiscoASA 5510服务器的外网接口与因特网相连,为此接口配置公网的IP地址,位于图书馆外网的用户可以通过公网地址对其进行访问,服务器的内网接口连接策略分流交换机,为此接口配置图书馆内网IP地址,使之可以和 Radius Server服务器进行通讯,实现用户身份的验证,用户通过验证之后,就会被分配一个图书馆内网的IP地址,就可以对图书馆资源服务器群进行访问了。 
　　2.2 SSL VPN的主要配置过程 
　　以思科ASA5510内置的SSL VPN功能构建基于网络的虚拟专用网服务器,需要设置的内容包括DNS、网关和SSL VPN的接口地址等,在初始化设置之后,为共享图书资源,还需要配置SSL VPN设备,下面对几个关键的配置进行介绍。