基于代理模式的数字资源访问控制系统需求分析与框架设计-zxs

基于代理模式的数字资源访问控制系统需求分析与框架设计**？问题的提出**问题的提出〔一〕校外读者〔本校师生〕校外居住在外学习在外出差无法看到本校图书馆购置的电子资源！问题出在哪里？受控资源〔一〕受控资源：由图书馆自建或被图书馆购置使用权〔包括效劳〕的具有明显知识产权特征且使用范围被严格限定的数字化文献资源。使用范围的限定是指这些资源的使用只限于购置方所在单位的特定读者群，如某高校图书馆所在高校的全体教职员工和在册学生。在具体实践中主要因为技术上的原因和操作的简便性，受控资源使用范围的限定在概念上发生了异变。即由原来的“购置方所在单位的特定读者群〞转变为“购置方所在单位的网络范围内〞，后者在技术上通常由网络的IP地址来界定。**问题出在哪里？知识产权！**问题出在哪里？知识产权保护读者限定网络限定IP限定**问题出在哪里？问题的症结：校外读者所处在的网络IP不在限定的范围内。**通过代理效劳器中转访问请求！代理效劳器：代理效劳器位于浏览器〔信宿〕和被访问效劳器〔信源〕之间，其主要作用是将各浏览器的访问请求转发到信源效劳器，并将应答信息回传给浏览器。只要该代理效劳器位于合法网络范围内，信宿主机〔浏览器〕的请求便通过该代理效劳器得以合法成认。解决此问题的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 与途径**问题的提出〔二〕校外读者〔本校师生〕校外居住在外学习在外出差即使通过代理效劳器也常常无法正常看到本校图书馆购置的电子资源！问题出在哪里？受控资源〔二〕防止受控资源被恶意下载：出于对知识产权的保护意识，各图书馆购置网上使用权的绝大局部国外数字文献资源还具有防止恶意下载的功能。防止受控资源被恶意下载的具体实现方式为对访问该资源的任何IP做流量分析和访问 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 统计分析，当该IP在某一时间区间内的总访问流量到达他们所确定的阀值或在某一时间区间内的访问内容到达他们所确定的特征时，便认为该IP的用户具有恶意下载情节。对恶意下载的处理方法是轻者对使用单位提出警告，重者封掉使用单位的IP以拒绝其使用权。**问题出在哪里？当大量用户同时集中访问某网络资源时，由于访问量过大或凑巧访问内容符合该网络资源系统所确认的恶意下载特征，使得该代理效劳器甚至该效劳器所处的整个网段被该网络资源系统封掉。当大量用户同时获取代理效劳器提供的代理效劳造成代理效劳器网络带宽或代理效劳器其它资源被消耗殆尽时，代理效劳崩溃。某些网络资源不提供传输层及更下层代理效劳所请求的效劳〔如目前的书生之家电子图书系统〕。**通过多台代理效劳器实现代理负载均衡来联合提供代理效劳！代理负载均衡：设置多台代理效劳器，将众多用户的访问需求平均地加载到这些效劳器上，以负载均衡的方法减少或去除受控资源系统对代理效劳的误判，并减轻单个代理效劳器负荷防止代理效劳器崩溃。对负载量的计算主要集中在网络流量、CPU占用率、I/O占用率和主存占用率上，最近时间段内的读者访问内容〔通过统一资源定位符URL判断〕也必须是负载计算的重要考虑因素。解决此问题的方法与途径**代理负载均衡原理前置代理效劳器：只面向用户的代理效劳器，它由唯一一台高性能效劳器组成。前置效劳器对用户是透明而对受控资源系统是隐藏的，用户端代理效劳器相关参数设置只跟前置效劳器有关。用户认证由前置代理效劳器完成，负载均衡的计算与控制通过前置代理效劳器实现。后置代理效劳器：只面向受控资源系统，对用户来说是隐藏的，由多台效劳器构成。读者对受控资源的访问由前置效劳器经负载均衡计算后分发给后置效劳器，再由后置效劳器对目标资源做访问，返回的结果通过前置代理效劳器回传给读者。**代理负载均衡原理**问题的提出〔三〕如何保证代理效劳不被不法者滥用，也就是如何有效地保护数据提供商的利益，更好地保护知识产权？同时也更好地保护合法读者的权益？**问题出在哪里？可以想象代理效劳器使用匿名登录的后果吗？即使采用了简单的用户认证机制，如何面对和解决用户帐号扩散带来的问题？**用户认证：利用图书馆自动化管理系统中的读者信息构建代理效劳的用户自动识别与认证机制。权限控制：通过读者信息库中的读者级别在认证机制中添加用户级别和访问权限控制功能〔如违规读者识别、单位时间内的总访问时间、对可控资源的访问范围、URL过滤与屏蔽、瞬间访问流量限制和单位时间内总访问流量限制等〕，其它必要信息由代理效劳器在本地重构特别用户信息库。一次登录：当任一用户账号在通过认证和退出系统这一时间范围内，系统不容许该账号的第二次重复登录。解决此问题的方法与途径**底层数据库为开放型的集成管理系统时的认证模式：用户认证和权限控制底层数据库为非开放型的集成管理系统时的认证模式：**问题的提出〔四〕通常情况下，当浏览器通过代理效劳器上网后，其效率和速度将明显下降。因此，如何防止用户在访问非受控资源时或该用户本来就在合法的网络环境中却遭受不必要的代理效劳所带来的困境，以及防止代理效劳器不必要的沉重负载？**问题出在哪里？**解决此问题的方法与途径受控资源的判断：对本馆受控资源的URL地址整理并录入到一个文本文档或二维 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 中，系统对某一资源是否为受控资源的判断准那么为，读取用户在浏览器地址栏中输入的URL地址，将这一地址与本馆受控资源文档做比较，有相同记录的即为受控资源，没有的为非受控资源。合法网络的判断：系统读取用户主机的IP地址，将其与本校校园网IP〔提供给数据商的全部网络IP〕作比较即可。**解决此问题的方法与途径具体实现时可编写一个reg注册表修改文件，让读者下载并运行，运行后文件将对MicrosoftWindows操作系统中注册表中的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings]键值进行修改以增加IE浏览器中自动配置脚本的地址。如下例：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings]"AutoConfigURL"="://lib.wust.edu/proxy/lib.pac"**解决此问题的方法与途径再编写一个自动配置脚本，用以判断用户所在网络是否为受控资源的合法使用地址并定义受控资源的URL地址。如下例：functionFindProxyForURL(url,host){if(isInNet(myIpAddress(),"202.114.240.0","255.255.255.0"))return"DIRECT";elseif(isInNet(myIpAddress(),"202.114.251.0","255.255.255.0"))return"DIRECT";elseif(dnsResolve(host)=="202.114.244.118"){return"PROXY202.114.244.98:8080";}elseif(dnsResolve(host)=="202.114.244.114"){return"PROXY202.114.244.98:8080";}elseif(dnsResolve(host)=="198.81.200.2"){return"PROXY202.114.244.98:8080";}elseif(dnsResolve(host)=="://sciencedirect/"){return"PROXY202.114.244.98:8080";}else{return"DIRECT";}}**解决此问题的方法与途径**以上是用户需求的四个主要问题及其解决思路。除此之外。。。**系统的层次结构系统工作在应用层，传输层亦或网络层？日志、统计、结算和评价系统的运行环境系统的平安性**系统的层次结构**本系统是工作在应用层，传输层，亦或网络层？代理效劳的实现机理由其工作的分层区域决定。一般可分为线路层代理，应用层〔SONET分层模型中的一层，相似于ISO/OSI中的表示层或TCP/IP中的传输层〕代理,智能线路层代理〔SOCKS〕等等。一般的应用层代理效劳器工作在应用层，并且针对不用的网络应用提供不同的处理方法，比方HTTP，FTP,SMTP等，这样，一旦有新的网络应用出现时，应用层代理效劳器就不能提供对该应用的代理，因此应用层代理效劳器的可扩展性并不好；与应用层代理效劳器不同的是，SOCKS代理效劳器旨在提供一种广义的代理效劳，它与具体的应用无关，不管在出现什么新的应用都能提供代理效劳，因为SOCKS代理工作在线路层〔即应用层和传输层之间〕，这和单纯工作在网络层或传输层的IP欺骗〔或者叫做网络地址转换NAT〕又有所不同，因为SOCKS不能提供网络层网关效劳，比方ICMP包转发等。目前的SOCKS版本是第五版，第五版同第四版的区别主要在于第五版提供多种不同的用户认证方法和UDP代理。**本系统是工作在应用层，传输层，亦或网络层？TCP/IP网络分层：应用层传输层网络层接口主机A物理网络应用层传输层网络层接口主机B相同报文相同传输协议分组相同IP数据报相同网络帧**本系统是工作在应用层，传输层，亦或网络层？无连接IP数据报格式：版本头标长服务类型总长标识标志片偏移生成时间协议头标校验和源IP地址信宿IP地址IP选项填充域……04816192431数据区报头32X6bit**系统流程图实例：流程图附注：A：正在访问的是否是图书馆受控资源？B：客户机是否在校园网IP范围内？C：是否是图书馆合法账号？D：是否有受控资源的访问权？E：账号是否被限制使用？F1~Fn：代理效劳器Proxyn是否繁忙？提示1：非我馆账号，请重新检查后再试。提示2：对不起，你现在还没有网络资源使用权，如需要申请，请查看XX网页或跟XX联系。提示3：您的账号因XX原因已被限制使用，如有疑问请查看XX网页或跟XX联系。提示4：网络繁忙，请稍后再试。**感谢省图工委及自动化专业委员会的各位老师以及本次会务组给我这个时机向全省图书馆界的代表额要介绍一下本人目前在这图书馆数字资源访问控制这方面的一些想法和研究成果，同时将武汉科技大学图书馆在这一方面的情况和将要做的工作做一个简单地介绍企望能抛砖引玉，以此调动图书馆界对此感兴趣的人士的积极思考，最后能形成一个比较完善的解决方案或产品使我省高校图书馆的数字资源能在任何时间和任何地方都能对我们的读者提供最好的效劳！谢谢大家！