互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共享成为可能,中国高校也不例外。在重视数字化校园建设和电子教学资源开发的同时,如何依托VPN等先进技术,解决使用非校园内IP的校园内外师生的24小时远程访问问题,值得关注和探讨。
目前,中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近年都购置了大量的电子数据供广大师生开展教学研究。这些资源对于学科建设和科学研究工作有很重要的意义。数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
版权保护下的访问难题
然而,数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(Digital Rights Management,DRM)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即:
1. 采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上。图书馆支付费用以后,数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。
2. 只要是从校园网出去的IP地址都是认可的,因为校园网出口IP和部分公网IP地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3. 如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用PSTN拨号、ADSL、小区宽带,使用的都是社会网络运营商提供的IP地址,不是校园网的IP地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的IP地址为合法用户,但是这要求访问者的IP地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态IP地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。
IPSec的局限
面对这种情况,VPN技术给了我们很好的答案。
VPN(虚拟专用网)并不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider服务提供商)和其他NSP(NetworkService provider,网络服务提供商),在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正尝试使用VPN技术来解决这个问题,而且大多是采用IPSec VPN技术。利用IPSec技术,校外用户在本机安装一个VPN客户端软件后经过配置连入图书馆网络,IPSec VPN中心端会给每个远程用户分配一个校园网IP地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说IPSec VPN是目前VPN的主流技术之一,但IPSec协议最初是为了解决“站点到站点”的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的“终端到站点”应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好地解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的VPN厂商已经着手改进这些问题并取得了一定的成绩)。
然后是对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题,随着未来通讯技术的发展,IPSec 客户端需要有更多的版本来适应不同种类的终端,但终端种类的爆炸性增长使之成为不可能。
1
2
3
下一页>>
