编者按：本文从国际主流技术、节约成本、数据安全以及访问性能的角度考虑，采用URL重写及跨域名Cookie技术，结合SSL安全协议、多种身份认证、单点登录、负载均衡等技术研究和构建适合国内高校图书馆实际工作需要的数字资源远程访问系统，共分为两期刊载，本期刊载第一个部分，主要介绍系统的设计和系统的行为建模。

　　远程访问是指突破IP 地址的物理限制，可以在任何能上网的地方使用图书馆电子资源。国外对于远程访问图书馆电子资源的研究，在上世纪中期就已开始，国内也在近几年对该项技术开始研究探求。

　　本文从国际主流技术、节约成本、数据安全以及访问性能的角度考虑，采用URL重写及跨域名Cookie技术，结合SSL安全协议、多种身份认证、单点登录、负载均衡等技术研究和构建适合国内高校图书馆实际工作需要的数字资源远程访问系统。

　　系统设计

　　我们采用URL重写为主要技术构建高校图书馆远程访问系统，结合单点登录和身份认证等多种技术，运用UML建模语言，展开系统行为建模、结构建模以及系统主要功能的详细设计。

　　技术运用

　　系统应向用户提供多种网络接入方式。为此，系统要提供路由管理模块来确定多宿主主机对某个目标主机或者目标网络的具体路由，来提高系统性能和降低路由成本。

　　基于Web发布的电子资源，系统采用URL重写技术、跨域名Cookie技术以及单点登录技术，来实现用户端绿色透明的访问，用户可以不用安装任何插件和修改任何设置，即可随时随地访问授权的电子资源。

　　对于非HTTP 的C/S 资源，系统采用IRAS插件的方式来实现。当IE或者第三方阅读器(如超星阅读器)要创建TCP(第4层，传输层)连接的时候，插件会截取该网络请求，并检查目标IP地址是否在系统授权服务器插件模式定义的IP范围内。如果在范围内，将目标主机的IP修改为授权访问服务器的IP，端口修改为授权访问服务器的端口；并创建一个协议栈(4.5层，介于TCP和应用层之间)，从而保证第5层(应用层)协议都是通过代理隧道进行。

　　在要求更高安全性的场合，IRAS插件将用户数据封包后，通过SSL管道传输。对服务器负载的在线监控，系统采用负载均衡技术实现，可以随时查看每台授权访问均衡主机的负载情况和用户在线情况，并根据流量报告，采取措施将访问对象(数字资源)从一个均衡主机“推向”另一台主机；该操作一键完成，方便快捷；各个授权访问负载均衡主机之间，以及它们和系统的认证主机(管理者主机)之间的通讯均采用通用接口技术来实现，增加系统的可扩展性与开放性。

　　应用结构

　　系统应用结构主要由两个部分组成：身份认证服务器(AuthServer)和访问对象代理服务器集群(AuthClient)。AuthServer运行在一台独立的服务器上，主要提供用户身份验证及权限管理、流量控制及日志记录等功能。AuthClient可以安装在每台电子访问对象服务器上。一个AuthClient可以运行多个访问对象代理(Agent)，每一个Agent和某个特定的Web 访问对象绑定。

　　AuthClient可以和AuthServer安装在一台机器上，这样可以不需要改动其他电子访问对象的服务器设置，但为了避免用户过多时的瓶颈问题，最好可以把Agent代理分散到多个服务器上。系统应用结构设计如图1所示。

图1 系统应用结构设计