基于VPN的图书管理系统毕业设计

摘要

随着互联网的普及和信息化程度的提高，使全世界的数字信息高度共享成为可能。中国越来越重视数字化图书馆的开发，电子图书馆的建设已经成为当今数字化建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。然而数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。

因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。本文就常见的远程访问技术进行分析，并提出电子图书馆VPN远程访问方案。同时对VPN的安全性提出了解决方案。研究VPN图书馆网络设计对于学校学科建设和科学研究工作有很重要的意义。

关键字： VPN，图书馆，方案，体系结构

目录

摘要................................................................................................................................................... 1 关键字............................................................................................................................................... 1 1序论................................................................................................................................................ 2

1.1图书馆信息资源共享的现状 ............................................................................................. 2 1.2本课题的研究意义 ............................................................................................................. 3 2.VPN虚拟专用网络的介绍 ........................................................................................................... 4 3.基于VPN技术的图书馆信息资源共享网络的方案设计 .......................................................... 6

3.1需求分析 ............................................................................................................................. 6

3.1.1. 背景介绍 ................................................................................................................ 6 3.1.2. 客户具体需求分析 ................................................................................................ 8 3.2隧道的选择 ......................................................................................................................... 9 3.3方案的选择 ....................................................................................................................... 11 3.4方案的实现（总拓扑图，①远程接入VPN②内联网VPN） ..................................... 12

3.4.1 方案介绍 ............................................................................................................... 12 3.4.2 SSL VPN远程接入流程 ....................................................................................... 13 3.4.3 功能模块 ............................................................................................................... 19 3.4.4 应用系统接入 ....................................................................................................... 21 3.4.5 用户认证 ............................................................................................................... 22 3.4.6 证书管理 ............................................................................................................... 23 3.4.7方案优点 ................................................................................................................ 24

4测试.............................................................................................................................................. 25

4.1性能测试 ........................................................................................................................... 26 4.2测试用例 ........................................................................................................................... 27 结束语............................................................................................................................................. 35 致 谢............................................................................................................................................... 36 参考文献 ......................................................................................................................................... 36

1序论

1.1图书馆信息资源共享的现状

随着互联网的普及和信息化程度的提高，使全世界的数字信息高度共享成为可能。中国高校越来越重视数字化校园的开发，依托网络技术开展电化教学、电子教学资源的建设。而电子教学资源的重点之一，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数

据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义。

然而对于图书馆来说,基于安全和知识产权的考虑,文献信息资源并不是无限制地对外开放,图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源,大部分只允许拥有校内IP地址的授权用户访问。这样,对于某些在校外通过拨号等方式上网却没有固定IP地址的用户,以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。

此外,许多高校图书馆为了规范化管理,均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务,势必存在许多安全隐患,为了安全起见一般采用独立成网,但是这种做法费用高而且不灵活。若能在校园网的基础上架构一个安全、可靠的专用虚拟网络,专供图书馆管理系统使用,既廉价又方便。

1.2本课题的研究意义

数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护(Digital Rights Management，DRM)的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即：采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户；而只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。也可以要求服务商进一步开放更多的IP地址为合法用户，但是这要求访问者的IP地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态IP地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的用户采用VPN，连接在家工作和出差在外的用户。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发送端加密数据、在接收端解密数据，以保证数据的私密性。

2.VPN虚拟专用网络的介绍

一、VPN技术概述 （一）VPN概念

VPN(Virtual Private Network)即虚拟专用网络，是基于Internet／Intranet等公用开放的传输媒体，通过加密和验证等安全机制建立虚拟的数据传输通道，以保障在公共网络上传输私有数据信息而不被窃取、篡改，从而向用户提供相当于专用网络的安全服务。虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。VPN是目前广泛应用于电子商务、电子政务中的安全保护技术。

（二）VPN的本质特征和可以提供的功能

1．根据VPN的定义，可以看到VPN具有如下的本质特征：

(1)公用信道：VPN是基于公共的IP网络环境。由于像Internet这样的IP网络环境建构在诸多的TCP／IP标准协议簇之上，有着工业界最广泛的支持，所以使得利用VPN技术组网具有经济、便利、可靠、可用以及组网灵活的好处，同时VPN网络又具有良好的适应性和扩展性。

(2)安全性：由于采用了加密和隧道协议，得以保证VPN网络信息的机密性、完整性、可鉴别性和可用性，从而达到IP-VPN的“专用”。这也是VPN的关键所在。

(3)独占性：独占性是用户对构建在公用网络上的IP-VPN的一种感觉，其实每个用户是在与其他用户或其他企业在共享公用的网络。

(4)自成一体：VPN同专用网一样，自成一体，可以拥有自己的地址空间，可以使用非IP协议如IPX等。也就是说，VPN具有网络地址翻译(NAT)和多协议支持的能力。

2．正是由于安全性、独占性及自成一体的自主性使得建构在公用IP网络环境上的VPN能够做到“虚拟、专用”。根据VPN的特征，一个基本的VPN网络至少可以提供如下的功能：

(1)加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 (2)信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。

(3)提供访问控制，从而使不同的用户具有不同的访问权限。

（三）VPN核心技术:安全隧道技术

安全隧道技术是VPN的核心技术，其他的VPN关键技术，如信息加密技术、用户认证技术、访问控制技术和VPN管理技术等，都需要与隧道技术结合实现。安全隧道技术的实质是对用户数据经过加密处理后封装到网络传输协议UDP的净荷部分，通过网络传输机制进行传输，其中封装了用户应用数据，而且在网络传输连接上又复用了一条内嵌的应用连接。由于用户数据经过信息加密和数据封装处理，其信息内容和结构均发生了改变，不但提高了对数据的保护强度，而且只有隧道两端的VPN实体才能理解在开放的网络传输媒体上通过隧道所传输的信息，其他用户即使截获这些信息也无法正确理解。同时，整个隧道协议操作对于终端用户来说是透明的，即他们之间的操作就像直接存在一条应用连接一样。

（四）使用VPN网络的优点

1、降低成本。降低用户网络设备的投入和线路的投资，缩减了企业每月的通信开支，减轻企业远程访问的费用负担，同时也使网络的使用与维护变得简单，便于管理和扩展，降低了网络运行与管理的人力、物力成本。

2、扩展方便。如果想扩大VPN的容量和覆盖范围，企业需做的事情很少，而且能立时实现。企业只需与新的ISP(Internet服务提供商)签约，建立账户，或者与原有的ISP重签合约，扩大服务范围。

3、可随意与合作伙伴联网。在过去，企业如果想与合作伙伴联网，双方的信息技术部门就必须协商如何在双方之间建立私用线路或帧中继线路，有了VPN之后，这种协商已毫无必要，真正达到了要连就连、要断就断。

4、完全控制主动权。VPN使企业可以利用NSP(网络服务提供商)的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给NSP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

5、构筑安全的数据传输通道。它融合了加密、认证、密钥管理等技术，可以提供更高的安全保密性能。

3.基于VPN技术的图书馆信息资源共享网络的方案设计

3.1需求分析

3.1.1. 背景介绍

当今社会互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共享成为可能，也同样给我国数字图书馆事业的发展带来了前所未有的挑战和机遇。中国高校的数字图书馆建设得到了前所未有的高速发展。不管是国家还是高校都在电子资源方面投入了大量的精力和财力以方便广大师生使用。并努力缩小与国外先进大学的差距，电子图书馆的建设已经成为当今数字化校园建设的新亮点。

某大学近几年从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义，数字图书馆的建设和应用已经成为学校信息化建设和现代教育技术改革工作的一大重点。

然而在建立和使用数字图书馆的过程中，电子资源商出于版权保护的需求，对高校使用其电子资源采取了一些保护措施，控制数字内容及其分发途径，从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下，图书馆所购买的电子资源大部分都有限制访问的IP地址范围或访问账号控制，其中又以限制IP地址范围为主要手段，其实现主要通过以下方式进行：

1、 采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。

2、 只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。

3、 如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。当然，也可以要求服务商进一步开放更多的IP地址为合法用户，但是这要求访问者的IP地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态IP地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

从上述情况可以得到一个结论，大部分的电子资源仅能在校园网范围内访问，离开了校园，老师或学生将无法访问这些电子资源，而随着高校后勤社会化的深入发展，越来越多的教师和学生在校外居住，他们对各类电子资源的访问需求仍然是存在的，同时还有大量的校友、客座教授、外聘教师也需要随时随地地接入校园网共享丰富的校园网资源。因此，高校需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过相应的身份认证进入校园网后再通过校园网访问相应的电子资源数据库，从而满足更多师生访问馆藏资源、网上资源的需求。

由于电子资源的网外访问具有应用复杂（Web应用、C/S应用）、安全性要求高（重要的科研教学数据）、访问量大（用户量大、流量大）、用户环境复杂（终端类型多、网络环境复杂、用户IT水平参差不齐）等特点，在选择相应技术和产品时应充分考虑所选择产品具有的易用性、扩展性、容量等多方面内容。

3.1.2. 客户具体需求分析

某大学是一所以法学为主，兼有哲学、经济学、教育学、管理学等多学科的国家211工程重点建设院校和教育部直属全国重点大学。经过五十多年的建设与发展，学校现已拥有 2个全国人文社科重点研究基地、1个教育部重点实验室、1个北京市哲学社会科学研究基地、1个博士后流动站及 18个博士点、 45 个硕士点、17个本科专业。目前，学校设有18个校属院部，有各类在校生20000余人，教职工1690余人，其中专任教师830余人，教授、副教授510余人，博士生导师126人，硕士生导师420余人。法学教师所从事的教学、研究领域涵盖了法学的所有二级学科。

某大学图书馆是原司法部属院校图书馆协作委员会主任图书馆。某大学图书馆现有藏书约100万册，其中中文图书约90万册，外文图书约5万册，中文期刊合订本5万册，外文期刊合订本5000册；收藏缩微资料12种，4300多件；光盘127种；数据库数种。法律专业文献和相关学科文献是馆藏的核心和重点，初步形成了以法律文献为主体、相关学科文献按比例协调发展的模式。近几年，图书馆自动化建设有了较快的发展，内部业务工作实现了自动化管理，能够在网络环境下为读者提供文献信息服务。同时，图书馆为了满足教工和学生在知识获取方面的各种需求，更好地推进数字化校园建设，积极规划推进数字图书馆建设。目前馆藏的电子资源包括：万方数据库，中国期刊网，中国资讯行，国家法规数据库，超星数字图书馆，中国科技论文在线，方正电子图书、EBSCO、HeinOnline、LexisNexis法律资料库、Westlaw等近二十种数据库。

但是，大部分的电子资源仅能在校园网范围内访问，许多在校外居住和生活的教工和学生、校友、客座教授、外聘教师由于离开了校园网范围，无法访问到学校内的资源，以及学校提供的外网资源。

通过高校数字图书馆目前普遍存在的问题，看到某大学在以下几个方面需要解决。

1外用户访问校内图书馆资源的问题

图书馆的电子资源访问都是通过校园IP地址判断的，所以在网外的客户由于没有允许的IP地址所以造成大量教职工、学生无法访问的情况。

2动用户接入安全问题

无论是学校电子资源的版权还是校园网内的科研教学数据都是无价的，使得远程访问资源的安全性必须得到很高的重视。而且校园网的安全是高校行政办公系统正常运转的保证，安全问题不容忽视。

3程接入易用性问题

校外访问用户IT水平参差不齐，程序的安装及繁琐的配置务必会加大老师和学生的负担，影响资源的使用效率，并造成各种各样的问题。而且管理人员的维护量和成本会倍增

4户自运营商网络访问教育网内电子资源速度慢的问题

由于多数校外访问者使用的是当地运营商提供的网络（如电信的ADSL），这些运营商网络与教育网之间的访问速度非常慢，导致校外用户通过这些网络访问电子资源的速度很慢，极大的影响了用户使用的满意度。

5同格式电子资源应用的支持问题

图书馆现有的应用系统类型丰富，而且需要考虑试用的以及将来扩展的电子资源应用。远程接入系统需要对所有的应用（B/S，C/S）都能做到完整的支持。

6量用户访问问题

由于高校的资源多数都是购买授权的方式，上游的电子资源服务商对资源的应用是有限制的。除了限制发起的IP地址外，还会限制单一IP地址所产生的流量。

3.2隧道的选择

根据以上需求，认为VPN技术是一种比较理想的解决方法，也是目前多数已经解决以上需求的高校所采用的方式。

由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的用户采用VPN，连接在家工作和出差在外的用户。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发送端加密数据、在接收端解密数据，以保证数据的私密性。

SSL VPN指的是以HTTPS为基础的VPN，但也包括可支持SSL的应用程序，例如，电子邮件客户端程序，如Microsoft Outlook或Eudora。SSL VPN经

常被称之“无客户端”，因为目前大多数计算机在出货时，都已经安装了支持HTTP和HTTPS（以SSL为基础的HTTP）的Web浏览器，所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前，SSL已由TLS传输层安全协议（RFC 2246）整合取代，并工作在TCP之上。如同IPSec/IKE一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息VPN建在互联网的公共网络架构上，通过“隧道”协议，在发送端加密数据、在接收端解密数据，以保证数据的私密性。加密并提供完整性检查。SSL可利用各种公钥（RSA、DSA）算法、对称密钥算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。

SSL VPN具有如下优点：

SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；

SSL VPN可在NAT代理装置上以透明模式工作；

SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。 SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准，下面列举了其中的一些理由。

SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上，具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。相比IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题，IPSec VPN实际上只适用于易于管理的或者位置固定的设备。

SSL VPN是基于应用的VPN，基于应用层上的连接意味着（和IPSec VPN 比较）SSL VPN 更容易提供细粒度远程访问（即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制，这是IPSec VPN难以做到的）。

3.3方案的选择

数字图书馆电子资源厂商出于版权保护原因，几乎都设置为校园网内IP段才能合法访问。而学校的师生希望在家里、出差时也能访问图书馆电子资源，如何让师生能够顺利访问这些电子资源？

另外，远程教育的访问者希望能够远程访问XX大学的先进教育成果和优势资源，如何让他们非常经济、方便、安全、高效地通过Internet接受远程教育？

目前教育行业针对远程接入，主要有以下几种方式：

1. 专线。这一接入方式非常稳定，但因每年须交纳不菲的专线租用费用而提高了接入成本，对于自治区各远程教育的接入而言成本非常昂贵。同时，它只适用固定场所的对等局域网连接，不适用于师生在家中、出差时的访问

2. MPLS VPN也即电信VPN。这一接入方式较专线经济，但仍需铺设专门的线路，需要每年支付较高的线路租用费用。同样，它适用于固定场所的对等局域网连接，也不适合老师与学生的校外访问。

3. IPSEC VPN。这一方式目前为部分学校采用，但它有几个方面的缺陷： 安全性不够。因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入校园网络。

无权限控制。IPSEC VPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。

需要安装客户端。需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。

兼容性不够。现有的各IPSEC VPN之间可能不兼容，将造成连接不上的问题。当系统更新时会造成设备浪费。

4. 反向代理。这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，或者纯粹的C/S架构，例如FTP、Telnet?，这样就无法访问。另外它的数据是明文传输，缺乏安全性。

以前，高校在无奈之下，采用IPSec VPN和反向代理实现远程接入。现在，SSL VPN这种安全、经济、便捷的远程接入方式诞生了，它弥补了前者的缺陷，在高校应用开始如火如荼。故采用SSL VPN接入。

3.4方案的实现（总拓扑图，①远程接入VPN②内联网VPN）

3.4.1 方案介绍

通过对图书馆现有网络状况的分析，结合图书馆为本次需要进行远程接入的应用系统的具体需求，再结合 网关的自身特点，设计了以下的拓朴结构：

由上图可以看出，远端用户与互联网络相连。此时，在图书馆内部网络边缘部署SSL VPN网关 ( security proxy)。网关放在防火墙的DMZ区。所有上网用户必须有自己的账号、口令并享有访问SSL VPN各种资源的相应权限并登陆此 SSL VPN 门户站点才能访问SSL VPN。网关提供的门户站点IP地址可以是公网地址，也可以是防火墙等设备进行NAT转换的私有地址。此时，在防火墙仅需对互联网开放TCP 443的端口（HTTPS），即可实现SSL VPN安全接入。

3.4.2 SSL VPN远程接入流程

远端Internet用户要使用SSL VPN访问SSL VPN系统，都采用如下几个流程：

首先要使用标准浏览器访问SSL VPN网关 网关提供的门户站点，这个站点的访问必须使用HTTPS协议，经过SSL 的握手，交换证书，加密参数协商等步骤，成功后，网关会推送给客户端一个门户站点登陆界面。

用户输入用户名和相应口令登陆SSL VPN，此时，网关要进行用户的认证和鉴权，查看此用户有那些访问权限，作相应限制。每个用户只能访问允许访问的应用系统。认证鉴权方式可以采用网关提供的本地数据库，也可以使用图书馆 的AAA服务器，如Radius服务器，LDAP服务器，SecurID服务器，AD服务器。

登陆成功后，客户端就会显示门户站点内容。此时会看到 SSL VPN提供的各项功能模块。用户访问系统的各个应用都是通过这个门户站点进行的，至于C/S结构的应用需要从网关下载java applet或 ActiveX来作代理。所有这些数据的传输都是经过加密处理的。

下面以WEB应用的访问为例图示访问流程：

3.4.3 内联网配置

采用单臂模式：SSL VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时SSL VPN网关不在网络通讯的关键路径上，不会造成单点故障。单臂模式的组网如下图所示：

单臂模式SSL VPN 组网图

物理连接图

SSL VPN单臂模式测试组网图

SecPath SSL VPN命令行配置 1. 基本配置

[H3C] interface Ethernet0/0

[H3C-Ethernet0/0] ip address 192.168.96.22 255.255.255.0 [H3C-Ethernet0/0] quit [H3C] interface Ethernet0/1

[H3C-Ethernet0/1] ip address 155.1.1.1 255.0.0.0 [H3C-Ethernet0/1] quit

[H3C] ip route-static 0.0.0.0 0 155.1.1.1 preference 60

2. svpn相关配置（默认情况下系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）

[H3C] svpn service enable //*启动SSL VPN服务*// [H3C] Web server enable // *启动Web服务器*//

在配置之前需要先理清上面各角色之间，以及本地用户、用户组、资源、资源组之间的关系，关系图如下：

角色关系图

设备默认存在一个ROOT域，超级管理员可以创建域和资源。对于资源，一方面：超级管理员创建资源，指定资源属于哪个资源组，并把自己创建的ROOT域资源组授予某个域；另一方面：超级管理员授予域管理员是否能够创建新的资源的权限。（仅SecBlade SSL VPN支持）。

对于能够创建新的资源的域管理员，可以创建并维护自己的资源、资源组、本地用户及用户组，资源和资源组之间以及用户和用户组之间为多对多关系，即一个资源可以属于多个组，一个组可以拥有多个资源。通过配置关联资源组和用户组，指定哪些用户组可以访问哪些资源组， 两组之间同样是多对多关系。

配置TCP远程访问服务

远程访问服务是一类服务的总称， SSL VPN使用SSL加密技术，将这些在Internet上以明文方式传输的服务通过SSL来进行加密，保证了数据传输的安全性。

在导航栏中选择“资源管理->TCP应用”，进入远程访问服务配置页面，单击<创建>按钮可以新建远程访问服务资源。

创建远程访问服务资源

“命令行”配置： telnet “本机主机”，此处“本机主机”是指用来连接远端主机的本地监听地址，可以配置为本地环回地址（127.0.0.2-127.0.0.254；当本地主机允许修改host文件时，也可以配置为字符串）。

创建TCP资源成功后会返回如下资源列表： 图22 远程访问服务资源

SSL VPN命令行基本配置

用户可在命令行进行基本配置，主要包括启动Web服务器和SSL VPN服务。默认情况下系统会自动启动Web服务器和SSL VPN服务，而无需用户手动输入命令进行启动。

设备上需要做如下配置： 启动Web服务器。 启动SSL VPN服务。 图2 配置管理

在Web页面上进行的相关配置，配置完成后必须将“配置文件”保存，否则设备重启后，配置丢失；

可以把当前配置保存到“配置文件”和“备份文件”中； 如果想把“备份文件”替换为“配置文件”，选择“恢复”； 选择“重启”，则重启域，使新的配置文件生效。 3.4.5 功能模块 功能模块示意图如下：

首先，用户访问必须先用浏览器登陆虚拟门户站点，此时就会根据预定义的规则进行认证授权，SSL VPN的其他应用的访问操作都是通过这个门户站点进行的。 SSL VPN分为四个功能模块，分别支持不同的应用。

1虚拟站点

一个虚拟站点是一个远程接入内部应用的安全门户，每个站点包含自有的域名和IP/port，并且每个站点可配置独立的应用服务器、门户接口和安全措施。

虚拟站点的好处：

网关的sorter会把每一个VS的用户连接状态保持在专用的内存空间中； 系统完全隔离的维护每个VS的配置；

当系统处理一个VS的新的工作时，它读取VS的配置和上次工作的状态信息，其他VS的状态信息不会被读取；

类似于交换网络中的VLAN。

2 web资源映射(Web Resource Mapping)

当企业需要将Intranet内的资源向远程访问的员工、合作伙伴开放共享，对任意访问Intranet的请求提供唯一的可控制的访问入口，但是Intranet的IP/DNS

体制通常与Internet的IP/DNS体制相独立，外部用户只能看到一个个Broken Links，而且服务不可用。

利用 SSL VPN的Web资源映射可以实现： 支持OWA (Outlook Web Access) URL-NAT：URL的动态重写；

强迫认证：强迫任何访问Intranet的请求都必须先通过AAA； 隐藏内部资源：可以隐藏Intranet的资源路径，提高整体安全性。

3远程文件共享(File Sharing)

SSL VPN的文件共享功能可以与文件服务器的权限设定相结合，支持Windows 和Unix的操作环境：UNIX (NFS) 文件、Windows (SMB/CIFS) 文件，通过WEB接口浏览目录、下载和上传文件。通过通用浏览器安全接入内部文件系统，所有文件传输均采用SSL加密，所有文件接入均需要认证，可以使用文件服务器访问权限控制能力增强，同时，网关还提供增强的接入控制能力。

4非WEB应用支持(Application Manager)

这项功能可以使远程客户端通过安全的SSL连接接入企业网络并使用非WEB应用。 网关 支持大量的非Web应用，基于的TCP的静态/动态服务端口的应用都可以支持,并且无需安装客户端软件。

网关在虚拟门户站点中生成Application Manager功能选项，用户可以打开它来实现对非WEB应用的访问，如POP3、SMTP等。Application Manager是运行在客户端浏览器上面的基于SSL的TCP Proxy，本质上它是一个JAVA APPLET。它不需要用户安装客户端软件，大多数的浏览器软件都支持它。Windows - IE 5.X 和 6.X；Windows - Netscape 6.X 和 7.X；MacOS 9, MacOS X – IE 和 Netscape。

当用户启动Application Manager功能时，Java Applet将作为TCP PROXY运行在客户端，它侦听客户端的特定非WEB的请求，并把请求通过SSL连接发给网关，网关将终结SSL连接并和企业内网应用服务器建立请求连接。这样，对于客户端来讲，通过Java applet作代理，企业应用服务器就像是运行在客户端本机上。这样，就实现了客户端通过SSL 加密接入企业基于TCP的非WEB应用。

5网络层VPN(L3VPN)

此项功能是在客户端和网关之间通过SSL的连接建立一条VPN通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址，并通过这条VPN通道直连到企业内网，就好像客户端机器在企业内部一样。这样，就构建了一个类似IPSEC VPN一样的网络层的VPN，同时通过VPN通道的所有流量都是经过SSL加密的，保证了数据的安全性。由于此VPN是建立在网络层之上的，所以所有基于IP的应用都可以运行，包括基于TCP、UDP、NETBIOS、ICMP等应用。

3.4.6 应用系统接入 1 B/S系统

图书馆 的B/S系统是基于标准HTML语言的WEB方式访问的应用系统，在网关只需通过在WEB资源映射功能模块中进行相应的配置即可实现。

2 Windows文件共享

网关可以通过文件共享模块来实现对Windows文件共享的远程接入。仅需要在网关简单地配置文件共享服务器的主机名/IP地址与共享文件夹的共享名即可。

3 远程网管

图书馆对远程网管的需求是能够通过SSL VPN对内部网络中的路由器、交换机、防火墙、服务器等进行管理、维护。在大多数情况下，对路由器、交换机等产品均可以通过Telnet，SSH来进行远程管理，对防火墙可以通过WEB方式或专用客户端方式来进行远程管理，对服务器系统可以通过远程桌面连接方式来进行远程管理。因此，网关可以通过应用程序代理模块（Application Manager）与L3VPN两种方式来实现对远程网管的支持。

如果通过应用程序代理模块（Application Manager）来支持远程网管，就必须要在网关上对所有需要进行远程管理的路由器、交换机、防火墙、服务器都进行配置。通过这种方式来实现远程网管的好处是远程客户端只能访问已经在网关上配置了的网络设备的某一个端口，这样就可以最大程度地保证内部网络设备的安全。

3.4.7 用户认证

身份认证是整个信息安全中重要的环节，解决了身份识别的问题，就挡住了一大部分的非法访问，反之，如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。静态口令是网络信息系统最常用的安全与保密措施之一。如果用户采用了适当的口令，那么他的信息系统安全性将得到大大加强。但是，实际上网络用户中谨慎设置口令的用户却很少，这对计算机内信息的安全保护带来了很大的隐患，而且系统管理非常复杂。

在本次图书馆的SSL VPN远程接入解决方案中，用户的认证除使用设备本身的用户管理系统，建议使用专业的用户认证系统，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或员工对资源的破坏。

Array 网关与专业的安全身份认证系统相结合实现用户认证授权的配置非常简单，只需要在网关上将安全身份认证系统的相关信息（IP/TCP Port/Domain）填上去即可。

网关与专业认证系统相结合实现用户认证，可实现多种认证方法包括安全令牌等动态密码认证方法。

通过用户授权，可以实现用户通过不同的认证方式登录SSL VPN系统，所取得的访问权限有所区分。在做好所有的配置之后，当一个远程用户通过SecurID的认证方式登录系统时，必须要先通过企业内部的用户授权系统进行授权方能登录SSL VPN接入平台。在接入之后将通过ACL来控制其他可能访问的系统。

3.4.8 证书管理

为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加应用的各方必须有一个可以被验证的标识，这就是数字证书。数字证书符合X.509国际标准，同时数字证书的来源必须是可靠的。这就应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个应用服务的信任链。

ARRAY 网关 的证书管理支持以下项目：

支持X.509 标准协议。 支持客户端证书认证。

支持Certificate Revocation List (证书撤销列表) 支持intermediate CA Certificate

当使用公司内部不同的应用系统时，需要输入不同的 “用户名+ 口令”，资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令，很麻烦。因为需要在不同的Web服务器上进行不同的授权管理，管理员也倍感疲惫。 网关支持单点登录，可以让用户访问不同的网站只需要一次登录，一次认证，可以有效降低管理负担和方便使用。

3.4.9方案优点

通过的SSL VPN实现应用系统的安全接入具有以下优点：

1保护信息的完整性

SSL VPN使用数字证书进行机密性与完整性参数的协商，它不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，SSL VPN是可以检测到的，如果检测到数据被篡改，他们就会放弃所接收到的数据。

2防止用户假冒

提供多种认证和授权方式，包括本地 本地用户数据库，并且可以和其他更加强大的认证系统结合起来，如ad，radius，RSA SecurID，SecureComputing等SSL VPN使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。

3 使用简便。无需象IPSec VPN那样安装客户端，通过浏览器建立VPN通道，使得计算机水平各异的老师都能顺利、便捷使用它。

4 安全性高。与IPSec VPN通过网络层传输不同，SSL VPN通过应用层传输，即使远程客户端有病毒和黑客攻击，也无法进入校园内网，只能到达VPN设备，内网相对远程连接的机器而言是黑盒子。正是基于它的高安全性，银行的网上电子交易全部采用这种SSL方式。由于客户端与SSL VPN网关之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。第三方即使可以得到传输数据，但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来，杜绝了有效信息的泄露。SSL VPN的访问要经过认证和授权，充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份，则SSL VPN将拒绝其连接请求，从而限制了非法用户对内网的访问。

5 权限控制精细。可以设定不同级别、不同岗位的人能够看到的应用不同，对远程使用人员而言，内网不是透明的，他只能使用授权的应用，其他应用则不可见。

6 可与校园一卡通、Radius身份认证等结合。当使用人员较多时，可减少手工建立帐号的工作量。

7所有只能在校园网内使用的系统，例如OA、部门网站、视频点播、远程调试交换机、Telnet??.，都可以在校外（家里、出差时）顺利实现访问。

4测试

产品安装调试直至系统试运行将严格按照如下步骤进行：

图表 安装调试阶段图

设备经过试运行期, 所有性能指标达到技术规范书的要求时, 可进行最终验收。然后将进入正式运行阶段。

4.1性能测试

在每项性能指标测试中，都模拟了真实环境中的一系列用户动作，即从用户登录SSL VPN网关到执行各类请求，再到退出，涵括了所有的过程。

评测SSL VPN指标1：最大并发用户数

a.指标含义：设备可以同时支持的最大用户连接数，也即同时通过SSL VPN 来访问内部网的最大用户数目。

b.测试步骤：第一步，32秒内压力从0 Simusers/秒上升到新建速率的80％；第二步，维持第一步的最高压力300秒；第三步，20秒内将压力降为0，测试结束。

c.用户动作：测试仪模拟的用户，在登录以后取一个1024Byte的文件，该文件的延迟（文件的延迟时间为用户从发起请求到测试仪器响应用户的时间）为0秒，之后重复取一个延迟为60秒的文件10次，即一个用户至少10分钟后才会退出。

d.结果衡量：把用户成功取得没有延迟的文件数目作为最大并发用户数（因为每个成功登录的用户都会取得该文件，并且在测试时间内不会退出而形成与所有其他用户的并发）。

测试结果表明， SSL VPN最高并发数达到64,000，领先于市场上其它SSL VPN产品。

评测SSL VPN指标2：实际吞吐量（Goodput）

a.指标含义：实际吞吐量也称为设备转发速率，它指的是SSL VPN网关最快可以在每秒钟内转发多少数据流量。

b.测试步骤：第一步，在32秒内压力从0 Simusers上升到N Simusers；第二步，维持第一步的最高压力120秒；第三步，20秒内将压力降为0，测试结束。

c.用户动作：测试仪模拟的用户，在登录以后从一个模拟的Web服务器取一个1MByte的文件，然后从另外一个Web服务器取一个1Mbyte的文件，交替此过程10遍，一共从服务器取20Mbyte数据，然后退出。

d.结果衡量：在第二步维持120秒的后60秒，将用户从测试仪模拟的Web服务器取得的数据流量进行平均，得出设备的实际吞吐量。 测试结果表明， SSL VPN近1G线速的SSL吞吐量，。

4.2测试用例

设备管理 设备远程维护

测试编号：SSL-001 用例标题： 前置条件： 测试步骤： 预期结果： 进入控制台：系统配置->网关运行状态 选择或取消“允许远程维护”选项 选择“允许远程维护”选项后允许管理员通过WAN口IP地址远程连接控制台管理设备 取消“允许远程维护”选项后不允许通过WAN口IP地址远程连接控制台 用户管理 新建本地用户

测试编号：SSL-002 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->用户管理->用户->新建 2. 按照提示输入用户名称及描述 3. 根据需要选择所需认证方式和分组 相关功能编号： 设置了外网IP 相关功能编号： SSL VPN设备不但允许通过内网管理，还可以通过远程管理 通过控制台新建用户 4. 添加完成后点击设置生效 预期结果： 1. 新建用户成功 2. 该用户登录时需按照指定的方式认证 2. 该用户成功登录后具有指定组别所具有的权限

加入外部认证的用户

测试编号：SSL-003 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->用户管理->外部认证->新建 2. 按照提示增加LDAP或RADIUS外部认证服务器 3. 添加完成后点击设置生效 预期结果： 1. 加入外部认证服务器后用户管理页面会自动加入一个外部认证特殊用户 2. 所有属于该外部认证服务器的用户登录SSL VPN都能通过认证 测试结果：

通过txt文件批量导入用户

测试编号：SSL-004 用例标题： 前置条件： 测试步骤： 1. 编辑txt文件，格式为每行填写一个用户名，依次递增： 用户名1 相关功能编号： 存在外部认证服务器，如：Ms ActiveDirectory，Radius 相关功能编号： 加入外部认证用户 通过txt文件批量导入用户 用户名2 用户名3 …….. …….. 2. 进入控制台：SSLVPN->用户管理->用户->导入->txt文件->选择需要导入的txt文件 3. 添加完成后点击设置生效 预期结果： 权限管理 用户角色管理

测试编号：SSL-008 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->用户管理->角色管理->新建 2. 按照提示输入角色名称及描述 3. 选择需要授权访问的资源，可以单个选择、也可以批量选择 4. 选择允许访问刚才加入的资源的用户或用户组 预期结果： 1. 新建用户组成功 2. 属于同一个角色的组和用户都有权限访问该角色的定义的资源 认证方式

用户名、密码认证

测试编号：SSL-009 用例标题： 相关功能编号： 相关功能编号： .批量导入用户成功 通过用户角色管理权限 编辑用户，通过用户名、密码认证 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->用户管理->用户 2. 编辑用户，选择使用用户名、密码认证 3. 添加完成后点击设置生效 预期结果：

1. 用户登录时需使用用户名密码认证 用户名、密码认证加短信认证

测试编号：SSL-010 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->用户管理->用户 2. 编辑用户，选择使用用户名、密码认证 3. 在手机号码编辑框输入该用户的手机号码 4. 添加完成后点击设置生效 预期结果：

应用服务支持

通过SSL VPN的Web服务、APP服务、IP Tun服务，可以全方位支持几乎所有应用软件的使用。 web 服务应用

测试编号：SSL-013 用例标题： 前置条 相关功能编号： 用户登录时需首先验证用户名密码，然后验证短信密码 短信中心设置正确，短信猫连接到了第二个串口 相关功能编号： 编辑用户，通过用户名、密码和短信同时认证 新增web服务应用

件： 测试步骤： 预期结果：

APP服务应用

测试编号：SSL-014 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->资源管理->App资源 2. 根据提示可以增加所有基于TCP的内网服务，如smtp，pop3，netmeeting，ftp，远程终端等服务，甚至自定义的服务，只需填上改服务使用的端口即可 预期结果： 用户登录成功后，即可使用在服务列表中显示的所有允许访问的资源，比如增加了smtp和pop3服务就可以打开Outlook等接收邮件了

IP Tun服务应用

测试编号：SSL-015 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->资源管理->IP资源 2. 根据提示可以增加所有基于TCP、UDP和ICPM内网服务，如视频、网上邻居、Ping等服务，甚至自定义的服务，只需填上改 相关功能编号： 相关功能编号： 1. 进入控制台：SSLVPN->资源管理->web资源 2. 根据提示可以增加http，ftp，mail服务 增加的http，ftp，mail服务经过SSL VPN的地址转换和协议转换，可以直接通过web页面来访问 新增APP服务应用 新增IP Tun服务应用 服务使用的端口即可 预期结果：

IP Tun服务对内网DNS的支持

测试编号：SSL-016 用例标题： 相关功能编号： 用户登录成功后，可以正常使用所有基于TCP、UDP和ICPM内网服务，如视频、网上邻居、Ping等服务 IP Tun服务对内网DNS的支持，只需设置了DNS服务器，IP服务中所有的资源既可以用IP 也可以通过域名访问 前置条件： 测试步骤： 预期结果：

内网有域名服务器，并且有资源可以通过域名访问。如内网中有一个BBS应用服务器，对应的域名是：http://bbs 1. 进入控制台：SSLVPN->资源管理->IP资源->配置 2. 根据提示设置内网DNS服务器 用户登录成功后，可以通过域名访问IP服务列表中的资源。 对资源服务器处于多子网的支持

测试编号：SSL-017 用例标题： 前置条件： 相关功能编号： 应用资源服务器可能处在不同的子网，验证对应用服务器多子网的支持 应用资源服务器处于不同的子网，如SSL VPN但LAN口IP是192.168.0.100/24，网关是192.168.0.1/24。在192.168.1.0/24和192.168.2.0/24分别有不同的资源服务器，各个不同的网段通过三层交换机互联。 测试步骤： 1. 设置不同网段的资源 2. 进入控制台：系统配置->系统路由配置 增加通往不同网段的路由： 路由一： 网络号：192.168.1.0 子网掩码：255.255.255.0 网关：192.168.0.1 路由一： 网络号：192.168.2.0 子网掩码：255.255.255.0 网关：192.168.0.1 预期结果：

Portal页面定制

测试编号：SSL-018 用例标题： 前置条件： 测试步骤： 预期结果：

动态IP支持

测试编号：SSL-019 用例标题： 前置条件： 测试步骤： 1. 进入控制台：SSLVPN->webagent设置 2. 填写有效的webagent，如：http://xxx.xxx.xxx.xxx/test.php 3. 更改wan口IP地址，如果用拨号上网，可以重新拨号使获取相关功能编号： 1. 进入控制台：SSLVPN->配置信息->高级配置 2. 上传企业LOGO，自定义产品名称，版权信息，帮助链接 用户访问 SSL VPN的时候，Logo，产品名称，版权信息，帮助链接都变成自定义的内容 相关功能编号： 用户登录成功后，可以服务列表中的不同网段的资源。 Portal页面定制，可用定制的内容包括：企业LOGO，产品名称，版权信息，帮助链接 如果SSL VPN IP地址发生变化，系统迅速更新IP地址，不影响用户接入，如通过Adsl等方式获取IP的情况 存在有效的webagent页面，SSL VPN使用拨号上网 不同的IP地址 预期结果： 用户通过webagent：http://xxx.xxx.xxx.xxx/test.php 访问SSL VPN，IP地址变更后，系统会在webagent上迅速更新IP地址，用户接入不受影响

多线路智能选路

测试编号：SSL-020 用例标题： 前置条件： 测试步骤： 配置了多条外网线路并正确设置了多线路配置，启用了webagent动态IP支持 1. 进入控制台：SSLVPN->配置信息->高级配置 2. 选择“启用多线路自动选路” 3. 假如4条线路，模拟其中三条线路故障，其中一条正常 预期结果： 日志测试 测试编号：SSL-022 用例标题： 前置条件： 测试步骤： 1.在内网选择一台主机 2. 在主机上安装深信服日志系统，一个可执行文件 预期结果： 1.可显示用户日志，管理员日志，系统日志的记录数 2．通过查询，可以显示某天、某一周的日志记录数的增长趋势；通过日志服务器和网关建立UDP连接，实现日志的接受 日志测试 相关功能编号： 用户访问的时候系统会自动选择最优的线路进行连接，比如三条线路故障，其中一条正常就会选择正常的线路 多线路智能选路 相关功能编号： 可以统计资源的被访问次数以及用户的访问量排名 3．可指定日期范围，查询用户的登陆、注销和访问的资源情况 4．可在制定时间内，对管理员的登陆、注销和管理操作进行查询，支持管理员用户名和ip地址的模糊查询 5．可以对系统日志进行详细查询，例如VPN、防火墙、控制台、防DOS攻击、多线路状态等的调试、告警、错误等信息。 性能测试

测试编号：SSL-023 用例标题： 前置条件： 测试步骤： 预期结果：

1. 使用Loadrunner模拟700个用户并发使用SSL VPN 2. 登录控制台查看用户数：SSL VPN->运行状态 可以看到当前连接总数为700 相关功能编号： 700并发使用SSL VPN 结束语

总之,VPN新技术综合传统数据网络的安全性和较好的服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道,满足了用户对网络带宽、接入和服务不断增加的需求,在高校图书馆中构建以公众网为基础的虚拟专用网(VPN)系统,能有效解决当前高校图书馆资源的远程利用问题和资源统一管理问题。随着VPN技术的日益成熟,VPN必将成为未来图书馆互联网络的主要发展方向。

致 谢

参考文献

[1] 焦青亮.虚拟网络VPN综述[J].黑龙江科技信息.2007(1):54.

[2] 唐淑娟,秦一方,井向阳.VPN技术与图书馆资源远程利用[J].情报探索.2007(1):49-51.

[3] 韩明明.VIP技术在高校图书馆中的应用探讨[J].高校图书情报论坛.2007(1):43-45.

[4] 蒋东毅,吕述望,罗晓广.VIP的关键技术分析[J].计算机工程与应用.2003(15):173-174.

[5] Carhon R. Davis. IPSec VPN的安全实施[M].周水彬,冯登国,徐震, 等译.北京:清华大学出版社.2002:151-162

[6] David Leon Clark著，于秀莲、徐惠民等译. 虚拟专用网. 人民邮电出版社. 2000.7

[7] Casey Wilson、Peter Doak著，钟鸣、魏允韬等译.虚拟专用网的创建与实现.机械工业出版社. 2000.8

[8] 陈性元、宋国文. IP-VPN及其关键技术. 电信科学 2000年第5期

[9] 江红、余青松、顾君忠.VPN安全技术的研究与分析.计算机工程第28卷第2期. 2002.4

[10] 董洪伟、冯斌、杨开荞.VPN关键技术探讨. 计算机工程第28卷第11期. 2002.11

[11] 汪海航、谭成翔、孙为清、赵轶群.VPN技术的研究与应用现状及发展趋势.计算机工程与应用. 2001年

[12] 唐三平、陈兴蜀、赵文.VPN技术框架研究.四川大学学报（自然科学版）第39卷第1期. 2002.2

本文来源：https://www.bwwdw.com/article/nqlr.html