图书馆远程访问技术

为了保护知识产权，医学图书馆所购买的外部电子资源绝大部分是通过IP地址来控制授权用户的访问，即数据库商服务器根据访问者的IP地址来判断是否是经过授权的用户。同时，由于图书馆服务器一般采用内部IP地址，其内部电子资源（如数据库镜像站）也只有校园网、园区网等内部网络用户才能访问。而居住在校（院）外的用户，外出交流、讲学、出差人员，还有大学分校区、医院分院的用户，经常需要在校（院）外访问医学图书馆的电子资源。为了解决实际应用需求，更有效地利用医学图书馆已有的电子资源，就需要一套可管理、可认证、安全的远程访问电子资源的解决方案，将校园网、园区网当作校（院）外用户的中转站，使校（院）外用户通过认证鉴权后拥有校（院）内地址再访问图书馆的电子资源。

（一）代理服务器技术

代理服务器（proxy server）的工作机制就像网络信息的中转站，是介于浏览器和Web服务器之间的一种服务器。有了代理服务器，浏览器就不必直接到Web服务器去取回网页，而是向代理服务器发出请求，请求信号将先送到代理服务器，再由代理服务器取回浏览器所需要的信息并传送给浏览器。图书馆远程访问主要采用反向代理服务器和基于地址重写技术的代理服务器。

1.反向代理服务器　反向代理服务器亦称应用型代理服务器。当一个代理服务器能够代理外部用户访问内部网络时，这种代理服务的方式就是反向代理。它能接收外部用户的访问请求，并通过多种方式对用户进行身份认证、赋予用户访问数据库的权力，这样就实现了用户的IP地址（原在受限范围外）能以代理服务器的IP地址（受限范围内）进行数据库的远程访问。反向代理服务器是最基本、也是应用最广泛的解决受IP地址限制的图书馆用户访问电子资源的技术手段。其优点是实现简单、成本较低，仅需要安装一个代理服务器软件，通过简单的配置，建立合适的身份认证。缺点则是用户端操作不太友好，需根据服务器端的设置在用户端做相应配置；安全性较低，因其必须具备公网IP，易受到攻击；所有通过代理服务器访问的用户都会转变为同一IP地址，而单一IP地址代理访问易造成访问流量过大，被数据库商服务器作为可疑IP将其拒绝。

2.基于地址重写技术的代理服务器　与传统的代理服务器技术相比，经过改进以后的代理服务器采用基于URL的重写技术，实现图书馆的远程访问，以EZproxy软件为代表。远程访问用户通过EZproxy软件及其代理服务器的映射转换，可将用户对目标网站访问的地址自动进行转换。URL重写生成的用户访问请求，自动获取了图书馆IP地址的访问权限，就相应完成了远程用户访问目标地址的物理中转。这种方式对用户来说是透明的，只需输入口令，通过EZprxoy的验证即可访问目标网址。其优点是功能强大、操作简单、价格低廉；用户不需要对浏览器进行特殊设置，使用简单；提供详尽的网络日志并配有强大的统计工具，能对资源访问量进行记录并对数据库的使用率做出评价。其缺点是仅能应用于Browse／Server模式的数据库，对Client／Server模式的数据库无效；同样无法克服单一IP地址访问问题，在流量较大时易被封杀。

（二）VPN技术

VPN（virtual private network，虚拟专用网络）是指在公用网络中（通常是因特网）充分利用隧道、认证、加密等技术手段，建立起来的安全、专用、临时的数据通信网络虚拟链路。任意两个节点之间的连接并没有传统专用网络所需的点到点的物理链路，而是利用公网资源动态组成。将VPN技术应用于图书馆远程访问认证领域，允许用户通过ADSL、LAN等各种不同方式接入因特网，并在获得公网访问地址以后，直接连通图书馆VPN网关的公网地址，构造出一条远程用户到图书馆内部网络的隧道，并分配到一个合法访问图书馆电子资源的网络地址，从而实现对图书馆电子资源的远程访问。

VPN技术的主要优势在于：使用加密通道能有效防止第三方窃听，VPN网关设备具备较好的访问控制功能，具有更强的防火墙功能来保护内网安全，防止病毒侵袭；性能较高，从硬件上拓展了访问带宽和处理能力，提升了总体性能，能支持较大数据量的业务访问，并且对Browse／Server和Client／Server模式的数据库访问均可支持。

通过VPN技术实现图书馆远程访问有IPSec VPN和SSL VPN两种解决方案。

1.IPSec VPN　采用IPsec协议保护连接的安全性。IPsec是一种安全站点协议，它提供数据的私密性、终端可校验性、不可重复性。利用IPSec技术，外部用户在终端机上安装一个VPN客户端软件后经过配置连入图书馆网络，IPSec VPN中心端会给每个远程用户分配一个内部局域网IP地址，从而实现远程用户以内部局域网用户身份访问电子资源。传统的VPN技术都是采用IPsec协议，建立安全隧道，连接远程站点、远程用户和企业内部网。IPsec的安全性和信任度已经得到证实，但是它需要在每一个客户端设备上安装、配置客户端软件，导致大规模的远程接入管理困难。

2.SSL VPN　即指采用SSL（security socket layer）协议来实现远程接入的一种新型VPN技术。SSL协议是Netscape公司提出的基于Web应用的安全协议，它和IPsec一样，都提供服务器和客户端数据的私密性、完整性和可验证性。但是SSL和IPsec不同的是，前者被集成到几乎所有的商业浏览器中，因此不需要安装额外的客户端软件。此外，一些Web、E-mail和文件传送协议的安全版本规格都直接采用了SSL。相对于传统的IPSec VPN而言，SSL VPN具有部署简单、无客户端、维护成本低、网络适应性强等特点，这两种类型的VPN之间的差别就类似Client／Server构架和Browse／Server构架的区别。SSL VPN接入控制功能强大，能方便实现更多远程用户在不同地点的远程接入，实现更多的网络资源访问。SSL VPN还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问。

VPN的实现可以采用硬件和软件两种方式。硬件VPN可以是具有VPN连接功能的路由器、防火墙，或是VPN网关等。这种方式虽然功能强大，具有良好的安全性，但价格高，使用复杂。软件VPN是安装专门的VPN软件或直接利用Windows自带的VPN包。利用软件实现VPN具有硬件实现所不具备的一些优点，如成本低、便于根据需要进行二次开发、配置灵活等特点。但软件VPN也存在大数据量访问时数据传输率较低、安全性较差等缺点。