路龍惠++梁愛梅

[摘 要]通過對全媒體時代下讀者需求以及現(xiàn)代數(shù)字資源數(shù)據(jù)庫廠商提供授權方式的分析，介紹了代理服務器技術、VPN技術、Athens技術以及Shibboleth技術等，并根據(jù)實際應用，重點闡述了塔里木油田數(shù)字圖書館、推廣工程虛擬網(wǎng)以及互聯(lián)網(wǎng)讀者實現(xiàn)遠程數(shù)字資源訪問的方法。

[關鍵詞]數(shù)字資源；遠程訪問；虛擬專用網(wǎng)；代理服務器

[中圖分類號]G250.72[文獻標志碼]A[文章編號]1005-6041（2015）01-0010-05

1 引 言

隨著科學技術日新月異的發(fā)展，傳統(tǒng)媒體與新媒體之間日益融合互通，信息傳播手段層出不窮，傳播方式不斷豐富，逐步進入全媒體的發(fā)展時代。圖書館作為信息知識的傳播媒介，為廣大讀者提供了豐富的資源，其中數(shù)字資源占有非常大的比例。通常數(shù)字資源由于受到知識產權、商業(yè)利益、局域網(wǎng)訪問等因素的影響，無法令所有讀者隨時隨地訪問這些數(shù)字資源。如何通過技術實現(xiàn)對數(shù)字資源的遠程訪問、如何加強館際合作、整合分散建設的圖書館文獻資源，借助文獻資源的整體化和網(wǎng)絡化建設，構建國家文獻信息資源保障體系成為圖書館界的研究熱點。

2 圖書館數(shù)字資源遠程訪問技術研究

2.1 圖書館數(shù)字資源遠程訪問讀者需求分析

2.1.1 到館讀者需求分析。到館讀者對于數(shù)字資源的需求主要集中在對各地圖書館館藏數(shù)字資源的獲取與訪問上。但由于各地圖書館購置數(shù)字資源經(jīng)費數(shù)量有限，因此，可訪問數(shù)字資源量的不足與讀者日益增長的知識獲取需求之間存在一定的矛盾，在無法增加數(shù)字資源采買經(jīng)費的前提下，技術成為解決這一瓶頸的關鍵性手段。

2.1.2 互聯(lián)網(wǎng)讀者需求分析。傳統(tǒng)圖書館對讀者的服務集中在滿足到館讀者的需求上面，一旦讀者離開了圖書館， 其數(shù)字資源的使用權也將喪失。因此， 解決合法讀者通過互聯(lián)網(wǎng)遠程訪問圖書館電子資源， 滿足讀者隨時隨地使用資源的要求， 成為數(shù)字時代圖書館開展人性化服務和提升服務水平的重要內容之一。

2.2 圖書館數(shù)字資源遠程訪問技術研究

為了能夠實現(xiàn)圖書館的數(shù)字資源遠程訪問，需要了解數(shù)字資源出版商對電子數(shù)據(jù)庫的授權使用方式。目前，主要的授權方式有：IP地址限制、賬號認證或IP 地址組合賬號認證等方式。其中， IP 地址限制方式因具有技術成熟、實現(xiàn)簡單、易于控制、適合圖書館等集團用戶應用等優(yōu)勢， 已經(jīng)成為數(shù)據(jù)庫出版商向圖書館授權的最主要形式。針對這些數(shù)據(jù)庫授權訪問方式，可實現(xiàn)圖書館數(shù)字資源遠程訪問的主要技術手段有代理服務器技術、VPN技術、Athens技術以及Shibboleth技術等等。

2.2.1 代理服務器方式。代理服務器英文全稱Proxy Server，是介于瀏覽器和服務器之間的一臺服務器，其功能主要是代理網(wǎng)絡讀者去取得網(wǎng)絡信息。代理服務器技術一般分為正向代理技術以及反向代理技術。正向代理是一個位于客戶端和原始服務器之間的服務器，為了從原始服務器取得內容，客戶端向代理發(fā)送一個請求并指定目標（原始服務器），然后代理向原始服務器轉交請求并將獲得的內容返回給客戶端，客戶端必須要進行一些特別的設置才能使用正向代理。反向代理正好相反，對于客戶端而言它就像是原始服務器，并且客戶端不需要進行任何特別的設置?？蛻舳讼蚍聪虼淼拿臻g（name-space）中的內容發(fā)送普通請求，接著反向代理將判斷向原始服務器轉交請求，并將獲得的內容返回給客戶端，就像這些內容原本就是它自己的一樣，對客戶而言，僅需要簡單的網(wǎng)絡設置。

目前，常用代理服務器軟件有基于Windows系統(tǒng)平臺的Microsoft Proxy（Microsoft ISA），WinGate、SyGate、CCProxy軟件；基于UNIX/Linux系統(tǒng)平臺的Squid軟件。

代理服務器由于其成本低廉、性能穩(wěn)定，并且有很多免費代理服務器軟件可供使用，非常適合于中小型圖書館的網(wǎng)絡建設[1]。

2.2.2 VPN技術。虛擬專用網(wǎng)（Virtual Private Network，VPN）是指利用密碼技術和訪問控制技術在公共網(wǎng)絡中建立的專用通信網(wǎng)絡，將遠程的分支機構、商業(yè)伙伴、移動辦公人員等連接起來，并且提供安全的端到端的數(shù)據(jù)通信的一種技術[2]。其“虛擬性”體現(xiàn)在并不存在一條實際的物理通路，不需要建設或租用專線，而是建立一條虛擬的通路，就可以實現(xiàn)屬于自己的專用網(wǎng)絡；“專用性”體現(xiàn)在其稀有性和安全可靠性。

與普通的IP業(yè)務和專網(wǎng)業(yè)務相比，VPN業(yè)務具有安全通信、低成本、可擴展性、便于管理、服務質量保證等優(yōu)勢[3]。VPN的安全技術是其所有技術中最關鍵的技術，主要采用四項技術來保證其安全性，分別為：隧道技術、加密技術、密鑰管理技術以及身份認證技術[4]。

VPN可分為站點到站點VPN和遠程接入VPN，IPSec可用于建立這兩種形式的VPN，不同的技術實現(xiàn)不同形式的VPN。按照實現(xiàn)技術的不同，VPN可分為IPSec、SSL、PPTP、L2TP和MPLS等，其中IPSec VPN和SSL VPN在圖書館的資源遠程訪問方面更具優(yōu)勢，并已有所應用。

2.2.3 Athens技術。20世紀90年代中期，國外對于遠程訪問圖書館電子信息資源已開始研究。1995年，英國Eduserv技術有限公司開發(fā)和設計了Athens存取管理系統(tǒng)，最初用于網(wǎng)絡數(shù)據(jù)庫登錄管理的項目，隨后成為英國教育部門和衛(wèi)生部門利用網(wǎng)絡資源的事實標準[5]。

Athens與數(shù)據(jù)庫商達成協(xié)議，在其網(wǎng)站上列出了各數(shù)據(jù)庫的訪問權限清單，購買了數(shù)據(jù)庫的機構在Athens中進行登記，機構將受到一個管理員賬戶，用于注冊Athens數(shù)據(jù)庫訪問口令，且不受IP地址限制。

Athens將IP范圍限制轉換為客戶名、口令限制，注冊Athens賬號后，只需登錄一次即可使用Athens提供的所有有權限的數(shù)據(jù)庫，驗證工作由專門的系統(tǒng)完成。目前支持Athens的數(shù)據(jù)庫已達300多個，包括SAGE、Emerald等數(shù)據(jù)庫，網(wǎng)站同時列出了即將增加的數(shù)據(jù)庫。

2.2.4 Shibboleth技術。Shibboleth是IBM提出的用于解決對共享資源的機構成員進行認證和授權的體系，是下一代互聯(lián)網(wǎng)項目中的一個子項目，同樣突破了IP地址的限制。Shibboleth是基于標準開放源碼軟件包實現(xiàn)web單點登錄，允許站點對用戶進行網(wǎng)絡資源的權限授權。

與其他單點登錄系統(tǒng)類似，其主要元素包括Web瀏覽器、資源、身份提供者和服務提供商。用戶在訪問支持Shibboleth登錄的數(shù)據(jù)庫時，以“IEEE”數(shù)據(jù)庫為例，用戶訪問該數(shù)據(jù)庫網(wǎng)站時選擇Shibboleth登錄，如果所屬機構已經(jīng)申請賬號，可以以機構身份進行登錄，此時會跳轉向客戶機構頁面，由客戶自身完成驗證，再回轉至數(shù)據(jù)庫，數(shù)據(jù)庫將會對用戶開放資源。目前，清華大學圖書館采用Shibboleth開放部分數(shù)據(jù)庫的遠程訪問。

Shibboleth可以為用戶提供豐富的遠程資源，不需要第三方驗證而是客戶機構本身完成驗證工作，目前“IEEE”“EBSCO”“Nature”等數(shù)據(jù)均可支持Shibboleth登錄。

3 國家圖書館常用數(shù)字資源遠程訪問技術應用研究

3.1 基于代理服務器技術實現(xiàn)塔里木油田圖書館遠程訪問

反向代理技術具有訪問速度快、保證內網(wǎng)安全、配置簡單易于使用等優(yōu)勢，可通過在代理服務器上設置一個較大的硬盤Cache，當有外界信息通過時，服務器將其保存，當其他讀者再訪問相同的信息時，直接由Cache取出信息，從而達到提高訪問速度的目的?？赏ㄟ^代理服務器將讀者認證設為基于賬號和口令的認證方式，可以有效地控制讀者的行為，既防范了數(shù)字資源的違規(guī)擴散，又為讀者正常使用圖書館的數(shù)字資源帶來了方便。讀者在使用反向代理技術遠程訪問數(shù)字資源時，不需要專用的客戶端軟件，只需更改一下IE瀏覽器的代理設置即可[6]。因此，代理服務器技術適用于規(guī)模小、硬件設備缺乏、網(wǎng)絡環(huán)境較惡劣的圖書館，可快速實現(xiàn)數(shù)字資源的遠程訪問。

圖1 代理服務器工作流程圖

塔里木油田數(shù)字圖書館就是采用反向代理方式，到館讀者在訪問數(shù)字資源時，計算機不是直接到數(shù)字資源服務器去獲取網(wǎng)絡信息資源，而是向代理服務器發(fā)出請求，信號會先送到代理服務器，由代理服務器取回讀者端所需要的信息并傳送給讀者。通過這種技術，國家圖書館為油田一線員工提供了約4萬冊電子圖書、225份電子報紙、3萬幅特色圖片、600余場視頻講座，累計約12TB的數(shù)字資源。油田員工可在電子閱覽室、辦公室、文化宮等地點擊電腦或多媒體觸摸屏，就能像持有國家圖書館借書證的讀者一樣，免費“品嘗”到美味豐富的“精神食糧”，塔里木油田數(shù)字圖書館也成為國內首個企業(yè)數(shù)字圖書館。

3.2 基于IPSec VPN技術實現(xiàn)數(shù)字圖書館推廣工程虛擬網(wǎng)建設

典型的IPSec VPN部署于站點之間，每個站點都有多臺主機位于VPN網(wǎng)關之后，IPSec隧道端點作為VPN網(wǎng)關的路由器。當來自兩個站點內的主機之間進行互訪時，就如同內網(wǎng)訪問[7]。在此種模式的VPN中，每個站點的VPN網(wǎng)關設置隧道傳輸模式，在數(shù)據(jù)傳輸時，原始IP分組被重新封裝，在內部報頭和外部報頭之間插入AH或ESP報頭，這樣可為站點之間建立的VPN提高安全性；同時，IPSec VPN提供了加密服務，以確保數(shù)據(jù)對其他用戶是機密的，比較常見的加密算法為DES和3DES[8]。

IPSec VPN分為兩個階段進行協(xié)商[9]，第一階段雙方相互驗證對方并確定會話密鑰、加密算法、驗證方法等基本設置，此階段的協(xié)商模式分為主模式和野蠻模式：主模式由發(fā)起方和應答方之間交換的6條消息組成，每個方向3條，提供身份保護；野蠻模式只進行3次交換以便協(xié)商密鑰和進行驗證，此種模式安全性較低。第二階段使用ESP或AH保護數(shù)據(jù)流，確定IPSec安全關聯(lián)，兩端使用ESP或AH模式來傳輸數(shù)據(jù)流。兩個階段協(xié)商成功后，表示站點到站點的隧道建立成功。將IPSec用于站點到站點之間的VPN，適用于兩個局域網(wǎng)之間的安全通信，因此，圖書館之間建立此種形式的VPN可實現(xiàn)雙方資源的共享。

圖2 數(shù)字圖書館推廣工程虛擬網(wǎng)數(shù)字資源遠程訪問流程

2011年5月，財政部、文化部聯(lián)合下發(fā)《財政部、文化部關于實施“數(shù)字圖書館推廣工程”的通知》?！锻ㄖ访鞔_提出要建設以國家數(shù)字圖書館為核心，以省級數(shù)字圖書館為主要節(jié)點的全國性數(shù)字圖書館虛擬網(wǎng)。虛擬網(wǎng)的建設是推廣工程的基礎性建設之一，是全國各地數(shù)字圖書館資源與服務全面共建共享的基礎支撐。

全國所有省級圖書館及大部分市級圖書館已建立局域網(wǎng)，并對讀者提供服務，到館讀者可使用局域網(wǎng)內的數(shù)字資源。每個圖書館的到館讀者是比較集中的用戶群，如果對圖書館電子閱覽室開放資源，則到館讀者均可使用這些資源。將某圖書館看成一個站點，在需建立虛擬網(wǎng)的兩端架設IPSec VPN設備或具有IPSec功能的其他設備，通過兩端的VPN設備進行配置，將兩端的局域網(wǎng)連入虛擬網(wǎng)。到館讀者只需訪問特定的虛擬網(wǎng)資源地址即可，無需多余的認證過程。在經(jīng)過技術調研及國內圖書館現(xiàn)狀調研之后，采用IPSec VPN技術實現(xiàn)了全國數(shù)字圖書館虛擬網(wǎng)的連接。虛擬網(wǎng)的整體架構為[10]：利用各節(jié)點自身互聯(lián)網(wǎng)鏈路，通過IPSec VPN技術組成虛擬網(wǎng)，實現(xiàn)各節(jié)點的互聯(lián)互通。組成國家圖書館到省館和各個省館到市館的網(wǎng)絡，兩級網(wǎng)絡能夠互相連通。國家圖書館作為數(shù)字圖書館虛擬網(wǎng)的網(wǎng)絡中心，與各省館、市館之間能夠在虛擬網(wǎng)上相互通信。

在國家圖書館科學規(guī)劃、嚴密部署，全國各級圖書館緊抓落實、積極配合下，數(shù)字圖書館推廣工程虛擬網(wǎng)取得了積極進展。截至2013年10月，國家圖書館已經(jīng)實現(xiàn)與全國46家副省級以上圖書館、3家市級圖書館的虛擬網(wǎng)直連，另外有60余家地市級圖書館通過省級館的網(wǎng)絡接入了虛擬網(wǎng)，全國虛擬網(wǎng)已經(jīng)覆蓋了包括國家圖書館在內的百余家圖書館，推廣工程虛擬網(wǎng)骨干網(wǎng)絡基本搭建完成。同時，借助虛擬網(wǎng)，地方圖書館不僅可以訪問到國家圖書館的海量數(shù)字資源，還可以在省內各館間便捷地進行數(shù)據(jù)傳輸，實現(xiàn)數(shù)字資源與服務的共建共享。目前，國家圖書館已向連通虛擬網(wǎng)的圖書館開放了總量超過120TB的中外文數(shù)字資源，包括100多萬冊中外文圖書、700余種中外文期刊、7萬多個教學課件、1萬多種圖片、18萬多份檔案全文以及3 000多種講座和地方戲曲等，使讀者在當?shù)鼐涂梢苑奖憧旖莸卦L問全國各地建設的特色資源，全國訪問量約百萬次，虛擬網(wǎng)有效地豐富了全國各地讀者的精神文化生活。

3.3 基于SSL VPN技術實現(xiàn)互聯(lián)網(wǎng)讀者遠程資源訪問

安全套接層（Secure Socket Layer，SSL）協(xié)議由網(wǎng)景（Netscape）通信公司提出，用于促進電子商務站點的發(fā)展，通過使用此協(xié)議可進行數(shù)據(jù)加密、用戶驗證，用戶會話可以被安全地建立起來。SSL VPN[7]的一大優(yōu)勢是平臺獨立，可以通過支持SSL的Web瀏覽器進行內網(wǎng)資源安全訪問，同時也支持專用客戶端的形式。相對于站點到站點之間的VPN（如IPSec VPN），SSL VPN用戶不受訪問地點的限制，可以實現(xiàn)遠程用戶在不同地點接入。SSL VPN不需要改變現(xiàn)有網(wǎng)絡環(huán)境[11]，只需在內網(wǎng)中架設SSL VPN服務器，并且對客戶端設備的要求較低，降低了配置和運行成本。因此，對互聯(lián)網(wǎng)用戶的數(shù)字資源遠程訪問可以通過SSL VPN技術來實現(xiàn)。

圖3 互聯(lián)網(wǎng)讀者遠程數(shù)字資源訪問流程

國家圖書館的網(wǎng)站注冊用戶、讀者卡用戶等都為合法用戶，但大部分數(shù)據(jù)庫的授權受局域網(wǎng)限制，一旦讀者離開圖書館，則無法訪問這些數(shù)據(jù)庫。為解決館外合法用戶的遠程訪問問題，國家圖書館通過SSL VPN技術結合統(tǒng)一用戶管理系統(tǒng)，提供了對互聯(lián)網(wǎng)用戶的遠程資源訪問服務。統(tǒng)一用戶管理系統(tǒng)集在線注冊、實名驗證、單點登錄、訪問權限控制等功能為一體，采用“國家中心—省級分中心—市節(jié)點”的三級認證體系架構，形成輻射全國的國家數(shù)字圖書館統(tǒng)一實名用戶庫。互聯(lián)網(wǎng)用戶在注冊成為統(tǒng)一用戶管理系統(tǒng)中的實名讀者之后，可通過與統(tǒng)一用戶管理系統(tǒng)后臺連接的SSL VPN獲得國家圖書館近50個中外文數(shù)據(jù)庫的互聯(lián)網(wǎng)訪問權限。其中，外文數(shù)據(jù)庫累計擁有47.2萬種圖書、近2萬種期刊、66萬種檔案、6 375種報紙和500種工具書；中文數(shù)據(jù)庫累計擁有40萬種圖書、1.6萬種期刊、1 000種報紙、近400萬篇論文、近2 000種工具書、1 500余種年鑒、近37萬種圖片、50萬首音頻資料、近1萬部視頻資料。據(jù)統(tǒng)計，已經(jīng)有約358萬統(tǒng)一用戶實名注冊讀者，通過互聯(lián)網(wǎng)SSL VPN實現(xiàn)對國家圖書館數(shù)字資源訪問千萬余次。

4 結 語

目前，我國公共圖書館遠程數(shù)字資源訪問技術研究取得了較大的進展，各地圖書館逐步通過一定技術手段為讀者提供訪問服務，建設成績顯著，但也存在訪問速度不高、傳輸容量較小等問題。遠程數(shù)字資源訪問服務是數(shù)字圖書館發(fā)展建設的核心，是數(shù)字圖書館開展服務的基礎與前提。為了更好地解決我國公共圖書館現(xiàn)存的這些問題，國家圖書館將啟動專網(wǎng)建設，建設一條從國家圖書館直連到各地省館的獨享網(wǎng)絡，從而彌補本文中介紹的各種數(shù)字資源遠程訪問技術基于共享帶寬模式在速度、安全性等方面的不足，為全國數(shù)字圖書館提供一個強大的網(wǎng)絡設施平臺，能夠承載大容量、高質量的數(shù)據(jù)傳輸，能夠實現(xiàn)大型、分布式系統(tǒng)的互聯(lián)互通，能夠為云計算、物聯(lián)網(wǎng)等技術的應用提供網(wǎng)絡環(huán)境，是實現(xiàn)全國數(shù)字圖書館系統(tǒng)互聯(lián)、業(yè)務整合、服務協(xié)作、可持續(xù)發(fā)展的網(wǎng)絡設施保障，開創(chuàng)出一條提升圖書館遠程數(shù)字資源訪問的新道路，最終實現(xiàn)數(shù)字文化資源惠及全民。

[參考文獻]

[1] 王國栓.遠程訪問圖書館電子資源的技術實現(xiàn)[J].數(shù)字圖書館論壇，2006（11）：50—53.

[2] 王 達.虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學出版社，2004.

[3] 朱 華.三種主流VPN技術的比較與分析[J].計算機與數(shù)字工程，2009，37（12）：108—111.

[4] 蔣東毅，呂述望，羅曉廣.VPN關鍵技術分析[J].計算機工程與應用，2003，39（15）：173—177.

[5] Athens[EB/OL].[2015-01-12].http：//baike.baidu.com/view/970021.htm.

[6] 任 瑤.代理服務器在訪問電子資源方面的應用[J].圖書館學研究，2004（12）：26—28.

[7] Joseph S， Timothy S.SSL VPN： Understanding， evaluating， and planning secure， web—based remote access [M]. Bermingham： Packt Publishing， 2005.

[8] Vijay Bollapragada，Mohamed Khalid，Scott Wainner. IPSec VPN設計[M].袁國忠，譯.北京：人民郵電出版社，2006.

[9] 馮乃光，曾黃麟.基于MPLS VPN的電子政務外網(wǎng)構建技術[J].計算機科學，2009，36（9）：300—302.

[10] 王樂春，路龍惠.數(shù)字圖書館推廣工程虛擬網(wǎng)體系構建與資源共享實例實現(xiàn)[J].國家圖書館學刊，2012.21（5）：40—45.

[11] 劉 洋.IPSec VPN和SSL VPN的分析比較[J].電腦知識與技術，2009，5（4）：825—827.

[收稿日期]2015-01-12

[作者簡介]路龍惠（1983—），女，工程師，國家圖書館信息技術部；梁愛梅（1987 —），女，工程師，國家圖書館信息技術部。

[說 明]本文系國家科技支撐計劃課題“文化資源服務平臺解決方案及標準研究”（課題編號：2012BAH01F01）的研究成果。