偶然看到这篇文章,对咱们YY网友提个醒,破解技术也要发展了!呵呵!
原文链接地址:
http://www.tedalib.gov.cn/cmsfile/2007-7-20/1184952025197.htm
远程访问图书馆电子资源技术综述
(夏志方 泰达图书馆档案馆信息部)
[摘要] 本文从技术框架、应用情况、利弊分析等方面,对传统代理服务器、改进的代理服务软件(Ezproxy)、VPN、PKI、Athens、shibboleth等实现远程访问图书馆电子资源的技术手段进行综合分析与比较,为图书馆选择合适的远程访问技术提供参考,为研究者把握相关技术的发展趋势提供借鉴。
[关键词] 电子资源 远程访问 数字图书馆 代理服务器 Ezproxy 虚拟专网 Athens PKI shibboleth
[分类号] G250.72
Technique review on offering remote access to library digital resources
Xia zhifang
TEDA Library,TianJin 300457
[Abstract] This article introduces the technical structure and applications of 6 Remote Database Access Solutions: Standard proxy server, Ezproxy, VPN, PKI, Athens and shibboleth. We also analyze the advantages and disadvantages of those solutions mentioned. We aim to provide references to library administrators who are choosing Remote Database Access Solution, meanwhile to help researchers catch up with the development of related technology.
[Keywords] digital resources, remote access, digital library, proxy server, Ezproxy, VPN, Athens, PKI, shibboleth
1 引言
图书馆采购的电子资源是一种重要的信息来源,尤其是重要的科技信息来源,是开展科研工作的基础,特别是近年来,随着网络技术的发展以及电子化风潮的来临,大量科技和商业信息资源都可以提供网络访问,电子书、电子期刊、数据库等成为图书馆的重要馆藏资源。电子资源的大量采购,随之而来的问题是如何提高资源的利用率,以及如何更好的服务用户。而另一方面,从资源提供商来说,必须采取一定的措施以防止资源的外泻并有效保护知识产权,因此,电子资源一般都有严格的控制手段以限制只有合法订购用户才能访问,并且不能对资源进行批量下载。目前通常这些控制手段包括IP地址限制及用户名、口令限制或两者综合使用,这种方式从地理位置上限制了用户对资源的访问,有效的保护了资源提供商的利益,但却为资源的充分利用设置了障碍,造成了资源提供商和使用者之间的博弈。根据调查,用户普遍要求可以远程访问图书馆电子资源,这里的远程访问,又叫校外访问(Off-campus Access),是指突破IP地址的物理限制,可以在任何能上网的地方使用图书馆电子资源[1]。
网络技术的进步,为我们解决资源提供商和资源用户之间的这对矛盾提供了契机,通过有效的技术手段,目前已经可以实现用户的这一梦想:随时随地访问其所订阅的网络电子资源。并且,这些手段同时提供良好的用户控制技术,有效保护资源提供商利益。对于远程访问图书馆电子资源的研究,国外从90年代中期就已开始。由于美国高校校园分散及其开放式教学模式,师生在大多数情况下并不在校园内进行学习、研究,所以在美国高校,为师生提供数字资源的远程访问服务就显得尤为重要和迫切,因此,对于这个问题的研究也以美国为代表的欧美高校开始得最早,研究得最深入,应用得最广泛。以下将以欧美高校的研究和应用为主,介绍几种目前普遍采用的远程数字资源访问技术及当前的研究热点,希望为我国对类似问题的研究提供借鉴。
2 传统代理服务器技术
2.1 代理服务器概述
代理服务器(Proxy Server)的功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。其工作原理如图1所示:
图1 代理服务器工作原理
在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,须送出请求(Request) 信号来得到回答,然后对方再把信息以比特流(bit)方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器[2]。代理服务器可分为网关型代理和应用型代理,前者如广泛应用于局域网中的共享服务器上网,后者则是本文要探讨的解决远程访问图书馆电子资源的重要途径。应用型代理可以通过多种方式对不同类型的用户进行身份认证, 如IP 地址方式、用户名口令方式等等,经过认证的用户,即视为图书馆的合法用户,可以通过该代理服务器访问受IP地址限制的电子资源,直观上看起来,就如同用户的IP地址(受限范围外)已经变成了代理服务器的IP地址(受限范围内)。
代理服务器的主要特点有:具有缓冲的功能,提高浏览速度和效率;连接Internet与Intranet 充当firewall(防火墙);节省IP开销,降低网络的维护成本。[3]
2.2 代理服务器应用现状
代理服务器方式是最基本的,也是应用最广泛的解决受限IP范围外的用户访问电子资源的技术手段,国内外高校大多提供该项服务,例如复旦大学、上海交通大学、浙江大学、美国加州大学、杜克大学等等。经调查,中国大陆及台湾地区高校使用代理服务器方式比较普遍,而欧美高校则主要采用其他改进的方式,代理服务器作为补充手段仍然保留。在用户身份认证方面,代理服务器可以与校园邮件系统、借阅证系统、学生学号管理系统等身份认证系统进行对接。
2.3 代理服务器用于远程访问数字资源的主要优缺点
代理服务器用于远程访问图书馆数字资源的主要优点是实现简单,运维成本较低。他只需要购置一台性能较好的服务器,安装一个代理服务器软件如Squid、Microsoft ProxyServer、Netscape ProxyServer、WinGate、WinProxy等等,经过一些简单的配置,并建立合适的身份认证即可。用户在使用代理服务器访问Internet时,需要在浏览器中进行配置,配置方法虽然简单,但对于大多数不熟悉计算机操作的用户来说还是不够友好,这也正是这种方式的缺点之一。理想的访问方式应该对用户是透明的,这是后续解决方案中一个改进的方面。代理服务器方式的另一个不足是无法对使用情况进行跟踪统计和分析,有的代理服务器软件提供一些统计分析功能,但还不能满足要求。另外,代理服务器受支持的协议限制,一些客户端/服务器模式的电子资源例如CA网络版SciFinder,无法通过代理服务器访问。
3 改进的代理服务软件
传统的代理服务器方式有其局限性,为了解决浏览器设置及统计分析的问题,出现了经过改进的代理服务器软件。由Useful Utilities公司提供的EZproxy软件是被国外高校广泛采用的代理服务器软件,我们主要以该软件为例进行介绍。
3.1 EZproxy概述
EZproxy是一个目前被国外图书馆广泛使用的实现校外访问代理的软件。其与普通代理服务器软件的主要区别在于它是采用基于"URL重写"技术,用户无需修改浏览器的设置就能实现代理访问资源的功能[4]。例如,EZproxy服务器的地址为:
http://myproxy.mylibrary.com,我们要访问的地址为:
http://www.mydatabase.com/index.htm,EZproxy将其映射为:
http://www.mydatabase.com.myproxy.mylibrary.com/index.htm,经过映射之后,对目标网站的访问就由Ezproxy服务器进行中转[5]。这种方式对用户来说是透明的,只需通过输入口令通过EZprxoy的验证即可访问目标网址。EZprxoy的用户认证支持文本文件、Email服务器等多种用户数据源,同时还可以编写外部程序实现与其他数据库的集成,例如图书馆自动化系统、学生证号管理系统等等。要使用Ezproxy访问某个数据库资源,必须事先进行配置,只有配置到其“Menu”中的网址才会由EZprxoy进行代理访问。Ezproxy还提供了强大的日志功能,对访问者信息和资源访问量进行记录。
3.2 EZproxy应用现状
Ezproxy在国外得到了广泛运用,尤其是欧美高校尤其普遍,目前中国大陆仅北京理工大学已经正式使用该软件为师生提供数据库的校外访问服务。在Useful Utilities公司的网站上列出了Ezproxy在全球40个国家和地区的1800余个客户,其中绝大部分为各类高校、科研机构、大公司、政府组织等等[6]。
3.3 EZproxy的主要特点
Ezproxy是一个功能强大、价格低廉(495美元)、操作简单的代理服务器软件,他运用先进的“URL重写”技术,免除了浏览器反复设置的麻烦,另外它强大的日志和分析功能也为图书馆对数据资源的使用进行监控和分析带来了极大的便利。由于它仍是一种代理服务器技术,目前只能应用在浏览器/服务器模式的资源访问中,对于客户端/服务器模式的数据库资源仍然无法访问。
4 VPN技术
4.1 什么是VPN
VPN的全称是Virtual Private Network,即虚拟专网,指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络(Internet)中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。所谓虚拟,是指用户不需要拥有实际的长途数据线路,而是使用Internet公众数据网络现有的长途数据线路。所谓专网,是指用户可以为自己制定一个最符合自己需求的网络[7]。目前图书馆中使用的是一种叫做远程访问虚拟网(AccessVPN)的VPN技术,AccessVPN通过拨入当地的ISP进入Internet再连接VPN网关,能让用户随时、随地通过远程方式访问内部资源。AccessVPN的远程方式包括拨号 ISDN、数字用户线路(xDSL).通过这些灵活的拨入方式能够让移动用户、远程用户或分支机构安全地接入到内部网络。VPN作为一种综合的网络安全方案,主要包含了下列4种重要技术:基于对称和非对称的密钥加密技术;基于的标准数字证书(Certificate)的身份认证技术;基于网络层和数据链路层隧道协议的隧道技术;保证密钥在公网上传输而不被窃取的密钥管理技术。
4.2 VPN的应用现状
VPN技术广泛应用于企业的移动办公和远程访问企业内部网络,国外高校也广泛采用VPN作为从校外访问图书馆数字资源的主要手段,近几年随着我国高校合并、一校多区现象的增多,我国一些高校也开始采用VPN实现多校区之间的数据传输,例如华南师范大学采用VPN实现了3个校区之间安全的网络互联[8],上海交通大学、暨南大学等也都采用了VPN用于用户在校外访问校园网资源。
4.3 VPN用于远程访问图书馆数字资源的特点
目前普遍采用的IPSec VPN需要在用户电脑中安装一个客户端,客户端接入VPN服务器之后,本机的网络设置即进行了相应的更改,直观上看起来,用户的电脑已经成为局域网中的一员,在使用网络资源方面和物理上处于该局域网中的其他电脑是没有任何区别的。而采用SSL协议的下一代VPN则不需安装或设定客户端软件,因此,有人认为,SSL VPN将成为远程访问技术主流[9]。VPN技术的主要特点是成本低、扩展性好、安全性高,与基于代理服务器的方式相比他最显著的优点就是解决了客户端/服务器形势数字资源的远程访问问题。但VPN实现和安装较为复杂,目前的IPSec VPN需要安装客户端并进行相应的设置,对用户不够友好,另外,由于它并非专用于图书馆的数字资源访问,因此不具备用户分析、资源利用率统计等附加功能。
5 Athens项目
5.1 Athens项目简介
Athens是英国高等教育部于1996年开始展开的一个用于网络数据库登录管理的项目,随后成为英国教育部门和卫生部门利用网络资源的事实标准[10],注册Athens帐号后仅需登陆一次就可以利用 Athens Access Management 系统提供的多种网络资源。其工作的大致流程如图2所示:
图2 Athens 工作流程
Athens与数据库提供商们(DSPs)达成协议,在Athens中维护一系列对各数据库的访问权限清单,这些访问权限将分配给用户注册的Athens数据库访问口令;购买了数据库访问权限的机构在Athens中进行登记,登记项目包括购买的具体访问权限、机构IP范围(注册数据库访问口令的操作需在IP范围内完成)等,Athens则返回给该机构一个管理员帐户,该管理员帐户可以用于注册Athens数据库访问口令,用该管理员帐户注册的数据库访问口令具备该机构在Athens中登记的数据库访问权限,且该口令不再受IP范围限制。当用户需要访问受Athens保护的数据库时,他被要求提供Athens数据库访问口令,一旦通过验证,该用户即可访问其权限范围内的所有数据库而无需再次进行验证。Athens提供4种注册数据库访问口令的方式:与现有的认证系统建立借口、单个用户注册、批量用户导入、用户自行注册,其中前3种都是由管理员操作,用户自行注册则可由最终用户使用一个由管理员生成的、该机构通用的用户注册专用账号,自行在事先登记的IP范围内注册自己的账号。另外,管理员帐户还具有用户统计、数据库访问统计、权限配置等附加功能[11]。
5.2 Athens项目应用现状
在Athens项目的网站上列出了在Athens中登记的全球80余个国家和地区的几千个各类机构,主要以英国的学术、科研、医疗机构为主[12],支持Athens的数据库则也达到300余个,且仍在不断增加,其中包括ScienceDirect、Wiley InterScience、Web of Knowledge等著名的数据库[13]。
5.3 Athens项目特点
Athens的特点是显而易见的,它的思路是将IP范围限制转换为用户名、口令限制,而且只要一个口令就可登录所有有权限的数据库。对用户而言Athens是一个不需要任何额外工具的支持或设置的解决方案,只要注册一个用户名口令,就像我们申请电子邮件一样,即可在任何可以上网的地方登录数据库。他的操作也相当简单,所有操作都可以在浏览器中完成,对用户来讲几乎没有什么障碍。Athens的另一个好处是把用户验证工作交给专门的系统,数据库从维护用户数据中解脱出来,而且,用户通过各自的口令访问数据库,更加便于数据库的知识产权控制及为用户提供个性化服务。
6 当前研究的技术热点
当前普遍采用的IP控制和用户名密码控制存在较多的安全漏洞,利用匿名代理服务器和搜索引擎的帮助,非法用户可以很容易的窃取受限资源,图书馆面临的网络安全问题不可小视。另外,基于IP控制的方式无法对用户进行细分,不能很好的满足用户的个性化需求,因此,目前国内外研究的重点集中在突破IP限制、增强信息安全和提供个性化服务上[14]。
6.1 PKI技术
PKI(Public Key Infrastructure,公钥基础设施)是利用公钥密码理论和技术建立起来的、提供安全服务的普适性基础设施。PKI是重要的信息安全技术,是搭建全球可信网络(Global Trust Network,GTN)的基础平台技术,也是目前解决电子商务、电子政务安全的关键和基础技术。国外已开始研究将PKI技术引入数据库的访问控制中来,但从目前PKI技术实施的情况来看,其实施的代价太高,因此图书馆真正引入PKI来控制数字资源访问的时机尚未成熟[15]。
6.2 Shibboleth项目
Shibboleth是一个用于解决对共享资源的机构成员进行认证和授权的体系,它是Internet2(下一代互联网)项目中的一部分[16]。Shibboleth是基于采购电子信息资源的机构和资源提供商之间的一种信任机制进行工作的,这种信任机制的建立来源于两个程序组件:安装在机构用户站点(来源站点)的Shibboleth Identity Provider (IdP)和安装在资源提供商站点(资源站点)的Shibboleth Service Provider (SP)。当用户访问某个资源时,资源站点首先询问访问者的来源(Where are you from?),当访问者提供其来源后,资源站点请求来源站点对用户进行验证,来源站点通过验证之后将该用户的信息发送给资源站点,该信息并不仅仅是说明该用户是否合法,还可以包括其他一些个人信息,资源站点以收到的用户信息为依据,对用户进行相应的授权及个性化服务[17]。与Athens项目类似,这种模式突破了IP地址的限制,可以为用户提供更多个性化服务,资源提供商也从维护一大堆密码、IP范围的重负中解脱出来,与Athens不同的是,他不是把验证工作交给第三方,而是由用户机构本身来完成。目前已有OCLC、CSA、EBSCO等29个数据库提供商宣布支持Shibboleth,同时有美国的麻省理工大学、杜克大学等众多高校参与到Shibboleth的研究开发当中。
7 结语
用户利用信息资源的方便性和信息资源的安全性之间似乎是一对矛盾,一方面,用户希望随时、随地访问任何信息(anytime、anywhere、anything),另一方面,信息资源必然受到知识产权保护、商业利益等因素的影响而对访问进行控制,人们在不断努力弥合这对矛盾,现代信息技术的发展为我们彻底解决这个问题带来了希望,同时也使我们面临许多新的问题,这本身又是一对矛盾,技术也就在矛盾的博弈中不断进步[18]。
由于片面追求到馆率和纸本馆藏量等种种原因,目前我国对数字资源的远程访问问题并没有引起足够的重视,随着我国高校的合并、扩大、开设分校、功能区域分散等情况的增多,远程教育的发展,个人电脑的普及,科研人员研究方式的多样化,人们获取信息方式的变革,远程访问图书馆电子资源的要求将会越来越多,随时随地访问数字资源是未来数字图书馆需要实现的基本功能,图书馆界应该在这方面深入研究,多加探索,适应新形势的发展,突破传统服务模式,切实满足用户的实际需求。
[
本帖最后由 dry811224 于 2008-3-28 19:41 编辑 ]
