高校圖書館電子資源訪問智能網關研究

謝智敏 王婷 趙英 郭倩玲

摘? 要：文章以北京化工大學為例，采用WebVPN技術，融合圖書館主頁并隔離學校其他業務系統，設計了基于Web瀏覽器的電子資源統一訪問的智能網關。訪問入口和出口統一可控，使高等學校圖書館具有管理電子資源訪問的主動權；同時簡化了訪問方式，實現了電子資源泛在化服務，提升了用戶的訪問體驗。對智能網關系統進行了瀏覽器兼容性和壓力性能測試，測試結果良好，可以滿足學校師生訪問電子資源的需求。

關鍵詞：智能網關；電子資源訪問；WebVPN；圖書館主頁；高等學校；系統測試

中圖分類號：TP393 文獻標識碼：A? 文章編號：2096-4706（2023）02-0057-06

Research on Intelligent Gateway of Electronic Resource Access in University Library

—Taking Beijing University of Chemical Technology as an Example

XIE Zhimin， WANG Ting， ZHAO Ying， GUO Qianling

（Beijing University of Chemical Technology Library， Beijing? 100029， China）

Abstract： This paper takes Beijing University of Chemical Technology as an example， uses WebVPN technology， integrates the library homepage and isolates other business systems of the universities， designs an intelligent gateway of unified electronic resource access based on Web browser. It realizes the unified control of the access entrance and exit， so that the university library has the initiative to manage the access to electronic resources. It simplifies the access mode at the same time， realizes ubiquitous service of electronic resources， and improves the access experience of users. The browser compatibility and stress performance of the intelligent gateway system are tested. The test results are good and it can meet the needs of teachers and students in the university to access electronic resources.

Keywords： intelligent gateway; electronic resource access; WebVPN; library homepage; colleges and universities; system test

0? 引? 言

電子資源已經成為高等學校（以下簡稱高校）教學科研人員的必備工具，是高校圖書館文獻資源保障體系中最主要的學術資源類型，在高校圖書館的資源保障建設中發揮著越來越重要的作用[1]。由于電子資源具有知識產權保護以及數據庫商業化的問題，數據庫商一般采用基于IP地址的認證模式[2]，和基于用戶身份的認證模式[3]，以保證電子資源在合理范圍內使用。圖書館訂購的大多數電子資源采用基于IP的認證模式，讀者在校內合法IP范圍內，可直接訪問訂購資源。讀者在校外，則通過虛擬專用網（VPN）訪問[2，4，5]。相比校內訪問的巨量請求，VPN方式訪問電子資源所占的比例相對較低。

但2020年初，一場突如其來的新冠疫情，打破了高校圖書館電子資源校內外訪問需求的原有平衡。疫情暴發期間，學生不能返校，教職工也以居家辦公為主，原本在校內訪問電子資源的讀者用戶，大多轉成校外訪問。同時，還有許多師生需要通過VPN訪問校內其他業務系統，如教務系統、財務系統、科研系統等。在疫情發生之前校外訪問方式的需求有限，資源配置相對較少，但是當數以萬計的師生讀者從校外鏈接校內VPN時，就造成了嚴重的網絡堵塞，并引發了一系列電子資源訪問異常等問題。

為了緩解疫情期間VPN校外訪問壓力，很多學校都是需安裝客戶端的傳統VPN和基于反向代理技術的WebVPN[6]并行使用，同時一部分數據庫商與中國教育和科研計算機網（CERNET）合作，在高校推動Shibboleth認證方式[7]，讀者無須通過VPN即可在校外訪問圖書館購買的數據庫資源。雖然多種方式并行，有力保障了讀者教學科研的資源訪問需求，但也給對網絡技術不太熟悉的讀者帶來了很多困惑，給圖書館和網絡信息中心對資源訪問的管理造成了困難。近年來，提出的圖書館的泛在化服務強調了為用戶提供不受時間和空間限制的服務。因此，開發不受時空限制，無縫無感的電子資源訪問系統是高校圖書館迫在眉睫的課題。北京化工大學設計了基于WebVPN與圖書館主頁融合的高校電子資源訪問智能網關。

1? 原有電子資源訪問模式存在的問題

疫情期間，多種校內外資源訪問方式并行使用，給電子資源的訪問使用以及維護和管理均帶來不便和困擾，以北京化工大學為例，具體分析有以下幾點。

1.1? 原有電子資源訪問模式

北京化工大學圖書館電子資源的主要訪問方式為校內通過IP地址認證，校外通過VPN方式，其校內外用戶電子資源訪問網絡拓撲結構如圖1所示。2020年3月，為應對疫情期間校外電子資源訪問不順暢的問題，加入了中國教育和科研計算機網統一認證與資源共享基礎設施聯盟（CARSI），全校師生可以通過Shibboleth協議以身份認證方式，在校園網IP范圍外直接訪問圖書館購買的電子資源。

（1）北京化工大學校園內讀者訪問數據庫資源主網頁可通過CERNET，但由于校園內用戶的增加，CERNET容量不能滿足校內用戶的需求，因此，學校接入了聯通、移動、電信等多個互聯網絡線路作為數據庫資源的訪問出口。校內用戶通過路由設備，隨機選擇訪問出口，并通過網絡地址轉換（NAT）轉換成相應網絡出口的IP地址。校內用戶訪問其他校外網址，也均是通過這些出口。

（2）虛擬專用網（VPN）是在互聯網上建立一個臨時的安全的專用網絡連接，保證數據的安全傳輸，是高校用戶在校外訪問校內資源的主要策略。校外用戶通過VPN認證，校外私網IP地址經NAT轉換為校園網IP地址，再通過校內路由設備，選擇訪問出口。使用VPN訪問電子資源，需要安裝客戶端或者瀏覽器插件，并進行設置。從校外訪問校內其他業務系統，也需經過VPN轉為校內IP地址，通過校園網骨干混合上行。

（3）Shibboleth是美國Internet2的一個項目[3]，目的是使用聯盟認證模式解決受版權保護資源的獲取管理，打破了傳統的IP認證模式，以基于用戶身份的認證模式，提供更加友好便利的校外電子資源獲取方式，也為線上學術科研的順暢開展提供了有力保障。北京大學計算中心基于Shibboleth初步建成了面向CERNET的統一認證和資源共享基礎設施（CARSI），是國內最大的Shibboleth身份認證聯盟，部署了身份發現系統，方便作為身份提供者的各高校接入使用。系統由用戶、身份認證提供方、服務提供者、認證服務器導航四部分組成[3，7]。身份認證提供方由用戶所在機構（各高校）建立，負責認證用戶；服務提供方由數據庫商建立，與身份認證提供者共享用戶的安全認證信息，為合法用戶提供相應的訪問權限；認證服務器導航由機構聯盟（CARSI）提供，是一個用于導航的工具，供用戶來確定自己所屬的機構，將用戶重定向到合適的身份認證方。用戶訪問數據庫時，選擇使用登錄，然后選擇機構所屬的聯盟組織，在聯盟組織列表中選擇用戶所屬機構，然后跳轉到用戶機構提供的用戶認證頁面，當用戶完成認證，最后跳回到數據庫獲取電子資源。用戶的身份提供者即用戶所屬高校，需要校園網統一身份認證系統，以存儲和管理該機構的用戶身份。

1.2? 存在的問題

1.2.1? 資源和網絡管理的困境

高校電子資源的購買者和管理者為圖書館，電子資源的訪問離不開網絡，但校園網絡的維護和管理歸學校信息中心負責。信息中心與圖書館均為獨立的二級單位，在電子資源訪問過程中均為管理者，會因原有訪問方式造成管理上的困難。

1.2.1.1? 圖書館角度

多個訪問出口模式，無論是校內用戶，還是校外使用VPN進入校園網的用戶，均需經過IP地址轉換，且訪問電子資源的出口，與訪問其他校外網址的出口相同，使圖書館難以定位訪問電子資源的IP地址，給圖書館對電子資源訪問的管理帶來困難。

（1）當有讀者被數據庫商甄別為惡意下載電子資源時，數據庫商會自動封掉相關 IP 地址段，但被封掉的是讀者訪問資源時臨時獲取的出口IP地址段，很難找到實施惡意下載的用戶，使問題無法及時得到解決，解封相應IP，從而影響其他讀者的正常訪問。也會出現數據庫商對惡意下載甄別錯誤而封鎖IP地址或資源影響讀者正常訪問的情況。

（2）由于訪問電子資源的入口和出口均不唯一，難以統計電子資源的實際使用情況；當電子資源訪問網絡出現運行不穩定、網速緩慢等故障時，也難以排查和解除。

（3）多種遠程訪問方式用戶難以掌握，疫情期間，有關電子資源訪問的咨詢量和投訴量大幅上升，圖書館忙于推送各種關于電子資源訪問和使用的指南及通知。

1.2.1.2? 學校信息中心角度

學校師生用戶在校外訪問校內業務系統和電子資源，均需通過VPN。受疫情影響，通過VPN訪問電子資源的用量大幅增長，校內其他業務系統和電子資源訪問流量無法隔離，給信息中心的管理造成很大壓力。

（1）傳統VPN 系統需要安裝客戶端或者瀏覽器插件，具有使用門檻，很多用戶不能根據說明安裝設置客戶端或瀏覽器插件，導致咨詢量過大。

（2）VPN配置資源有限，學校多種業務系統同時依賴VPN資源，造成負載過大，業務之間互相影響的概率大增；當資源使用數量達到上限時，其他用戶即不能使用VPN，由于無法隔離校內其他業務系統，使訪問電子資源的用戶數量受到更多的限制。

（3）多種校外訪問電子資源的方式，傳統VPN、WebVPN、Shibboleteh等均需要配置專門的服務器，安裝相應的軟件，并保持正常運行，用戶管理、數據庫鏈接等內容也需要長期更新，要求較高的管理維護成本和水平[3]。

1.2.2? 用戶使用的困擾

（1）傳統模式下，因與惡意下載者處于同一網絡環境，當有異常訪問發生時，導致有些用戶無法正常訪問電子資源，并且得不到有效的解決。

（2）不同用戶習慣使用的瀏覽器不同，部分電子資源對不同的瀏覽器支持程度存在差異，導致訪問出現各種問題，且難以找到出現問題的原因。

（3）多種校外訪問電子資源的方式和渠道，雖然使用戶有了多種選擇，但也會給用戶帶來困擾，容易造成混淆。VPN系統需要安裝客戶端或者瀏覽器插件，具有使用門檻，部分用戶無法理解為什么遠程訪問資源要通過如此復雜的流程，反復進行咨詢，嚴重影響用戶的使用體驗。

（4）Shibboleth認證方式訪問電子資源雖然也很便捷，但目前加入CARSI聯盟的數據庫商仍然有限，沒有加入的數據庫不能通過這種方式進行訪問，具有明顯的局限性。

2? WebVPN融合圖書館主頁電子資源訪問智能網關的實現

2.1? 基于WebVPN的思考

WebVPN提供基于Web的內網應用訪問控制，WebVPN基于反向代理技術，只 需要像訪問普通HTTP網站訪問WebVPN的登錄頁，進行登錄后即可訪問內網資源[7，8]，即連即用，純Web式訪問，不用安裝客戶端或瀏覽器插件，降低了使用門檻，提升訪問體驗。同時，支持各類主流瀏覽器及終端；多協議連接，支持HTTP、HTTPS、Telnet、SSH協議以及VNC（Linux遠程桌面）、RDP（Windows遠程桌面）。傳統上，WebVPN作為傳統客戶端VPN的補充，基于業務應用的授權訪問，主要應用于學校的教務系統、辦公系統等其他業務系統的遠程接入。

但實際上WebVPN不僅可以通過一臺服務器控制學校所有業務的訪問，也可以通過不同業務分設服務器來分組控制相關業務，可根據需要隔離不同業務系統。與傳統VPN相比，WebVPN系統可實現基于協議、源地址、域名的更精細化權限管理，且支持接入用戶的分組授權。

WebVPN通過網頁訪問相應鏈接，基于虛擬瀏覽器技術加密和隱藏真實域名，只能訪問WebVPN系統中提供的鏈接，可控制用戶只能通過WebVPN訪問相關網址和業務系統，實現訪問入口和出口的統一可控。

WebVPN提供多維靈活的認證方式，不僅支持多種身份驗證方式，且支持雙重認證，并支持管理員開啟強制雙重認證，最大程度保障用戶賬號安全及內網安全。

訪問入口和出口的統一可控，有利于全面記錄用戶的所有訪問行為及遠程操作，如用戶訪問行為日志、遠程操作錄屏、命令行日志等。

綜上所述，WebVPN以其獨具靈活的業務隔離特性、鏈接訪問的可控性、操作的簡便性，以及良好的安全保障能力，對于高校圖書館設計具有統一入口的電子資源訪問智能網關提供了更好的選擇。北京化工大學圖書館聯合信息中心嘗試采用WebVPN和圖書館網站融合的方式來實現用戶在不受時空限制、無感知的情況下，順利訪問并下載圖書館購買的電子資源。

2.2? 校內外電子資源訪問智能網關的實現

2.2.1? 開發環境

圖書館資源訪問WebVPN基于64位Linux操作系統以及NGINX服務器進行開發，采用純粹的B/S構架（不需要安裝第三方插件或者Java虛擬機，兼容各種主流瀏覽器，包括手機瀏覽器）。

2.2.2? 技術實現

北京化工大學圖書館電子資源訪問智能網關的網絡拓撲結構如圖2所示。

（1）建立了圖書館專用WebVPN，向信息中心注冊了域名tsg.buct.edu.cn，將該域名解析至圖書館專用WebVPN服務器121.195.152.130，并將其作為訪問圖書館電子資源的統一入口，進入WebVPN代理訪問圖書館主頁，實現圖書館主頁與WebVPN的融合。

（2）WebVPN服務器使用虛擬瀏覽器技術，在用戶訪問tsg.buct.edu.cn時，下發一個模擬瀏覽器終端，保持用戶的訪問持續在WebVPN中。該終端分為前端和后端，后端為一個高性能反向代理服務器，對所有用戶請求進行處理，對每個響應下發模擬瀏覽器終端，前端將用戶網頁上所有數據和邏輯進行統一化的沙箱處理，保證用戶請求全部運行在模擬環境中，無須再進行手工配置，通過瀏覽器即可訪問電子資源，而且支持各類主流瀏覽器。

（3）WebVPN通過IP地址判斷訪問用戶是在校內，還是校外。用戶在校內，可免登錄直接進入經WebVPN代理訪問的圖書館首頁；用戶在校外，則會看到電子資源訪問系統的登錄界面（如圖3所示），需經過校園Radius身份認證，通過后則自動進入經WebVPN代理訪問的圖書館首頁。此時，通過圖書館網站訪問所有資源鏈接，均自動被WebVPN代理。同時把校內所有圖書館的域名鏈接均改為https：//tsg.buct.edu.cn。這樣就實現了圖書館電子資源訪問渠道和管理的統一。而用戶并沒有意識到自己使用了任何VPN，對讀者來說，僅僅是因為在校外訪問圖書館網站做了一次身份認證。

（4）121.195.152.130這臺服務器作為圖書館的專用WebVPN，與學校其他業務系統隔離，也只有圖書館主頁中提供的鏈接可以通過WebVPN訪問，不再受其他業務系統和訪問出口的沖擊和影響，相應地，電子資源的訪問下載也不會影響學校其他業務系統。同時，其管理權限可下放到圖書館，方便圖書館對電子資源訪問的管理。通過WebVPN的管理后臺可對門戶、安全、認證等配置進行修改，圖4為圖書館后臺管理配置界面。出現運行不穩定、網絡緩慢等問題時，圖書館也可自行排查故障，進行解決。圖書館真正擁有了完全控制電子資源訪問網絡的主動權。

（5）WebVPN系統可以識別訪問資源的源IP地址，可設定每個IP地址限制下載資源的頻次，防止惡意下載行為的發生，進而避免因惡意下載導致資源被封的情況。系統提供多地址輪詢訪問的機制，在代理服務器中內置一段地址池，用戶訪問資源網站時，代理服務器將按照規則更換IP進行訪問，以避免被資源商誤認為是惡意下載而封鎖資源的情況發生。目前北京化工大學圖書館的WebVPN系統配置了255個IP地址作為地址池，使用狀況良好，較好地滿足了讀者的訪問需求。

（6）通過統一流量出入口的控制和管理權限的下放，根據系統提供的統計日志和數據，使圖書館管理人員自行收集和統計數據庫使用情況成為可能，并可以生成多維度分析報表，為資源建設決策提供可靠的數據支撐。系統可統計并提供用戶登錄日志、網頁訪問日志、連接文件日志、在線用戶列表、在線下載列表、設備認證日志等。圖5（a）為用戶訪問電子資源的統計情況，圖5（b）為用戶登錄系統的統計情況。

3? WebVPN融合圖書館主頁電子資源訪問智能網關的系統測試

3.1? 兼容性測試

不同用戶習慣使用瀏覽器的類型不一定相同，若要滿足不同用戶瀏覽器使用習慣的要求，智能網關系統應兼容各類常用瀏覽器。分別在Windows操作系統、Mac OS操作系統、iOS、Android操作系統下測試了IE瀏覽器、Edge瀏覽器、Firefox瀏覽器、Chrome瀏覽器和Safari瀏覽器的兼容性，測試這些常用瀏覽器能否正確顯示網關系統界面并使用系統所有功能。測試結果顯示，這些瀏覽器均能正確顯示界面并使用其所有功能，網關系統具有很好的兼容性。

3.2? 性能測試

為了驗證智能網關系統的性能和可靠性，采用Python編程進行了壓力測試。

3.2.1? 測試環境和場景配置

本次測試采用1臺主控機，4臺負載測試機。在主控機上運行Python程序，給負載測試機下達訪問指令，在每臺負載測試機上運行預先設定好的Python程序，每臺負載機可模擬1 000個用戶通過智能網關訪問預先設定好的目標網站。

智能網關試運行期間監測數據表明，學校電子資源30分鐘內的最大并發用戶量不大于500人，本測試采用8倍最大并發量作為模擬測試量，即4 000個用戶并發訪問網關系統。通過負載測試機在主控機中模擬4 000個用戶同時并發訪問網關，要求瞬時并發，以完成訪問操作、返回訪問成功頁面為準。

3.2.2? 測試結果

響應時間是執行一個訪問請求所需要花費的時間，一定程度上可反映服務器的處理速度[9]。測試以每秒100個用戶的速度增加用戶，直到4 000個用戶同時并發訪問智能網關系統，4 000個用戶瞬時并發訪問網關的壓力測試結果如圖6所示。由圖6可見，4 000個用戶并發訪問網關系統時，訪問平均響應時間為0.806 s，訪問成功率為100%。90%用戶訪問的響應時間在1.4 s以下。由此可見，當4 000個用戶并發訪問網關系統時，服務器的平均響應時間很短，對絕大多數用戶的請求響應速度極快。

通過瀏覽器兼容性和壓力測試可以看出，智能網關系統具有很好的瀏覽器兼容性，且服務器處理能力良好，完全可以承受4 000個用戶的并發訪問，滿足學校師生訪問電子資源的需求。

4? 結? 論

基于WebVPN與圖書館主頁融合的高校電子資源訪問智能網關，實現了電子資源的泛在化服務，使用戶無須掌握多種電子資源訪問方式，不受時空限制、無縫無感地訪問高校購買的電子資源。該系統可直接由圖書館進行設置和管理，具有防止惡意下載導致的資源封鎖，保證資源訪問暢通，以及統計電子資源使用數據，為數據庫購買決策提供數據支撐等功能。通過兼容性和性能測試表明，北京化工大學圖書館電子資源統一訪問智能網關系統完全滿足學校師生訪問電子資源的需求，該系統已運行近2年，運行狀況穩定，訪問方式得到了讀者的好評，取得了良好的效果。

互聯網信息技術以及計算機技術的發展為時代提供了新的技術，也為圖書館信息化建設的創新和改革提供了大量的契機，拓展了發展空間。高校圖書館需要結合先進的信息技術，對自身的服務模式以及管理模式進行不斷地創新與優化，以滿足師生用戶對圖書館資源訪問的各種需求，持續提升圖書館的服務質量與管理水平。

參考文獻：

[1] 雷東升，郭振英.基于EZproxy日志的電子資源異常訪問行為研究 [J].現代情報，2016，36（7）：101-106.

[2] 肖锘，劉云.SSL VPN技術在高校圖書館中的應用 [J].計算機與現代化，2008（11）：12-14.

[3] 吳至藝，林俊偉，肖錚.RA21：網絡學術資源訪問解決方案的創新與探索 [J].圖書館研究與工作，2020（1）：29-34+47.

[4] 羅智勇，尤波，蘇潔.基于VPN網絡的高校數字化圖書館組建模型研究 [J].圖書館學研究，2013（1）：52-59+35.

[5] 涂中群.基于MPLS VPN實現圖書館多校區網絡融合 [J].圖書情報工作，2011，55（5）：51-55.

[6] 強焜.Webvpn在高校內網訪問中的運用 [J].計算機產品與流通，2019（11）：251.

[7] 王文清，柴麗娜，陳萍，等.Shibboleth與CALIS統一認證云服務中心的跨域認證集成模式 [J].國家圖書館學刊，2015，24（4）：45-50.

[8] 鄧雄才.融媒體信息系統之便捷訪問與安全防控 [J].中國傳媒科技，2020（1）：10-13.

[9] 馮興利，洪丹丹，羅軍鋒，等.高校統一身份認證系統集群壓力測試研究 [J].中國教育網絡，2018（7）：76-78.

作者簡介：謝智敏（1979—），男，漢族，安徽宣城人，館員，碩士，研究方向：智慧圖書館、知識產權信息服務；王婷（1975—），女，漢族，山東青島人，副研究館員，碩士，研究方向：智慧圖書館；趙英（1966—），男，漢族，天津人，教授，博士，研究方向：智慧圖書館、大數據；通訊作者：郭倩玲（1971—），女，漢族，河北唐山人，副研究館員，博士，研究方向：智慧圖書館、知識產權信息服務。

收稿日期：2022-07-22

基金項目：北京高校圖書館研究基金項目成果（BGT2021003）