路龙惠++梁爱梅
[摘 要]通过对全媒体时代下读者需求以及现代数字资源数据库厂商提供授权方式的分析,介绍了代理服务器技术、VPN技术、Athens技术以及Shibboleth技术等,并根据实际应用,重点阐述了塔里木油田数字图书馆、推广工程虚拟网以及互联网读者实现远程数字资源访问的方法。
[关键词]数字资源;远程访问;虚拟专用网;代理服务器
[中图分类号]G250.72[文献标志码]A[文章编号]1005-6041(2015)01-0010-05
1 引 言
随着科学技术日新月异的发展,传统媒体与新媒体之间日益融合互通,信息传播手段层出不穷,传播方式不断丰富,逐步进入全媒体的发展时代。图书馆作为信息知识的传播媒介,为广大读者提供了丰富的资源,其中数字资源占有非常大的比例。通常数字资源由于受到知识产权、商业利益、局域网访问等因素的影响,无法令所有读者随时随地访问这些数字资源。如何通过技术实现对数字资源的远程访问、如何加强馆际合作、整合分散建设的图书馆文献资源,借助文献资源的整体化和网络化建设,构建国家文献信息资源保障体系成为图书馆界的研究热点。
2 图书馆数字资源远程访问技术研究
2.1 图书馆数字资源远程访问读者需求分析
2.1.1 到馆读者需求分析。到馆读者对于数字资源的需求主要集中在对各地图书馆馆藏数字资源的获取与访问上。但由于各地图书馆购置数字资源经费数量有限,因此,可访问数字资源量的不足与读者日益增长的知识获取需求之间存在一定的矛盾,在无法增加数字资源采买经费的前提下,技术成为解决这一瓶颈的关键性手段。
2.1.2 互联网读者需求分析。传统图书馆对读者的服务集中在满足到馆读者的需求上面,一旦读者离开了图书馆, 其数字资源的使用权也将丧失。因此, 解决合法读者通过互联网远程访问图书馆电子资源, 满足读者随时随地使用资源的要求, 成为数字时代图书馆开展人性化服务和提升服务水平的重要内容之一。
2.2 图书馆数字资源远程访问技术研究
为了能够实现图书馆的数字资源远程访问,需要了解数字资源出版商对电子数据库的授权使用方式。目前,主要的授权方式有:IP地址限制、账号认证或IP 地址组合账号认证等方式。其中, IP 地址限制方式因具有技术成熟、实现简单、易于控制、适合图书馆等集团用户应用等优势, 已经成为数据库出版商向图书馆授权的最主要形式。针对这些数据库授权访问方式,可实现图书馆数字资源远程访问的主要技术手段有代理服务器技术、VPN技术、Athens技术以及Shibboleth技术等等。
2.2.1 代理服务器方式。代理服务器英文全称Proxy Server,是介于浏览器和服务器之间的一台服务器,其功能主要是代理网络读者去取得网络信息。代理服务器技术一般分为正向代理技术以及反向代理技术。正向代理是一个位于客户端和原始服务器之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端,客户端必须要进行一些特别的设置才能使用正向代理。反向代理正好相反,对于客户端而言它就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理的命名空间(name-space)中的内容发送普通请求,接着反向代理将判断向原始服务器转交请求,并将获得的内容返回给客户端,就像这些内容原本就是它自己的一样,对客户而言,仅需要简单的网络设置。
目前,常用代理服务器软件有基于Windows系统平台的Microsoft Proxy(Microsoft ISA),WinGate、SyGate、CCProxy软件;基于UNIX/Linux系统平台的Squid软件。
代理服务器由于其成本低廉、性能稳定,并且有很多免费代理服务器软件可供使用,非常适合于中小型图书馆的网络建设[1]。
2.2.2 VPN技术。虚拟专用网(Virtual Private Network,VPN)是指利用密码技术和访问控制技术在公共网络中建立的专用通信网络,将远程的分支机构、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种技术[2]。其“虚拟性”体现在并不存在一条实际的物理通路,不需要建设或租用专线,而是建立一条虚拟的通路,就可以实现属于自己的专用网络;“专用性”体现在其稀有性和安全可靠性。
与普通的IP业务和专网业务相比,VPN业务具有安全通信、低成本、可扩展性、便于管理、服务质量保证等优势[3]。VPN的安全技术是其所有技术中最关键的技术,主要采用四项技术来保证其安全性,分别为:隧道技术、加密技术、密钥管理技术以及身份认证技术[4]。
VPN可分为站点到站点VPN和远程接入VPN,IPSec可用于建立这两种形式的VPN,不同的技术实现不同形式的VPN。按照实现技术的不同,VPN可分为IPSec、SSL、PPTP、L2TP和MPLS等,其中IPSec VPN和SSL VPN在图书馆的资源远程访问方面更具优势,并已有所应用。
2.2.3 Athens技术。20世纪90年代中期,国外对于远程访问图书馆电子信息资源已开始研究。1995年,英国Eduserv技术有限公司开发和设计了Athens存取管理系统,最初用于网络数据库登录管理的项目,随后成为英国教育部门和卫生部门利用网络资源的事实标准[5]。
Athens与数据库商达成协议,在其网站上列出了各数据库的访问权限清单,购买了数据库的机构在Athens中进行登记,机构将受到一个管理员账户,用于注册Athens数据库访问口令,且不受IP地址限制。
Athens将IP范围限制转换为客户名、口令限制,注册Athens账号后,只需登录一次即可使用Athens提供的所有有权限的数据库,验证工作由专门的系统完成。目前支持Athens的数据库已达300多个,包括SAGE、Emerald等数据库,网站同时列出了即将增加的数据库。
2.2.4 Shibboleth技术。Shibboleth是IBM提出的用于解决对共享资源的机构成员进行认证和授权的体系,是下一代互联网项目中的一个子项目,同样突破了IP地址的限制。Shibboleth是基于标准开放源码软件包实现web单点登录,允许站点对用户进行网络资源的权限授权。
与其他单点登录系统类似,其主要元素包括Web浏览器、资源、身份提供者和服务提供商。用户在访问支持Shibboleth登录的数据库时,以“IEEE”数据库为例,用户访问该数据库网站时选择Shibboleth登录,如果所属机构已经申请账号,可以以机构身份进行登录,此时会跳转向客户机构页面,由客户自身完成验证,再回转至数据库,数据库将会对用户开放资源。目前,清华大学图书馆采用Shibboleth开放部分数据库的远程访问。
Shibboleth可以为用户提供丰富的远程资源,不需要第三方验证而是客户机构本身完成验证工作,目前“IEEE”“EBSCO”“Nature”等数据均可支持Shibboleth登录。
3 国家图书馆常用数字资源远程访问技术应用研究
3.1 基于代理服务器技术实现塔里木油田图书馆远程访问
反向代理技术具有访问速度快、保证内网安全、配置简单易于使用等优势,可通过在代理服务器上设置一个较大的硬盘Cache,当有外界信息通过时,服务器将其保存,当其他读者再访问相同的信息时,直接由Cache取出信息,从而达到提高访问速度的目的。可通过代理服务器将读者认证设为基于账号和口令的认证方式,可以有效地控制读者的行为,既防范了数字资源的违规扩散,又为读者正常使用图书馆的数字资源带来了方便。读者在使用反向代理技术远程访问数字资源时,不需要专用的客户端软件,只需更改一下IE浏览器的代理设置即可[6]。因此,代理服务器技术适用于规模小、硬件设备缺乏、网络环境较恶劣的图书馆,可快速实现数字资源的远程访问。
图1 代理服务器工作流程图
塔里木油田数字图书馆就是采用反向代理方式,到馆读者在访问数字资源时,计算机不是直接到数字资源服务器去获取网络信息资源,而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器取回读者端所需要的信息并传送给读者。通过这种技术,国家图书馆为油田一线员工提供了约4万册电子图书、225份电子报纸、3万幅特色图片、600余场视频讲座,累计约12TB的数字资源。油田员工可在电子阅览室、办公室、文化宫等地点击电脑或多媒体触摸屏,就能像持有国家图书馆借书证的读者一样,免费“品尝”到美味丰富的“精神食粮”,塔里木油田数字图书馆也成为国内首个企业数字图书馆。
3.2 基于IPSec VPN技术实现数字图书馆推广工程虚拟网建设
典型的IPSec VPN部署于站点之间,每个站点都有多台主机位于VPN网关之后,IPSec隧道端点作为VPN网关的路由器。当来自两个站点内的主机之间进行互访时,就如同内网访问[7]。在此种模式的VPN中,每个站点的VPN网关设置隧道传输模式,在数据传输时,原始IP分组被重新封装,在内部报头和外部报头之间插入AH或ESP报头,这样可为站点之间建立的VPN提高安全性;同时,IPSec VPN提供了加密服务,以确保数据对其他用户是机密的,比较常见的加密算法为DES和3DES[8]。
IPSec VPN分为两个阶段进行协商[9],第一阶段双方相互验证对方并确定会话密钥、加密算法、验证方法等基本设置,此阶段的协商模式分为主模式和野蛮模式:主模式由发起方和应答方之间交换的6条消息组成,每个方向3条,提供身份保护;野蛮模式只进行3次交换以便协商密钥和进行验证,此种模式安全性较低。第二阶段使用ESP或AH保护数据流,确定IPSec安全关联,两端使用ESP或AH模式来传输数据流。两个阶段协商成功后,表示站点到站点的隧道建立成功。将IPSec用于站点到站点之间的VPN,适用于两个局域网之间的安全通信,因此,图书馆之间建立此种形式的VPN可实现双方资源的共享。
图2 数字图书馆推广工程虚拟网数字资源远程访问流程
2011年5月,财政部、文化部联合下发《财政部、文化部关于实施“数字图书馆推广工程”的通知》。《通知》明确提出要建设以国家数字图书馆为核心,以省级数字图书馆为主要节点的全国性数字图书馆虚拟网。虚拟网的建设是推广工程的基础性建设之一,是全国各地数字图书馆资源与服务全面共建共享的基础支撑。
全国所有省级图书馆及大部分市级图书馆已建立局域网,并对读者提供服务,到馆读者可使用局域网内的数字资源。每个图书馆的到馆读者是比较集中的用户群,如果对图书馆电子阅览室开放资源,则到馆读者均可使用这些资源。将某图书馆看成一个站点,在需建立虚拟网的两端架设IPSec VPN设备或具有IPSec功能的其他设备,通过两端的VPN设备进行配置,将两端的局域网连入虚拟网。到馆读者只需访问特定的虚拟网资源地址即可,无需多余的认证过程。在经过技术调研及国内图书馆现状调研之后,采用IPSec VPN技术实现了全国数字图书馆虚拟网的连接。虚拟网的整体架构为[10]:利用各节点自身互联网链路,通过IPSec VPN技术组成虚拟网,实现各节点的互联互通。组成国家图书馆到省馆和各个省馆到市馆的网络,两级网络能够互相连通。国家图书馆作为数字图书馆虚拟网的网络中心,与各省馆、市馆之间能够在虚拟网上相互通信。
在国家图书馆科学规划、严密部署,全国各级图书馆紧抓落实、积极配合下,数字图书馆推广工程虚拟网取得了积极进展。截至2013年10月,国家图书馆已经实现与全国46家副省级以上图书馆、3家市级图书馆的虚拟网直连,另外有60余家地市级图书馆通过省级馆的网络接入了虚拟网,全国虚拟网已经覆盖了包括国家图书馆在内的百余家图书馆,推广工程虚拟网骨干网络基本搭建完成。同时,借助虚拟网,地方图书馆不仅可以访问到国家图书馆的海量数字资源,还可以在省内各馆间便捷地进行数据传输,实现数字资源与服务的共建共享。目前,国家图书馆已向连通虚拟网的图书馆开放了总量超过120TB的中外文数字资源,包括100多万册中外文图书、700余种中外文期刊、7万多个教学课件、1万多种图片、18万多份档案全文以及3 000多种讲座和地方戏曲等,使读者在当地就可以方便快捷地访问全国各地建设的特色资源,全国访问量约百万次,虚拟网有效地丰富了全国各地读者的精神文化生活。
3.3 基于SSL VPN技术实现互联网读者远程资源访问
安全套接层(Secure Socket Layer,SSL)协议由网景(Netscape)通信公司提出,用于促进电子商务站点的发展,通过使用此协议可进行数据加密、用户验证,用户会话可以被安全地建立起来。SSL VPN[7]的一大优势是平台独立,可以通过支持SSL的Web浏览器进行内网资源安全访问,同时也支持专用客户端的形式。相对于站点到站点之间的VPN(如IPSec VPN),SSL VPN用户不受访问地点的限制,可以实现远程用户在不同地点接入。SSL VPN不需要改变现有网络环境[11],只需在内网中架设SSL VPN服务器,并且对客户端设备的要求较低,降低了配置和运行成本。因此,对互联网用户的数字资源远程访问可以通过SSL VPN技术来实现。
图3 互联网读者远程数字资源访问流程
国家图书馆的网站注册用户、读者卡用户等都为合法用户,但大部分数据库的授权受局域网限制,一旦读者离开图书馆,则无法访问这些数据库。为解决馆外合法用户的远程访问问题,国家图书馆通过SSL VPN技术结合统一用户管理系统,提供了对互联网用户的远程资源访问服务。统一用户管理系统集在线注册、实名验证、单点登录、访问权限控制等功能为一体,采用“国家中心—省级分中心—市节点”的三级认证体系架构,形成辐射全国的国家数字图书馆统一实名用户库。互联网用户在注册成为统一用户管理系统中的实名读者之后,可通过与统一用户管理系统后台连接的SSL VPN获得国家图书馆近50个中外文数据库的互联网访问权限。其中,外文数据库累计拥有47.2万种图书、近2万种期刊、66万种档案、6 375种报纸和500种工具书;中文数据库累计拥有40万种图书、1.6万种期刊、1 000种报纸、近400万篇论文、近2 000种工具书、1 500余种年鉴、近37万种图片、50万首音频资料、近1万部视频资料。据统计,已经有约358万统一用户实名注册读者,通过互联网SSL VPN实现对国家图书馆数字资源访问千万余次。
4 结 语
目前,我国公共图书馆远程数字资源访问技术研究取得了较大的进展,各地图书馆逐步通过一定技术手段为读者提供访问服务,建设成绩显著,但也存在访问速度不高、传输容量较小等问题。远程数字资源访问服务是数字图书馆发展建设的核心,是数字图书馆开展服务的基础与前提。为了更好地解决我国公共图书馆现存的这些问题,国家图书馆将启动专网建设,建设一条从国家图书馆直连到各地省馆的独享网络,从而弥补本文中介绍的各种数字资源远程访问技术基于共享带宽模式在速度、安全性等方面的不足,为全国数字图书馆提供一个强大的网络设施平台,能够承载大容量、高质量的数据传输,能够实现大型、分布式系统的互联互通,能够为云计算、物联网等技术的应用提供网络环境,是实现全国数字图书馆系统互联、业务整合、服务协作、可持续发展的网络设施保障,开创出一条提升图书馆远程数字资源访问的新道路,最终实现数字文化资源惠及全民。
[参考文献]
[1] 王国栓.远程访问图书馆电子资源的技术实现[J].数字图书馆论坛,2006(11):50—53.
[2] 王 达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[3] 朱 华.三种主流VPN技术的比较与分析[J].计算机与数字工程,2009,37(12):108—111.
[4] 蒋东毅,吕述望,罗晓广.VPN关键技术分析[J].计算机工程与应用,2003,39(15):173—177.
[5] Athens[EB/OL].[2015-01-12].http://baike.baidu.com/view/970021.htm.
[6] 任 瑶.代理服务器在访问电子资源方面的应用[J].图书馆学研究,2004(12):26—28.
[7] Joseph S, Timothy S.SSL VPN: Understanding, evaluating, and planning secure, web—based remote access [M]. Bermingham: Packt Publishing, 2005.
[8] Vijay Bollapragada,Mohamed Khalid,Scott Wainner. IPSec VPN设计[M].袁国忠,译.北京:人民邮电出版社,2006.
[9] 冯乃光,曾黄麟.基于MPLS VPN的电子政务外网构建技术[J].计算机科学,2009,36(9):300—302.
[10] 王乐春,路龙惠.数字图书馆推广工程虚拟网体系构建与资源共享实例实现[J].国家图书馆学刊,2012.21(5):40—45.
[11] 刘 洋.IPSec VPN和SSL VPN的分析比较[J].电脑知识与技术,2009,5(4):825—827.
[收稿日期]2015-01-12
[作者简介]路龙惠(1983—),女,工程师,国家图书馆信息技术部;梁爱梅(1987 —),女,工程师,国家图书馆信息技术部。
[说 明]本文系国家科技支撑计划课题“文化资源服务平台解决方案及标准研究”(课题编号:2012BAH01F01)的研究成果。