受控资源的判断课件

1、基于代理模式的数字资源访问控制系统需求分析与框架设计武汉科技大学图书馆 邹晓顺2004.11 湖北宜昌2022/7/241？问题的提出2022/7/242问题的提出（一） 校外读者（本校师生）校外居住在外学习在外出差无法看到本校图书馆购买的电子资源！2022/7/243问题出在哪里？2022/7/244受 控 资 源 （一） 受控资源：由图书馆自建或被图书馆购买使用权（包括服务）的具有明显知识产权特征且使用范围被严格限定的数字化文献资源。 使用范围的限定是指这些资源的使用只限于购买方所在单位的特定读者群，如某高校图书馆所在高校的全体教职员工和在册学生。 在具体实践中主要因为技术上的原因和操作的

2、简便性，受控资源使用范围的限定在概念上发生了异变。即由原来的“购买方所在单位的特定读者群”转变为“购买方所在单位的网络范围内”，后者在技术上通常由网络的IP地址来界定。 2022/7/245问题出在哪里？知识产权！2022/7/246问题出在哪里？ 知识产权保护 读者限定 网络限定 IP限定2022/7/247问题出在哪里？问题的症结： 校外读者所处在的网络IP不在限定的范围内。2022/7/248 通过代理服务器中转访问请求！ 代理服务器：代理服务器位于浏览器（信宿）和被访问服务器（信源）之间，其主要作用是将各浏览器的访问请求转发到信源服务器，并将应答信息回传给浏览器。 只要该代理服务器位于

3、合法网络范围内，信宿主机（浏览器）的请求便通过该代理服务器得以合法承认。解决此问题的办法与途径2022/7/249问题的提出（二） 校外读者（本校师生）校外居住在外学习在外出差 即使通过代理服务器也常常无法正常看到本校图书馆购买的电子资源！2022/7/2410问题出在哪里？2022/7/2411受 控 资 源 （二） 防止受控资源被恶意下载：出于对知识产权的保护意识，各图书馆购买网上使用权的绝大部分国外数字文献资源还具有防止恶意下载的功能。 防止受控资源被恶意下载的具体实现方式为对访问该资源的任何IP做流量分析和访问内容统计分析，当该IP在某一时间区间内的总访问流量达到他们所确定的阀值或在某

4、一时间区间内的访问内容达到他们所确定的特征时，便认为该IP的用户具有恶意下载情节。对恶意下载的处理办法是轻者对使用单位提出警告，重者封掉使用单位的IP以拒绝其使用权。 2022/7/2412问题出在哪里？当大量用户同时集中访问某网络资源时，由于访问量过大或凑巧访问内容符合该网络资源系统所确认的恶意下载特征，使得该代理服务器甚至该服务器所处的整个网段被该网络资源系统封掉。当大量用户同时获取代理服务器提供的代理服务造成代理服务器网络带宽或代理服务器其它资源被消耗殆尽时，代理服务崩溃。某些网络资源不提供传输层及更下层代理服务所请求的服务（如目前的书生之家电子图书系统）。2022/7/2413 通过多

5、台代理服务器实现代理负载均衡来联合提供代理服务！ 代理负载均衡 ：设置多台代理服务器，将众多用户的访问需求平均地加载到这些服务器上，以负载均衡的方法减少或去除受控资源系统对代理服务的误判，并减轻单个代理服务器负荷避免代理服务器崩溃。 对负载量的计算主要集中在网络流量、CPU占用率、I/O占用率和主存占用率上，最近时间段内的读者访问内容（通过统一资源定位符URL判断）也必须是负载计算的重要考虑因素。解决此问题的办法与途径2022/7/2414代理负载均衡原理前置代理服务器：只面向用户的代理服务器，它由唯一一台高性能服务器组成。前置服务器对用户是透明而对受控资源系统是隐藏的，用户端代理服务器相关参

6、数设置只跟前置服务器有关。用户认证由前置代理服务器完成，负载均衡的计算与控制通过前置代理服务器实现。后置代理服务器：只面向受控资源系统，对用户来说是隐藏的，由多台服务器构成。读者对受控资源的访问由前置服务器经负载均衡计算后分发给后置服务器，再由后置服务器对目标资源做访问，返回的结果通过前置代理服务器回传给读者。2022/7/2415代理负载均衡原理2022/7/2416问题的提出（三） 如何保证代理服务不被不法者滥用，也就是如何有效地保护数据提供商的利益，更好地保护知识产权？ 同时也更好地保护合法读者的权益？2022/7/2417问题出在哪里？可以想象代理服务器使用匿名登录的后果吗？即使采用了

7、简单的用户认证机制，如何面对和解决用户帐号扩散带来的问题？2022/7/2418 用户认证：利用图书馆自动化管理系统中的读者信息构建代理服务的用户自动识别与认证机制。 权限控制：通过读者信息库中的读者级别在认证机制中添加用户级别和访问权限控制功能（如违规读者识别、单位时间内的总访问时间、对可控资源的访问范围、URL过滤与屏蔽、瞬间访问流量限制和单位时间内总访问流量限制等），其它必要信息由代理服务器在本地重构特别用户信息库。 一次登录：当任一用户账号在通过认证和退出系统这一时间范围内，系统不容许该账号的第二次重复登录。解决此问题的办法与途径2022/7/2419底层数据库为开放型的集成管理系统时

8、的认证模式： 用户认证和权限控制底层数据库为非开放型的集成管理系统时的认证模式： 2022/7/2420问题的提出（四） 通常情况下，当浏览器通过代理服务器上网后，其效率和速度将明显下降。 因此，如何避免用户在访问非受控资源时或该用户本来就在合法的网络环境中却遭受不必要的代理服务所带来的困境，以及避免代理服务器不必要的沉重负载？2022/7/2421问题出在哪里？2022/7/2422解决此问题的办法与途径 受控资源的判断 ：对本馆受控资源的URL地址整理并录入到一个文本文档或二维表中，系统对某一资源是否为受控资源的判断准则为，读取用户在浏览器地址栏中输入的URL地址，将这一地址与本馆受控资源

9、文档做比较，有相同记录的即为受控资源，没有的为非受控资源。 合法网络的判断 ：系统读取用户主机的IP地址，将其与本校校园网IP（提供给数据商的全部网络IP）作比较即可。2022/7/2423解决此问题的办法与途径 具体实现时可编写一个reg注册表修改文件，让读者下载并运行，运行后文件将对Microsoft Windows操作系统中注册表中的HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionInternetSettings键值进行修改以增加IE浏览器中自动配置脚本的地址。 如下例：REGEDIT4HKEY_CURRENT_USERSo

10、ftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL=/proxy/lib.pac2022/7/2424解决此问题的办法与途径 再编写一个自动配置脚本，用以判断用户所在网络是否为受控资源的合法使用地址并定义受控资源的URL地址。如下例： function FindProxyForURL(url, host) if (isInNet(myIpAddress(), , ) return DIRECT; else if (isInNet(myIpAddress(), , ) return DIRECT; else if

11、(dnsResolve(host) = 18) return PROXY 8:8080; else if (dnsResolve(host) = 14) return PROXY 8:8080; else if (dnsResolve(host) = ) return PROXY 8:8080; else if (dnsResolve(host) = /) return PROXY 8:8080; else return DIRECT; 2022/7/2425解决此问题的办法与途径2022/7/2426以上是用户需求的四个主要问题及其解决思路。 除此之外。2022/7/2427 系统的层次结构

12、 系统工作在应用层，传输层亦或网络层？ 日志、统计、结算和评价 系统的运行环境 系统的安全性2022/7/2428系统的层次结构2022/7/2429本系统是工作在应用层，传输层，亦或网络层？ 代理服务的实现机理由其工作的分层区域决定。 一般可分为线路层代理，应用层（SONET分层模型中的一层，相似于ISO/OSI中的表示层或TCP/IP中的传输层）代理, 智能线路层代理（SOCKS）等等。一般的应用层代理服务器工作在应用层，并且针对不用的网络应用提供不同的处理方法，比如 HTTP，FTP, SMTP等，这样，一旦有新的网络应用出现时，应用层代理服务器就不能提供对该应用的代理，因此应用层代理服

13、务器的可扩展性并不好；与应用层代理服务器不同的是，SOCKS代理服务器旨在提供一种广义的代理服务，它与具体的应用无关，不管在出现什么新的应用都能提供代理服务，因为SOCKS代理工作在线路层（即应用层和传输层之间），这和单纯工作在网络层或传输层的 IP欺骗（或者叫做网络地址转换 NAT ）又有所不同，因为SOCKS不能提供网络层网关服务，比如ICMP包转发等。目前的SOCKS版本是第五版，第五版同第四版的区别主要在于第五版提供多种不同的用户认证方法和 UDP 代理。 2022/7/2430本系统是工作在应用层，传输层，亦或网络层？ TCP/IP 网络分层：应用层传输层网络层接口主机A物理网络应用

14、层传输层网络层接口主机B相同报文相同传输协议分组相同IP数据报相同网络帧2022/7/2431本系统是工作在应用层，传输层，亦或网络层？无连接IP数据报格式：版 本头标长服务类型总 长标 识标 志片偏移生成时间协 议头标校验和源IP地址信宿IP地址IP选项填充域 0 4 8 16 19 24 31数据区报头32X6 bit2022/7/2432系统流程图实例：流程图附注：A：正在访问的是否是图书馆受控资源？B：客户机是否在校园网IP范围内？C：是否是图书馆合法账号？D：是否有受控资源的访问权？E：账号是否被限制使用？F1Fn：代理服务器Proxy n 是否繁忙？提示1：非我馆账号，请重新检查后再试。提示2：对不起，你现在还没有网络资源使用权，如需要申请，请查看XX网页或跟XX联系。提示3：您的账号因XX原因已被限制使用，如有疑问请查看XX网页或跟XX联系。提示4：网络繁忙，请稍后再试。 2022/7/2433 感谢省图工委及自动