基于云計(jì)算的數(shù)字圖書館建設(shè)與實(shí)現(xiàn)

于芳

（哈爾濱工業(yè)大學(xué)（威海）圖書館，山東威海 264209）

信息網(wǎng)絡(luò)技術(shù)的發(fā)展，給傳統(tǒng)圖書館的建設(shè)和文獻(xiàn)資源的管理帶來了巨大變化。信息資源的利用由傳統(tǒng)的物理空間向虛擬空間轉(zhuǎn)變，由模擬狀態(tài)向數(shù)字狀態(tài)轉(zhuǎn)變[1-3]。云計(jì)算作為數(shù)字圖書館的應(yīng)用架構(gòu)模式，實(shí)現(xiàn)了數(shù)字信息資源的集約化整合，為數(shù)字資源共建提供了新的解決方式[4-5]。目前，國內(nèi)外眾多企業(yè)都投入到云計(jì)算新模式中，以IaaS、PaaS、SaaS為服務(wù)模式提供各種數(shù)字化服務(wù)[6-8]。如LibLime 公司發(fā)布的訂購?fù)泄芊?wù)Koha Express，通過全功能的圖書館系統(tǒng)（ILS）實(shí)現(xiàn)在LibLime 云計(jì)算的開發(fā)，并構(gòu)建了分布式數(shù)字圖書館云服務(wù)平臺[9]。Google 提出的Web2.0 理念和技術(shù)，基于Google Analytics 來獲得圖書館目錄和網(wǎng)站數(shù)據(jù)信息，并提供詳細(xì)的圖表式報(bào)告，實(shí)現(xiàn)對圖書資源的綜合化利用，為用戶提供更便捷的服務(wù)[10-12]。

從相關(guān)研究可以看出，基于云計(jì)算的數(shù)字圖書館能極大改善圖書館服務(wù)，成為當(dāng)前性價(jià)比高、擴(kuò)展性好的圖書館建設(shè)方案[13-15]。但由于云計(jì)算在圖書館的應(yīng)用還處于初始階段，存在一定的問題，如數(shù)字圖書館信息資源的安全問題，信息資源的完整性和用戶訪問控制權(quán)限等問題。在相關(guān)研究基礎(chǔ)上，構(gòu)建云計(jì)算的數(shù)字圖書館應(yīng)用模型拓?fù)浣Y(jié)構(gòu)、模型體系架構(gòu)和數(shù)據(jù)庫服務(wù)架構(gòu)，實(shí)現(xiàn)云計(jì)算數(shù)字圖書館的資源共享和數(shù)據(jù)傳輸。

1 云計(jì)算的數(shù)字圖書館模型構(gòu)建

1.1 模型體系結(jié)構(gòu)

基于云計(jì)算的數(shù)字圖書館服務(wù)平臺利用分布式、虛擬化功能，將異地操作平臺軟硬件資源進(jìn)行整合，實(shí)現(xiàn)對資源的云服務(wù)[16]。圖1 所示為云計(jì)算數(shù)字圖書館模型體系架構(gòu)，主要分為基礎(chǔ)設(shè)施服務(wù)層、平臺服務(wù)層、應(yīng)用服務(wù)層和云客戶端。

圖1 云計(jì)算數(shù)字圖書館體系結(jié)構(gòu)

基礎(chǔ)設(shè)施服務(wù)層作為云服務(wù)體系框架的基礎(chǔ)，處于框架體系的最底層，該層通過虛擬技術(shù)的管理功能實(shí)現(xiàn)系統(tǒng)各類硬件資源的融合。其中包含了兩個(gè)部分的主要內(nèi)容：第一部分利用互聯(lián)網(wǎng)、主機(jī)硬件等進(jìn)行集群、虛擬化、抽象畫處理，將功能及設(shè)備在虛擬化技術(shù)下集群在同一區(qū)域平臺，搭建云計(jì)算基礎(chǔ)層，用戶根據(jù)自身的需求下達(dá)指令即可從“云服務(wù)”中提取需要的硬件資源；第二部分為用戶提供服務(wù)管理、負(fù)載管理、數(shù)據(jù)存儲等接口服務(wù)功能，提升數(shù)字圖書館的動態(tài)靈活性。

平臺服務(wù)層作為管理中間層，也是整個(gè)云服務(wù)框架的第二層，主要負(fù)責(zé)網(wǎng)絡(luò)安全管理、程序管理、信息資源管理和讀者管理等。網(wǎng)絡(luò)安全管理是為了保障云計(jì)算免受外界的惡意攻擊和騷擾，其中包括病毒防護(hù)、控制訪問、身份認(rèn)證等技術(shù)；程序管理負(fù)責(zé)執(zhí)行用戶提交的任務(wù)，其中包括程序調(diào)度、程序回饋、程序部署等功能；信息資源管理負(fù)責(zé)各云計(jì)算資源節(jié)點(diǎn)的均衡使用，并實(shí)時(shí)監(jiān)測節(jié)點(diǎn)的運(yùn)行狀態(tài)，一旦某一節(jié)點(diǎn)發(fā)送故障，通過中間層對故障節(jié)點(diǎn)進(jìn)行屏蔽或者回復(fù)處理，并統(tǒng)計(jì)資源的使用情況；讀者管理作為數(shù)字圖書館的重要組成部分，主要為用戶提供用戶交互接口、管理和識別用戶身份等。

應(yīng)用服務(wù)層作為第三層，同時(shí)也是整個(gè)云計(jì)算服務(wù)體系結(jié)構(gòu)的核心層，主要為用戶提供滿足使用要求的各類應(yīng)用服務(wù)。數(shù)字圖書館根據(jù)用戶需求，采用軟件服務(wù)（Saas）應(yīng)用，通過購買或租借的形式向用戶提供圖書館的核心服務(wù)項(xiàng)目，包括數(shù)字資產(chǎn)管理、個(gè)性化服務(wù)咨詢、資源搜索、原文傳遞服務(wù)、科技評估服務(wù)、信息服務(wù)統(tǒng)計(jì)等。

云客戶端作為云服務(wù)框架的最上層，是鏈接底層和云服務(wù)器的載體工具，它擺脫了計(jì)算機(jī)的限制，可以利用任何能訪問云服務(wù)網(wǎng)絡(luò)的終端設(shè)備實(shí)現(xiàn)各類終端對云服務(wù)器的訪問。

1.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

云計(jì)算模式下，網(wǎng)絡(luò)成為信息服務(wù)的傳送媒介。根據(jù)數(shù)字圖書館的功能需求，系統(tǒng)數(shù)據(jù)庫以區(qū)為單位，在各分區(qū)間獨(dú)立運(yùn)行，并采用接口卡連接。文中將整個(gè)數(shù)據(jù)庫系統(tǒng)劃分為3 個(gè)分區(qū)，各分區(qū)間分別配置2 個(gè)網(wǎng)絡(luò)接口卡。利用云計(jì)算服務(wù)器虛擬化技術(shù)將原本終結(jié)在交換機(jī)的網(wǎng)絡(luò)端口數(shù)據(jù)轉(zhuǎn)移至虛擬交換機(jī)端口終結(jié)。采用虛擬化網(wǎng)絡(luò)平臺實(shí)現(xiàn)同一物理服務(wù)器具有相同功能的虛擬機(jī)間的數(shù)據(jù)傳輸，而具有相同功能，處于不同物理服務(wù)器的虛擬機(jī)執(zhí)行數(shù)據(jù)傳輸和交換機(jī)間的轉(zhuǎn)發(fā)。對于不同功能的虛擬機(jī)，路由工作只能在核心交換機(jī)上進(jìn)行。當(dāng)根據(jù)服務(wù)器功能對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分時(shí)，直接在核心交換機(jī)上隔離不同功能的服務(wù)器群，圖2 為設(shè)計(jì)的云計(jì)算數(shù)字圖書館網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

1.3 云服務(wù)實(shí)現(xiàn)流程

云計(jì)算數(shù)字圖書館平臺功能需遵守嚴(yán)格的使用流程，如圖3 所示為云服務(wù)平臺實(shí)現(xiàn)流程。將整個(gè)云服務(wù)平臺分為應(yīng)用服務(wù)器、服務(wù)器群、前端、管理節(jié)點(diǎn)。應(yīng)用服務(wù)器主要執(zhí)行相關(guān)程序；服務(wù)器群將系統(tǒng)服務(wù)進(jìn)行整合，形成一個(gè)服務(wù)器群，并向用戶提供各類服務(wù)模式；前端主要負(fù)責(zé)系統(tǒng)負(fù)載均衡，并將接收到的響應(yīng)轉(zhuǎn)發(fā)給對應(yīng)服務(wù)器，形成靜態(tài)文件；應(yīng)用管理節(jié)點(diǎn)主要提供復(fù)雜應(yīng)用的啟動和停止、應(yīng)用費(fèi)用的計(jì)算。

圖2 云計(jì)算數(shù)字圖書館網(wǎng)絡(luò)拓?fù)鋱D

圖3 云服務(wù)平臺實(shí)現(xiàn)流程

針對數(shù)字圖書館滿足數(shù)據(jù)信息資源的服務(wù)器虛擬化和集中存儲需求，該系統(tǒng)所有數(shù)據(jù)基于SAN 存儲架構(gòu)系統(tǒng)采用集中式的存儲和保護(hù)方式。對數(shù)據(jù)庫系統(tǒng)，由于信息存儲量較龐大，要求性能較高、可靠性和應(yīng)用性較強(qiáng)，因此虛擬化服務(wù)器系統(tǒng)采用適用于X86 服務(wù)器的VMware 虛擬化系統(tǒng)來提供共享存儲服務(wù)，通過內(nèi)配置磁盤陣列分區(qū)實(shí)現(xiàn)不同文件的數(shù)據(jù)存儲。

2 數(shù)據(jù)庫整體架構(gòu)設(shè)計(jì)

2.1 數(shù)據(jù)庫服務(wù)架構(gòu)

基于云計(jì)算的數(shù)字圖書館數(shù)據(jù)庫采用集中部署方式，即數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)系統(tǒng)為一對一關(guān)系，各物理設(shè)備通過一臺數(shù)據(jù)庫服務(wù)器連接，采取分區(qū)的數(shù)據(jù)庫虛擬化技術(shù)解決物理位置的集中問題[17-18]。

根據(jù)數(shù)字圖書館的需求分析和設(shè)計(jì)方案，系統(tǒng)采用核心為IBM Power 570 的數(shù)據(jù)庫服務(wù)架構(gòu)。通過虛擬服務(wù)器為虛擬分區(qū)提供I/O 服務(wù)，實(shí)現(xiàn)多個(gè)VIO 虛擬客戶分區(qū)的資源共享，有效降低了運(yùn)行成本。IBM Power 570 中采用共享以太網(wǎng)和虛擬SCSI支持共享網(wǎng)絡(luò)和磁盤I/O。微分區(qū)允許虛擬分區(qū)在占用最小CPU 資源下執(zhí)行需求操作，由于物理服務(wù)器采用的是共享數(shù)據(jù)庫，因此虛擬服務(wù)器不受限于物理服務(wù)器限制，能夠基于不同服務(wù)器執(zhí)行。在微分區(qū)基礎(chǔ)上，通過一種未封頂?shù)墓蚕硖幚砥鬟壿嫹謪^(qū)來提升CPU 授權(quán)容量，且授權(quán)容量能夠釋放到創(chuàng)建的CPU 配置文件中。這樣在突發(fā)的CPU 密集時(shí)期，系統(tǒng)可調(diào)用空閑的CPU 資源，以一種動態(tài)方式簡化工作負(fù)載管理。

動態(tài)分區(qū)與遷移（LPAR）將正在運(yùn)行的邏輯分區(qū)LPAR 由一個(gè)物理服務(wù)器轉(zhuǎn)移到另一個(gè)服務(wù)器，允許專用處理器分區(qū)利用空閑CPU 資源，通過多個(gè)處理器池實(shí)現(xiàn)荷載均衡，提高數(shù)據(jù)吞吐量。同時(shí)動態(tài)分區(qū)遷移可直接在Linux 分區(qū)運(yùn)行，不需重新編譯操作，實(shí)現(xiàn)了對LX86 的Linux 應(yīng)用服務(wù)器的整合。

工作負(fù)載分區(qū)與遷移（WPAR）將邏輯分區(qū)拆分為未配合內(nèi)核的工作負(fù)載，利用WPAR 作為LPAR的組成部分，降低了AIX 映像對象的維護(hù)數(shù)量。WPAR 中多個(gè)分區(qū)共享一個(gè)物理內(nèi)存池，各分區(qū)間可根據(jù)承擔(dān)的負(fù)載情況來調(diào)配內(nèi)存資源，負(fù)載分區(qū)也提供了手動功能，管理員也可手動為分區(qū)分配轉(zhuǎn)移內(nèi)存資源。

如圖4 所示，本系統(tǒng)在IBM Power VM 虛擬化技術(shù)的基礎(chǔ)上，選用兩臺Power 570 服務(wù)器，服務(wù)器間通過Power HA 和Oracle RAC 技術(shù)構(gòu)成熱備份集群環(huán)節(jié)。根據(jù)邏輯分區(qū)將服務(wù)器劃分為3 個(gè)分區(qū)，各分區(qū)均具有獨(dú)立的CPU、存儲介質(zhì)和內(nèi)存，同時(shí)在每個(gè)分區(qū)間設(shè)置相應(yīng)獨(dú)立的Oracle 數(shù)據(jù)庫，建立3 臺獨(dú)立的邏輯計(jì)算機(jī)服務(wù)器。

圖4 云服務(wù)數(shù)據(jù)庫服務(wù)架構(gòu)

2.2 數(shù)據(jù)庫訪問

基于云服務(wù)數(shù)據(jù)庫服務(wù)框架設(shè)計(jì)的數(shù)字圖書館數(shù)據(jù)庫平臺在保留原有系統(tǒng)基礎(chǔ)結(jié)構(gòu)下構(gòu)建云計(jì)算數(shù)字圖書館服務(wù)平臺，通過XML 和XHTML 語言規(guī)范以及準(zhǔn)確的Oracle 數(shù)據(jù)庫訪問語言就能實(shí)現(xiàn)對該數(shù)據(jù)庫的訪問。用戶利用數(shù)據(jù)庫和互聯(lián)網(wǎng)網(wǎng)絡(luò)頁面間的相互交叉關(guān)系來實(shí)現(xiàn)對數(shù)據(jù)庫服務(wù)的查詢和訪問功能。

3 云服務(wù)安全性設(shè)計(jì)

3.1 用戶權(quán)限安全性

基于云計(jì)算的數(shù)字圖書館的安全風(fēng)險(xiǎn)主要包括用戶認(rèn)證風(fēng)險(xiǎn)，數(shù)據(jù)隔離、數(shù)據(jù)泄露、數(shù)據(jù)存儲的風(fēng)險(xiǎn)，以及云計(jì)算平臺的系統(tǒng)安全漏洞、用戶隱私保護(hù)、應(yīng)用程序安全風(fēng)險(xiǎn)等。

系統(tǒng)登錄是云服務(wù)安全設(shè)計(jì)的第一個(gè)屏障。用戶必須通過正確的用戶名和安全秘鑰才能通過用戶認(rèn)證流程。為確保用戶的安全訪問，系統(tǒng)提供了接入層認(rèn)證和應(yīng)用層認(rèn)證兩種安全訪問方式。接入層認(rèn)證首先根據(jù)用戶名、密碼和附加碼判斷注冊用戶使用權(quán)限；應(yīng)用層認(rèn)證驗(yàn)證接入用戶是否合法，用戶是否具備該內(nèi)容的訪問權(quán)限等。此外，根據(jù)認(rèn)證機(jī)制的不同，又分為單獨(dú)應(yīng)用層認(rèn)證和應(yīng)用服務(wù)器認(rèn)證。單獨(dú)應(yīng)用層認(rèn)證中，當(dāng)用戶接入系統(tǒng)后，針對用戶認(rèn)證分為兩次，即用戶接入時(shí)的認(rèn)證和接入通過后的驗(yàn)證。第一次認(rèn)證以非透明的方式驗(yàn)證用戶認(rèn)證信息，由平臺中心認(rèn)證服務(wù)器響應(yīng)認(rèn)證請求，確認(rèn)用戶訪問是否合法，并將用戶ID 返回應(yīng)用服務(wù)器，響應(yīng)服務(wù)器授權(quán)請求，給定特定權(quán)限的訪問服務(wù)范圍，第二次認(rèn)證采取透明的方式，不需要用戶的任何認(rèn)證信息，認(rèn)證服務(wù)器響應(yīng)服務(wù)器授權(quán)請求，并將開始信息和使用記錄傳遞至中心數(shù)據(jù)庫，系統(tǒng)自動對用戶信息認(rèn)證，通過這種認(rèn)證方式一次性完成了接入層和應(yīng)用層認(rèn)證。

云計(jì)算數(shù)字圖書館數(shù)據(jù)庫是存儲用戶資料的唯一設(shè)備，采用重定向的方式進(jìn)行用戶身份的驗(yàn)證，即將所有應(yīng)用服務(wù)器請求統(tǒng)一由中心認(rèn)證服務(wù)器進(jìn)行。在重定向認(rèn)證中，當(dāng)用戶對系統(tǒng)服務(wù)器發(fā)出請求時(shí)，服務(wù)器對用戶身份信息驗(yàn)證，同時(shí)確認(rèn)用戶訪問的合法性，并給定特定的權(quán)限范圍，圖5 所示為重定向認(rèn)證方式。用戶訪問服務(wù)器時(shí)，由中心認(rèn)證服務(wù)器發(fā)出認(rèn)證請求，數(shù)字圖書館系統(tǒng)中心響應(yīng)認(rèn)證請求，并提示用戶輸入認(rèn)證信息，查驗(yàn)用戶信息是否滿足數(shù)據(jù)庫數(shù)據(jù)。當(dāng)輸入信息與保存信息相同時(shí)，為用戶分配用戶ID。中心服務(wù)器向用戶發(fā)起授權(quán)請求，由認(rèn)證服務(wù)器響應(yīng)授權(quán)請求，并認(rèn)證業(yè)務(wù)權(quán)限，認(rèn)證服務(wù)器發(fā)送信息至中心數(shù)據(jù)庫并記錄用戶使用記錄。當(dāng)服務(wù)結(jié)束時(shí)，應(yīng)用服務(wù)器向中心認(rèn)證服務(wù)器發(fā)送服務(wù)結(jié)束請求，認(rèn)證服務(wù)器確定服務(wù)結(jié)束。

圖5 重定向方式

3.2 模型組網(wǎng)安全性實(shí)現(xiàn)

系統(tǒng)采用簡易模型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來實(shí)現(xiàn)系統(tǒng)功能和安全需求，圖6 所示為云計(jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。首先，在系統(tǒng)中添加防監(jiān)聽盜竊設(shè)備，當(dāng)系統(tǒng)啟動具備監(jiān)聽防盜等功能的設(shè)備時(shí)，設(shè)備接收到數(shù)據(jù)，將攜帶的MAC 地址與網(wǎng)絡(luò)所有端口MAC 地址循環(huán)比對，查找到對應(yīng)的MAC 地址接收端口后，將數(shù)據(jù)幀發(fā)送到對應(yīng)端口。同時(shí)，系統(tǒng)中加入防入侵功能設(shè)備，網(wǎng)絡(luò)中采用VLAN 技術(shù)，利用交換機(jī)或路由器端口控制將網(wǎng)絡(luò)IP 進(jìn)行分段，將內(nèi)部系統(tǒng)與外部互聯(lián)網(wǎng)網(wǎng)絡(luò)斷開，當(dāng)用戶訪問系統(tǒng)時(shí)，首先對用戶身份進(jìn)行驗(yàn)證，只有通過系統(tǒng)認(rèn)證才可以訪問數(shù)據(jù)庫服務(wù)器數(shù)據(jù)信息。最后，系統(tǒng)中引入存取控制表技術(shù)用于路由器和交換機(jī)、VLAN 和VLAN 間的數(shù)據(jù)交換，有效限制了用戶在網(wǎng)絡(luò)中的訪問范圍。此外，系統(tǒng)中還添加了硬件防火墻設(shè)施，避免了外部用戶的非法訪問。

圖6 云計(jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

4 結(jié)束語

以基于云計(jì)算的數(shù)據(jù)圖書館服務(wù)平臺為對象，逐步分析了數(shù)字圖書館云服務(wù)的體系結(jié)構(gòu)、服務(wù)模式和系統(tǒng)功能。基于云服務(wù)的數(shù)字圖書館服務(wù)平臺采用基礎(chǔ)設(shè)施服務(wù)層、平臺服務(wù)層、應(yīng)用服務(wù)層和云客戶端四層體系架構(gòu)，實(shí)現(xiàn)各類軟硬件資源的整合。基于SAN 存儲架構(gòu)系統(tǒng)，采用X86 服務(wù)器的VMware 虛擬化系統(tǒng)提供共享存儲服務(wù)。服務(wù)架構(gòu)利用IBM Power VM 虛擬化技術(shù)實(shí)現(xiàn)物理適配器供多個(gè)VIO 虛擬客戶分區(qū)共享，提高了網(wǎng)絡(luò)利用效率。為保證系統(tǒng)安全性，采用重定向認(rèn)證的兩層認(rèn)證技術(shù)進(jìn)行用戶登錄身份和用戶訪問權(quán)限的認(rèn)證，確保用戶正常進(jìn)入系統(tǒng)路徑，避免非授權(quán)用戶侵入系統(tǒng)網(wǎng)絡(luò)。