董昕元，魏梦瑶

（黑龙江大学，黑龙江哈尔滨，150080）

0 引言

传统图书馆在阅读时间和空间上具有一定的限制，通过网络技术手段，可以改善该限制性因素，实现图书馆的长久发展。随着科技的发展许多远程访问技术开始出现，如VNP技术、代理服务器技术等，虽然可以实现图书馆信息资源的远程访问，但是也存在一定程度上的限制，如果出现大规模的校外访问需求，该系统将会受到限制和威胁，因此需要对图书馆的电子信息资源远程接入进行进一步研究[1]。

1 概述

随着互联网在教育领域的兴起和发展，CARIS平台开始形成，即教育网联邦认证和资源共享服务。该平台在校园网统一用户管理和身份认证系统基础上，实现了跨身份认证和资源共享服务。CARIS属于我国高校建设中的一项基础设施建设，同时教育网（CERNET）也已经在各个高校完成了统一用户管理系统和各类网络应用资源建设，实现高校间单点登录访问，为高校资源的充分共享创造条件，推动科技在教育领域的进一步发展。CARSI是中国教育科研计算机网统一认证与资源共享基础设施（CERNET Authentication and Resource Sharing Infrastructure），2008年12月由北京大学计算中心发起建设，在国内高校已经普遍建设完成的校园网统一用户管理和身份认证系统基础上，面向中国高校和科研机构提供跨域身份认证和资源共享服务。支持会员高校师生直接通过校园网账号在任何时间、任何地点、任何终端和任何联网形式访问本校采购的国内外电子资源。

Shibboleth（主要应用在校园内Web资源共享以及用户身份联合认证）是CARIS认证建设的基础，Shibboleth主要起到了保护个人信息安全、控制访问权限等，是实现校园统一用户身份跨域认证的保障。其中Shibboleth单点登录的组成主要由以下几点：用户端，多指用户使用的浏览器；资源，用户需要访问的图书馆电子资源等受限类资源；资源供给方，提供登录认证端口，拦截用户请求，并将用户身份信息传递给应用程序；身份提供者（IDP）,提供Web单点登录功能，对用户进行身份认证并向资源提供者提供身份数据。

CARSI是利用Shibboleth的经验和技术来实现的，通过一系列认证形成了CERNET身份认证联盟，在高校的资源共享方面起到了重要的作用。如图2所示为CARSI平台技术框架图，CARSI通过部分内容优化，为高校的安装使用提供了更加便利的条件。在已有校内同意身份认证系统的部分，可以通过改善IDP来优化Web单点登录功能，同时可以将登陆者的信息提供给供给方，以对身份认证系统的安全作出保障[2]。

图1 GARSI平台技术框架

2 基于CARSI平台的电子信息远程访问技术分类

■2.1 VPN访问技术

VPN即虚拟专用网络访问技术，该方式的运行需要一种特殊的通信环境，同时访问容易受到控制，只允许在一定利益团体内建立对等连接。当电子信息资源远程接入访问系统应用了VPN技术之后，用户可以不受时间和地域的影响可以进行内部资源访问，同时VNP技术中还包含了身份认证和密码技术等，对于用户的信息安全起到很大的保障作用。由于高校的资源具有一定的敏感性，在进行信息访问时需要注意对资源的安全保护，许多学校会在电子信息访问系统中建立一个VNP服务，学生和老师可以通过账号登录，来进行信息查看，对信息资源来说具有较高的安全性。除此之外，VPN还具有浏览器的作用，在客户进行访问时，由于插件安装问题容易受到限制，造成网络中心的运维困难。

■2.2 代理服务器技术

代理服务器技术属于电子信息资源远程接入的基础手段，是在校内代理服务器的基础上进行操作的。该技术可以将远程的数据资源传输到代理服务器上，再由代理服务器进行下一步操作，将数据返回客户端，其工作原理如图2所示[3]。

图2 代理服务器工作原理

代理服务器属于电子信息资源远程接入系统中较为简单的方式，其具有配置简单、维护方便、网速较快等优点。但是，该方式也存在一定的缺陷，即用户访问图书馆数字资源的客户端操作困难，未能使用高校现有的统一身份认证系统，同时在信息数字统计和资源访问方面存在较大的缺陷。由于该方式是通过代理服务器进行申请资源访问，对于限制IP访问频率的电子资源经常会遇到无法正常访问的情况。

■2.3 PKI技术

PKI电子信息远程访问技术中相对较为安全的，它是以公开密钥为基础建立的，具有密码技术的支撑。PKI技术在电子信息远程接入中以数字证书为核心，在辅以密码技术，为高校图书馆用户建立了统一的身份认证管理、统一的防抵赖服务和监控服务等，进一步提高了电子信息远程访问技术的安全性和可靠性。由于其技术较为复杂，当前在我国的应该范围并不广阔。

■2.4 Shibboleth方式访问

在学校信息技术中心将校认证系统idp成功接入中国教科网CARSI认证联盟的基础上，图书馆积极与各大数据库服务商讨论协作，终于开启这一全新的便捷的校外访问方式：不用登录学校VPN，直接通过机构认证方式远程访问数据库。在图书馆与各数据库商的沟通协作后，Springer、EBSCO、Emerald ScienceDirect、WOS 、ProQuest等数据库已陆续开通了基于CARSI 的Shibboleth校外访问服务。Shibboleth方式访问数据库的一般步骤如下：①在校园网外（非校园IP地址）打开浏览器，输入数据库网址；②选择高校/机构如“上海对外经贸大学”，点击“前往”；③进入登录界面，输入校园网统一身份认证的账号与密码后，点击“登录“即可使用。

■2.5 其他技术

除了上述所说技术之外，还有一些其他可以进行信息资源远程接入的技术方式，如反向代理服务技术、Athens项目等。此类技术方式都有其特定的优势及限制因素，因此未能广泛的投入使用。随着科技的发展，信息资源远程接入越来越被重视，是目前跨域联盟认证中应用最为广泛的手段。

3 基于CARSI平台的电子信息资源远程接入系统研究

随着在线教学科研需求的不断扩大，高校对CARSI服务的国际化、多样化程度提出了更高要求。为了更好地服务用户，CARSI服务团队严格遴选服务提供商，力求不断拓展资源服务范围、丰富资源服务种类。在持续引入国际资源服务的同时，CARSI服务也吸引了一大批国内资源服务商的入驻，成为国内服务提供商开展国际资源服务、扩大国际影响力的重要平台。另外，CARSI服务增进了高校用户和服务提供商之间的互动交流，使高校的实际需求转化为服务动力并真正落地，为高校学科建设和科研创新提供坚实助益。

■3.1 校内统一身份认证CAS和CARSI平台对接实现

CAS起源于美国，是耶鲁大学研发的一个项目，为了利用Web完成一种安全可靠的单点登录方式，当前高校内的身份认证系统多采用该技术来进行实现的。CAS主要由以下部分组成： CAS服务器（CAS Server），其主要作用是负责用户的认证；CAS客户端（CAS Client），其主要作用是保护用户信息，对用户请求进行管理和传输。用户从浏览器进入CAS Client，此时CAS Client会接到拦截请求，然后再将重新进入请求传送至CAS Server。当用户输入正确的身份信息和密码之后，CAS Server会通过认证生成一个验证票，再将信息传送到CAS Client。用户可以凭验证票进行访问，若验证票无效则用户会返回CAS Client，其流程如图3所示[4]。

图3 CAS协议流程

■3.2 系统的成功应用

基于CARIS平台的电子信息资源远程接入系统实现了非校园IP的合法访问，同时还在系统中增加了VNP技术，提高了系统的安全性和可靠性，在一定程度上对高校图书馆的电子信息资源进行了保护。由于该系统运行非校园IP进行访问，用户除了可以访问本地资源之外还可以访问其他地区的电子信息资源，在很大程度上丰富了高校的电子信息资源，突破了高校电子图书馆的统计功能和流量限制功能，实现了图书馆的远程服务。利用校园统一身份认证建立身份审查程序。用户在进行访问时，需要对校园统一身份进行认证，系统管理者可以利用此操作对用户进行身份验证，谨防非法用户的申请和超期使用。

■3.3 系统的未来发展

CARSI服务的优化与创新，离不开对用户意见的听取和与同行的交流。一方面，以微信群、QQ群为主要交流平台，听取用户、服务提供商的需求与意见，并第一时间帮助用户远程解决技术难题；另一方面，借助CERNET学术年会、CERNET用户会、研讨会等平台，定期组织开展技术交流活动，共同理解Shibboleth技术的核心理念，分享经验成果，探讨和解决技术难点，并借助参加“互联网之光”博览会、中国互联网大会等业内知名展会的机会，宣传CARSI服务的理念，为CARSI服务的发展争取各方支持。以服务高校资源共享为目标，CARSI服务不断进行技术革新，以求进一步整合校园网资源，为高校教学科研工作提供强有力的技术支持。

4 结语

随着网络的发展，电子信息资源远程接入系统也在CARIS的基础上有了进一步发展，它以CARIS和CAS的结合，实现了电子信息资源远程接入系统的远程操作，打破了高校图书馆受时间和地域限制的缺陷，同时通过校园统一身份认证，进一步提高了该系统平台的安全可靠性，形成了安全可信的远程访问新方式[5]。该方式的出现，丰富了高校图书馆的电子信息资源，解决了许多图书馆的发展限制，为高校图书馆的长远发展作出了贡献。