基于CARSI平臺(tái)的電子信息資源遠(yuǎn)程接入系統(tǒng)研究

董昕元，魏夢(mèng)瑤

（黑龍江大學(xué)，黑龍江哈爾濱，150080）

0 引言

傳統(tǒng)圖書館在閱讀時(shí)間和空間上具有一定的限制，通過(guò)網(wǎng)絡(luò)技術(shù)手段，可以改善該限制性因素，實(shí)現(xiàn)圖書館的長(zhǎng)久發(fā)展。隨著科技的發(fā)展許多遠(yuǎn)程訪問技術(shù)開始出現(xiàn)，如VNP技術(shù)、代理服務(wù)器技術(shù)等，雖然可以實(shí)現(xiàn)圖書館信息資源的遠(yuǎn)程訪問，但是也存在一定程度上的限制，如果出現(xiàn)大規(guī)模的校外訪問需求，該系統(tǒng)將會(huì)受到限制和威脅，因此需要對(duì)圖書館的電子信息資源遠(yuǎn)程接入進(jìn)行進(jìn)一步研究[1]。

1 概述

隨著互聯(lián)網(wǎng)在教育領(lǐng)域的興起和發(fā)展，CARIS平臺(tái)開始形成，即教育網(wǎng)聯(lián)邦認(rèn)證和資源共享服務(wù)。該平臺(tái)在校園網(wǎng)統(tǒng)一用戶管理和身份認(rèn)證系統(tǒng)基礎(chǔ)上，實(shí)現(xiàn)了跨身份認(rèn)證和資源共享服務(wù)。CARIS屬于我國(guó)高校建設(shè)中的一項(xiàng)基礎(chǔ)設(shè)施建設(shè)，同時(shí)教育網(wǎng)（CERNET）也已經(jīng)在各個(gè)高校完成了統(tǒng)一用戶管理系統(tǒng)和各類網(wǎng)絡(luò)應(yīng)用資源建設(shè)，實(shí)現(xiàn)高校間單點(diǎn)登錄訪問，為高校資源的充分共享創(chuàng)造條件，推動(dòng)科技在教育領(lǐng)域的進(jìn)一步發(fā)展。CARSI是中國(guó)教育科研計(jì)算機(jī)網(wǎng)統(tǒng)一認(rèn)證與資源共享基礎(chǔ)設(shè)施（CERNET Authentication and Resource Sharing Infrastructure），2008年12月由北京大學(xué)計(jì)算中心發(fā)起建設(shè)，在國(guó)內(nèi)高校已經(jīng)普遍建設(shè)完成的校園網(wǎng)統(tǒng)一用戶管理和身份認(rèn)證系統(tǒng)基礎(chǔ)上，面向中國(guó)高校和科研機(jī)構(gòu)提供跨域身份認(rèn)證和資源共享服務(wù)。支持會(huì)員高校師生直接通過(guò)校園網(wǎng)賬號(hào)在任何時(shí)間、任何地點(diǎn)、任何終端和任何聯(lián)網(wǎng)形式訪問本校采購(gòu)的國(guó)內(nèi)外電子資源。

Shibboleth（主要應(yīng)用在校園內(nèi)Web資源共享以及用戶身份聯(lián)合認(rèn)證）是CARIS認(rèn)證建設(shè)的基礎(chǔ)，Shibboleth主要起到了保護(hù)個(gè)人信息安全、控制訪問權(quán)限等，是實(shí)現(xiàn)校園統(tǒng)一用戶身份跨域認(rèn)證的保障。其中Shibboleth單點(diǎn)登錄的組成主要由以下幾點(diǎn)：用戶端，多指用戶使用的瀏覽器；資源，用戶需要訪問的圖書館電子資源等受限類資源；資源供給方，提供登錄認(rèn)證端口，攔截用戶請(qǐng)求，并將用戶身份信息傳遞給應(yīng)用程序；身份提供者（IDP）,提供Web單點(diǎn)登錄功能，對(duì)用戶進(jìn)行身份認(rèn)證并向資源提供者提供身份數(shù)據(jù)。

CARSI是利用Shibboleth的經(jīng)驗(yàn)和技術(shù)來(lái)實(shí)現(xiàn)的，通過(guò)一系列認(rèn)證形成了CERNET身份認(rèn)證聯(lián)盟，在高校的資源共享方面起到了重要的作用。如圖2所示為CARSI平臺(tái)技術(shù)框架圖，CARSI通過(guò)部分內(nèi)容優(yōu)化，為高校的安裝使用提供了更加便利的條件。在已有校內(nèi)同意身份認(rèn)證系統(tǒng)的部分，可以通過(guò)改善IDP來(lái)優(yōu)化Web單點(diǎn)登錄功能，同時(shí)可以將登陸者的信息提供給供給方，以對(duì)身份認(rèn)證系統(tǒng)的安全作出保障[2]。

圖1 GARSI平臺(tái)技術(shù)框架

2 基于CARSI平臺(tái)的電子信息遠(yuǎn)程訪問技術(shù)分類

■2.1 VPN訪問技術(shù)

VPN即虛擬專用網(wǎng)絡(luò)訪問技術(shù)，該方式的運(yùn)行需要一種特殊的通信環(huán)境，同時(shí)訪問容易受到控制，只允許在一定利益團(tuán)體內(nèi)建立對(duì)等連接。當(dāng)電子信息資源遠(yuǎn)程接入訪問系統(tǒng)應(yīng)用了VPN技術(shù)之后，用戶可以不受時(shí)間和地域的影響可以進(jìn)行內(nèi)部資源訪問，同時(shí)VNP技術(shù)中還包含了身份認(rèn)證和密碼技術(shù)等，對(duì)于用戶的信息安全起到很大的保障作用。由于高校的資源具有一定的敏感性，在進(jìn)行信息訪問時(shí)需要注意對(duì)資源的安全保護(hù)，許多學(xué)校會(huì)在電子信息訪問系統(tǒng)中建立一個(gè)VNP服務(wù)，學(xué)生和老師可以通過(guò)賬號(hào)登錄，來(lái)進(jìn)行信息查看，對(duì)信息資源來(lái)說(shuō)具有較高的安全性。除此之外，VPN還具有瀏覽器的作用，在客戶進(jìn)行訪問時(shí)，由于插件安裝問題容易受到限制，造成網(wǎng)絡(luò)中心的運(yùn)維困難。

■2.2 代理服務(wù)器技術(shù)

代理服務(wù)器技術(shù)屬于電子信息資源遠(yuǎn)程接入的基礎(chǔ)手段，是在校內(nèi)代理服務(wù)器的基礎(chǔ)上進(jìn)行操作的。該技術(shù)可以將遠(yuǎn)程的數(shù)據(jù)資源傳輸?shù)酱矸?wù)器上，再由代理服務(wù)器進(jìn)行下一步操作，將數(shù)據(jù)返回客戶端，其工作原理如圖2所示[3]。

圖2 代理服務(wù)器工作原理

代理服務(wù)器屬于電子信息資源遠(yuǎn)程接入系統(tǒng)中較為簡(jiǎn)單的方式，其具有配置簡(jiǎn)單、維護(hù)方便、網(wǎng)速較快等優(yōu)點(diǎn)。但是，該方式也存在一定的缺陷，即用戶訪問圖書館數(shù)字資源的客戶端操作困難，未能使用高?，F(xiàn)有的統(tǒng)一身份認(rèn)證系統(tǒng)，同時(shí)在信息數(shù)字統(tǒng)計(jì)和資源訪問方面存在較大的缺陷。由于該方式是通過(guò)代理服務(wù)器進(jìn)行申請(qǐng)資源訪問，對(duì)于限制IP訪問頻率的電子資源經(jīng)常會(huì)遇到無(wú)法正常訪問的情況。

■2.3 PKI技術(shù)

PKI電子信息遠(yuǎn)程訪問技術(shù)中相對(duì)較為安全的，它是以公開密鑰為基礎(chǔ)建立的，具有密碼技術(shù)的支撐。PKI技術(shù)在電子信息遠(yuǎn)程接入中以數(shù)字證書為核心，在輔以密碼技術(shù)，為高校圖書館用戶建立了統(tǒng)一的身份認(rèn)證管理、統(tǒng)一的防抵賴服務(wù)和監(jiān)控服務(wù)等，進(jìn)一步提高了電子信息遠(yuǎn)程訪問技術(shù)的安全性和可靠性。由于其技術(shù)較為復(fù)雜，當(dāng)前在我國(guó)的應(yīng)該范圍并不廣闊。

■2.4 Shibboleth方式訪問

在學(xué)校信息技術(shù)中心將校認(rèn)證系統(tǒng)idp成功接入中國(guó)教科網(wǎng)CARSI認(rèn)證聯(lián)盟的基礎(chǔ)上，圖書館積極與各大數(shù)據(jù)庫(kù)服務(wù)商討論協(xié)作，終于開啟這一全新的便捷的校外訪問方式：不用登錄學(xué)校VPN，直接通過(guò)機(jī)構(gòu)認(rèn)證方式遠(yuǎn)程訪問數(shù)據(jù)庫(kù)。在圖書館與各數(shù)據(jù)庫(kù)商的溝通協(xié)作后，Springer、EBSCO、Emerald ScienceDirect、WOS 、ProQuest等數(shù)據(jù)庫(kù)已陸續(xù)開通了基于CARSI 的Shibboleth校外訪問服務(wù)。Shibboleth方式訪問數(shù)據(jù)庫(kù)的一般步驟如下：①在校園網(wǎng)外（非校園IP地址）打開瀏覽器，輸入數(shù)據(jù)庫(kù)網(wǎng)址；②選擇高校/機(jī)構(gòu)如“上海對(duì)外經(jīng)貿(mào)大學(xué)”，點(diǎn)擊“前往”；③進(jìn)入登錄界面，輸入校園網(wǎng)統(tǒng)一身份認(rèn)證的賬號(hào)與密碼后，點(diǎn)擊“登錄“即可使用。

■2.5 其他技術(shù)

除了上述所說(shuō)技術(shù)之外，還有一些其他可以進(jìn)行信息資源遠(yuǎn)程接入的技術(shù)方式，如反向代理服務(wù)技術(shù)、Athens項(xiàng)目等。此類技術(shù)方式都有其特定的優(yōu)勢(shì)及限制因素，因此未能廣泛的投入使用。隨著科技的發(fā)展，信息資源遠(yuǎn)程接入越來(lái)越被重視，是目前跨域聯(lián)盟認(rèn)證中應(yīng)用最為廣泛的手段。

3 基于CARSI平臺(tái)的電子信息資源遠(yuǎn)程接入系統(tǒng)研究

隨著在線教學(xué)科研需求的不斷擴(kuò)大，高校對(duì)CARSI服務(wù)的國(guó)際化、多樣化程度提出了更高要求。為了更好地服務(wù)用戶，CARSI服務(wù)團(tuán)隊(duì)嚴(yán)格遴選服務(wù)提供商，力求不斷拓展資源服務(wù)范圍、豐富資源服務(wù)種類。在持續(xù)引入國(guó)際資源服務(wù)的同時(shí)，CARSI服務(wù)也吸引了一大批國(guó)內(nèi)資源服務(wù)商的入駐，成為國(guó)內(nèi)服務(wù)提供商開展國(guó)際資源服務(wù)、擴(kuò)大國(guó)際影響力的重要平臺(tái)。另外，CARSI服務(wù)增進(jìn)了高校用戶和服務(wù)提供商之間的互動(dòng)交流，使高校的實(shí)際需求轉(zhuǎn)化為服務(wù)動(dòng)力并真正落地，為高校學(xué)科建設(shè)和科研創(chuàng)新提供堅(jiān)實(shí)助益。

■3.1 校內(nèi)統(tǒng)一身份認(rèn)證CAS和CARSI平臺(tái)對(duì)接實(shí)現(xiàn)

CAS起源于美國(guó)，是耶魯大學(xué)研發(fā)的一個(gè)項(xiàng)目，為了利用Web完成一種安全可靠的單點(diǎn)登錄方式，當(dāng)前高校內(nèi)的身份認(rèn)證系統(tǒng)多采用該技術(shù)來(lái)進(jìn)行實(shí)現(xiàn)的。CAS主要由以下部分組成： CAS服務(wù)器（CAS Server），其主要作用是負(fù)責(zé)用戶的認(rèn)證；CAS客戶端（CAS Client），其主要作用是保護(hù)用戶信息，對(duì)用戶請(qǐng)求進(jìn)行管理和傳輸。用戶從瀏覽器進(jìn)入CAS Client，此時(shí)CAS Client會(huì)接到攔截請(qǐng)求，然后再將重新進(jìn)入請(qǐng)求傳送至CAS Server。當(dāng)用戶輸入正確的身份信息和密碼之后，CAS Server會(huì)通過(guò)認(rèn)證生成一個(gè)驗(yàn)證票，再將信息傳送到CAS Client。用戶可以憑驗(yàn)證票進(jìn)行訪問，若驗(yàn)證票無(wú)效則用戶會(huì)返回CAS Client，其流程如圖3所示[4]。

圖3 CAS協(xié)議流程

■3.2 系統(tǒng)的成功應(yīng)用

基于CARIS平臺(tái)的電子信息資源遠(yuǎn)程接入系統(tǒng)實(shí)現(xiàn)了非校園IP的合法訪問，同時(shí)還在系統(tǒng)中增加了VNP技術(shù)，提高了系統(tǒng)的安全性和可靠性，在一定程度上對(duì)高校圖書館的電子信息資源進(jìn)行了保護(hù)。由于該系統(tǒng)運(yùn)行非校園IP進(jìn)行訪問，用戶除了可以訪問本地資源之外還可以訪問其他地區(qū)的電子信息資源，在很大程度上豐富了高校的電子信息資源，突破了高校電子圖書館的統(tǒng)計(jì)功能和流量限制功能，實(shí)現(xiàn)了圖書館的遠(yuǎn)程服務(wù)。利用校園統(tǒng)一身份認(rèn)證建立身份審查程序。用戶在進(jìn)行訪問時(shí)，需要對(duì)校園統(tǒng)一身份進(jìn)行認(rèn)證，系統(tǒng)管理者可以利用此操作對(duì)用戶進(jìn)行身份驗(yàn)證，謹(jǐn)防非法用戶的申請(qǐng)和超期使用。

■3.3 系統(tǒng)的未來(lái)發(fā)展

CARSI服務(wù)的優(yōu)化與創(chuàng)新，離不開對(duì)用戶意見的聽取和與同行的交流。一方面，以微信群、QQ群為主要交流平臺(tái)，聽取用戶、服務(wù)提供商的需求與意見，并第一時(shí)間幫助用戶遠(yuǎn)程解決技術(shù)難題；另一方面，借助CERNET學(xué)術(shù)年會(huì)、CERNET用戶會(huì)、研討會(huì)等平臺(tái)，定期組織開展技術(shù)交流活動(dòng)，共同理解Shibboleth技術(shù)的核心理念，分享經(jīng)驗(yàn)成果，探討和解決技術(shù)難點(diǎn)，并借助參加“互聯(lián)網(wǎng)之光”博覽會(huì)、中國(guó)互聯(lián)網(wǎng)大會(huì)等業(yè)內(nèi)知名展會(huì)的機(jī)會(huì)，宣傳CARSI服務(wù)的理念，為CARSI服務(wù)的發(fā)展?fàn)幦「鞣街С?。以服?wù)高校資源共享為目標(biāo)，CARSI服務(wù)不斷進(jìn)行技術(shù)革新，以求進(jìn)一步整合校園網(wǎng)資源，為高校教學(xué)科研工作提供強(qiáng)有力的技術(shù)支持。

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)的發(fā)展，電子信息資源遠(yuǎn)程接入系統(tǒng)也在CARIS的基礎(chǔ)上有了進(jìn)一步發(fā)展，它以CARIS和CAS的結(jié)合，實(shí)現(xiàn)了電子信息資源遠(yuǎn)程接入系統(tǒng)的遠(yuǎn)程操作，打破了高校圖書館受時(shí)間和地域限制的缺陷，同時(shí)通過(guò)校園統(tǒng)一身份認(rèn)證，進(jìn)一步提高了該系統(tǒng)平臺(tái)的安全可靠性，形成了安全可信的遠(yuǎn)程訪問新方式[5]。該方式的出現(xiàn)，豐富了高校圖書館的電子信息資源，解決了許多圖書館的發(fā)展限制，為高校圖書館的長(zhǎng)遠(yuǎn)發(fā)展作出了貢獻(xiàn)。