一、前言

 

随着互联网的普及和信息化程度的提高，使全世界的数字信息高度共享成为可能。中国高校越来越重视数字化校园的开发，依托网络技术开展电化教学、电子教学资源的建设。而电子教学资源的重点之一，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义。

二、背景分析：

 

学校现已形成学士—硕士—博士人才培养体系和“勤奋、严谨、求实、创新”优良校风，成为一所集教学、科研、医疗、预防和社会服务为一体的省属医科大学。 学校图书馆面积9165平方米，藏书95.2万册，是福建省医学图书中心馆，开通电子书刊阅览室和医学文献检索系统。为了提高教学质量和工作效率，大学的教职工和附属第一医院、附属第二医院、附属协和医院及附属口腔医院等用户需要方便使用电子图书馆的相关检索系统，获取相关的文件内容。

　　 虽然学校建立了自动化的办公平台，但还没有实现远程使用；虽然购置了丰富的电子图书资源，但由于数字图书馆的版权问题，不管什么类型的图书，都要遵循数字版权保护(Digital Rights Management，DRM)的规定，从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即：采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户；而只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。如果教师在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。我们也可以要求服务商进一步开放更多的IP地址为合法用户，但是这要求访问者的IP地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态IP地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

　　 因此为了解决这些问题，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。

三、技术特点分析

 

针对这个问题，为了找到一种好的解决方案，我们进行了广泛的意见征集、技术方案考察、成本核算以及众多先行学校解决方案的了解后，我们决定采用ＶＰＮ技术来解决这个问题。

3.1 VPN概念

 

    VPN即虚拟专用网(Virtual Private Network)，是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别，如果接入方式为拨号方式，则称之为VPDN。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

 3.2 VPN工作原理

 

     VPN通过公众IP网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话费用开支，并且提供了安全的端到端的数据通讯。 

目前来说，用户连接VPN的形式有常规的直接拨号连接与虚拟专网连接良种形式，二者异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的VPN设备发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的VPN设备。

    这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？

    建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client-Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。

    另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

3.3 VPN的应用

 

目前，自建VPN主要有两种技术——IP Sec VPN和SSL VPN，IPSec VPN和SSL VPN主要解决的是基于互联网的远程接入和互联。但针对IPSec VPN和SSL VPN两种技术，目前业内存在着较多争议。虽然目前应用最广泛的是IPSec VPN，然而Infornetics Research研究表明，在未来的几年中IPSec的市场份额将下降，而SSL VPN将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择，即安全性与使用便利的冲突。而事实上没有哪一种技术是完美的， IPSec VPN比较适合拥有较多的分支机构，并通过VPN隧道进行站点之间的连接，交换大容量的数据的网络应用。。而SSL VPN更适合那些需要很强灵活性的应用，员工需要在不同地点都可以轻易的访问公司内部资源，并可能通过各种移动终端或设备接入。  相对来说SSL VPN 的好处在于：1、使用方便，不需要配置，可以立即安装和使用；2、无需客户端，直接使用内嵌的SSL协议，而且几乎所有的浏览器都支持SSL协议。3、兼容性好，支持电脑、PDA、智能手机、3G手机等一系列终端设备及大量移动用户接入的应用。而SSL  VPN缺点则是只适合Site-to-LAN（点对网）的连接，无法解决LAN to LAN VPN 需求。

四、方案设计说明

 

基于对以上几个问题的考虑，我们选择了深信服提供的解决方案，IPsec和SSL相结合，各个附属医院采用IPSEC VPN接入学校总部，而对于各位教职员工的移动办公则可以灵活的选用SSL VPN和IPSEC VPN客户端。同时采用集中的安全管理平台，在医科大学总出口处采用M5400 IPSec/SSL一体化设备和集中管理平台软件。，各个附属医院部署M5100。这样一来，各附属医院通过硬件互联IPsec VPN，同时移动用户通过移动客户端（自由选择IPSEC和SSL 客户端，SSL用户可免安装客户端软件）接入总部M5400设备。

详细拓扑结构示意图如下：