基于代理模式的數(shù)字資源訪問(wèn)控制系統(tǒng)需求分析與框架設(shè)計(jì)-zxs

基于代理模式的

數(shù)字資源訪問(wèn)控制系統(tǒng)

需求分析與框架設(shè)計(jì)武漢科技大學(xué)圖書館鄒曉順2004.11湖北宜昌2023/3/181？問(wèn)題的提出2023/3/182問(wèn)題的提出（一）校外讀者

（本校師生）校外居住在外學(xué)習(xí)在外出差無(wú)法看到本校圖書館購(gòu)買的電子資源！[]2023/3/183問(wèn)題出在哪里？2023/3/184受控資源

（一）

受控資源：由圖書館自建或被圖書館購(gòu)買使用權(quán)（包括服務(wù)）的具有明顯知識(shí)產(chǎn)權(quán)特征且使用范圍被嚴(yán)格限定的數(shù)字化文獻(xiàn)資源。

使用范圍的限定是指這些資源的使用只限于購(gòu)買方所在單位的特定讀者群，如某高校圖書館所在高校的全體教職員工和在冊(cè)學(xué)生。

在具體實(shí)踐中主要因?yàn)榧夹g(shù)上的原因和操作的簡(jiǎn)便性，受控資源使用范圍的限定在概念上發(fā)生了異變。即由原來(lái)的“購(gòu)買方所在單位的特定讀者群”轉(zhuǎn)變?yōu)椤百?gòu)買方所在單位的網(wǎng)絡(luò)范圍內(nèi)”，后者在技術(shù)上通常由網(wǎng)絡(luò)的IP地址來(lái)界定。

2023/3/185問(wèn)題出在哪里？知識(shí)產(chǎn)權(quán)！2023/3/186問(wèn)題出在哪里？

知識(shí)產(chǎn)權(quán)保護(hù)讀者限定網(wǎng)絡(luò)限定IP限定2023/3/187問(wèn)題出在哪里？問(wèn)題的癥結(jié)：校外讀者所處在的網(wǎng)絡(luò)IP不在限定的范圍內(nèi)。2023/3/188

通過(guò)代理服務(wù)器中轉(zhuǎn)訪問(wèn)請(qǐng)求！代理服務(wù)器：代理服務(wù)器位于瀏覽器（信宿）和被訪問(wèn)服務(wù)器（信源）之間，其主要作用是將各瀏覽器的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到信源服務(wù)器，并將應(yīng)答信息回傳給瀏覽器。

只要該代理服務(wù)器位于合法網(wǎng)絡(luò)范圍內(nèi)，信宿主機(jī)（瀏覽器）的請(qǐng)求便通過(guò)該代理服務(wù)器得以合法承認(rèn)。解決此問(wèn)題的辦法與途徑2023/3/189問(wèn)題的提出（二）校外讀者

（本校師生）校外居住在外學(xué)習(xí)在外出差即使通過(guò)代理服務(wù)器也常常無(wú)法正?？吹奖拘D書館購(gòu)買的電子資源！[]2023/3/1810問(wèn)題出在哪里？2023/3/1811受控資源

（二）

防止受控資源被惡意下載：出于對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)意識(shí)，各圖書館購(gòu)買網(wǎng)上使用權(quán)的絕大部分國(guó)外數(shù)字文獻(xiàn)資源還具有防止惡意下載的功能。防止受控資源被惡意下載的具體實(shí)現(xiàn)方式為對(duì)訪問(wèn)該資源的任何IP做流量分析和訪問(wèn)內(nèi)容統(tǒng)計(jì)分析，當(dāng)該IP在某一時(shí)間區(qū)間內(nèi)的總訪問(wèn)流量達(dá)到他們所確定的閥值或在某一時(shí)間區(qū)間內(nèi)的訪問(wèn)內(nèi)容達(dá)到他們所確定的特征時(shí)，便認(rèn)為該IP的用戶具有惡意下載情節(jié)。對(duì)惡意下載的處理辦法是輕者對(duì)使用單位提出警告，重者封掉使用單位的IP以拒絕其使用權(quán)。

2023/3/1812問(wèn)題出在哪里？當(dāng)大量用戶同時(shí)集中訪問(wèn)某網(wǎng)絡(luò)資源時(shí)，由于訪問(wèn)量過(guò)大或湊巧訪問(wèn)內(nèi)容符合該網(wǎng)絡(luò)資源系統(tǒng)所確認(rèn)的惡意下載特征，使得該代理服務(wù)器甚至該服務(wù)器所處的整個(gè)網(wǎng)段被該網(wǎng)絡(luò)資源系統(tǒng)封掉。當(dāng)大量用戶同時(shí)獲取代理服務(wù)器提供的代理服務(wù)造成代理服務(wù)器網(wǎng)絡(luò)帶寬或代理服務(wù)器其它資源被消耗殆盡時(shí)，代理服務(wù)崩潰。某些網(wǎng)絡(luò)資源不提供傳輸層及更下層代理服務(wù)所請(qǐng)求的服務(wù)（如目前的書生之家電子圖書系統(tǒng)）。2023/3/1813

通過(guò)多臺(tái)代理服務(wù)器實(shí)現(xiàn)代理負(fù)載均衡來(lái)聯(lián)合提供代理服務(wù)！

代理負(fù)載均衡：設(shè)置多臺(tái)代理服務(wù)器，將眾多用戶的訪問(wèn)需求平均地加載到這些服務(wù)器上，以負(fù)載均衡的方法減少或去除受控資源系統(tǒng)對(duì)代理服務(wù)的誤判，并減輕單個(gè)代理服務(wù)器負(fù)荷避免代理服務(wù)器崩潰。對(duì)負(fù)載量的計(jì)算主要集中在網(wǎng)絡(luò)流量、CPU占用率、I/O占用率和主存占用率上，最近時(shí)間段內(nèi)的讀者訪問(wèn)內(nèi)容（通過(guò)統(tǒng)一資源定位符URL判斷）也必須是負(fù)載計(jì)算的重要考慮因素。解決此問(wèn)題的辦法與途徑2023/3/1814代理負(fù)載均衡原理前置代理服務(wù)器：只面向用戶的代理服務(wù)器，它由唯一一臺(tái)高性能服務(wù)器組成。前置服務(wù)器對(duì)用戶是透明而對(duì)受控資源系統(tǒng)是隱藏的，用戶端代理服務(wù)器相關(guān)參數(shù)設(shè)置只跟前置服務(wù)器有關(guān)。用戶認(rèn)證由前置代理服務(wù)器完成，負(fù)載均衡的計(jì)算與控制通過(guò)前置代理服務(wù)器實(shí)現(xiàn)。后置代理服務(wù)器：只面向受控資源系統(tǒng)，對(duì)用戶來(lái)說(shuō)是隱藏的，由多臺(tái)服務(wù)器構(gòu)成。讀者對(duì)受控資源的訪問(wèn)由前置服務(wù)器經(jīng)負(fù)載均衡計(jì)算后分發(fā)給后置服務(wù)器，再由后置服務(wù)器對(duì)目標(biāo)資源做訪問(wèn)，返回的結(jié)果通過(guò)前置代理服務(wù)器回傳給讀者。2023/3/1815代理負(fù)載均衡原理2023/3/1816問(wèn)題的提出（三）如何保證代理服務(wù)不被不法者濫用，也就是如何有效地保護(hù)數(shù)據(jù)提供商的利益，更好地保護(hù)知識(shí)產(chǎn)權(quán)？同時(shí)也更好地保護(hù)合法讀者的權(quán)益？2023/3/1817問(wèn)題出在哪里？可以想象代理服務(wù)器使用匿名登錄的后果嗎？即使采用了簡(jiǎn)單的用戶認(rèn)證機(jī)制，如何面對(duì)和解決用戶帳號(hào)擴(kuò)散帶來(lái)的問(wèn)題？2023/3/1818用戶認(rèn)證：利用圖書館自動(dòng)化管理系統(tǒng)中的讀者信息構(gòu)建代理服務(wù)的用戶自動(dòng)識(shí)別與認(rèn)證機(jī)制。

權(quán)限控制：通過(guò)讀者信息庫(kù)中的讀者級(jí)別在認(rèn)證機(jī)制中添加用戶級(jí)別和訪問(wèn)權(quán)限控制功能（如違規(guī)讀者識(shí)別、單位時(shí)間內(nèi)的總訪問(wèn)時(shí)間、對(duì)可控資源的訪問(wèn)范圍、URL過(guò)濾與屏蔽、瞬間訪問(wèn)流量限制和單位時(shí)間內(nèi)總訪問(wèn)流量限制等），其它必要信息由代理服務(wù)器在本地重構(gòu)特別用戶信息庫(kù)。

一次登錄：當(dāng)任一用戶賬號(hào)在通過(guò)認(rèn)證和退出系統(tǒng)這一時(shí)間范圍內(nèi)，系統(tǒng)不容許該賬號(hào)的第二次重復(fù)登錄。解決此問(wèn)題的辦法與途徑2023/3/1819底層數(shù)據(jù)庫(kù)為開(kāi)放型的集成管理系統(tǒng)時(shí)的認(rèn)證模式：

用戶認(rèn)證和權(quán)限控制底層數(shù)據(jù)庫(kù)為非開(kāi)放型的集成管理系統(tǒng)時(shí)的認(rèn)證模式：

2023/3/1820問(wèn)題的提出（四）通常情況下，當(dāng)瀏覽器通過(guò)代理服務(wù)器上網(wǎng)后，其效率和速度將明顯下降。因此，如何避免用戶在訪問(wèn)非受控資源時(shí)或該用戶本來(lái)就在合法的網(wǎng)絡(luò)環(huán)境中卻遭受不必要的代理服務(wù)所帶來(lái)的困境，以及避免代理服務(wù)器不必要的沉重負(fù)載？2023/3/1821問(wèn)題出在哪里？2023/3/1822解決此問(wèn)題的辦法與途徑

受控資源的判斷：對(duì)本館受控資源的URL地址整理并錄入到一個(gè)文本文檔或二維表中，系統(tǒng)對(duì)某一資源是否為受控資源的判斷準(zhǔn)則為，讀取用戶在瀏覽器地址欄中輸入的URL地址，將這一地址與本館受控資源文檔做比較，有相同記錄的即為受控資源，沒(méi)有的為非受控資源。合法網(wǎng)絡(luò)的判斷：系統(tǒng)讀取用戶主機(jī)的IP地址，將其與本校校園網(wǎng)IP（提供給數(shù)據(jù)商的全部網(wǎng)絡(luò)IP）作比較即可。2023/3/1823解決此問(wèn)題的辦法與途徑具體實(shí)現(xiàn)時(shí)可編寫一個(gè)reg注冊(cè)表修改文件，讓讀者下載并運(yùn)行，運(yùn)行后文件將對(duì)MicrosoftWindows操作系統(tǒng)中注冊(cè)表中的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings]鍵值進(jìn)行修改以增加IE瀏覽器中自動(dòng)配置腳本的地址。如下例：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings]"AutoConfigURL"="/proxy/lib.pac"2023/3/1824解決此問(wèn)題的辦法與途徑

再編寫一個(gè)自動(dòng)配置腳本，用以判斷用戶所在網(wǎng)絡(luò)是否為受控資源的合法使用地址并定義受控資源的URL地址。如下例：

functionFindProxyForURL(url,host){if(isInNet(myIpAddress(),"",""))return"DIRECT";elseif(isInNet(myIpAddress(),"",""))return"DIRECT";elseif(dnsResolve(host)=="18"){return"PROXY8:8080";}elseif(dnsResolve(host)=="14"){return"PROXY8:8080";}elseif(dnsResolve(host)==""){return"PROXY8:8080";}elseif(dnsResolve(host)=="/"){return"PROXY8:8080";}else{return"DIRECT";}}2023/3/1825解決此問(wèn)題的辦法與途徑2023/3/1826以上是用戶需求的四個(gè)主要問(wèn)題及其解決思路。除此之外。。。2023/3/1827系統(tǒng)的層次結(jié)構(gòu)系統(tǒng)工作在應(yīng)用層，傳輸層亦或網(wǎng)絡(luò)層？日志、統(tǒng)計(jì)、結(jié)算和評(píng)價(jià)系統(tǒng)的運(yùn)行環(huán)境系統(tǒng)的安全性2023/3/1828系統(tǒng)的層次結(jié)構(gòu)2023/3/1829本系統(tǒng)是工作在應(yīng)用層，傳輸層，亦或網(wǎng)絡(luò)層？代理服務(wù)的實(shí)現(xiàn)機(jī)理由其工作的分層區(qū)域決定。一般可分為線路層代理，應(yīng)用層（SONET分層模型中的一層，相似于ISO/OSI中的表示層或TCP/IP中的傳輸層）代理,智能線路層代理（SOCKS）等等。一般的應(yīng)用層代理服務(wù)器工作在應(yīng)用層，并且針對(duì)不用的網(wǎng)絡(luò)應(yīng)用提供不同的處理方法，比如

HTTP，F(xiàn)TP,SMTP等，這樣，一旦有新的網(wǎng)絡(luò)應(yīng)用出現(xiàn)時(shí)，應(yīng)用層代理服務(wù)器就不能提供對(duì)該應(yīng)用的代理，因此應(yīng)用層代理服務(wù)器的可擴(kuò)展性并不好；與應(yīng)用層代理服務(wù)器不同的是，SOCKS代理服務(wù)器旨在提供一種廣義的代理服務(wù)，它與具體的應(yīng)用無(wú)關(guān)，不管在出現(xiàn)什么新的應(yīng)用都能提供代理服務(wù)，因?yàn)镾OCKS代理工作在線路層（即應(yīng)用層和傳輸層之間），這和單純工作在網(wǎng)絡(luò)層或傳輸層的

IP欺騙（或者叫做網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT）又有所不同，因?yàn)镾OCKS不能提供網(wǎng)絡(luò)層網(wǎng)關(guān)服務(wù)，比如ICMP包轉(zhuǎn)發(fā)等。目前的SOCKS版本是第五版，第五版同第四版的區(qū)別主要在于第五版提供多種不同的用戶認(rèn)證方法和

UDP代理。

2023/3/1830本系統(tǒng)是工作在應(yīng)用層，傳輸層，亦或網(wǎng)絡(luò)層？

TCP/IP網(wǎng)絡(luò)分層：應(yīng)用層傳輸層網(wǎng)絡(luò)層接口主機(jī)A物理網(wǎng)絡(luò)應(yīng)用層傳輸層網(wǎng)絡(luò)層接口主機(jī)B相同報(bào)文相同傳輸協(xié)議分組相同IP數(shù)據(jù)報(bào)相同網(wǎng)絡(luò)幀2023/3/1831本系統(tǒng)是工作在應(yīng)用層，傳輸層，亦或網(wǎng)絡(luò)層？

無(wú)連接IP數(shù)據(jù)報(bào)格式：版本頭標(biāo)長(zhǎng)服務(wù)類型總長(zhǎng)標(biāo)識(shí)標(biāo)志片偏移生成時(shí)間協(xié)議頭標(biāo)校驗(yàn)和源IP地址信宿IP地址IP選項(xiàng)填充域……04816192431數(shù)據(jù)區(qū)報(bào)頭32X6bit2023/3/1832系統(tǒng)流程圖實(shí)例：流程圖附注：A：正在訪問(wèn)的是否是圖書館受控資源？B：客戶機(jī)是否在校園網(wǎng)IP范圍內(nèi)？C：是否是圖書館合法賬號(hào)？D：是否有受控資源的訪問(wèn)權(quán)？E：賬號(hào)是否被限制使用？F1~Fn：代理服務(wù)器Proxyn是否繁忙？提示1：非我館賬號(hào)，請(qǐng)重新檢查后再試。提示2：對(duì)不起，你現(xiàn)在還沒(méi)有網(wǎng)絡(luò)資源使用權(quán)，如需要申請(qǐng)，請(qǐng)查看XX網(wǎng)頁(yè)或跟XX聯(lián)系。提示3：您的賬號(hào)因XX原因已被限制使用，如有疑問(wèn)請(qǐng)查看XX網(wǎng)頁(yè)或跟XX聯(lián)系。提示4：網(wǎng)絡(luò)繁忙，請(qǐng)稍后再試。

2023/3/1833感謝省