高校图书馆数字资源的远程访问研究

陈廷勇 邢 敏 潘希秋

〔摘 要〕近几年VPN技术逐步趋向成熟,构建基于Internet的校园VPN网络,能够实现校外师生对图书馆数字资源的远程访问。本文提出了基于Windows Server 2003的校园VPN解决方案,也详细地介绍了VPN技术特性及其服务器和客户端的配置方法。

〔关键词〕VPN技术;Internet;高校图书馆;数字资源

〔中图分类号〕G250.73 〔文献标识码〕A 〔文章编号〕1008-0821(2009)11-0096-03

Study on the Remote Access of Digital Resource of University LibraryChen Tingyong1 Xing Min1 Pan Xiqiu2

(1.Computer Department,Changchun Finance College,Changchun 130022,China;

2.Jingyu County Peoples Congress,Jingyu 135200,China)

〔Abstract〕With the gradual maturation of VPN technology in recent years,the campus VPN network based on the Internet will implement the remote access of digital resource of university library.The paper proposed a solution to the campus VPN based on Windows Server 2003,also introduced the VPN technology characteristics and the disposition methods of the server and the client in detail.

〔Keywords〕VPN technology;internet;university library;digital resource

随着Internet技术的飞速发展,信息化程度的快速提高,高校图书馆的服务已经从大量文本文献资源的提供转向网络资源服务,期刊数据库、电子图书以及学位论文数据库等数字资源已经成为师生们在教学和科研活动中最主要的信息来源。

然而图书馆数字资源对外开放是有限制条件的,数据库提供商为了自身利益和保护知识产权等原因,其网络数据库对授权用户的身份认证一般都采取IP地址认证的方式,即在和使用单位签署购买合同后,使用单位提供本单位的IP地址清单,数据库提供商只对这些IP地址开通访问权限。因此,高校师生只有使用校园网IP地址范围内的计算机,才能查询图书馆所购买的各类数字资源[1-2]。

IP控制的这种局限性,使得师生们无法在校园外通过拨号或ADSL等宽带上网方式查阅校内的数字资源,造成极大的不便,也影响了所购数字资源的利用率及使用效益。而利用虚拟专用网络(Virtual Private Network,VPN)技术实现校外合法用户对校内数字图书资源的远程访问,就是一种费用较低、安全可靠、切实可行的解决方案。目前,我校就是通过建立VPN网络来实现校外师生对图书馆数字资源的远程访问。

1 虚拟专用网络(VPN)技术

虚拟专用网络(VPN)指的是通过ISP(Internet Service Provider)或其他NSP(Network Service Provider),在Internet中建立一条虚拟的专用通道,让两个远距离网络用户能够在一个专用的网络通道中互相传递数据信息,它是通过跨越基于IP协议的公用网建立起一条安全专用通道来实现公网私用。远程用户通过PSTN拨号、ADSL或者小区宽带方式接入Internet,获得公网IP地址后通过VPN网络方式接通校园网公网地址,从而得到一个校园网的IP地址而被纳入到校园网之中,这样用户就能够访问图书馆的数字资源。

由于虚拟专用网技术将校园网之外的远程终端或局域网以虚拟网络的形式纳入到了校园网之中,所以校外合法认证用户就可以像校内用户一样使用图书馆数字资源,而不受IP地址限制[2-3]。

1.1 VPN的工作原理分析

利用VPN技术,图书馆网络能够在不可信任的公网上安全地通信,VPN采用高性能的复杂算法来对传输信息进行加密,以保证师生对信息安全性的需求。其通信过程是非校园网客户端用户发送信息到校园网VPN服务器(该服务器已经连接公网);VPN服务器确定用户是否合法,是否需要对数据进行加密;对需要加密的数据,VPN服务器对整个数据包进行加密并且附上数字签名,加上新的数据报头,其中包括目的客户端需要的安全信息;VPN服务器对加密后的数据、鉴别包和源IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输;当数据包到达校园外客户端时,数据包被解封装,对数字签名核对无误后,数据包被解密。

1.2 VPN网络的设计要求

实现高校图书馆虚拟专用网VPN设计方案,应该从安全性、管理性、实用性、扩充性、经济性和服务质量等方面进行探索实现。

1.2.1 安全性

安全是VPN技术的基础,VPN提供给师生用户的是专用网络,但不是物理上的专用网。因此建立在不安全、不可信任的公网上的VPN技术首先要解决的问题就是安全性。

虚拟专用网络并不会暴露在复杂的公网环境中,具有专用性,同时在数据传输过程中VPN采用隧道、数据加解密、密钥管理和身份认证等技术,以保证信息在传输过程中不被偷看、篡改和复制,从而保证数据仅被指定的发送者和接收者获悉,保证数据的私有性。这恰好符合图书馆数字资源的数字版权保护,即只有合法的用户才能访问图书馆数字资源。

由于VPN网络的数据传输是加密进行的,因此VPN服务器分配的与VPN连接的内部地址不能被Internet用户看到,Internet用户只能看到远程访问服务器的外部IP地址,所以校园网内部的IP地址也是安全的。

1.2.2 管理性

由于VPN技术的安全特性非常高,这就决定了它必须具有可管理性,对VPN网络的管理主要体现在安全管理、设备管理、配置管理以及访问控制列表管理等具体内容。对VPN网络管理不仅出于成本的考虑,更为重要的是要保证它具有较高的安全性能。具体应该包括对网络的可知性,即对运行状态的监控、日志记录、审计手段和预警方式等方面;还应包括对网络使用的可控性,即安全策略的部署、用户的控制和非法入侵的锁定等方面,为此应具备一个统一管理平台来实现,而不能将管理信息分散在不同节点上。

1.2.3 实用性

校园外师生在远程访问时希望使用最简单的设置、最少的步骤就能够连上校园网,这就要求VPN技术设计对客户端的支持具有简单实用性,只需要校园外用户设置好VPN客户端,通过客户端接入校园网就可以访问图书馆数字资源,使用简单方便,接入方式灵活。

1.2.4 扩充性

公网提供了多种接入方式,PSTN拨号、ADSL以及小区宽带等,而VPN网络可以根据各种接入方式的信息量、实时性和通信条件等情况,分别选择不同速率与之链接。同时VPN网络又能够支持各种类型的数据流,支持多种类型的传输媒介,能够满足语音、图像和视频等多媒体信息同时传输的需求,并且增加新节点、增加访问用户的数量等都非常方便,具有非常高的可扩充性能。

1.2.5 经济性

与租用一条昂贵的网络专线相比,VPN网络是一种经济实用的解决方案。只需要一次性投入VPN设备,包括服务器和路由器,而不再需要购买其他的存储设备,VPN网络更不必考虑线路带宽的利用率和费用等问题。

1.2.6 服务质量

公网中不稳定的流量使得带宽利用率很低,在流量高峰期会引起网络拥塞,导致一些数据不能及时发送和接收,流量低谷期又会造成带宽的浪费。VPN网络可以对流量进行预测并且能够进行较好控制,实现带宽的优化管理,从而避免了网络拥塞,提高了数据传输的质量[1-3]。

2 我校图书馆的VPN解决方案

我校图书馆局域网内有多个数字资源服务器,在校园网内可以直接访问。为了使广大师生能够从校园外远程访问图书馆的数字资源,在图书馆局域网内建立1个VPN服务器,通过适当的访问策略配置,保证网络安全。我校使用Windows Server 2003建立VPN服务器,实现软件平台的VPN虚拟专用网络,这种网络建设不需要昂贵的专用设备,可节省网络建设成本,配置及维护灵活简单,可以方便地为校园网构建一个实用的、造价低廉的VPN网络,校园外用户只需在Windows系统平台上建立VPN客户端就可以轻松方便地连接到校园网。

2.1 VPN服务器的配置

配置VPN服务器的前提是确信该服务器已经连入Internet,同时为了使Internet上的主机能够访问到VPN服务器,它必须拥有一个独立的公网IP地址。并且VPN服务器至少需要两块网卡,一块网卡对外网,分配的是连接Internet的IP地址,一块网卡是对内部局域网,分配的是内网地址。其具体配置步骤如下。

依次进入“开始”→“程序”→“管理工具”→“路由和远程访问”,打开“路由和远程访问”控制台。在左边框架服务器名“VPN-SERVER(本地)”处单击鼠标右键,选择“配置并启用路由和远程访问”,打开“路由和远程访问安装向导”,单击“下一步”继续,在“公共设置”选择“虚拟专用网络(VPN)访问和NAT”,单击“下一步”继续。在“VPN连接”一步需要指定服务器所使用的连接,由于本服务器使用双网卡,在此应该选择Internet连接使用的网卡,即选择VPN服务器公网IP地址,单击“下一步”继续。在“IP地址指定”一步需要选择为远程VPN客户端指定IP地址的方法,由于本机没有配置DHCP服务器,因此选择“来自一个指定的地址范围”选项,单击“下一步”继续。在“地址范围指定”一步可以为VPN客户机指定所分配的IP地址范围,由于为VPN服务器分配的内网IP为202.198.224.1,所以为VPN客户机指定所分配的IP地址范围可以为“202.198.224.100”～“202.198.224.200”。单击“新建”按钮打开“新建地址范围”窗口,按提示输入后单击“确定”按钮,返回“地址范围指定”一步,这些IP地址将分配给VPN服务器和VPN客户机。为了确保连接后的VPN网络同VPN服务器原有局域网之间能够正常通信,它们必须同VPN服务器的IP地址处在同一个网段中。假设VPN服务器IP地址为“202.198.16.1”,则此范围中的IP地址均应该以“202.198.16”开头。然后单击“下一步”,选择“不,我现在不想设置此服务器使用RADIUS”,单击“完成”,此时屏幕上出现一个名为“正在启动路由和远程访问服务”小窗口,稍后将自动返回“路由和远程访问”控制台,至此VPN服务器配置工作已完成。“服务”控制台中的“Routing and Remote Access”服务则“自动”处于“已启动”状态,在“网络和拨号连接”窗口中就会多出一个“传入的连接”图标。

还有一个极重要的关键环节就是赋予用户拨入权限,默认的情况包括Administrator在内的所有用户均被拒绝拨入到VPN服务器,因此需要为相应用户赋予拨入权限。再次打开“计算机管理”控制台,在左边框架中依次展开“本地用户和组”→“用户”,在右边框架中双击要分配权限的用户名称,打开用户属性窗口。在“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下默认选项为“通过远程访问策略控制访问”,改选为“允许访问”,单击“确定”返回“计算机管理”控制台,这样就结束了赋予用户拨入权限的全部工作[4]。

2.2 VPN客户端的配置与VPN服务器的连接

VPN客户端主要是指远程访问VPN连接的单个认证用户计算机,可运行Windows 9X/XP/2000/NT操作系统,配置方法大致相同,具体步骤是依次打开“网络和拨号连接→新建连接”,进入“网络连接向导”对话框,点击“下一步”继续,在网络连接类型选择“通过Internet连接到专用网络”。在“目标地址”一步,输入需要连接的VPN服务器域名或IP地址,在“可用连接”中,可以根据需要选择使用此连接的用户,一般情况下可以选择默认选项,即“所有用户使用此连接”。

配置连接共享来决定局域网中其他计算机是否可以使用该连接来访问外部资源,采用默认值。在“完成网络连接”一步, 输入该连接名称, 单击“完成”结束网络连接向导。建立VPN 连接后就会出现虚拟网络连接登录对话框,通过学校图书馆提供的用户名和密码,点击“连接”就可以连接VPN服务器。

连接完成后,用户将获得一个可以访问校园网的IP地址,这样校园外师生用户就可以访问图书馆数字资源。

3 结 语

虚拟专用网VPN设计方案能够较好地解决非校园网用户远程访问图书馆数字资源的问题,它已经被广泛地应用于各高校,校园外师生足不出户就可以在家里访问图书馆数字资源。VPN技术是当今网络发展的新趋势,它的优势是安全性好、可操作性强、经济实用以及灵活方便等,因此随着VPN技术的不断发展和完善,以及高校师生对图书馆数字资源依赖程度的增强,VPN技术在高校图书馆的应用前景将更加广阔。

参考文献

[1]姜琳.关于非校园网用户利用图书馆电子资源的研究[J].现代情报,2006,(2):64-66.

[2]韩明明.VPN技术在高校图书馆中的应用探讨[J].高校图书情报论坛,2007,(1):43-45.

[3]雷涛.利用VPN技术实现大学图书馆数字资源的远程访问[J].科技情报开发与经济,2008,(5):21-22.

[4]王达,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.