【IT168 资讯】一、 需求概述
1. 背景介绍
当今社会互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共享成为可能,也同样给我国数字图书馆事业的发展带来了前所未有的挑战和机遇。从2004年11月中国高等教育数字化图书馆(CADLIS)建设项目的正式启动,一直到2006年8月, CALIS专题项目圆满完成建设任务。在这其间中国高校的数字图书馆建设得到了前所未有的高速发展。不管是国家还是高校都在电子资源方面投入了大量的精力和财力以方便广大师生使用。并努力缩小与国外先进大学的差距,电子图书馆的建设已经成为当今数字化校园建设的新亮点。
中国政法大学近几年从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为学校信息化建设和现代教育技术改革工作的一大重点。
然而在建立和使用数字图书馆的过程中,电子资源商出于版权保护的需求,对高校使用其电子资源采取了一些保护措施,控制数字内容及其分发途径,从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下,图书馆所购买的电子资源大部分都有限制访问的IP地址范围或访问账号控制,其中又以限制IP地址范围为主要手段,其实现主要通过以下方式进行:
1、 采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。
2、 只要是从校园网出去的IP地址都是认可的,因为校园网出口IP和部分公网IP地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、 如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用PSTN拨号、ADSL、小区宽带,使用的都是社会网络运营商提供的IP地址,不是校园网的IP地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的IP地址为合法用户,但是这要求访问者的IP地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态IP地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
从上述情况我们可以得到一个结论,大部分的电子资源仅能在校园网范围内访问,离开了校园,老师或学生将无法访问这些电子资源,而随着高校后勤社会化的深入发展,越来越多的教师和学生在校外居住,他们对各类电子资源的访问需求仍然是存在的,同时还有大量的校友、客座教授、外聘教师也需要随时随地地接入校园网共享丰富的校园网资源。因此,高校需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过相应的身份认证进入校园网后再通过校园网访问相应的电子资源数据库,从而满足更多师生访问馆藏资源、网上资源的需求。
由于电子资源的网外访问具有应用复杂(Web应用、C/S应用)、安全性要求高(重要的科研教学数据)、访问量大(用户量大、流量大)、用户环境复杂(终端类型多、网络环境复杂、用户IT水平参差不齐)等特点,在选择相应技术和产品时应充分考虑所选择产品具有的易用性、扩展性、容量等多方面内容。
2. 客户具体需求分析
中国政法大学是一所以法学为主,兼有哲学、经济学、教育学、管理学等多学科的国家211工程重点建设院校和教育部直属全国重点大学。经过五十多年的建设与发展,学校现已拥有 2个全国人文社科重点研究基地、1个教育部重点实验室、1个北京市哲学社会科学研究基地、1个博士后流动站及 18个博士点、 45 个硕士点、17个本科专业。目前,学校设有18个校属院部,有各类在校生20000余人,教职工1690余人,其中专任教师830余人,教授、副教授510余人,博士生导师126人,硕士生导师420余人。法学教师所从事的教学、研究领域涵盖了法学的所有二级学科。
中国政法大学图书馆是原司法部属院校图书馆协作委员会主任图书馆。中国政法大学图书馆现有藏书约100万册,其中中文图书约90万册,外文图书约5万册,中文期刊合订本5万册,外文期刊合订本5000册;收藏缩微资料12种,4300多件;光盘127种;数据库数种。法律专业文献和相关学科文献是馆藏的核心和重点,初步形成了以法律文献为主体、相关学科文献按比例协调发展的模式。近几年,图书馆自动化建设有了较快的发展,内部业务工作实现了自动化管理,能够在网络环境下为读者提供文献信息服务。同时,图书馆为了满足教工和学生在知识获取方面的各种需求,更好地推进数字化校园建设,积极规划推进数字图书馆建设。目前馆藏的电子资源包括:万方数据库,中国期刊网,中国资讯行,国家法规数据库,超星数字图书馆,中国科技论文在线,方正电子图书、EBSCO、HeinOnline、LexisNexis法律资料库、Westlaw等近二十种数据库。
但是,大部分的电子资源仅能在校园网范围内访问,许多在校外居住和生活的教工和学生、校友、客座教授、外聘教师由于离开了校园网范围,无法访问到学校内的资源,以及学校提供的外网资源。现状如图所示:
通过高校数字图书馆目前普遍存在的问题,我们看到中国政法大学在以下几个方面需要解决。
网外用户访问校内图书馆资源的问题
图书馆的电子资源访问都是通过校园IP地址判断的,所以在网外的客户由于没有允许的IP地址所以造成大量教职工、学生无法访问的情况。
移动用户接入安全问题
无论是学校电子资源的版权还是校园网内的科研教学数据都是无价的,使得远程访问资源的安全性必须得到很高的重视。而且校园网的安全是高校行政办公系统正常运转的保证,安全问题不容忽视。
远程接入易用性问题
校外访问用户IT水平参差不齐,程序的安装及繁琐的配置务必会加大老师和学生的负担,影响资源的使用效率,并造成各种各样的问题。而且管理人员的维护量和成本会倍增
用户自运营商网络访问教育网内电子资源速度慢的问题
由于多数校外访问者使用的是当地运营商提供的网络(如电信的ADSL),这些运营商网络与教育网之间的访问速度非常慢,导致校外用户通过这些网络访问电子资源的速度很慢,极大的影响了用户使用的满意度。
不同格式电子资源应用的支持问题
图书馆现有的应用系统类型丰富,而且需要考虑试用的以及将来扩展的电子资源应用。远程接入系统需要对所有的应用(B/S,C/S)都能做到完整的支持。
大量用户访问问题
由于高校的资源多数都是购买授权的方式,上游的电子资源服务商对资源的应用是有限制的。除了限制发起的IP地址外,还会限制单一IP地址所产生的流量。
根据以上需求,我们认为VPN技术是一种比较理想的解决方法,也是目前多数已经解决以上需求的高校所采用的方式。
二、解决方案
1. VPN技术在高校图书馆的应用分析
VPN是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider 服务提供商)和其它NSP(NetworkService provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用VPN技术来解决这个问题,而且大多是采用的IPsec VPN技术。利用IPSEC技术,校外用户在本机安装一个VPN客户端软件后经过配置连入图书馆网络,IPSEC VPN中心端会给每个远程用户分配一个校园网IP地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说IPSec VPN是目前VPN的主流技术之一,但IPSEC协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的VPN厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,SSL VPN技术应运而生。
