基于SSL VPN技术的图书馆云平台建设研究

刘婷

(首都医科大学附属北京妇产医院/北京妇幼保健院， 北京 100026)

0 引言

随着互联网技术的发展，读者对于图书馆订购电子资源的需求，已不仅限在医院网内使用。随着移动通信技术的飞速发展，传统PC端查阅文献的方式已不能满足读者的实际需求，越来越多的读者迫切希望能在手机端进行查阅。所以需要建设移动图书馆来有效解决现有问题[2]。

1 医院图书馆现状

目前医院图书馆订购的电子资源分为3个类型：通过账号密码登录的外网数据库、通过厂商绑定院内IP范围(无需账号密码登录)的外网数据库、数据平台安装在医院内网服务器中的数据库。数据库厂商大多采用PC端查阅文献的方式，部分厂商同时也提供App方式。因本馆订购的数据库较多，读者在移动端查阅文献时，需要安装多个App，客观上给读者的使用造成了不便。

2 移动图书馆建设目标

移动图书馆建设目标包括以下几点。

(1) 集成各数据库厂商的各类资源至云移动图书馆，读者只需要通过PC或手机浏览器即可使用图书馆订购的电子资源。

(2) 对于账号密码登录的外网数据库，由于各库账号密码不同，对读者而言，需要使用不同的账号密码登录对应的同方、万方、首医图书馆资源等IP范围内使用的数据库，移动图书馆手机端对于各数据库账号密码已整合，读者只需登录一个账号密码，即可无限制访问各数据库，下载无障碍[3]。

(3) 对于通过厂商绑定院内IP范围的数据库、医院内网服务器中的数据库通过VPN技术，将IP虚拟为允许范围内的IP，实现一院两址的数据库使用。

(4) 部分常用的但不提供手机端访问的数据库资源，作自适应手机屏幕改造，使这些电子资源通过自适应改造后，也可以在移动端方便使用。自适应改造时，可以屏蔽部分次要的内容显示。核心的检索、过滤、分析等内容必须保留或加强。全文型的电子资源可以在线预览、缩放和下载。

(5) 集成移动端门户系统，馆藏查询、图书馆概况、新书通报、电子资源等均可以在移动端呈现，同时提供同一后台的PC端门户。

(6) 所采用的技术安全、可靠，PC端及手机端服务全部部署于医院内部的服务器，充分保证用户个人信息的安全。图1是移动图书馆访问流程示意图。

图1 移动图书馆访问流程示意图

3 网络设备选型及实施方案

现在主流的VPN技术有SSL VPN和IPsec VPN[4]。他们都使用RSA或者D-H握手协议来建立秘密隧道。IPsec VPN在网络层建立安全隧道，适用于建立固定的虚拟专用网，而SSL VPN的安全连接通过应用层的Web连接建立，更适合移动用户远程访问医院的虚拟专用网络[5]。原因是SSL不必下载到访问医院资源的设备上，不需要用户进行复杂的配置，只要有标准的Web浏览器，就可以利用SSL进行安全通信[6]。所以本方案采用了SSL VPN技术。SSL VPN完全基于浏览器运行，无需下载安装客户端程序，有效避免客户端安装及升级中容易产生的软件冲突，兼容性好，资源适配能力更加稳定。

应用更为广泛支持各种操作系统如：Windows，Mac，IOS，Android等。

移动图书馆的网络建设，需要在医院内网架设一台图书馆云门户服务器或虚拟机，系统安装CentOS 7.6，SSL VPN(VPN-1000-A400-KK)设备一台。IP需要信息中心分配外网IP或内网IP端口映射，机器部署于办公网环境(可以访问互联网)。仅对外开放80、443、4433三个必要端口，有效防止服务器被入侵。或根据管理要求调整为其他3个任意端口[7]。为方便读者使用Web方式访问数据库，需要泛域名指向VPN设备，如*.jz.safeapp.com.cn指向VPN设备地址[8]。图2是医院内网云平台网络设备分布示意图。

图2 医院内网云平台网络设备分布示意图

VPN和云门户都有自身的用户系统，云门户的用户系统更有利于图书馆对于读者的管理，其中包括读者的注册与审核、有效期的设置，不同字段的查询与修改，VPN的登录是院外用户使用有IP限制数据库及内网数据库的根本，如果2个用户系统同步使用，用户在登录过程要完成2次。VPN的用户系统支持了调用三方接口数据的形式。用户在VPN登录页面输入用户名、密码，点击提交后，VPN会提交带有读者账号密码的参数给云门户用户系统，云门户用户系统验证账号密码，校验成功后返回给VPN登录成功的参数，VPN与云门户同时完成登录。图3是VPN和云平台用户登录接口示意图。

图3 VPN和云平台用户登录接口示意图

4 图书馆云平台界面及功能设计建设方案

程序采用PHP、Python开发，数据库采用MySQL，操作系统采用CentOS，开发的主要功能模块如下所述。

(1) 订制移动端门户系统

目前包括通知、资源、服务、概况等5个版块。版块名称可自定义，主要推送一些图书馆的通知、资源列表、图书馆服务项目及图书馆概况等信息。版块名称可根据图书馆实际需求进行更改及放不同的信息内容[9]。图书馆云门户主要包括三大部分：电子资源，将读者最常用的电子资源整合到图书馆云门户中，适合在手机中使用；图书馆服务，将各类服务集成到图书馆云门户中，方便读者的使用；全球学术快报，将国际上权威的学术信息包括期刊、新闻、公开课等整合到云门户中。在本云门户中集成的电子资源包括常用的知网、万方、维普、外文期刊、uptodata、Web of Science等。图4是云平台手机版和PC版主页示意图。

图4 云平台手机版和PC版主页示意图

(2) 常用资源自适应改造

对读者常用的10种或以上的电子资源，包括知网、万方、维普、PubMed、ClinicalKey、Elsevier、Wiley、Springer、Web of Science、Uptodata等作自适应屏幕改造，使无手机版的电子资源通过自适应改造后，也可以在移动端方便使用。自适应改造时，可以屏蔽部分次要的内容显示，核心的检索、过滤、分析等内容必须保留或加强。全文型的电子资源可以在线预览、缩放和下载。图5是手机端检索论文在线打开PDF文档示意图。

图5 手机端检索论文在线打开PDF文档示意图

(3) 单点登录

提供单点登录功能，读者登录个人账号，在移动端通过VPN设置[10]，院内院外均可在手机上使用各类通过IP范围可以获取权限的电子资源，包括文献检索、下载等。对部分需要账号的电子资源，系统能实现内嵌，读者使用IP范围内的资源，无需再输入账号即可使用。图书馆拥有后台控制权限，可对读者进行分组，比如给本院在职的教职工开放更多的权限，给本院研究生等开通较少的权限等。

5 总结

北京妇产医院图书馆一直致力于为医院的医护工作者提供全面的知识服务，发展至今已经拥有多类医学数据库，受到医院读者的广泛认可与青睐，各类医学数据库已经成为医护工作者不可或缺的知识获取途径。新建好的云平台将会给读者提供更高效便捷的服务，辅助教学科研。