数字出版安全网络的研究与实践

针对出版社与分社、合作伙伴之间的出版信息安全交流，本文尝试应用VPN技术，利用Internet公众网的公共资源，通过穿越Internet建立出版社与各分社、出版社与合作伙伴、远程用户安全访问网络，实现数字出版信息的安全可靠传输。

在当今计算机网络和信息数字化的快速发展下，时时刻刻影响着各个行业。文献、图书等信息资源的数字化、信息化也被推上出版信息化建设的舞台上。传统的新闻出版必须应用数字出版给予丰富和有机补充，把原来静态的文字、图片、声音、图像等通过计算机的处理，变得生动形象，而且也节省资源，便于出版业信息推广。数字出版在我国虽然起步较晚，但发展快，目前已经形成了网络图书、网络期刊等新业态。由于一些大的出版社拥有多个分社，分社与出版社距离相对较远，为了便于出版社与分社、合作伙伴之间的信息安全交流，需要一个安全使用的网络平台，避免使用QQ、邮箱等方式造成的不安全因素，引起不必要的纠纷。针对出版社与分社、合作伙伴之间的出版信息的安全交流，本文尝试应用VPN技术，利用Internet公众网的公共资源，通过穿越Internet建立出版社与各分社、出版社与合作伙伴、远程用户安全访问网络，实现数字出版信息的安全可靠传输。

一、数字出版VPN网络构建技术

数字出版是建立在计算机技术、通讯技术、网络技术、流媒体技术、存储技术、显示技术等高新技术基础上，融合并超越传统出版内容而发展起来的新兴出版产业。数字化出版是在出版的整个过程中，将所有的信息都以统一的二进制代码数字化形式存储于光盘、磁盘等介质中，信息的处理与接收则借助计算机或终端设备进行，它强调内容的数字化、生产模式和运作流程的数字化、传播载体的数字化和阅读消费、学习形态的数字化[1]。数字出版包括创作数字化、编辑数字化、出版数字化、发行数字化、标识数字化、管理数字化等，这一系列的数字化，需要一个安全实用的网络来支撑。数字出版是推动社会发展的强有力工具，改进人们的信息交流方式，更加方便地获取知识，对传统出版业进行改造，使之更加强大，对社会作出更大贡献。

建立数字出版安全网络，便于出版社和分社之间的统一规划、统一管理和统一建设，便于数字资源共享及安全传输与出版信息的安全信息交流；建立数字出版安全网络，方便出版社和合作伙伴之间的数据信息安全交流；建立数字出版安全网络，便于像出差用户这样的远程移动用户安全可靠地访问出版社的数字资源。

1. VPN技术

虚拟专用网（VPN）指的是在公共网络Internet上建立一个虚拟的“隧道”，通过虚拟“隧道”实现数据安全可靠的传输。好像在Internet上铺设一条虚拟的“专线”，为数字出版社之间互联及远程访问提供安全可靠的数字资源传输，既安全实用可靠，又节省成本。VPN包括跨共享网络或公共网络的数据封装、数据加密及解密、身份验证和密钥交换等，实现远程用户、出版社与分社的安全连接。

（1）IPSec VPN 是基于IPSec协议来实现远程接入的一种VPN技术，解决了在公共网络复杂环境上所面临的开放性及不安全因素的威胁，实现在公共网络上进行数字出版信息资源的安全传输。通过隧道技术、加密解密技术、密钥交换技术、身份认证技术来保证IP数据报的安全性、完整性、保密性和可用性。

（2）SSL VPN是基于SSL协议来实现远程接入的一种VPN技术，是一套Internet数据安全协议，位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。为高层协议提供数据封装、压缩、加密等基本功能的支持，同时为通讯双方进行身份认证、协商加密算法、交换加密密钥等提供支持，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

2. 数字出版网络远程访问技术选择

IPSec VPN与SSL VPN各有优势，二者优缺点及选择如图2所示，IPSec VPN具有高效、安全等优点，对于数字出版VPN网络的建设，理想的方式是将SSL VPN和IPSec VPN二者结合起来使用。一方面为数出版社与分社、合作伙伴之间采用IPSec VPN连接；另一方面为移动用户，远程访问出版社数字网络采用SSL VPN连接。二者的有机结合，不但保障了各个分社与出版社、合作伙伴的数字出版等方面的信息安全交流，也保证了远程用户的安全访问。

二、数字出版VPN网络构建与实践

1. 数字出版VPN网络拓扑结构构建

根据数字出版网络建设的需要，将出版社与分社、合作伙伴、移动用户，利用VPN技术实现数字出版资源的共享及远程访问，如图2所示。出版社的路由器1上，要求具有IPSec VPN和SSL VPN功能，如Cisco 1906C系列集成多业务路由器。路由器1、路由器2和路由器3分部作为隧道的节点，分别接入Internet，就可实现数字出版信息资源共享与交流。

2. 数字出版VPN网络IP规划

根据数字出版VPN网络拓扑结构，IP地址规划如表1所示。

3. 出版社与分社、合作伙伴的IPSec VPN配置

（1）路由器1上配置IPSec VPN，实现与分社网络互联。

A. 配置加密和密钥方法。在路由器1上配置IKE策略，加密方式为3DES，也可用SHA等，但是隧道两端的加密方式必须一样，哈希算法MD5，认证方式为预共享密钥方式，秘钥算法为group 2（2表示1024位，group 2安全性高，但更耗cpu），与分社路由器3进行身份验证的预共享密钥是ipsecvpn。主要配置：R1（config）#crypto isakmp key ipsecvpn address 219.33.210.38

B. 配置加密转换规则及传输模式名称。ipsectest为IPSec传输模式名称，ESP采用DES加密，ESP认证的Hash算法为MD 5，IPSec模式为Tunnel，传输模式名称为ipse-test，创建crypto map，映射名称为ipsecmap。主要配置如下：

R1（config）#crypto map ipsecmap 10 ipsec-isakmp

R1（config-crypto-map）#set peer 219.33.210.38

R1（config-crypto-map）#set transform ipse-test

（2）在分社路由器3和合作伙伴路由器2上配置IPSec VPN，实现与出版社互联。

用类似的方法对分社路由器3和合作伙伴路由器2进行配置，需要注意加密算法、预共享密钥、传输模式名称、加密转换规则与出版社路由器1保持一致，分社及合作伙伴配置的IP地址与出版社路由器1配置的IP地址要相互对应。

4. 出版社与移动用户SSL VPN配置

（1）开启AAA，并配置SSL VPN Client拨号的账户信息，认证方式为AAA 本地认证，配置分配给SSL VPN Client地址池范围。需要注意的是，如果地址池与出版社的内网不在一个网段时，则需要创建一个和地址池在同一网段的lookback接口作为SSL VPN Client的网关。主要配置如下：

R1 （config）# aaa authentication login webvpn local

R1 （config）#ip local pool sslvpn-addpool 192.168.10.150 192.168.10.253

R1 （config）#username libsslvpn password libadmin123

（2）定义Webvpn的策略集，指定SSL VPN Client的访问IP地址221.26.225.55及端口443，webvpn的名称为vpnsslgateway，关联IP地址池及AAA认证策略，定义SSL VPN Client拨号的策略及DNS。主要配置如下：

R1 （config-webvpn-context）#gateway vpnssl-gateway

R1 （config-webvpn-context）#aaa authentication list webvpn

R1 （config-webvpn-context）#inservice

R1 （config-webvpn-context）#policy group sslvpnpolicy

R1 （config-webvpn-group）#functions svc-enabled

R1 （config-webvpn-group）#svc address-pool sslvpn-addpool

R1 （config-webvpn-group）#svc split include 192.168.10.0 255.255.255.0

R1 （config-webvpn-context）#default-group-policy sslvpnpolicy

（3）SSL VPN客户端配置比较简单，需要下载SSL VPN Client并安装，初次需要安装证书，然后尝试进入SSL VPN Client拨号，输入用户名和密码，验证成功，即可连入出版社网络，进行数字出版安全可靠的交流与访问。

三、结束语

该方案充分利用Internet资源，在互联网上建立一条安全“隧道”，通过“隧道”为出版社数字资源建立一个安全的跨地域网络安全传输服务平台，经过实践应用，该技术方案运行平稳，具有较好的吞吐量和连接数，保证数字出版资源安全传输及远程访问，不但节约资源，而且提高了数字出版的办公效率。

（作者单位：承德石油高等专科学校）