论文导读::在数字信息迅速膨胀的今天,如何让读者在不同地域、网段更加安全、简洁、高效的获取到所需的数字资源,已成为各高校、科研部门以及数据库提供商最为关注的重要问题。本文将通过对VPN(Virtual Private Network,虚拟专用网)技术的介绍和运用举例,为数字资源的共享,提供一种切实可行的解决问题的方法,以作为数字资源共享参考。
论文关键词:数字资源共享VPN
在计算机网络诞生以来,数据信息共享便成为其首要解决和实现的问题,但与此同时,开放性的网络对数字资源所造成的非授权使用和恶意破坏,也成为制约和困扰数字资源发展的关键因素。在数字资源供应商出于对知识版权保护的同时,各高校、科研部门的数字资源服务平台为了更加安全的提供查询服务,通常需要对访问地域和访问IP地址进行限制,同时也需对访问者进行相关的合法性检验来实现数字资源的共享。简而言之,无论数据提供商所提供的数字资源,还是单位自建特色数据库,在共享平台上或软件浏览器中,都对共享的资源进行了加密控制和访问地址范围的严格划分,只有授权的用户才能通过浏览器或专用浏览器对所提供的数字资源进行访问。这样做的目的前面已提到,可以增强访问的安全性,并在一定程度上杜绝非法下载拷贝和网络恶意攻击等行为的发生信息传播,但与此同时,这也在访问过程中带来了不必要的约束,例如在不同地域或所划定的IP地址范围以外的合法用户对数字资源的授权访问问题的产生。而在解决数字资源开放性和安全性这对矛盾的共同体时,VPN(Virtual Private Network,虚拟专用网)技术的出现便成为一种行之有效的方法,本文将对该项技术进行简单介绍,以及运用举例。
1、VPN(Virtual PrivateNetwork,虚拟专用网)简介
VPN全称“Virtual Private Network”,“虚拟专用网络”。通俗的可以把它理解成是虚拟出来的内部专用网络。该项技术以互联网为载体,通过加密通讯协议,在不同区域或不同IP地址段的多个客户端与服务端之间,建立一条专有的通讯线路。可以理解为一条穿过混乱公用网络的安全、稳定的隧道,其核心便是利用公共网络建立虚拟私通讯网。而对于使用者来说,便如同在客户与服务器之间架设了一条专用通讯线路,但事实上,其仅仅在已有的物理网络线路基础之上,建立一个临时的、安全可靠的连接。在其实现过程中主要采用了隧道技术、加密技术、密钥管理技术。
1.1隧道技术
该技术是在互联网络的基础设施之间传递数据的一种方式。而采用隧道技术传递的数据可以是其他协议的数据帧或包,在传输过程中该技术将其它类型的协议数据帧或包重新封装,然后通过已建立好的隧道进行转发,并在新的帧头提供相关的路由信息,其原理类似于用点到点之间的数据传输代替交换连接。经过封装将不同的数据流在相同的物理网络中通过已建立好的不同隧道中进行传输。而该项技术可以工作于OSI模型的数据链路层或网络层。在数据链路层中,以帧作为传输的基本单元,通过点对点隧道协议、第二层隧道协议和第二层隧道协议进行封装并进行传输。而在网络层中,以包作为传输的基本单元,可通过IPSEC隧道模式对数据进行封装传输论文的格式。
1.2加密技术
在VPN中可以使用具有加密功能的设备对数据进行加密处理,当数据源经过加密设备时,相关设备便会通过相关加密算法对数据进行加密;而当接收端收到数据时,同样可通过对应的算法进行解密操作。以IPSEC VPN为例,在IPSEC协议中通过包封装技术,利用Internet中可路由的地址,封装内部网络的IP地址信息传播,实现异地网络的互通。在其中通过IPSEC引入完整的安全机制,包括了加密、认证和数据防篡改等功能。在数字加密过程中,可以支持DES、3DES、IDEA等加密算法。其中DES加密算法适用于对大量数据进行加密,并具有加密速度快的特点;3DES加密算法基于DES算法上,对相同数据使用三种不同的密钥进行多次加密,其加密强度级别较高;IDEA加密算法,同样为较高强度加密,其使用128位密钥对相关数据进行加密运算。
1.3密钥管理技术
在VPN中可进行相关的密钥管理技术和使用者身份认证技术。在IPSEC VPN中可引入Internet安全关联与密钥管理的ISAKMP协议。其集成了认证、密钥管理和安全连接等技术来保证私有信道上所需的安全要求,定义了包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架,而它们与密钥产生技术,加密算法和认证机制相独立。
2、VPN技术在数字图书馆中的运用
2.1 VPN在数字图书馆资源共享
在高校数字图书馆资源使用者中,大部分使用者都需要通过跨地域或跨网段来实现数字资源的共享(如不同校区或放假期间查询数字资源等问题),而物理网络和VPN组网设备作为解决该问题的前提必不可少。下面以高校数字图书馆资源共享为例,对VPN结构网络拓扑结构进行说明。
VPN构建数字图书馆馆拓扑图
该拓扑结构中,以本校区用户、分校区用户和校外用户为例,通过VPN交换设备中的IPSec和SSL协议建立隧道,并通过AES等多种加密算法进行相互连接通讯。其中在VPN设备中自带DMZ区,用于有效隔离攻击。
2.2 VPN设备数据配置
对于维护VPN设备的管理者来说,在完成设备接入调试工作后,首要完成的任务便是批量建立VPN用户访问权限问题。管理者可通过设备所带后台软件对使用者分配账号及口令,若增加了短信网关的设备,还可以将账号与使用者移动通信设备号相互绑定,以便发送短信特征验证码进行二次身份验证。而在集成IPSEC和SSLVPN协议的VPN设备中,整合了IPSec、SSLVPN和防火墙的部分功能。其中IPSec、SSLVPN的功能主要是通过隧道技术建立通讯链路,并采用多线路复用技术来完成带宽叠加和线路备份,以保证VPN网络的连通性,而防火墙可有效对网络攻击加以防范。在Cisco、Sinfor、华为等硬件提供商中都有比较成熟的产品设备,下面以Sinfor VPN设备为例进行数据配置说明。
在实现远程访问数字图书馆中,需要使用可构建VPN网络的辅助设备。在专用的VPN设备中都集成了后台管理软件。管理员可通过WEB界面登陆后进行相应的后台数据设置管理。在该界面中整合了后台控制的功能模块,本节主要对系统设置、DLAN设置、SSLVPN、防火墙等模块进行相关参数说明介绍。
2.2.1 “系统配置”模块参数设置
在“系统设置”中,主要分为“基本设置”、“网络设置”、“控制台用户管理”、“自动升级设置”和“高级设置”多个功能。
其中“基本设置”主要对系统时间、WebUI端口进行基本配置信息传播,
并提供相关系统信息。而“网络设置”中,除了对内、外网的访问端口进行配置,还能对子网进行相应的分配和管理(图一截图所显示为内、外网接口配置;图二截图为多子网划分参数)。
下图为“内网接口”截图
下图为“外网接口”截图
图一 “网络接口”界面
在内网接口截图中所显示的DMZ端口主要用于解决安装防火墙后外部网络不能访问内部网络服务器的问题,因此而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护内部网络,通过这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
图二 “多子网设置”界面
2.2.2 “DLAN”参数配置
在DLAN参数配置中,主要包括了WebAgent设置、多线路配置、加密算法和用户管理等多项功能模块。
在WebAgent设置中主要对主WebAgent和备份WebAgent地址进行填写配置。而多线路配置中,主要通过设置多条线路进行备份复用。
图三 “WebAgent”设置和“多线路配置”界面
在算法查看和用户管理中,可以查询到当前VPN设备所设置的
AES加密算法。其中AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。在AES中,设计有三个长度为128,192,256位密钥。相对而言,AES的128密钥比DES的56密钥增强了1021倍论文的格式。而AES算法主要参数方面包括轮变化、圈数和密钥扩展等技术功能。
图四 “算法查看”与“用户管理”界面
2.2.3 SSLVPN设置管理
在SSLVPN设置管理中,主要有基础配置、资源管理和用户管理等功能模块。
在VPN的访问者身份验证功能便集成于“SSLVPN”中的“基础配置”功能模块。该模块除了可对硬件HARD CA和USB Key的VPN客户端访问权限进行设置,以保证仅有合法用户才可连接进入VPN网络外,还可通过手机短信网关进行短信特征验证码等多种认证方式,来为用户提供“与或”组合的多种认证手段进行混合认证,以保证为用户提供安全的VPN网络接入。
图五 “短信认证配置” 界面
对于数字图书馆来说,可以通过VPN实现跨网段访问服务。而在“资源管理”模块中,主要通过对资源管理进行描述,以及入口地址的定义(图十主要显示Sinfor VPN设备资源管理模块)。其中资源管理可分为WEB资源和APP资源。
1/2 1 2 下一页 尾页 |
