高校图书馆电子资源访问智能网关研究

2023-06-22 15:46谢智敏王婷赵英郭倩玲
现代信息科技 2023年2期
关键词:高等学校

谢智敏 王婷 赵英 郭倩玲

摘  要:文章以北京化工大学为例,采用WebVPN技术,融合图书馆主页并隔离学校其他业务系统,设计了基于Web浏览器的电子资源统一访问的智能网关。访问入口和出口统一可控,使高等学校图书馆具有管理电子资源访问的主动权;同时简化了访问方式,实现了电子资源泛在化服务,提升了用户的访问体验。对智能网关系统进行了浏览器兼容性和压力性能测试,测试结果良好,可以满足学校师生访问电子资源的需求。

关键词:智能网关;电子资源访问;WebVPN;图书馆主页;高等学校;系统测试

中图分类号:TP393 文献标识码:A  文章编号:2096-4706(2023)02-0057-06

Research on Intelligent Gateway of Electronic Resource Access in University Library

—Taking Beijing University of Chemical Technology as an Example

XIE Zhimin, WANG Ting, ZHAO Ying, GUO Qianling

(Beijing University of Chemical Technology Library, Beijing  100029, China)

Abstract: This paper takes Beijing University of Chemical Technology as an example, uses WebVPN technology, integrates the library homepage and isolates other business systems of the universities, designs an intelligent gateway of unified electronic resource access based on Web browser. It realizes the unified control of the access entrance and exit, so that the university library has the initiative to manage the access to electronic resources. It simplifies the access mode at the same time, realizes ubiquitous service of electronic resources, and improves the access experience of users. The browser compatibility and stress performance of the intelligent gateway system are tested. The test results are good and it can meet the needs of teachers and students in the university to access electronic resources.

Keywords: intelligent gateway; electronic resource access; WebVPN; library homepage; colleges and universities; system test

0  引  言

电子资源已经成为高等学校(以下简称高校)教学科研人员的必备工具,是高校图书馆文献资源保障体系中最主要的学术资源类型,在高校图书馆的资源保障建设中发挥着越来越重要的作用[1]。由于电子资源具有知识产权保护以及数据库商业化的问题,数据库商一般采用基于IP地址的认证模式[2],和基于用户身份的认证模式[3],以保證电子资源在合理范围内使用。图书馆订购的大多数电子资源采用基于IP的认证模式,读者在校内合法IP范围内,可直接访问订购资源。读者在校外,则通过虚拟专用网(VPN)访问[2,4,5]。相比校内访问的巨量请求,VPN方式访问电子资源所占的比例相对较低。

但2020年初,一场突如其来的新冠疫情,打破了高校图书馆电子资源校内外访问需求的原有平衡。疫情暴发期间,学生不能返校,教职工也以居家办公为主,原本在校内访问电子资源的读者用户,大多转成校外访问。同时,还有许多师生需要通过VPN访问校内其他业务系统,如教务系统、财务系统、科研系统等。在疫情发生之前校外访问方式的需求有限,资源配置相对较少,但是当数以万计的师生读者从校外链接校内VPN时,就造成了严重的网络堵塞,并引发了一系列电子资源访问异常等问题。

为了缓解疫情期间VPN校外访问压力,很多学校都是需安装客户端的传统VPN和基于反向代理技术的WebVPN[6]并行使用,同时一部分数据库商与中国教育和科研计算机网(CERNET)合作,在高校推动Shibboleth认证方式[7],读者无须通过VPN即可在校外访问图书馆购买的数据库资源。虽然多种方式并行,有力保障了读者教学科研的资源访问需求,但也给对网络技术不太熟悉的读者带来了很多困惑,给图书馆和网络信息中心对资源访问的管理造成了困难。近年来,提出的图书馆的泛在化服务强调了为用户提供不受时间和空间限制的服务。因此,开发不受时空限制,无缝无感的电子资源访问系统是高校图书馆迫在眉睫的课题。北京化工大学设计了基于WebVPN与图书馆主页融合的高校电子资源访问智能网关。

1  原有电子资源访问模式存在的问题

疫情期间,多种校内外资源访问方式并行使用,给电子资源的访问使用以及维护和管理均带来不便和困扰,以北京化工大学为例,具体分析有以下几点。

1.1  原有电子资源访问模式

北京化工大学图书馆电子资源的主要访问方式为校内通过IP地址认证,校外通过VPN方式,其校内外用户电子资源访问网络拓扑结构如图1所示。2020年3月,为应对疫情期间校外电子资源访问不顺畅的问题,加入了中国教育和科研计算机网统一认证与资源共享基础设施联盟(CARSI),全校师生可以通过Shibboleth协议以身份认证方式,在校园网IP范围外直接访问图书馆购买的电子资源。

(1)北京化工大学校园内读者访问数据库资源主网页可通过CERNET,但由于校园内用户的增加,CERNET容量不能满足校内用户的需求,因此,学校接入了联通、移动、电信等多个互联网络线路作为数据库资源的访问出口。校内用户通过路由设备,随机选择访问出口,并通过网络地址转换(NAT)转换成相应网络出口的IP地址。校内用户访问其他校外网址,也均是通过这些出口。

(2)虚拟专用网(VPN)是在互联网上建立一个临时的安全的专用网络连接,保证数据的安全传输,是高校用户在校外访问校内资源的主要策略。校外用户通过VPN认证,校外私网IP地址经NAT转换为校园网IP地址,再通过校内路由设备,选择访问出口。使用VPN访问电子资源,需要安装客户端或者浏览器插件,并进行设置。从校外访问校内其他业务系统,也需经过VPN转为校内IP地址,通过校园网骨干混合上行。

(3)Shibboleth是美国Internet2的一个项目[3],目的是使用联盟认证模式解决受版权保护资源的获取管理,打破了传统的IP认证模式,以基于用户身份的认证模式,提供更加友好便利的校外电子资源获取方式,也为线上学术科研的顺畅开展提供了有力保障。北京大学计算中心基于Shibboleth初步建成了面向CERNET的统一认证和资源共享基础设施(CARSI),是国内最大的Shibboleth身份认证联盟,部署了身份发现系统,方便作为身份提供者的各高校接入使用。系统由用户、身份认证提供方、服务提供者、认证服务器导航四部分组成[3,7]。身份认证提供方由用户所在机构(各高校)建立,负责认证用户;服务提供方由数据库商建立,与身份认证提供者共享用户的安全认证信息,为合法用户提供相应的访问权限;认证服务器导航由机构联盟(CARSI)提供,是一个用于导航的工具,供用户来确定自己所属的机构,将用户重定向到合适的身份认证方。用户访问数据库时,选择使用登录,然后选择机构所属的联盟组织,在联盟组织列表中选择用户所属机构,然后跳转到用户机构提供的用户认证页面,当用户完成认证,最后跳回到数据库获取电子资源。用户的身份提供者即用户所属高校,需要校园网统一身份认证系统,以存储和管理该机构的用户身份。

1.2  存在的问题

1.2.1  资源和网络管理的困境

高校电子资源的购买者和管理者为图书馆,电子资源的访问离不开网络,但校园网络的维护和管理归学校信息中心负责。信息中心与图书馆均为独立的二级单位,在电子资源访问过程中均为管理者,会因原有访问方式造成管理上的困难。

1.2.1.1  图书馆角度

多个访问出口模式,无论是校内用户,还是校外使用VPN进入校园网的用户,均需经过IP地址转换,且访问电子资源的出口,与访问其他校外网址的出口相同,使图书馆难以定位访问电子资源的IP地址,给图书馆对电子资源访问的管理带来困难。

(1)当有读者被数据库商甄别为恶意下载电子资源时,数据库商会自动封掉相关 IP 地址段,但被封掉的是读者访问资源时临时获取的出口IP地址段,很难找到实施恶意下载的用户,使问题无法及时得到解决,解封相应IP,从而影响其他读者的正常访问。也会出现数据库商对恶意下载甄别错误而封锁IP地址或资源影响读者正常访问的情况。

(2)由于访问电子资源的入口和出口均不唯一,难以统计电子资源的实际使用情况;当电子資源访问网络出现运行不稳定、网速缓慢等故障时,也难以排查和解除。

(3)多种远程访问方式用户难以掌握,疫情期间,有关电子资源访问的咨询量和投诉量大幅上升,图书馆忙于推送各种关于电子资源访问和使用的指南及通知。

1.2.1.2  学校信息中心角度

学校师生用户在校外访问校内业务系统和电子资源,均需通过VPN。受疫情影响,通过VPN访问电子资源的用量大幅增长,校内其他业务系统和电子资源访问流量无法隔离,给信息中心的管理造成很大压力。

(1)传统VPN 系统需要安装客户端或者浏览器插件,具有使用门槛,很多用户不能根据说明安装设置客户端或浏览器插件,导致咨询量过大。

(2)VPN配置资源有限,学校多种业务系统同时依赖VPN资源,造成负载过大,业务之间互相影响的概率大增;当资源使用数量达到上限时,其他用户即不能使用VPN,由于无法隔离校内其他业务系统,使访问电子资源的用户数量受到更多的限制。

(3)多种校外访问电子资源的方式,传统VPN、WebVPN、Shibboleteh等均需要配置专门的服务器,安装相应的软件,并保持正常运行,用户管理、数据库链接等内容也需要长期更新,要求较高的管理维护成本和水平[3]。

1.2.2  用户使用的困扰

(1)传统模式下,因与恶意下载者处于同一网络环境,当有异常访问发生时,导致有些用户无法正常访问电子资源,并且得不到有效的解决。

(2)不同用户习惯使用的浏览器不同,部分电子资源对不同的浏览器支持程度存在差异,导致访问出现各种问题,且难以找到出现问题的原因。

(3)多种校外访问电子资源的方式和渠道,虽然使用户有了多种选择,但也会给用户带来困扰,容易造成混淆。VPN系统需要安装客户端或者浏览器插件,具有使用门槛,部分用户无法理解为什么远程访问资源要通过如此复杂的流程,反复进行咨询,严重影响用户的使用体验。

(4)Shibboleth认证方式访问电子资源虽然也很便捷,但目前加入CARSI聯盟的数据库商仍然有限,没有加入的数据库不能通过这种方式进行访问,具有明显的局限性。

2  WebVPN融合图书馆主页电子资源访问智能网关的实现

2.1  基于WebVPN的思考

WebVPN提供基于Web的内网应用访问控制,WebVPN基于反向代理技术,只 需要像访问普通HTTP网站访问WebVPN的登录页,进行登录后即可访问内网资源[7,8],即连即用,纯Web式访问,不用安装客户端或浏览器插件,降低了使用门槛,提升访问体验。同时,支持各类主流浏览器及终端;多协议连接,支持HTTP、HTTPS、Telnet、SSH协议以及VNC(Linux远程桌面)、RDP(Windows远程桌面)。传统上,WebVPN作为传统客户端VPN的补充,基于业务应用的授权访问,主要应用于学校的教务系统、办公系统等其他业务系统的远程接入。

但实际上WebVPN不仅可以通过一台服务器控制学校所有业务的访问,也可以通过不同业务分设服务器来分组控制相关业务,可根据需要隔离不同业务系统。与传统VPN相比,WebVPN系统可实现基于协议、源地址、域名的更精细化权限管理,且支持接入用户的分组授权。

WebVPN通过网页访问相应链接,基于虚拟浏览器技术加密和隐藏真实域名,只能访问WebVPN系统中提供的链接,可控制用户只能通过WebVPN访问相关网址和业务系统,实现访问入口和出口的统一可控。

WebVPN提供多维灵活的认证方式,不仅支持多种身份验证方式,且支持双重认证,并支持管理员开启强制双重认证,最大程度保障用户账号安全及内网安全。

访问入口和出口的统一可控,有利于全面记录用户的所有访问行为及远程操作,如用户访问行为日志、远程操作录屏、命令行日志等。

综上所述,WebVPN以其独具灵活的业务隔离特性、链接访问的可控性、操作的简便性,以及良好的安全保障能力,对于高校图书馆设计具有统一入口的电子资源访问智能网关提供了更好的选择。北京化工大学图书馆联合信息中心尝试采用WebVPN和图书馆网站融合的方式来实现用户在不受时空限制、无感知的情况下,顺利访问并下载图书馆购买的电子资源。

2.2  校内外电子资源访问智能网关的实现

2.2.1  开发环境

图书馆资源访问WebVPN基于64位Linux操作系统以及NGINX服务器进行开发,采用纯粹的B/S构架(不需要安装第三方插件或者Java虚拟机,兼容各种主流浏览器,包括手机浏览器)。

2.2.2  技术实现

北京化工大学图书馆电子资源访问智能网关的网络拓扑结构如图2所示。

(1)建立了图书馆专用WebVPN,向信息中心注册了域名tsg.buct.edu.cn,将该域名解析至图书馆专用WebVPN服务器121.195.152.130,并将其作为访问图书馆电子资源的统一入口,进入WebVPN代理访问图书馆主页,实现图书馆主页与WebVPN的融合。

(2)WebVPN服务器使用虚拟浏览器技术,在用户访问tsg.buct.edu.cn时,下发一个模拟浏览器终端,保持用户的访问持续在WebVPN中。该终端分为前端和后端,后端为一个高性能反向代理服务器,对所有用户请求进行处理,对每个响应下发模拟浏览器终端,前端将用户网页上所有数据和逻辑进行统一化的沙箱处理,保证用户请求全部运行在模拟环境中,无须再进行手工配置,通过浏览器即可访问电子资源,而且支持各类主流浏览器。

(3)WebVPN通过IP地址判断访问用户是在校内,还是校外。用户在校内,可免登录直接进入经WebVPN代理访问的图书馆首页;用户在校外,则会看到电子资源访问系统的登录界面(如图3所示),需经过校园Radius身份认证,通过后则自动进入经WebVPN代理访问的图书馆首页。此时,通过图书馆网站访问所有资源链接,均自动被WebVPN代理。同时把校内所有图书馆的域名链接均改为https://tsg.buct.edu.cn。这样就实现了图书馆电子资源访问渠道和管理的统一。而用户并没有意识到自己使用了任何VPN,对读者来说,仅仅是因为在校外访问图书馆网站做了一次身份认证。

(4)121.195.152.130这台服务器作为图书馆的专用WebVPN,与学校其他业务系统隔离,也只有图书馆主页中提供的链接可以通过WebVPN访问,不再受其他业务系统和访问出口的冲击和影响,相应地,电子资源的访问下载也不会影响学校其他业务系统。同时,其管理权限可下放到图书馆,方便图书馆对电子资源访问的管理。通过WebVPN的管理后台可对门户、安全、认证等配置进行修改,图4为图书馆后台管理配置界面。出现运行不稳定、网络缓慢等问题时,图书馆也可自行排查故障,进行解决。图书馆真正拥有了完全控制电子资源访问网络的主动权。

(5)WebVPN系统可以识别访问资源的源IP地址,可设定每个IP地址限制下载资源的频次,防止恶意下载行为的发生,进而避免因恶意下载导致资源被封的情况。系统提供多地址轮询访问的机制,在代理服务器中内置一段地址池,用户访问资源网站时,代理服务器将按照规则更换IP进行访问,以避免被资源商误认为是恶意下载而封锁资源的情况发生。目前北京化工大学图书馆的WebVPN系统配置了255个IP地址作为地址池,使用状况良好,较好地满足了读者的访问需求。

(6)通过统一流量出入口的控制和管理权限的下放,根据系统提供的统计日志和数据,使图书馆管理人员自行收集和统计数据库使用情况成为可能,并可以生成多维度分析报表,为资源建设决策提供可靠的数据支撑。系统可统计并提供用户登录日志、网页访问日志、连接文件日志、在线用户列表、在线下载列表、设备认证日志等。图5(a)为用户访问电子资源的统计情况,图5(b)为用户登录系统的统计情况。

3  WebVPN融合图书馆主页电子资源访问智能网关的系统测试

3.1  兼容性测试

不同用户习惯使用浏览器的类型不一定相同,若要满足不同用户浏览器使用习惯的要求,智能网关系统应兼容各类常用浏览器。分别在Windows操作系统、Mac OS操作系统、iOS、Android操作系统下测试了IE浏览器、Edge浏览器、Firefox浏览器、Chrome浏览器和Safari浏览器的兼容性,测试这些常用浏览器能否正确显示网关系统界面并使用系统所有功能。测试结果显示,这些浏览器均能正确显示界面并使用其所有功能,网关系统具有很好的兼容性。

3.2  性能测试

为了验证智能网关系统的性能和可靠性,采用Python编程进行了压力测试。

3.2.1  测试环境和场景配置

本次测试采用1台主控机,4台负载测试机。在主控机上运行Python程序,给负载测试机下达访问指令,在每台负载测试机上运行预先设定好的Python程序,每台负载机可模拟1 000个用户通过智能网关访问预先设定好的目标网站。

智能网关试运行期间监测数据表明,学校电子资源30分钟内的最大并发用户量不大于500人,本测试采用8倍最大并发量作为模拟测试量,即4 000个用户并发访问网关系统。通过负载测试机在主控机中模拟4 000个用户同时并发访问网关,要求瞬时并发,以完成访问操作、返回访问成功页面为准。

3.2.2  测试结果

响应时间是执行一个访问请求所需要花费的时间,一定程度上可反映服务器的处理速度[9]。测试以每秒100个用户的速度增加用户,直到4 000个用户同时并发访问智能网关系统,4 000个用户瞬时并发访问网关的压力测试结果如图6所示。由图6可见,4 000个用户并发访问网关系统时,访问平均响应时间为0.806 s,访问成功率为100%。90%用户访问的响应时间在1.4 s以下。由此可见,当4 000个用户并发访问网关系统时,服务器的平均响应时间很短,对绝大多数用户的请求响应速度极快。

通过浏览器兼容性和压力测试可以看出,智能网关系统具有很好的浏览器兼容性,且服务器处理能力良好,完全可以承受4 000个用户的并发访问,满足学校师生访问电子资源的需求。

4  结  论

基于WebVPN与图书馆主页融合的高校电子资源访问智能网关,实现了电子资源的泛在化服务,使用户无须掌握多种电子资源访问方式,不受时空限制、无缝无感地访问高校购买的电子资源。该系统可直接由图书馆进行设置和管理,具有防止恶意下载导致的资源封锁,保证资源访问畅通,以及统计电子资源使用数据,为数据库购买决策提供数据支撑等功能。通过兼容性和性能测试表明,北京化工大学图书馆电子资源统一访问智能网关系统完全满足学校师生访问电子资源的需求,该系统已运行近2年,运行状况稳定,访问方式得到了读者的好评,取得了良好的效果。

互联网信息技术以及计算机技术的发展为时代提供了新的技术,也为图书馆信息化建设的创新和改革提供了大量的契机,拓展了发展空间。高校图书馆需要结合先进的信息技术,对自身的服务模式以及管理模式进行不断地创新与优化,以满足师生用户对图书馆资源访问的各种需求,持续提升图书馆的服务质量与管理水平。

参考文献:

[1] 雷东升,郭振英.基于EZproxy日志的电子资源异常访问行为研究 [J].现代情报,2016,36(7):101-106.

[2] 肖锘,刘云.SSL VPN技术在高校图书馆中的应用 [J].计算机与现代化,2008(11):12-14.

[3] 吴至艺,林俊伟,肖铮.RA21:网络学术资源访问解决方案的创新与探索 [J].图书馆研究与工作,2020(1):29-34+47.

[4] 罗智勇,尤波,苏洁.基于VPN网络的高校数字化图书馆组建模型研究 [J].图书馆学研究,2013(1):52-59+35.

[5] 涂中群.基于MPLS VPN实现图书馆多校区网络融合 [J].图书情报工作,2011,55(5):51-55.

[6] 强焜.Webvpn在高校内网访问中的运用 [J].计算机产品与流通,2019(11):251.

[7] 王文清,柴丽娜,陈萍,等.Shibboleth与CALIS统一认证云服务中心的跨域认证集成模式 [J].国家图书馆学刊,2015,24(4):45-50.

[8] 邓雄才.融媒体信息系统之便捷访问与安全防控 [J].中国传媒科技,2020(1):10-13.

[9] 冯兴利,洪丹丹,罗军锋,等.高校统一身份认证系统集群压力测试研究 [J].中国教育网络,2018(7):76-78.

作者简介:謝智敏(1979—),男,汉族,安徽宣城人,馆员,硕士,研究方向:智慧图书馆、知识产权信息服务;王婷(1975—),女,汉族,山东青岛人,副研究馆员,硕士,研究方向:智慧图书馆;赵英(1966—),男,汉族,天津人,教授,博士,研究方向:智慧图书馆、大数据;通讯作者:郭倩玲(1971—),女,汉族,河北唐山人,副研究馆员,博士,研究方向:智慧图书馆、知识产权信息服务。

收稿日期:2022-07-22

基金项目:北京高校图书馆研究基金项目成果(BGT2021003)

猜你喜欢
高等学校
信息化建设在高等学校财务管理工作中的应用思考
高校财务资源绩效评价体系的设计及应用
基于管理学理论的高校学生宿舍管理体系探究
大众创新万众创业背景下高校实践教学改革探析
浅谈高校廉洁教育的对策
创新创业教育融入高等学校人才培养体系的实施路径研究
高等学校教学及科研设备政府采购操作实务
浅谈高校宿舍管理与宿舍文化建设