VPN技术在图书管理信息系统中的应用,本文主要内容关键词为:系统中的应用论文,图书论文,技术论文,信息论文,VPN论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1 引言
随着高等教育向大众化进程推进,高等学校的办学规模越来越大。有的是好几所院校 合并为一所大学,有的是异地建立新校区。为学校教学科研提供文献服务的图书馆变成 了地域分散的若干个分馆组成。要实现各分馆之间文献信息资源的共享,特别是整个校 区图书通借通还带来了一定困难。当前图书馆处理业务的图书馆集成管理系统无论是引 进国外的还是国内的产品,系统绝大部分功能都是采用C/S两层体系结构,不能直接在 校园网上运行。要把庞大复杂的C/S图书馆管理系统转变为能在校园网上运行的B/S系统 ,要投入大量的人力、物力,短时间难以完成。针对这种情况可采用租用专用线路(帧 中继、DDN等)的专有网,这样做的代价是相当高,昂贵的租用专线费,昂贵的专门通信 设备,高昂的网络运行维护费。在校园网上构筑基于Internet的VPN技术可以很好解决 专有网投资大、网络维护困难、扩展性差等问题。采用VPN解决方案,通过将数据流转 移到校园网络上,可以大幅度降低用于远程连接网络的费用。同时VPN可以保护现有的 网络投资,充分发挥现有网络的作用。VPN技术可以向用户提供一个同时具有专用网优 点和INTERNET优点的安全、稳定、可管理的网络。随着以Internet为代表的IP网络普及 ,在IP网络基础上构架VPN成为一种主要的趋势。本文论述VPN即是主要用于构建基于IP 网络的VPN(IPVPN)。
2 VPN的概念及其核心技术
2.1 VPN的概念
虚拟专用网络(VPN)是一种基于交换技术加高速主干链路,以公用开放的网络(如公共 分组交换网、帧中继网、ISDN或Internet)作为基本传输媒介,将处于不同位置的物理L AN逻辑地连接在一起,利用软件实现网络的划分和管理的网络技术。IPVPN与传统VPN做 法所不同的是在Internet网络上开辟了一条专用通道(tunnel隧道)供封装后的数据包通 过,并使用加密、认证和访问控制等方法来保证数据的安全性。虚拟专用网不是真的专 用网络,但却能够实现专用网络的功能。
2.2 VPN核心技术
虚拟专用网络具体实现是采用隧道技术,将内部VPN网的数据封装,在隧道中通过
Internet进行传输。隧道技术使VPN服务器把用户数据打包进IP信息包中,穿过不同的 网络,到达隧道终点,然后数据拆包,转换原始数据形式。VPN隧道主要有第二层和第 三层之分,其中第二层隧道提供了在隧道两个端点之间点到点的数据链路层的连接,第 二层隧道协议有L2F、PPTP、L2PT等。第三层隧道协议提供了基于IP的虚拟连接。各种 网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协 议有VTP、IPSec、GRE等。第二层与第三层协议主要差别在于隧道协议是由那层协议进 行传输。
2.2.1 PPTP协议
PPTP(Point-to-point Tunneling Protocol)协议是PPP协议的扩展,它支持多种网络 协议,可以把IP、IPX、Appltalk、NETBeui的数据包封装在PPP隧道协议包中,再将整 个报文封装至PPTP隧道协议包中,然后嵌入IP报文中进行传输。被广泛用于拨号连接的 VPN。在拨号VPN中拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP连接;在 此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上 是基于IP协议上的另一个PPP连接。PPTP只支持IP作为传输协议。另外还可以使用PPTP 建立专用VPN到LAN的网络。PPTP只在隧道建立时对用户进行身份验证,故比较适合于
Access VPN用户。
2.2.2 L2TP协议
L2TP(Layer2 Tunneling Protocol)协议与PPTP和L2F相比,L2TP的优点在于提供了差 错和流量控制。L2TP使用UDP封装和传送PPP帧(如图1)。利用公共网络(如IP网、帧中继 网、ATM网)封装PPP帧,可以实现与原有的非IP网的兼容。L2TP没有任何加密措施,更 多是和IPSec协议结合使用,提供隧道验证。这种技术最适合于远程访问虚拟专用网, 主要提供了移动用户通过拨号网络直接访问企业内部网络的方式。微软已经把L2TP作为 其路由软件的一部分,在Windows 2000以后版中都提供了这项功能,所以L2TP对用微软 操作系统的用户来说很方便。
2.2.3 IPsec协议
虽然PPTP和L2TP都有它们各自的优点,但是都没有很好地解决隧道加密和数据加密的 问题。而IPsec(Internet Protiocol Security)把数据加密、用户身份认证、数据完整 性检查多种安全技术结合在一起形成一个较为完整的安全体系,其主要工作方式是在原 始的IP数据包中添加验证和安全报头后封装成新的IP包,再在骨干网络中传输。IPSec 有隧道和传输两种工作方式。隧道方式用来保护整个IP数据包,传输方式用来保护上层 数据。在传输方式中,IP头与上层协议头之间嵌入一个新的IPsec头;在隧道方式中, 要保护的整个IP数据包都封装到另一个新的IP数据包里,同时,在外部与内部IP头之间 嵌入一个新的IPsec头。IPsec有AH和ESP两个协议,AH和ESP都可以在两种模式下工作。 AH可以保证数据的完整性(包括数据的真实性及数据没有被修改)、验证数据源以及抗重 播攻击(防止数据分组被假冒者复制存储并重复发送)。首先发送方将IP头、高层的数据 、公共密钥这3部分通过某种散列算法进行计算,得出AH头中的验证数据,并将AH头加 入到IP数据包中。当数据传输到接收方时,接收方将收到的IP头、高层的数据、公共密 钥以相同的散列算法进行运算,并把得出的结果同收到数据包中的AH头进行比较。如果 结果相同则表明数据传输过程中没有被修改,是真正的信息源处发出的,AH没有对用户 数据进行加密,用户数据在网络中传输有可能被修改。AH不能保证数据机密性(数据没 有被别人看过)。ESP在AH协议的功能之外再提供对IP分组或上层协议进行加密,从而实 现信息保密功能。ESP在传输方式中,只有高层协议(TCP、UDP、ICMP等)及数据加密, 在这种方式下,源地址、目的地址以及所有IP包的内容都不加密。在遂道模式中,整个 用户的IP数据包被用来计算ESP头,整个IP包被加密和ESP头一起被封装在一个新的IP包 内。这样当数据在INTERNET上传送时真正的源地址目的地址被隐藏起来。应用ESP时, 在IP头和被保护的数据之间插入一个ESP头,在整个IP数据包的最后还要追加一个ESP尾 。ESP协议可以选择多种加密方法包括DES、Triple-DES、RC5、RC4、IDEA和Blowfish。 ESP保证数据的完整性、验证数据源以及抗重播攻击3个功能是可选择的。了解了ESP提 供的安全服务后,有人可能会怀疑AH是否真有存在的必要。但实际上,存在两个认证协 议是有原因的,ESP要求对数据加密,要使用密码算法,特别是高强度密码算法有严格 的政策限制。很多情况下只使用认证服务时,采用AH方案要比ESP的效率高。AH和ESP可 以单独使用,也可以同时使用。如图2是在传输模式和隧道模式下AH和ESP协议的数据封 装包格式。为了通讯双方认证对方身份并协商加密用的算法和密钥信息。IPSec还定义 了专门的因特网密钥交换协议(IKE)。IPSec支持的组网方式包括:主机之间、主机与网 关、网关之间的组网。IPSec最适合可信度较高的分支机构LAN之间互连的VPN。IPSec可 以和L2TP、GRE隧道协议一同使用,给用户提供更大的灵活性和可性。
原始IP数据包
2.2.4 通用路由封装(GRE,Generic Routing Enapsulation)GRE是由NetSmiths和
Cisco等公司1994年10月提交IETF的,在RFC1710和RFC1702有所定义。GRE规定了怎样用 一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的
IP地址来定义,它允许用户使用IP包封装IP、IPX、Appletalk包,并支持全部的路由协 议(如RIP、OSPF、IGRP、EIGRP)。通过GRE,用户可以利用公共IP网络连接IPX网络、
Appletalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址 。GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所以在实际 环境中它常和IPSec在一起使用。
由上可以看出,PPTP和L2TP主要应用于远程访问,技术相对简单,但缺乏安全性。
IPSec不仅适用于远程访问,而且更适用于Intranet(内联网)和Extranet(外联网)的多 点连接,具有良好的安全性、可靠性和灵活性,但不支持多协议,技术也复杂。GRE支 持多协议,但安全性较弱,一般用于对安全性要求不高的网络连接。可以利用GRE支持 多协议的特点,采用GRE over IPSec的方法,解决IPSec不支持多协议的问题。
3 VPN分类及其技术特点
根据用户使用情况和应用环境不同的特点,VPN技术大致可分为三种典型的应用方式, 即远程接入VPN(Access VPN)、内联网VPN(Interanet VPN)和外联网VPN(Extranet VPN) 。远程接入VPN是指在远程用户或移动用户与公司、企业内联网之间的VPN。内联网VPN 是指在一个组织内部如何安全地连接两个相互信任的内联网,要求在公司与分支机构之 间建立安全的通信连接。外联网VPN指企业与外部供应商、客户及其它利益相关群体间 的企业网通过公共网络构建的虚拟专用网来提供灵活安全的连接。
VPN技术具有以下特点:
3.1 安全通信
安全问题是VPN的核心问题。VPN使用了四个方面的技术来保证通信的安全性,这四项 技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理 技术(Key Management)和用户与设备身份认证技术(Authentication)。
3.2 低成本
VPN可以大大减少网络维护和设备的费用。不必租用长途专线建设专网。
3.3 覆盖地域广泛
Internet可以很方便的通过VPN设备或软件构成各分支机构及总部间的VPN。
3.4 可扩展性强
网络配置简单,无需增加太多的设备,容易扩展。应用VPN技术可以很方便的增加或减 少用户。可以灵活的增加VPN节点,而不会对原有网络造成较大的调整。
3.5 便于管理
可以将大量的VPN网络管理如安全管理、设备管理及VPN隧道管理等工作交ISP或NSP来 统一实现。由用户自己负责查验访问权、网络地址、安全性和网络变化管理等重要工作 ,具有较好的安全性。
4 图书馆VPN的应用方案举例
选择一个合适的VPN解决方案是困难的,因为每一种解决方案都可提供不同程度的可用 性、安全性。图书馆应用VPN,要根据自身特性及VPN技术发展来考虑。图3为地域分散 的3个独立分馆构成的图书馆。每个分馆都有自己的局域网,采用VPN把3个地域分散的 局域网互连成一个更大的逻辑上的局域网络。使用户感觉像在同一局域网内运行一样处 理数据。
4.1 方案说明
图书馆各分馆之间的数据通过校园网传输,校园网对传输数据无任何安全保护措施。 图书集成管理系统及图书馆自动办公系统中的数据直接关系到图书馆的切身利益,对数 据的安全性要求较高,数据传输的完整性和保密性必须得到切实的保证。出于安全考虑 ,对于图书馆LAN-LAN之间连接建议采用成熟IPSec。如图总馆规模较大,运行图书集成 管理系统及图书馆自动办公系统等应用服务,集成管理系统需要处理采购、编目、流通 和检索书目等大量数据量,对数据处理要求很高。使用用户较多。由于IPSec VPN在数 据加密时需要大量CPU资源,对于总馆网关的性能要求较高,最好采用高端专用硬件平 台VPN。目前许多公司都提供硬件VPN产品,像Bay、Cisco、Intel、3Com等,支持多种 遂道协议,如LT2P、GRE、IPSec等。硬件VPN设备的故障将影响图书馆的正常运转,建 议使用双机热备份方式。分馆A分馆B的网络通过VPN隧道连接到总馆VPN网关上。分馆A 的规模较大部署中档的VPN网关产品,小规模的分馆B对数据连接速率要求较低,性能要 求不很高,可采用带有防火墙功能、或在专用防火墙上增加IPSec隧道功能的产品或纯 软件VPN产品,一些软件公司提供的完全基于软件的产品来实现VPN简单的功能。这些软 件公司有:Citrix、Microsoft和CheckPoint Software等。由IPSec的工作模式可知, 传输模式的AH或ESP支持端—端的通信,而隧道模式的AH或ESP支持网关—网关的通信。 AH主要提供认证和完整性校验,ESP主要提供加密,也提供认证和完整性校验。在图3所 示的LAN之间的连接,为确保图书馆管理数据在校园网上传输的安全性,应对传输数据 加密。
因此必须选用隧道模式的ESP协议。这种方式的最大优点是,原始的IP数据报完全被封 装在新的ESP数据报中,在两个网关之间得到了完全的安全保护且便于实现和管理。但 这种也有其局限性,如对发生在LAN内部的窃听和攻击是无抵抗能力的。对于总馆与分 馆重要部门(如总馆与分馆的财务部门)之间的通信应该采用端—端的通信。这样可以在 组成VPN的各网络的VPN网关之间建立安全的和经过认证的隧道,对用户数据流进行认证 和加密。
在总馆部署VPN安全策略与用户管理服务器,对全网的VPN设备、VPN隧道管理、用户认 证和安全策略进行集中管理。安全策略服务器来管理和验证各种IPSec策略。自动分析 策略对各VPN节点影响程度,生成新的VPN策略并且自动更新。VPN用户管理服务器可以 是标准的Radius服务器、SecurID服务器或者LDAP服务器。在校园网上需要访问图书馆
VPN网络的VPN用户,配制VPN客户端软件,提供单一主机的VPN接入。对于移动用户采用 拨号的方式,先连上当地的ISP,然后与图书馆的VPN网络进行连接。对于远程用户和移 动用户,需要较强的认证加密能力,应使用带认证加密的ESP隧道或使用AH-ESP组合的 隧道。拨入连接的数据流将被加密和认证,没有认证的数据流都会被VPN网关丢弃。
5 结束语
用户的需求多种多样,差别可能较大,VPN实现有多种方式,也各有优缺点。比如
IPSec只支持IP协议,由于IPSec加密原理限制,对于采用NAT方式访问INTERNET的情况 难以处理。不同厂商设备的IPSec遂道方式连接时还存在互操作的问题。对于自己组建
IPSec VPN的图书馆来说,可选择同一厂商的产品来回避这一问题。MPLS仍然处在开发 研究之中等。但VPN能够充分利用现有校园网络资源以低成本实现图书馆私用广域网安 全连接,对图书馆受益颇多。VPN技术涉及访问控制、数据加密、安全认证和密钥管理 等诸多复杂问题,对技术人员的要求较高。VPN应用阻力和机遇并存。图书馆组建VPN网 要根据实际需要来选择。有些应用须要多种VPN形式结合起来使用以提供更高的安全性 。对于图书馆各馆之间的连接,安全性要求较高,采用IPSec的VPN较好。对于数据吞吐 量大最好采用硬件VPN。如果是对远程拨号用户提供访问服务,可以采用基于第二层遂 道协议的VPN。随着校园网的普及和VPN技术的发展,VPN将在图书馆领域得到广泛的应 用与发展。
标签:ipsec论文; vpn论文; pptp论文; 网络传输协议论文; 数据封装论文; 网络传输论文; 网络结构论文; l2tp论文; vpn网络论文;