董昕元，魏夢瑤

（黑龍江大學，黑龍江哈爾濱，150080）

0 引言

傳統(tǒng)圖書館在閱讀時間和空間上具有一定的限制，通過網(wǎng)絡技術手段，可以改善該限制性因素，實現(xiàn)圖書館的長久發(fā)展。隨著科技的發(fā)展許多遠程訪問技術開始出現(xiàn)，如VNP技術、代理服務器技術等，雖然可以實現(xiàn)圖書館信息資源的遠程訪問，但是也存在一定程度上的限制，如果出現(xiàn)大規(guī)模的校外訪問需求，該系統(tǒng)將會受到限制和威脅，因此需要對圖書館的電子信息資源遠程接入進行進一步研究[1]。

1 概述

隨著互聯(lián)網(wǎng)在教育領域的興起和發(fā)展，CARIS平臺開始形成，即教育網(wǎng)聯(lián)邦認證和資源共享服務。該平臺在校園網(wǎng)統(tǒng)一用戶管理和身份認證系統(tǒng)基礎上，實現(xiàn)了跨身份認證和資源共享服務。CARIS屬于我國高校建設中的一項基礎設施建設，同時教育網(wǎng)（CERNET）也已經(jīng)在各個高校完成了統(tǒng)一用戶管理系統(tǒng)和各類網(wǎng)絡應用資源建設，實現(xiàn)高校間單點登錄訪問，為高校資源的充分共享創(chuàng)造條件，推動科技在教育領域的進一步發(fā)展。CARSI是中國教育科研計算機網(wǎng)統(tǒng)一認證與資源共享基礎設施（CERNET Authentication and Resource Sharing Infrastructure），2008年12月由北京大學計算中心發(fā)起建設，在國內高校已經(jīng)普遍建設完成的校園網(wǎng)統(tǒng)一用戶管理和身份認證系統(tǒng)基礎上，面向中國高校和科研機構提供跨域身份認證和資源共享服務。支持會員高校師生直接通過校園網(wǎng)賬號在任何時間、任何地點、任何終端和任何聯(lián)網(wǎng)形式訪問本校采購的國內外電子資源。

Shibboleth（主要應用在校園內Web資源共享以及用戶身份聯(lián)合認證）是CARIS認證建設的基礎，Shibboleth主要起到了保護個人信息安全、控制訪問權限等，是實現(xiàn)校園統(tǒng)一用戶身份跨域認證的保障。其中Shibboleth單點登錄的組成主要由以下幾點：用戶端，多指用戶使用的瀏覽器；資源，用戶需要訪問的圖書館電子資源等受限類資源；資源供給方，提供登錄認證端口，攔截用戶請求，并將用戶身份信息傳遞給應用程序；身份提供者（IDP）,提供Web單點登錄功能，對用戶進行身份認證并向資源提供者提供身份數(shù)據(jù)。

CARSI是利用Shibboleth的經(jīng)驗和技術來實現(xiàn)的，通過一系列認證形成了CERNET身份認證聯(lián)盟，在高校的資源共享方面起到了重要的作用。如圖2所示為CARSI平臺技術框架圖，CARSI通過部分內容優(yōu)化，為高校的安裝使用提供了更加便利的條件。在已有校內同意身份認證系統(tǒng)的部分，可以通過改善IDP來優(yōu)化Web單點登錄功能，同時可以將登陸者的信息提供給供給方，以對身份認證系統(tǒng)的安全作出保障[2]。

圖1 GARSI平臺技術框架

2 基于CARSI平臺的電子信息遠程訪問技術分類

■2.1 VPN訪問技術

VPN即虛擬專用網(wǎng)絡訪問技術，該方式的運行需要一種特殊的通信環(huán)境，同時訪問容易受到控制，只允許在一定利益團體內建立對等連接。當電子信息資源遠程接入訪問系統(tǒng)應用了VPN技術之后，用戶可以不受時間和地域的影響可以進行內部資源訪問，同時VNP技術中還包含了身份認證和密碼技術等，對于用戶的信息安全起到很大的保障作用。由于高校的資源具有一定的敏感性，在進行信息訪問時需要注意對資源的安全保護，許多學校會在電子信息訪問系統(tǒng)中建立一個VNP服務，學生和老師可以通過賬號登錄，來進行信息查看，對信息資源來說具有較高的安全性。除此之外，VPN還具有瀏覽器的作用，在客戶進行訪問時，由于插件安裝問題容易受到限制，造成網(wǎng)絡中心的運維困難。

■2.2 代理服務器技術

代理服務器技術屬于電子信息資源遠程接入的基礎手段，是在校內代理服務器的基礎上進行操作的。該技術可以將遠程的數(shù)據(jù)資源傳輸?shù)酱矸掌魃希儆纱矸掌鬟M行下一步操作，將數(shù)據(jù)返回客戶端，其工作原理如圖2所示[3]。

圖2 代理服務器工作原理

代理服務器屬于電子信息資源遠程接入系統(tǒng)中較為簡單的方式，其具有配置簡單、維護方便、網(wǎng)速較快等優(yōu)點。但是，該方式也存在一定的缺陷，即用戶訪問圖書館數(shù)字資源的客戶端操作困難，未能使用高?，F(xiàn)有的統(tǒng)一身份認證系統(tǒng)，同時在信息數(shù)字統(tǒng)計和資源訪問方面存在較大的缺陷。由于該方式是通過代理服務器進行申請資源訪問，對于限制IP訪問頻率的電子資源經(jīng)常會遇到無法正常訪問的情況。

■2.3 PKI技術

PKI電子信息遠程訪問技術中相對較為安全的，它是以公開密鑰為基礎建立的，具有密碼技術的支撐。PKI技術在電子信息遠程接入中以數(shù)字證書為核心，在輔以密碼技術，為高校圖書館用戶建立了統(tǒng)一的身份認證管理、統(tǒng)一的防抵賴服務和監(jiān)控服務等，進一步提高了電子信息遠程訪問技術的安全性和可靠性。由于其技術較為復雜，當前在我國的應該范圍并不廣闊。

■2.4 Shibboleth方式訪問

在學校信息技術中心將校認證系統(tǒng)idp成功接入中國教科網(wǎng)CARSI認證聯(lián)盟的基礎上，圖書館積極與各大數(shù)據(jù)庫服務商討論協(xié)作，終于開啟這一全新的便捷的校外訪問方式：不用登錄學校VPN，直接通過機構認證方式遠程訪問數(shù)據(jù)庫。在圖書館與各數(shù)據(jù)庫商的溝通協(xié)作后，Springer、EBSCO、Emerald ScienceDirect、WOS 、ProQuest等數(shù)據(jù)庫已陸續(xù)開通了基于CARSI 的Shibboleth校外訪問服務。Shibboleth方式訪問數(shù)據(jù)庫的一般步驟如下：①在校園網(wǎng)外（非校園IP地址）打開瀏覽器，輸入數(shù)據(jù)庫網(wǎng)址；②選擇高校/機構如“上海對外經(jīng)貿大學”，點擊“前往”；③進入登錄界面，輸入校園網(wǎng)統(tǒng)一身份認證的賬號與密碼后，點擊“登錄“即可使用。

■2.5 其他技術

除了上述所說技術之外，還有一些其他可以進行信息資源遠程接入的技術方式，如反向代理服務技術、Athens項目等。此類技術方式都有其特定的優(yōu)勢及限制因素，因此未能廣泛的投入使用。隨著科技的發(fā)展，信息資源遠程接入越來越被重視，是目前跨域聯(lián)盟認證中應用最為廣泛的手段。

3 基于CARSI平臺的電子信息資源遠程接入系統(tǒng)研究

隨著在線教學科研需求的不斷擴大，高校對CARSI服務的國際化、多樣化程度提出了更高要求。為了更好地服務用戶，CARSI服務團隊嚴格遴選服務提供商，力求不斷拓展資源服務范圍、豐富資源服務種類。在持續(xù)引入國際資源服務的同時，CARSI服務也吸引了一大批國內資源服務商的入駐，成為國內服務提供商開展國際資源服務、擴大國際影響力的重要平臺。另外，CARSI服務增進了高校用戶和服務提供商之間的互動交流，使高校的實際需求轉化為服務動力并真正落地，為高校學科建設和科研創(chuàng)新提供堅實助益。

■3.1 校內統(tǒng)一身份認證CAS和CARSI平臺對接實現(xiàn)

CAS起源于美國，是耶魯大學研發(fā)的一個項目，為了利用Web完成一種安全可靠的單點登錄方式，當前高校內的身份認證系統(tǒng)多采用該技術來進行實現(xiàn)的。CAS主要由以下部分組成： CAS服務器（CAS Server），其主要作用是負責用戶的認證；CAS客戶端（CAS Client），其主要作用是保護用戶信息，對用戶請求進行管理和傳輸。用戶從瀏覽器進入CAS Client，此時CAS Client會接到攔截請求，然后再將重新進入請求傳送至CAS Server。當用戶輸入正確的身份信息和密碼之后，CAS Server會通過認證生成一個驗證票，再將信息傳送到CAS Client。用戶可以憑驗證票進行訪問，若驗證票無效則用戶會返回CAS Client，其流程如圖3所示[4]。

圖3 CAS協(xié)議流程

■3.2 系統(tǒng)的成功應用

基于CARIS平臺的電子信息資源遠程接入系統(tǒng)實現(xiàn)了非校園IP的合法訪問，同時還在系統(tǒng)中增加了VNP技術，提高了系統(tǒng)的安全性和可靠性，在一定程度上對高校圖書館的電子信息資源進行了保護。由于該系統(tǒng)運行非校園IP進行訪問，用戶除了可以訪問本地資源之外還可以訪問其他地區(qū)的電子信息資源，在很大程度上豐富了高校的電子信息資源，突破了高校電子圖書館的統(tǒng)計功能和流量限制功能，實現(xiàn)了圖書館的遠程服務。利用校園統(tǒng)一身份認證建立身份審查程序。用戶在進行訪問時，需要對校園統(tǒng)一身份進行認證，系統(tǒng)管理者可以利用此操作對用戶進行身份驗證，謹防非法用戶的申請和超期使用。

■3.3 系統(tǒng)的未來發(fā)展

CARSI服務的優(yōu)化與創(chuàng)新，離不開對用戶意見的聽取和與同行的交流。一方面，以微信群、QQ群為主要交流平臺，聽取用戶、服務提供商的需求與意見，并第一時間幫助用戶遠程解決技術難題；另一方面，借助CERNET學術年會、CERNET用戶會、研討會等平臺，定期組織開展技術交流活動，共同理解Shibboleth技術的核心理念，分享經(jīng)驗成果，探討和解決技術難點，并借助參加“互聯(lián)網(wǎng)之光”博覽會、中國互聯(lián)網(wǎng)大會等業(yè)內知名展會的機會，宣傳CARSI服務的理念，為CARSI服務的發(fā)展爭取各方支持。以服務高校資源共享為目標，CARSI服務不斷進行技術革新，以求進一步整合校園網(wǎng)資源，為高校教學科研工作提供強有力的技術支持。

4 結語

隨著網(wǎng)絡的發(fā)展，電子信息資源遠程接入系統(tǒng)也在CARIS的基礎上有了進一步發(fā)展，它以CARIS和CAS的結合，實現(xiàn)了電子信息資源遠程接入系統(tǒng)的遠程操作，打破了高校圖書館受時間和地域限制的缺陷，同時通過校園統(tǒng)一身份認證，進一步提高了該系統(tǒng)平臺的安全可靠性，形成了安全可信的遠程訪問新方式[5]。該方式的出現(xiàn)，豐富了高校圖書館的電子信息資源，解決了許多圖書館的發(fā)展限制，為高校圖書館的長遠發(fā)展作出了貢獻。