南京优康科技有限公司

信息是人类社会存在和发展的基础，是科学技术向前发展的必要条件。当今社会互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共享成为可能。这就给数字图书馆事业的发展带来了前所未有的挑战和机遇。
然而在各个高校建立和使用数字图书馆的过程中，电子资源商出于版权保护的需求，对高校使用其电子资源采取了一些保护措施，控制数字内容及其分发途径，从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围或访问账号控制，其中又以限制IP地址范围为主要手段，其实现主要通过以下方式进行：

采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。
只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。
如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。当然，我们也可以要求服务商进一步开放更多的IP地址为合法用户，但是这要求访问者的IP地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态IP地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

从上述情况我们可以得到一个结论，大部分的电子资源仅能在校园网范围内访问，离开了校园，老师或学生将无法访问这些电子资源，而随着高校后勤社会化的深入发展，越来越多的教师和学生在校外居住，他们对各类电子资源的访问需求仍然是存在的，同时还有大量的校友、客座教授、外聘教师也需要随时随地地接入校园网共享丰富的校园网资源。因此，高校需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过相应的身份认证进入校园网后再通过校园网访问相应的电子资源数据库，从而满足更多师生访问馆藏资源、网上资源的需求。

由于高校网外访问具有访问量大（用户量大、流量大）、用户环境复杂（终端类型多、网络环境复杂、用户IT水平参差不齐）等特点，在选择相应技术和产品时应充分考虑所选择产品具有的易用性、扩展性、容量等多方面内容。

下图为未使用远程访问系统前，外部用户登录图书馆的示意图：

通过调查我们发现高校数字图书馆目前普遍存在以下几个问题需要解决：

1、网外用户无法访问校内图书馆资源的问题

图书馆的电子资源访问都是通过校园IP地址判断的，所以在网外的客户由于没有允许的IP地址所以造成大量教职工、学生无法访问的情况

2、大量用户访问问题

由于高校的资源多数都是购买授权的方式，上游的电子资源服务商对资源的应用是有限制的。除了限制发起的IP地址外，还会限制单一IP地址所产生的流量。

3、移动端配置维护成本高

如果网外用户的使用量大，如果客户端需要安装程序那管理人员的维护量和成本会倍增

4、移动用户接入安全问题

由于学校电子资源的版权问题（国外资源比较昂贵），使得远程访问资源的安全性必须得到很高的重视。

5、用户自运营商网络访问教育网内电子资源速度慢的问题

由于多数校外访问者使用的是当地运营商提供的网络（如电信的ADSL），这些运营商网络与教育网之间的访问速度非常慢，导致校外用户通过这些网络访问电子资源的速度很慢，极大的影响了用户使用的满意度。

6、实现单点登陆

学校应用系统非常多，同一个用户需要不同的认证方式，十分繁琐且不容易保存。
因此，我们建议图书馆选择使用S5100 IPSEC/SSL 一体化VPN平台

平台功能介绍

网外用户不需安装、容易部署

传统的IPSec VPN在部署时，往往需要校外用户都安装相应的VPN客户端软件，并需要做复杂的配置。IPSEC VPN中心端会给每个远程用户分配一个校园网IP地址，从而实现远程用户以校园网用户身份访问电子资源。由于IPSEC客户端在部署过程中需要进行配置，这严重影响了整个VPN系统在图书馆应用中的使用，对于大量的校外用户来说，VPN仅仅是其实现访问校园网资源的一个途径，如果需要其掌握专业的技术才能应用，必将极大影响整个应用的部署。若学校的远程接入和移动办公数量增多，学校的维护成本将会成线性增加。而VPN最大的好处之一就是不需要安装客户端程序，远程用户可以随时随地从任何浏览器上安全的接入到内部网络，安全地访问应用程序，无需安装或设定客户端软件。降低了维护成本。而且由于只使用443端口传输数据，避免了在防火墙上作过多的部署。使用SSL协议和标准的浏览器可以轻易穿越防火墙，是移动用户几乎在任何网络都可以方便接入VPN网络，避免了网络兼容性的麻烦。因而，SSL在Web的易用性方面有着突出的优势。?

大量用户访问问题

由于高校的资源多数都是购买授权的方式，上游的电子资源服务商对资源的应用是有限制的。除了限制发起的IP地址外，还会限制单一IP地址所产生的流量。因此我们把校外的访问用户分为两类。一类是使用资源较频繁、访问量比较大的用户（教师、博士、研究生），另一类是使用资源不多、访问次数少但访问量大的用户（学生），以前的SSL技术无法很好地解决这个问题，不能解决为客户分配单个用户的需求，需要与IPSEC结合使用。现在SSL技术采用了IP TUNEL技术，会根据角色的不同而采用不一样的IP地址分配策略，这样即避免了大量用户访问产生的单一用户IP流量过大的问题，又保留了SSL技术客户端免安装、免维护的强大特性。

多种认证方式、高安全性

由于学校电子资源的版权问题（国外资源比较昂贵），使得远程访问资源的安全性必须得到很高的重视。传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径，并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷。SSL VPN采用SSL协议加密建立安全的专用加密通道，除了使用1024位的非对称密钥加强安全性，还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。内置有LDAP/AD、Radius、SecurID、短信认证等多种安全认证方式，可以根据相应的安全级别，对客户端组合几种认证方式，最大限度地保证了接入用户的合法性。同时，由于在隧道连接过程中， SSL VPN仅仅使用443端口传输数据，大大降低了病毒从远程客户端入侵VPN网络的可能。

更细致的访问控制功能、完善的用户和资源管理

针对目前高校的校内网络建设相对完善的这个特点，使得在启动移动用户的同时，必须要保证网内的正常使用，特别是网络结构，以及设置不能改变否则浪费大量的人力、财力。
可以保证网内结构不变而网外通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分，以适合各种复杂的组织结构。基于角色的访问限制为校园网络提供了更强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。
内置有多种用户和资源管理方式，可以自建用户，也可以从第三方导入。支持LDAP/AD、RADIUS等第三方认证，可以根据组、公用帐号、私有帐号等多种方式对用户进行管理。同时，S5100集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式，保证了用户合理地使用VPN资源。并且，在S5100 直观式管理图形用户界面（GUI）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个VPN系统的运行状况。

多线路智能选择，解决跨运营商网络互联问题

目前各个高校购买的电子资源，一部分内容在本地服务器上，大部分内容在外地服务器上，跨网访问往往由于不同的运营商，都需要经由特定网关中转，延时约在420毫秒以上。要想更有效的利用购买的电子资源，就需要解决校园网到服务器所在网络的互联互通问题。
而我们将根据用户的源接入地址，引导对方接入相应的线路端口，访问目的资源，体现了自适应智能选路功能。这就避免了在访问公网资源时，却是经由教育网线路出去的。线路的过长和带宽的差异引起的种种问题,可以将延时缩小到60毫秒以下。而且使用的都是校园网的IP地址无需多申请网段增加额外费用。

单点登陆

?? ?电子资源的购买授权除了IP识别的方法以外还存在密码识别的方法，而且密码识别是由服务商提供的公用密码，为保证安全会定期更换。这样就使得访问用户不仅需要出校园的帐户，还需提供服务商的帐户，再加上学校还有其他的服务帐户。使得操作起来十分繁琐，并且不容易保存。通过认证系统，只要用户登陆一次就可以访问所有相互信任的应用系统了。在保证安全的情况下使用户在基于WEB或其他应用时，避免重复输入帐户或口令的工作，方便简单。

集成的防火墙保护

和多数SSL VPN不同，我们的产品集成了高性能的企业级防火墙，对外只开放443端口，能有效保护内部服务器免受来自Internet的各种攻击，包括对开放端口的DOS攻击。

支持动态IP、方便易用

由于宽带的普及，移动用户多使用ADSL拨号形式上网。集成了基于web的动态ip寻址技术，在部署的时候无需固定ip，完全支持动态ip。移动用户使用浏览器连接入校园内网时，也更加便捷。

其他应用支持

不仅提供对Web系统的安全访问，还能通过ssl proxy技术，实现对绝大多数C/S应用的访问。不管是Windows客户端，甚至是手持设备，只要有SSL浏览器就可以方便的使用SSL VPN安全地接入教育网内网。