基于VPN网络的数字化图书馆系统设计.docx
《基于VPN网络的数字化图书馆系统设计.docx》由会员分享,可在线阅读,更多相关《基于VPN网络的数字化图书馆系统设计.docx(34页珍藏版)》请在冰豆网上搜索。
基于VPN网络的数字化图书馆系统设计
基于VPN网络的数字化图书馆系统设计
基于VPN网络的数字化图书馆
摘 要:
针对高校扩大生源和多校合并造成的图书馆数据共享困难,校外师生无法访问图书馆数据等问题,在校区之间实现校园图书馆的数字资源共享是必然的发展趋势。
本组建方案提出了通过VPN来解决图书馆资源整合和资源共享等问题。
先组建主校区的图书馆,在主校区的边界路由服务器上部署IPsecVPN,解决主校区和分校区图书馆的连接,和为校外师生提供访问校内图书馆资源的入口,实现校外作业也可以利用图书馆的资源来进行,从而提高图书馆资源利用率。
为了实现本次方案,使用了GNS3模拟器和Windowsserver2008进行组网仿真,通过Win7对进行访问测试,测试证明该该方案是可以实现建立高效安全的数字化图书馆。
关键词:
GNS3模拟器;资源整合;数据共享;IPsecVPN
Abstract:
Forcollegesanduniversitiestoexpandthelibrarydataandmulti-schoolstudentsshareconsolidationresultingdifficultiesschoolteachersandstudentscannotaccessthelibrarydataandotherissuesbetweencampusesrealizedigitalcampuslibraryresourcesharingisaninevitabletrend.TheplanproposestheformationofalibraryofresourcestoaddressissuessuchastheintegrationandsharingofresourcesviaVPN.Firstsetupthemaincampuslibrary,IPsecVPNdeploymentonthemaincampusoftheborderrouteserver,tosolvethemaincampusandcampusesconnectionlibraries,andprovideaccesstotheschoolentranceforschoolteachersandlibraryresources,toachieveoff-campusjobcanalsobeuselibraryresourcestocarryout,inordertoimprovetheutilizationoflibraryresources.
Inordertorealizethisplan,theuseofWindowsserver2008GNS3simulatorandsimulationfornetworking,accesstothetestbyWin7,testsprovethattheprogramisabletoachievetheestablishmentofefficientandsecuredigitallibrary.
Keywords:
integrationofresources;datasharing;IPsecVPN;GNS3simulator
设计说明
20世纪90年代开始,我国高等教育不断改革发展,各高校扩大招生规模,而原有的校区面积以及分布不合理,通过多校合并、新建校区等方式进行资源整合,多在城市郊区建立分校区,导致图书馆从单一的服务一个校区的模式转化为一校多馆或总分馆并存的模式。
本组建方案采用VPN技术来组建数字化图书馆网络。
VPN技术是一种封包和加密网络数据,在公共网络上建立专用的虚拟通道,传输数据,保证专用网络的安全。
这个逻辑上的专用通道可以提供和专用网络同样的功用。
相对于传统租用线路高昂的运营成本,尤其是相距距离远时更甚。
VPN是理想的解决方案。
相对节约成本,只要在主校区部署VPN服务,在分校区只要做少量的安装工作就可以实现访问。
该设计方案主要以主校区的图书馆为例,组建主校区图书馆的网络,在校园网边界路由服务器的IPsecVPN功能,使得分校区可以通过IPsec客户端访问,外出人员和教师校外家庭可以通过该方式访问。
在校园网中使用静态的路由协议,保证校园网互通和冗余备份,在校园网中部署了DHCP服务器,自动为子网分配IP地址,以及校园内WEB服务器,在边界路由服务器上还设计了NAT地址转换,将内网的IP转换为外网IP地址。
本次设计使用基于IPsecVPN,适用于馆际资源共享,分校区需要向主校区申请认证的服务证书,经过主校区的VPN认证,建立IPSec隧道,再由IPSecVPN设备给分校区客户端分配虚拟IP地址,就可以像在校园网内一样安全、稳定、高效地访问主校区图书馆的数据。
同样适用于校外教师或学生使用,校外用户只需要使用具有WEB浏览器向VPN服务器申请证书即可,不需要部署客户端就可以连接到VPN进行安全会话。
基于IPsec的VPN在网络层工作,在安全各方面的优势使之成为最方便、通用的VPN。
关键词:
边界路由服务器;专用虚拟通道;资源整合;IPsecVPN;证书
1引 言
VPN技术越来越成熟、流行,应用的领域也非常的广泛。
比如浏览特定网站、玩游戏、家庭办公等日常生活中也需要它。
降低单位建立局域网成本。
提升用户上网的品质。
VPN为远程访问内部网络提供公共安全连接。
远程访问的安全机制来保护敏感信息和通信的安全性,而且很好的解决机构异地安全通信的问题。
1.1研究背景
1.1.1VPN的基本概念
虚拟专用网络(VirtualPrivateNetwork,VPN),是公网上建立一条虚拟的通道,从而形成一个私有网络。
VPN是局域网的扩展,连接不同地方的机构,在特定的节点之间建立安全可靠的连接,移动用户可以简单而有效的连接内部网络,确保传输稳定、安全的数据。
例如,当一个教师下班后由于科研需求,想要访问学校内部网络图书馆的资源,就可以通过互联网建立远程连接,远程访问到图书馆资源。
这是用到了VPN技术,在学校内网部署VPN服务器,就可以通过互联网依靠VPN服务器进入公司内网。
在VPN技术出现之前,传统方法是在固定两点租用DDN(数字数据)专线和帧中继,必然会带来高昂的通讯和维护费用。
而客户端拨号访问从公网网络进入企业内网。
部署VPN服务器,通过互联网连接内网VPN服务器,访问内网数据。
实际上就是利用加密技术对数据包加密,即使被别人获取到数据包,也无法读取其中的信息。
当用户收到数据包之后对其解密,丢弃VPN包头,通过一些算法对数据的真实性和完整性进行验证。
如此便是在互联网上建立一个虚拟专用隧道,对数据进行封装、加解密、验证安全的在互联网上传输。
无论客户端在何处,只要可以连接互联网就可以通过VPN访问内网资源。
VPN网络能够被目前几乎所有的网络协议所支持,即使网络的传输方式改变了,VPN也能够正常工作[7]。
VPN通过简单的设置,新用户可以快速方便地访问网络。
VPN具有很高的安全系数,高级别的加密和身份识别协议确保数据不会被窥探,阻止数据被窃取和。
用户使用ISP提供的网络资源,但网络控制权始终在用户手上,管理着网络的安全设置、变化管理。
在内网也可以自己建立虚拟专用网。
数字图书馆是构建未来自有高速公路信息主体,不是指建立真正的图书馆,而是将以电子商务的方式管理各地图书馆资数据源库,智能检索技术把在高速宽带上传输的多媒体信息传输到需要丽连接的客户端。
数字化图书馆的建立以传统的图书馆为平台,根据科学技术来构建。
就是一个集合多功能的图书馆平台,除了传统的纸质阅读之外,还可以利用强大的多媒体方式为我们提供各种格式的数字化阅读,能够更轻松方便的掌握各种知识。
1.2研究目的与意义
随着VPN技术的发展,如今已经使用的非常普遍,已经越来越被应用在数字化图书馆,由于使用安全的加密技术,其安全性较高,使用方便,只需要可以连接互联网就可以访问校内图书馆,不但可以解决异地图书馆互通,方便校外师生进行科学研究工作,为图书馆资源整合,统一管理带来便利,还可以节省校园开销,由于部署简单,维护方便,一般只需要前期投资,后期的维护简单,费用低廉,此技术已经应用到很多具有大量分部的企业中。
通过对VPN的研究,结合典型组建VPN网络的实例,总结出优缺点,希望能够分析出VPN在应用中的问题,并且的出解决方案。
1.2.1国内外研究状况
根据国内VPN服务市场分析的评估报告,在全球经济领域中我国的地位以及处于高位,这将导致到我国投资的企业数量增加,相继在我国建立分公司。
另一方面,国内不断致力于经济发展,培育许多年轻优秀企业,信息化建设为VPN发展提供广阔的潜在市场,对未来科技发展起到重要的作用。
VPN早期是美国、以色列等国家研究出专门用于军事用途的信息传递工具,早在二十世纪九十年代中,就已经由IEIF着手开始了IPsecVPN的研究,其安全框架也在九十年代末发布,该安全框架可以兼容IPv4和IPv6,目前VPN技术在西方国家已经发展的相当成熟,为了降低用户的成本,国外推出了基于软件开放源代码IPsecVPN,国内厂商都相继推出自己的产品,诸如:
华为、深信服、网御神州等等国内厂商。
目前VPN的技术不单单只是运用在数字化图书馆上面,已经与国民的生活息息相关,各种VPN品牌产品和服务占有率超过国内市场份额的86%,美国ArrayNetworks连续三年国内市场份额第一。
我国内高校也越来越重视数字化的开发建设,建立数字化图书馆成为不可避免的趋势,为频繁跨校区访问资源带来便利,VPN务必要易于部署,使用简单。
中山大学和厦门大学建立了具有代表性的基于VPN网络的数字化图书馆。
从2003年起我国大力实施VPN校园网建设方案,在一些办学较为显著、拥有分校的院校,都具备较高的信息化水平,非常适合部署自身的校园网VPN方案。
2VPN技术的基础研究
2.1VPN的分类
VPN技术出现在人们视野中的时间并不长,之所以在较短的时间内为广大企业和厂家的支持,离不开其优越的性能和安全性,近年来发展十分迅速。
生厂商根据消费群体的不同,对不同的VPN产品进行分类销售,以突出其产品的优越性和适应性。
各地的ISP运营商也为了更多的占有市场份额,针对用户群体的不同提供不同的VPN接入方式。
以下简单介绍VPN分类的方式。
2.1.1按应用范围分类
这是最普遍的分类方法,VPN的各种模式满足用户在不同环境下需求,其应用模式基本上分为三种:
AccessVPN、ExtrannetVPN(外联网VPN)和InternetVPN(内联网VPN)。
一般情况下的专线VPN指的是内联网VPN。
2.1.1.1AccessVPN
这种方式一般在用户较少远程访问总部的情况下使用,例如,远程办公用户和企业分公司通过因特网访问公司内网使用的VPN连接。
远程办公用户是指终端,组成总部网络到终端的模型的VPN网络。
2.1.1.2InternetVPN
内联网VPN是在公网中建立在公司总部和分公司之间的虚拟网络,采用对等的网络对网络的连接。
2.1.1.3ExtranetVPN
这种主要是企业收购兼并以及建立企业间的战略伙伴关系之后,将不同企业已经建立的虚拟网络通过公网连接起来。
同样也是网络对网络的VPN,但是是以不对等的方式连接,主要的特点在于其安全策略上的差异。
但对于现实中的大型企业来说,最有可能的是同时用到三种VPN。
2.1.2按接入方式分类
2.1.2.1拨号VPN(VPDN)
基于PPTP与L2TP协议为远程用户提供了对企业的远程访问。
这是一种根据需要去连接的非固定VPN线路,服务对象为通过ADSL、ISDN或者PSTN等方式接入ISP的用户,这种方式一定程度的节省用户的费用。
由于是漫游用户,VPDN一般需要利用CHAP和RADIUS做身份验证。
其优点是用户不需要复杂的设备连接,实现连接的方式简单灵活,但是在PSTM用Modem拨号方式连接的时候速度较慢。
该VPN连接方式比较适合远程用户。
2.1.2.2专线VPN
这个方案是提供专门解决访问边缘的运营商设备专线接入,客户采用固定的线道以做为专线长期与运营商连接,而无需拨号建立连接。
这种接入方式与拨号VPN相比的优势在于,企业一直拥有静态IP,支持多个用户同时进行访问,其速度仍然比拨号方式快,令用户没有一直在线的感觉,相对节省费用,降低运营成本。
2.1.3按隧道建立方式分类
根据原理可分类为强制和自愿隧道两种方式。
2.1.3.1由客户端发起
在VPN服务体系中无论是起点还是终点都是要面向客户服务器的,可见于其内部技术组成,VPN实施的部署和管理。
在这中间无论是客户端还是隧道服务器(也可以说是网关)都必须部署合适的隧道软件。
由客户端的隧道服务器发起隧道,到达终点隧道服务器终止隧道,ISP无需做人任何的工作。
服务器通过认证用户的合法性和安全性之后,在双方建立一条感觉到ISP不参与的通信的虚拟隧道进行数据传输,双方还可以在通信过程中部署加密方式以保障数据传输安全。
2.1.3.2由服务端发起
也可以称为客户透明模。
VPN各种服务由运营商负责管理,客户无需了解起内部的构造、实现和维护管理,运营商的POP即是是VPN服务的起点也是终点,这种连接方式是针对运营商部署的。
2.1.4按协议实现类型分类
OSI模型中的第二层可以建立VPN、第三层甚至在更高层都可以建立,根据OSI七层模型来分类是国内外VPN设备生厂商和ISP比较关注的分类方式。
2.1.4.1第二层隧道协议
这是属于比较早期的,其使用非常广泛,是点到点的隧道协议简称PPTP和L2TP,建立在OSI模型二层。
是思科公司和微软公司共同制定的协议。
PPTP和L2TP的优点是简易方便,缺点主要是在可扩展性和安全性上,例如没有内在的安全机制,没有满足企业和客户或合作伙伴之间会话的安全会话保密性要求。
应此PPTP和L2TP协议的VPN最大的弱点就是其安全性、保密性和扩展性。
这种方式比较适合客户端远程访问虚拟专用网。
2.1.4.2第三层隧道协议
在OSI模型的三层工作,隧道中传递打包好的数据包。
目前最常见的有:
GRE协议、IPsec协议。
其中重点是IPsec协议,在OSI模型的IP层工作。
但安全性以及互操作性要超过很多安全技术和隧道协议,管理上比较繁琐。
它得到各大主流厂商的支持,适合组建各类VPN,在设备选择方面比较自由,性能优越,技术也相对成熟。
适合需要链路保密、安全连接,业务实时性要求比较低,流量数据不大的VPN部署方案。
此外有些协议是跨越第二层和第三层甚至跟高层,例如SSLVPN,有访问控制机制的功能,具有与IPsec相当的安全性,对客户端要求较低,只要支持SSL的浏览器即可,客户端上配置,适合远程移动用户访问内部局域网。
目前比较普遍的是结合L2TP和IPsec的方式。
L2TP作为隧道协议,IPsec保护数据。
2.2VPN技术的原理
VPN(VirtualPrivateNetworks),即虚拟专用网络,在穿越像在因特网这样不安全网络的两台机器之间的加密隧道,提供安全加密的隧道来保护通信[1]。
隧道技术是VPN具体体现,需要涉及到身份验证,数据安全传输,主要关键性技术有隧道、加解密、身份认证和密钥管理等技术。
2.2.1隧道技术
隧道技术利用互联网本身拥有基础设施使数据在不同的网路中传输。
在一种协议这种传送其他协议,就是通过协议封装协议,再将“包裹”好的数据发送到网络中出去。
对于隧道通信来说,一般采用的协议TCP或者UDP,各种协议都有各自的优点。
隧道建立的起始位置一般有从主机到主机、从网关到网关和从主机到网关三种类型。
2.2.2加解密技术的应用
通过隧道协议在互联网中传输数据,必然存在不安全因素,因此为了保证数据包不被被他人截取后浏览、窃取和篡改,对数据包进行加密是必然的,即使数据包丢失,任何人也无法窃取其中的信息,便能够保证信息传输的安全性。
加解密技术已经发展相当的成熟,直接可以应用在VPN当中来。
目前的加密技术主要分为两种,公开密钥加密和对称密钥加密,对称密钥加密即相同的密钥可以加解密,主要运用于加密大量传输的数据和完整性保护,运用范围非常广,例DES加密,是非常典型的对称密钥加密。
公开密钥即非对称密钥,使用一对不同的密钥加解密,分为“私钥”和“公钥”,必须配对,“公钥”是公开的,“私钥”是私人有,别人无法获取。
如果采用对称密钥在公网上使用很难保证密钥在传输过程中不被窃取,而使用公开密钥加密拥有者会产生一对密钥,让“公钥”在公网上传输,“私钥”自己保留,只有“私钥”才能解密“公钥”加密的文件,能够有效保证文件传输的安全性。
主要运用于数字签名、认证和安全传输会话密钥等。
实际运用中一般是融合两者之间的混合加密技术。
在实际传输数据的过程中,为了确保数据一致性和完整性,摘要算法也称为哈希(Hash)算法或散列算法,是加解密技术中通常都会使用的,能够有效防止数据被篡改,该算法使用了摘要函数将长度各异的信息做为输入,输出一个固定长度的摘要。
如果改变了输入信息的任何一位输出的再要信息就会发生不可预估的改变,因为输出的摘要与输入的每一位都有关系。
典型的摘要算法有MD5(MessageDigest5)与SHA(SecureHashAlgorithm)。
2.2.3密钥管理技术
数据加密技术的密钥管理非常重要,假如密钥被窃取,明文内容会泄露。
目前使用手工配置和使用密钥协议动态分发的两种方式。
2.2.4身份认证技术
隧道建立之前需要认证对方身份,以保障传输数据的合法性和正确性,VPN采用了多种用户认证技术,如PPP协议的认证就采用了口令验证协议PAP和挑战握手协议CHAP,基于认证技术,在建立VPN之前,用户对服务器请求建立连接要进行身份验证,检查用户是否合法。
还有双向认证,有VPN服务器要被客户验证其身份是否伪装欺骗。
身份认证技术应用到网络安全管理中,对于防止恶意攻击和资源窃取具有重要的作用,能够有效地防止非授权访问。
目前在实现VPN的方式中有两个主流:
IPsecVPN、SSLVPN。
(1)IPsecVPN:
位于OSI模型的网络层,为IP数据流提供安全服务,这些安全服务包括完整性、数据来源验证、重放防范、数据保密性和有限的流量保密性[2]。
(2)SSLVPN:
位于OSI模型的应用层,采用标准的安全套接层(SecureSocketLayer,简称SSL)协议,对传输中的数据包进行加密,从而在应用层保护了数据的安全性[3]。
2.3设计原则
为了能够建立安全可靠的VPN网络的数字化图书馆,必须遵循以下网络组建原则。
2.3.1安全性
VPN是依托公网建立起来的,安全问题必须重视,因此保证数据的完整性以及提升数据的安全性尤为重要,并且还要防止非法用户访问网络资源或者私有信息,通过内外网物理隔离、数据加密与隧道分离等技术,对数字化图书馆网络的安全策略统一制定,整体考虑数字图书馆的安全性。
2.3.2VPN管理
VPN的管理想要其网络系统管理的功能连接到公网,以至于分机构,虽然服务提供商能够完成某些不是很重要的管理,还是有许多管理要求由自己达成,因此,将VPN管理体系建立完备在VPN的组建中必不可少。
3基于VPN网络的数字化图书馆需求分析
3.1数字化图书馆的现状
在对一个现有网络进行改造升级的时候,首先需要充分了解用户的需求以达到预期的目标或解决存在的问题。
现有的图书馆是校园网的组成分子,使用二层交换机来连接核心交换机。
图书馆内部部署电子资源服务器,电子教学资源则是建立数字化高校的重点之一,近年从网上购买了大量电子数据库提供校园师生开展教学研究,这些电子资料对学校的学科建设和科学研究的工作具有重大意义。
然而根据保护数字版权的规定,要防止侵权,必须使用安全加密的技术来控制字数内容和分发的途径。
在知识产权保护的大背景下,出售电子数据库大都会限制访问的范围,只要付给提供服务的商家费用,该服务商家才会对该提供一定的访问校园网的服务。
尽管目前校园信息化建设趋于完善,但是很多方面的信息还是无法共享。
做为一个局域网的校园网,为了安全性考虑外网一般无法访问内网的资源,包括图书馆,对图书馆的资源就形成了一种孤立的状态,即使是同一家高校,校区不同导致资源的重复和共享方面的困难。
假如学校师生在任一个能够连接互联网的地方去访问学校已购买电子资源,采用ADSL、校区宽带等方式都属于外网的范围,而数据库就会拒绝这些客户的访问,以非授权为理由。
单个校区图书馆外购了的大量电子类资源,对方可以为学校开放多个IP地址为做为可访问授权,然而各个校区间的图书馆不能共享彼此的电子资源。
有许多学生会在校外租房,或者假期会回家,老师也会因为各种原因而不在学校。
这些人需要访问校内电子资源,还有学校请来的客座教授、老校友以及外聘教师更需要随时随地接入校园网享用资源,然而这些校外用户大多数都是使用动态IP地址,而且数量巨大,所以也无法为其加入固定的授权IP之中。
3.2VPN数字化图书馆的特点
2000年至今,绝大多数的高校都进行了信息化建设,基本形成了比较完整的校园网信息平台,将教学资源,购买的资源、各院系和图书馆的资源等集成到校园网平台,以供校园网内用户使用。
校区间图书馆的资源由于经费的问题不会投入过多去铺设专有线路,采用VPN建设数字化图书馆网络实现各校区资源共享的需求具有一定的优势,VPN技术成熟,部署方便简单,而且前期和后期的投入相对较少。
推进高校信息化的快速发展,还解决校区间互相访问和资源共享共管理,并且考虑到外出住宿、实习、出差等师生对校园网络数字化图书馆资源的访问,满足合作院校和企业的无缝对接。
3.3VPN数字化图书馆的应用需求
根据现有的图书馆现状,为解决安全管理认证远程访问校内图书馆的组建,校园网作为一个中转站,给予外面的用户一个转换一个可用的内网地址和访问数据库的权利。
本文提出了建立基于VPN网络的数字化图书馆的组建。
在研究目前远程访问技术的应用成果基础上,寻找能达到需求目标的安全、经济、便捷的解决方案,并且要兼容校园网信息化的基础上提供数字资源远程访问服务。
研究各个VPN远程连接方案,IPsec的技术可以实现远程访问大量数据的方式,它具有相对低的运行成本和后期维护成本而高效率的优势,使用也相对复杂,必须对客户端软件进行安装和维护,其双方使用的IP必须是固定的,适合在校区之间采用的远程访问方式,在两个校园网内部之间进行远程访问可降低其受到攻击或被病毒感染的可能性,并且对客户端的设备要求低,因而降低配置的困难度和运行成本,提高图书馆工作效率和很好解决了安全问题。
根据目前主要远程访问的技术应用和成果的基础,学习总结,尝试使用IPsecVPN远程访问技术解决方案,尝试使用IPsecVPN远程访问技术解决方案,使用户能都以一种低成本、高安全性的方式不受时间、空间限制的访问到校园网内的电子资源,进行资源共享,高校在社会知识共享、普及中应有的作用。
4基于VPN网络的数字化图书馆总体设计方案
4.1总体方案
在此次方案的总体设计当中,通过图书馆网络现状和应用需求的分析,以及对VPN技术方案进行选型,主校区和各分校区之间的VPN连接建立选用IPsecVPN,通过互联网做为载体使校区之间网络互连,实现整个校园网的资源、信息和数据共享和交流。
既可以克服路由器在公网中对访问的限制,还能保护数据传输过程中的数据安
升级会员 