作者:王琼
摘 要:对现有校园网外图书馆电子资源访问系统技术方案进行了介绍和比较,在此基础上指出了实现校园网外用户电子资源访问应注意的关键问题。
关键词:图书馆;电子资源;虚拟专用网;代理服务器
中图分类号:G258.6 文献标识码:A
近年来,各高校加大了对校园网的建设和图书馆电子资源购置的投入。校园网已经成为各高校教学科研的重要信息基础设施,图书馆提供的电子资源也成为高校文献资源保障体系的重要组成部分。校园网一般和中国教育科研网(CERNET)连接,有相对固定的IP地址段。高校购买的多数商业数据库采用了限定特定的IP地址范围访问的规则,对于广大师生,如果以校园网外的方式上网,就无法直接访问到图书馆提供的上述电子资源。这一限制,影响了图书馆购置的各类电子资源的使用效率,成为读者使用电子资源的障碍。因此,提供校园网外图书馆电子资源访问服务是非常必要的。
在美国等国家的大学校园网普遍开通了远程接入服务,其身份认证一般基于校园网认证中心,而在技术上倾向于虚拟专用网(VPN)方式,用户无论在哪里,通过VPN方式拨入校园网后,将和校园网内用户享有同等的电子资源访问权限。在我国港台地区,多数大学则采用代理服务器加身份验证的形式实现校园网外用户对图书馆电子资源的访问。在我国大陆地区,目前也有少数高校开通了校园网外电子资源访问系统,多数高校处于前期的技术探索阶段。
1 现有系统技术方案的介绍和比较
1.1 虚拟专用网(VPN)方式
虚拟专用网指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合需求的网络。
虚拟专用按应用大致可以划分为远程接入VPN(Accesss VPN),Intranet VPN和Extranet VPN等3种应用模式。提供远程访问图书馆服务的VPN应属于远程接入VPN(Accesss VPN)的范畴,按传输协议又可分为PPTP VPN,L2TP VPN,IPSec VPN,SSL VPN和MPLS VPN等类型。
虚拟专用网技术存在运营费用低、接入方式灵活、安全性较高等特点,但组网协议较复杂。国外大学图书馆一般依托学校网络中心实现读者的VPN接入。
目前虚拟专用网技术的发展已经较成熟,相关产品和软件也较为丰富。图书馆为了实现校园网外电子资源的访问,可考虑购买专用VPN设备,或基于开放源代码的PPTPD,FreeSwan,OpenVPN等软件架构VPN服务。在实施VPN前,应考虑以下一些问题:一是所选购的VPN设备是否有良好的兼容性。在实施前要进行NAT穿透的测试,确保客户端在没有公网IP的情况下,用户也可连入。二是应根据同时接入的用户数、访问流量等特征来确定相关设备的性能指标要求。三是VPN系统应有良好的可管理性,应支持多种用户认证方式,并支持本地的用户数据库接口。四是VPN系统应能提供详尽的访问日志,便于对恶意入侵、批量下载等行为的追查。
1.2 代理服务器方式
代理服务器是通过在服务器上运行代理服务的特殊软件包,对内部网(校园网)和外部网(Internet)之间的通信进行判别、过滤后再实施传输。若外部网用户需访问内部网时,首先外部用户和代理服务器之间建立通信连接,然后代理服务器再与内部网的服务器建立通信连接。代理服务器能够实现的功能有:共享上网、流量控制、用户管理、防火墙等。
在图书馆的服务器上运行代理服务软件,流行的代理服务器有ISA,Squid,Wingate等,这些软件都有各自的特点。本文推荐使用Squid(从Squid的官方站点http://www.squid-cache.org下载该软件或Linux的发行版本中可获取该软件),不仅因为它的功能强大和全面,而且因为Squid是老牌的代理服务器软件,国内外用户众多,可以及时得到技术高手们的支持和帮助。Squid能够使用访问控制列表(Access Control List, ACL)来允许或拒绝访问,基本上可以满足用户所有的控制要求。用户/密码认证为Squid管理提供了更多的便利,最常用的认证方式是NCSA,高校图书馆的网络管理员可以通过合理配置ACL进行用户认证并安装Squid的辅助软件SQMGRLOG来实现计费和访问统计。
国际著名的图书馆自动化集成系统INNOPAC利用Web Access Management (WAM)系统实现了通过INNOPAC系统的认证功能做远程登录。除了使用校园网外,读者也可以通过商业或宽带网络来查询图书馆的电子资源,当读者从图书馆网页进入电子资源库时,必须输入其在INNOPAC系统上设定的姓名、条码及个人密码(PIN)。目前香港教育学院图书馆、台湾蓬甲大学图书馆均已采用了该系统。
结合浏览器自动配置脚本(PAC)文件,代理服务器可实现对特定的电子资源网站通过代理服务器访问,对其他网站的访问仍通过本机直接访问。有关PAC文件的实现细节,可参见Netscape相关文档:http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html。
1.3 Web代理
Web代理是代理服务器的另外一种形式,不同的是代理服务器是通过缓存文件的方式来实现访问,而Web代理是通过解释访问的方式来实现访问。Web代理在国外应用非常广泛,美国排名前10名的大学图书馆中有近半数采用Web代理的方式实现校园网外用户访问图书馆电子资源,他们采用的软件大多为EZproxy。EZproxy安装非常简单,它提供了远程用户无缝访问图书馆购买的有使用限制的数据库,该软件可以运行在Windows,Linux,Unix等操作系统中。用户通过浏览器访问由EZproxy产生的页面,所有的数据库浏览访问就通过EZproxy重定向到EZproxy所取得的页面,对于远程的服务器来说就如同校园网内的一个用户正在进行访问。EZproxy同样也支持灵活的用户认证的功能,进行简单的二次开发可实现与大多数图书馆自动化集成系统用户认证的整合。目前EZproxy可成功地访问Britannica,EBSCO,FirstSearch,IAC(Gale),Lexis-Nexis,Newsbank,Ovid,SilverPlatter,SIRS,Softline and UMI等数据库。
笔者通过对国内外图书馆网外电子资源访问解决方案的研究和比较,发现上述3种技术方案均有较多的应用实例。就满足读者访问电子资源的需求来看,它们各有特点: PPTP,L2TP等隧道VPN技术从底层实现了对上层应用的透明化,比其他两种方式有更大的适用范围,除支持主要的Browser/Server结构外,还支持较为少见的Client/Server结构(如CA on CD等应用),但其实现也最为复杂;SSL VPN客户端配置简单,可满足基于Browser/Server方式的多数电子资源访问,更适合图书馆行业的应用,可优先考虑。但商业VPN产品报价一般较高,且对并发用户数限制较为苛刻。有开发能力的图书馆可考虑基于开放源代码的OpenVPN,FreeSwan等VPN解决方案进行二次开发。
代理服务器方式部署和配置相对简单,进行本地开发的难度较小,且本地可保留丰富的访问日志。代理服务器的Cache功能可有效提高读者访问远程网站的速度,降低对网络带宽的需求。其支持浏览器的HTTP,FTP协议等访问方式,基本可满足图书馆多数电子资源的访问需求。缺点是客户端需进行代理服务器的设置,不支持某些电子图书的阅读器。
Web 代理方式在客户端无需任何设置,但对于一些网页中的JavaScript脚本、Cookie支持不是很好,主要的Web Proxy服务端EZProxy需付费购买。
2 实现校园网外电子资源访问应注意的问题
校园网外图书馆电子资源访问系统在实施前,应综合考虑各项实现技术,并选择适合本校、本馆实际情况的方案,并应注意以下关键问题:
(1)在可能的前提下,可利用本校现有的校园一卡通、上网认证等系统实现对用户身份的识别、计费等;或依托本地图书馆集成系统进行二次开发,结合读者数据库进行身份验证。
(2)应提供详细的操作说明,辅助读者进行相关软件的设置、安装,方便读者的使用。
(3)访问系统的服务器或网络应尽可能和公网连接,从而保证外网用户的访问速度。为保证网络安全,可通过防火墙进行隔离。
(4)访问系统应具备防止用户重复登录、封锁恶意用户、识别批量下载行为等功能。
(5)访问系统应保留3个月以上的系统访问日志,应具备良好的统计分析功能。
(6)系统应支持按读者级别进行权限分级。
(7)条件成熟的图书馆可考虑采用USB Key加密等手段,加强访问系统的安全性。
3 结语
实现校园网外读者访问图书馆网络资源,对于提高文献保障率,改进读者服务工作有较重要的现实意义。我们应该加强对其实现相关技术的研究和探索,在实现途径上,可考虑自行开发和购买商业化产品相结合的原则。实施前,应对本馆的应用需求进行细化分析,选择适合本馆环境的技术方案和相关产品。实施后,应注重对该系统的宣传和培训,并及时收集有关用户的意见和建议,并加以改进。
───────────────
第一作者简介:王 琼,女,1976年生,1999年毕业于武汉大学计算机学院,工程师,武汉工程大学图书馆,湖北省武汉市洪山区雄楚大街693号,430073