易锐IFCIRAS61授权访问系统技术白皮书

北京英富森软件股份有限公司~北京英富森软件股份有限公司PAGE1营销中心38/63传真8853邮件：infcn@技术支持8688IFC易瑞授权访问系统（IFCIRASAuthorizedAccessSystem）技术白皮书版本：V6北京英富森（IFC）软件股份有限公司

版权说明本手册由北京英富森（IFC）软件股份有限公司（以下简称英富森公司）出版，版权属英富森公司所有。未经出版者正式书面许可，不得以任何方式复制本文档的部分或全部内容。©北京英富森（IFC）软件股份有限公司版权所有。保留所有权利。

目录TOC\o"1-3"\h\u关于本技术白皮书 4读者对象 4用户反馈 4联系地址 4一、概述 5二、授权访问系统(IRASv6) 62.1授权访问系统v6应用结构 62.2产品特点及主要功能 72.3主要功能列表 14三、适用单位 16四、系统软硬件环境要求 174.1硬件环境要求 174.2软件环境要求 17关于本技术白皮书IFC易瑞授权访问系统（英文名IFCIRASAuthorizedAccessSystem，简称IFCIRASAuth或IFC易瑞授权）是北京英富森（IFC）软件股份有限公司用于授权访问Web对象的应用级产品。该产品基于java技术和浏览器技术，实现了用户仅限局域网内应用的Web应用在外部的授权访问应用，解决了用户在授权访问本地Web应用时受限制的困境。本技术白皮书详细介绍了IFC易瑞授权访问系统的原理和功能说明。读者对象本手册的读者为IFC易瑞授权访问系统的学习者、使用者和研究者。用户反馈英富森公司感谢您使用IFC产品。如果您发现本技术白皮书中有错误或者产品运行不正确，或者您对本技术白皮书有任何意见和建议，请及时与北京英富森公司联系。您的意见将是我们做版本修订时的重要依据。谢谢您对我们的支持！联系地址营销中心：地址：北京市海淀区中关村东路66号世纪科贸大厦B座21层；100190电话：40062670085，010-6267042828/38/63传真38/63转8019网址：邮件：infcn@技术支持：地址：北京市海淀区中关村东路66号世纪科贸大厦B座21层；100190电话：40062670428/38/63转8618传真38/63转8019

IFC易瑞授权访问系统V6技术白皮书一、概述近年来，随着信息化、数字化建设步伐的加快，高校及科研机构图书馆普遍加大了对电子资源的经费投入，广大专家学者和师生们可以直接从网上获取各种基于WEB版的中外文电子图书、全文期刊、会议学位论文、文摘、专利等信息访问对象，极大地方便了他们的教学、科研和学习生活。但由于出版商为了保护其权益和电子访问对象版权，对大规模单位授权用户的身份认证一般都是采取ＩＰ地址认证方式。高校图书馆购买的数据库系统也只能允许读者在局域网（校园网）范围内使用。这使得师生们无法在校园网外、家中或出差外地时查询所需要的电子访问对象，限制了读者对电子访问对象的利用。另一方面，单位的办公网络，由于内部办公需要和安全性要求，也是在一定范围内才能公开和访问，使得离开工作场所后的访问被拒绝，特别是单位出差在外，希望得到单位的访问对象，实现信息共享的时候，网络访问的限制严重阻碍了信息共享与利用。为了解决这一问题，各个单位也都采取了不同的技术手段。但是对于普通使用者来说，安装客户端、插件，需要每一位使用者在本机进行配置、与杀毒软件不兼容等一系列问题，严重影响了普通读者的使用效果；而对于管理员来说，与原有各个业务系统无法良好融合、不方便进行针对每个单位的具体情况进行个性化定制、无法控制对读者及资源的使用情况进行控制与统计，硬件产品升级、维护的不便等一系列问题，也使系统管理起来颇为不便。针对这种情况，英富森公司推出的易瑞授权访问系统（IRASAuthorizedAccessSystem）V6版本，是实现架构在互联网络基础上的公共数据共享服务。JAVA作为内核部分的主要开发语言，采用springMVC框架结构，具有良好的可移植性和扩展性。系统采用基于URL的流式重写技术，重写内核同时支持NIO(非阻塞)与BIO（阻塞）两种工作方式，并支持HTTP深度服务器二级缓存（采用JAVA缓存框架Ehcache），大大提高网页的响应时间，提高了访问速度。系统管理基于新的QDEWEB桌面引擎，优化了EXT的加载速度，给用户提供更好地使用体验。系统同时采用跨域名Cookie技术、虚拟主机技术、流量跟踪监测技术、客户端识别技术、AiRwt智能重写技术等，实现基于Web数字访问对象、内部办公访问的统一身份认证和单点登录，通过认证用户与电子访问对象服务器、内部办公服务器的直接通讯，避免代理服务器等方式易导致的网络瓶颈、配置复杂和难于管理等问题。根据读者、管理人员角色的不同，以灵活便捷的人机交互界面，实现系统登录、访问流量控制、访问对象管理、查询、统计分析、访问跟踪等功能的实时跨地域、多网络统一管理。该系统可以进一步延伸信息提供者的服务空间与拓展网络接入者的接入范围，将现有局域网上基于Web的数字图书馆功能、内网办公平台等通过Internet网络拓展到用户家庭、出差酒店、会议室等互联网上世界的任何一个角落。二、授权访问系统(IRASv6)2.1授权访问系统v6应用结构 系统主要由2个部分组成：身份认证服务器(AuthServer)和访问对象代理服务器集群(AuthClient)。身份认证服务器(AuthServer)运行在一台独立的服务器上，主要提供用户身份验证及权限管理、流量控制及日志记录等功能。AuthClient安装在每台电子访问对象服务器上。一个AuthClient可以运行多个访问对象代理（Agent），每一个Agent和某个特定的Web访问对象绑定。AuthClient可以和AuthServer安装在一台机器上，这样可以不用改动其他电子访问对象的服务器设置，但为了避免用户过多时的瓶颈问题，可以把Agent代理分散到多个服务器上。易瑞授权访问构架图2.2产品特点及主要功能无客户端图书馆读者使用非常方便，不需要任何配置采用Web使用方式，无需安装插件及客户端，在所有操作系统环境下，读者无需安装任何插件或客户端应用程序即能全权访问数字资源。支持移动端访问资源采用Web使用方式，无需额外安装应用或更改移动端网络设置：支持iOS和Android操作系统，读者仅通过浏览器即可直接访问电子资源；无需专用硬件纯软件，无需专用硬件，不存在专用硬件老化的问题和系统升级不便的问题；用户访问行为控制具备资源访问过程中实时监控读者访问行为，从用户层面限制下载次数、篇数、下载流量、检索等，无论资源是什么，达到限制值后该读者将无法继续使用，防止因恶意下载等行为导致资源提供商封禁资源服务，并提供读者黑名单和IP黑名单管理功能；资源使用监控及防恶意下载实现从资源层面限制下载次数、篇数和下载流量，达到资源限制标准，所有读者都无法使用该资源；还可以对所有或单个用户限制单位时间内的下载次数或流量总量，以及下载时间间隔，避免过量使用资源导致服务被资源商封禁，无法正常使用；用户访问资源行为限制可以实现对不同角色读者设置不同的资源访问限制规则，包括每周期内资源下载数量、访问流量等进行限制（不同读者访问不同的资源有不同的限制条件，达到限制值后该读者不能使用该资源，对别的读者和自己访问其他资源均不受影响），并可查看违规访问用户的情况；资源访问实时帮助在读者访问过程中可实时提示资源服务的基本信息、资源使用帮助、资源服务状态；图书馆与读者互动可在读者访问过程中推送图书馆动态、热门服务等集成功能，宣传图书馆服务，与读者实时互动；系统安全采用的是应用层的设计方案，不改变服务器网络结构，基本上不会受到黑客和病毒的攻击与侵犯，保证系统和访问的安全，考虑了数据传输的SSL加密传输，完全实现了数据的安全传输。真正的透明网关，不改变用户所在网络，用户不需要额外配置任何参数，直接通过浏览器即可访问任何访问对象；账号高安全性进行系统登陆时，为方便读者，初始并不出现验证码，但当输入的用户名密码不正确达到一定的次数时（系统默认为3次），再输入用户名密码的同时，也需要输入高强度的验证码。同时，在系统后台的入侵检测跟踪模块中详细记录，用户名称、重试次数、验证错误次数等信息，方便管理查找、核对相关信息，以便保证系统账号的安全性。系统还提供账号异常登录检查并告警；多种网络接入如果服务器有多种网络接入方式，易瑞授权访问就可以采用与服务器对应的多种方式进行接入，提高用户访问速度，最大程度解决不同用户不同网络接入时，网络本身的互联瓶颈，导致访问速度慢的问题；支持二级代理当用户在本地使用访问电子资源时，需要通过在IE中设置一个代理服务器（例如计费用的代理服务器等）才可以正常使用，遇到这样的情况我们就可以通过二级代理的方式使用易瑞授权访问系统来实现电子资源的局域网（校）外访问，二级代理可以集中设置也可以针对单个资源进行设置；零配技术（AiRwt）对于大多数访问对象，实现了零配置，也就是无需配置的功能，直接将访问对象加入系统即可，大大减少了管理员维护的工作量，提高了工作效率；URL重写核心技术采用TCP/IP应用层技术实现，核心技术为URL智能重写技术和跨域名Cookie技术；实现无网络瓶颈、高并发性访问用户通过身份认证后，即直接和各访问对象服务器进行页面数据交换，实现了系统管辖的每个访问对象都可以使用独立带宽，避免了使用代理服务器等方式所导致的网络瓶颈问题；流式重写内核，提高访问速度内核同时支持BIO（阻塞）和NIO（非阻塞）两种工作方式，灵活运用，提高电子资源访问速度；高速缓存技术系统采用高速缓存技术，可以将图片、脚本等大文件缓存到本地服务器，从而提高页面加载速度；IP轮循技术支持IP轮循访问资源，避免单个IP访问流量过大而被封禁无法正常使用；客户端掉线自动识别支持客户端识别技术，解决ADSL/3G掉线后，提示用户并发已满，无法再次登录的问题；用户管理与限制采用角色管理方式管理用户，具有新建、删除、自定义用户功能，并能对帐号进行冻结、激活等状态设置，并支持根据预先定义的方式进行用户的批导入与批导出，可以限定该账号使用IP范围，设定该角色中账户的有效期以及指定其相应的计费功能（可选）可选计费功能，可以进行充值、退费管理，以及记录查询功能等；灵活授权与流量控制可以针对每一个角色设置不同的资源组权限，可以限制角色总并发、资源使用时间，是否需要绑定MAC地址；角色下可以分多个资源组，并对每一个资源组做用户的访问速度、使用时长的限制，可限制资源使用IP区域，访问该组资源的并发、下载时间间隔进行控制,系统可以实现到最小颗粒度的授权与控制，就是授权给某个用户只能访问某单个访问对象，并进行灵活的授权控制；系统支持跨平台系统安装部署支持Windows、LINUX(RedHat,SuSE)、Unix等主流操作系统；电子资源统一认证和单点登录(SSO)用户直接点击访问对象时，系统自动进行身份认证，一旦通过认证，就可以直接访问本对象和其它访问对象，不需要再次验证身份。资源灵活分类与状态控制具有资源项目的添加、删除等功能，并提供对具体资源的状态进行设定，如资源暂时不可用时可设置为维护状态；读者登陆后，实现对访问对象、电子资源的分类导航，搜索功能，使读者可以快速方便的查找到需要访问的资源；流量分析与统计通过跟踪监控所有访问对象服务器访问流量，系统对每一个登录进来的用户进行实时流量跟踪和日志记录，根据访问用户级别和网络流量情况灵活调整访问策略，当流量违反正常流量策略的时候，系统报警并对超流量下载帐户进行警告和封禁，防止局域网内私架代理服务器导致的流量超标。用户日志详细记录用户访问时间、当时所在IP地址、访问的访问对象等信息。系统提供“资源分析”、“用户分析”、“角色分析”、“IP分析”、“月报分析”，、“日报分析”、“时间段分析”等统计分析类型，实现多维度立体式统计，有助于管理员及时有效地发现恶意下载等违规情况。系统可以实现实时流量展示，动态即时效果展现丰富，让用户感受到瞬间流量的状况，并可捕捉任意时间即时访问状况，能够随时监控异常流量。对象访问情况流量日志在线用户监控通过查看当前在线用户状态，可以进行分析用户访问情况，保证用户的合法使用，可以查看用户的访问流量情况，所在IP等，如果发现不正常使用，可以踢出该用户。服务器动态监控对当前服务器CPU、内存、网络流量等项目进行详细监控，并提供图表，方便管理员了解系统硬件情况。提供与第三方系统集成接口支持对统一检索及第三方检索系统、统一认证、电子资源利用统计、电子资源管理等系统的服务集成接口;集成与互操作性可以与所有网内应用系统实现用户统一的认证，也可以与其它系统共享数据、用户，实现馆内所有系统的无缝集成；系统可以与一卡通、图书馆门禁、图书馆自动化系统等业务系统实现用户的统一管理，也可以与统一用户认证系统实现统一用户认证。可扩展的计费功能按照用户要求的计费策略，系统提供多种方式的计费策略接口。计费管理包括根据访问流量、访问时间、访问资源类别实现访问计费。系统可以按照要求进行计费管理，包括按照流量、时间、IP地址、用户及用户组等设置各种计费策略，也可以提供各种第三方系统的计费数据要求，提供计费数据交换接口和数据交换。数据交换支持（可选）提供基于WebService的开放接口，包括流量控制、在线监控、授权访问对象的管理接口。提供基于通用办公工具的数据交换，比如：officeEXCEL等。基于Web的系统管理系统采用三层结构B/C/S技术，提供基于Web方式的管理界面。根据管理人员角色和权限的不同，以灵活、便捷、友好、安全的人机交互界面，通过微软IE浏览器即可实现全部的系统管理、用户管理、访问控制、访问对象管理、查询、统计分析等功能。实现实时的跨地域、多局域网统一管理。对每一个访问对象增加使用帮助，便于局域网外用户最快的了解该访问对象的使用方法。负载均衡设计（可选）实现多种网络接入方式，由用户来指定选择那种方式登录，并可以有多台授权服务器做负载分流，可以任意的转换负载，从Web管理工具即可方便实现Agent端的任意卸载和加载。授权访问系统为两个层次，一个是认证层，一个是服务层。认证层是用来做用户身份安全认证，提供SSO（单点登录）功能，并向数据服务层的授权服务集群提供流量监控、连接报告、统一认证等服务。认证层提供多网络接入接口，可向用户提供多种网络登录路径，增加访问速度。数据服务层是向用户提供流量负载均衡、用户网络数据交换等服务。数据服务层是由一个或者多个授权服务器组成，每台授权服务器上，绑定着多个授权访问对象（电子资源）。用户流量将由数据服务层的每台服务器共同承担，这样就大大降低了系统的网络瓶颈。授权访问认证服务器（认证层）授权访问认证服务器（认证层）或多网卡授权服务集群（数据服务层）均衡主机1均衡主机2均衡主机N授权服务集群（数据服务层）将目标主机影射到某个目录，而不是影射到端口，大大节省用户的网络资源和防火墙资源。2.3主要功能列表管理功能列表用户及权限管理角色管理将不同类型的读者定义为不同的角色，新建、修改、删除角色，为指定角色设置访问对象，对不同访问对象设定下载带宽速度和每天最大流量等限制。帐号管理添加、删除、修改用户帐号信息；可以对用户帐号进行禁用、启用等操作。IP权限管理设置哪些IP可以访问哪些资源组的资源。用户管理支持单独添加、删除、修改用户，批量导入、导出用户信息，批量修改用户信息。MAC权限控制可以设置角色下每个用户登录需绑定MAC地址，也可以单独对某个账号进行设置。用户在线监控查看实时在线用户情况，可查看当前访问来源并可以进行踢出等操作用户黑名单可以将非法下载用户列入黑名单，黑名单分永久封禁和临时封禁，临时封禁后当天无法继续使用，第二天可以继续使用。重写服务管理与权限设置访问对象组管理添加、删除、修改访问对象组，将访问对象划分为不同的组，针对不同角色的用户分别设立不同的访问权限、最大流量等。访问对象管理添加、删除、修改访问对象配置。二级代理可以设置二级代理，解决局域网访问网络的一些实际问题服务器动态监控对当前服务器CPU、内存、网络流量等进行监控。分组授权系统划分多个用户角色，角色下可以划分资源权限组，并对角色和角色下的资源组分别做流量限制，对资源组的访问时间限制和并发限制等多种策略。资源使用限制从资源端进行限制，无论谁访问，达到限制后将无法继续使用该资源。用户使用限制从用户端进行限制，达到用户限制总量后，任何用户都无法继续访问该资源IP轮循通配置多个IP的方式，将访问流量分到多个IP上，避免出现IP访问超标被资源商封禁。用户使用资源限制通过用户与资源之间的限制规则，更加灵活的限制资源的使用，避免资源商禁封任何人无法使用的问题。统计分析访问统计总览列出指定时间内访问情况总览，包括：资源分析、用户分析、IP分析、时间分析、月分析、日分析，并可以按：饼图、折线图、条形图、详细数据等方式展现出来。资源访问统计分析可以查看具体某一资源在指定时间内的补访问情况，包括：点击日分析、流量月分析、流量日分析、用户分析、IP分析、时间分析，并可以按：饼图、折线图、条形图、详细数据等方式展现出来。用户访问统计分析可以查看具体用户在指定时间内的访问情况，包括：资源分析、IP分析、月分析、时间分析、日分析，并可以按：饼图、折线图、条形图、详细数据等方式展现出来。IP访问统计分析可以查看某个IP段在任一时间内的访问情况，包括：资源分析、IP分析、用户分析、时间分析、日分析，并可以按：饼图、折线图、条形图、详细数据等方式展现出来。机构访问统计分析可以查看任一机构（角色）在指定时间内的访问情况，包括：资源分析、月分析、IP分析、用户分析、时间分析、日分析。URL访问日志列出所有符合条件的URL日志，可以导出、删除日志。流量日志显示所有访问情况日志，可以导出、删除日志。系统管理与管理员帐号管理员管理添加、删除、修改管理员；修改管理密码和权限等。在线用户监控查看当前在线用户情况。系统状态跟踪查看当前系统的运行状态的一些信息。系统参数设置设置单位名称，注册码等一些系统参数。网络设置配置接入网路，可实现多网路接入。入侵检测跟踪跟踪非正常登陆用户情况，保证系统安全。留言板管理对于读者提出的问题予以解答并管理。常见问题管理对于读者留言的通用性问题可以直接设置为常见问题，也可以手动增加常见问题。计费（可选）充值管理可以进行充值操作退费管理可以退还未使用完的费用操作日志可以查看操作日志用户访问功能列表查看访问对象列出当前可以访问的访问对象，查看说明并可直接点击进入。资源导航可以将访问对象按类别进行导航，方便读者使用。常见问题可以查看系统管理员发布的常见问题进行参考。留言板可以给管理留言，管理员看见后可以进行回复。安全证书系统采用https安全认证证书，保证系统用户名和密码的安全性。（备选）。帐号状态显示帐户情况。在线用户显示在线用户情况。最高在线人数显示系统历史最高的在线人数。修改密码更新设置用户密码。三、适用单位1、院校局域网图书馆或网络中心IRAS系统能够实现专家学者和教师学生利用任何电话拨号上网、电信网通ADSL等宽带连接，在家里、网吧、甚至国外，只要有网络连接的地方就可以访问局域网园网上的基于Web的数字资源及其它网络访问对象，达到延伸信息资源服务空间、拓展网络化移动办公的目的，进一步提高信息