电子资源访问管理与控制系统的设计及应用

1、电子资源访问管理与控制系统的设计及应用 邹荣,张成昱,姜爱蓉,陈武,安常青摘要为了保证合法用户对电子资源的正当使用，清华大学图书馆与信息网络工程研究中心合作建立电子资源访问管理与控制系统。介绍电子资源访问管理和控制系统的设计理念与体系构造，系统实现方法及功能模块以及系统实现过程中出现的主要技术问题和解决方法；提出本系统的应用状况与需要改良的工作。关键词电子资源违规访问访问管理与控制过量下载图书馆应用1前言近年来，图书馆购置的电子资源数量有大幅度增长，为学校的教学科研提供了丰富的、便捷的信息效劳，受到广阔师生普遍欢送。但在电子资源的使用过程中，经常有少数读者发生大量下载电子资源的行为，被电子资源

2、出版商视为“违规下载，受到出版商惩罚；惩罚措施常常是停顿某个IP段或者整个学校IP范围对某种资源的访问，使大批正常使用的用户受到牵连，也败坏了学校的声誉。杜绝“违规下载，保护电子资源知识产权，保证用户对电子资源的正当使用权益是图书馆应该考虑的问题。清华图书馆与清华大学信息网络工程研究中心研究开发了电子资源访问管理与控制系统，对用户访问电子资源进展管理和控制。本文介绍电子资源访问管理与控制系统在清华大学图书馆的设计和应用。2电子资源访问管理与控制系统的建r2.1访问管理与控制系统需求分析根据校园网网络环境和电子资源存放位置把需要控制访问的资源分为两类：外部资源和内部资源。外部资源指的是校外所有数

3、据资源的IP地址域；内部资源指的是图书馆用于提供数据资源的IP地址域。访问管理和控制系统设计应该可以实时监视资源使用情况，防止用户滥用资源；与身份认证系统结合，获取用户信息；可以记录、统计用户资源使用情况，应该具备高性能并且可以实时处理千兆数据；并且可以防止单点故障，尽量减少单机故障对整套系统运行的影响；为便于管理，还应该做到界面友好、配置方便。2.2访问管理与控制系统体系构造访问管理和控制系统是用于规定如何作出访问决定的系统。访问管理和控制系统涵盖电子资源、用户和访问行为，通过对用户的控制到达控制对电子资源访问的目的。清华大学图书馆建立的访问控制系统构造见图1。从图1中可以看到，系统通过千兆

4、交换机的端口镜像功能把校园网出口的流量转发到数据采集效劳器，数据采集效劳器将相关网络数据包完好地转发给数据分析效劳器，用户必须通过校园网出口网关以后才能访问图书馆资源，数据分析系统统计访问信息，做违规检查，对访问进展控制，并做相关日志。根据校园网出口网关的信息，可以对用户进展追踪控制。为了防止单点故障，使用两台数据分析效劳器主备方式运行，当主效劳器发生故障时，备份效劳器自动接收。管理效劳器为管理员提供eb页面供查询和管理，访问管理与控制系统数据采集、数据分析、应用管理分布在不同效劳器上，协同工作。3电子资源访问管理与控制系统的功能实现访问管理与控制系统对用户访问进展实时监控，基于用户的访问流量

5、和频率来判断用户行为是否合理。访问管理与控制系统除了提供访问控制外，还提供日志分析。日志是通过审计访问记录实现的，访问记录包括用户访问了什么资源和进展了什么操作。该系统功能主要是通过几个功能模块来实现的：资源配置模块、违规检查模块、控制手段模块、日志分析模块。下面分别对这几个功能模块进展介绍。3.1资源配置图书馆管理员可以增加或删除需要进展访问管理和控制的电子资源，管理员点击“增加、“删除或者“修改功能，就可以增加、删除或者修改数据库的配置，如图2所示：配置完成后，需要点击“更新，才能使新配置生效。电子资源是通过资源站点的IP或IP段进展定位的，给出资源站点所在IP和子网掩码，就可以准确定位资

6、源站点了，如图3所示：3.2违规检查访问管理与控制系统检查给定时间内用户所使用的IP地址与所控制的资源站点之间的通讯，本文把某一用户与某一个数据库资源间的通讯称为一个“Ses-sin，它主要用来统计某用户对某数据库资源的访问情况，统计结果将作为违规判断的根据。假如“Ses-sin记录的用户访问行为超过指定界限，系统认为该用户此种访问行为违规。管理员可以针对不同电子资源站点所包含的不同文件类型，设置不同的违规规那么，并且检查给定时间内用户下载文件的个数，超过某个界限，认为违规。系统支持对于少量违规和屡次违规给予不同处理。管理员可以根据违规次数和违规程度的不同，设置不同的惩罚措施。系统断定违规的规

7、那么主要有发包频率限制，收包频率限制，出流量限制，人流量限制，下载频率限制。而且，每种规那么都可以定义三种不同的违规程度，设置不同的惩罚级别。其中，下载频率限制主要是针对数据库全文数据进展限制，这是本系统所使用的一个重要规那么。系统对用户和资源站点之间协议(目前为 )进展分析，分析用户恳求访问的内容，并根据其中的文件类型判断用户为下载或者阅读。如何定义某个站点的全文文件类型是一个比拟复杂的问题，因为每个数据库都有不同类型的全文数据，而且每个数据库发布系统在全文发布时，在系统URL中并没有明显特征。本系统对于资源站点文件类型的定义主要是通过一个客户端软件Privxy，进展本机代理，这样，通过本机

8、发出和获取的URL在该软件记录上显示，从这些URL上提取资源站点全文所独有的特征，作为访问管理和控制系统的判断根据。某个数据库的违规检查参数设置局部界面见图4。3.3控制手段当访问管理与控制系统检查到用户有违规操作时，系统将向用户推送一个“提醒页面，该页面显示用户违规访问的原因和系统采用的控制方法。系统视违规情节的轻重，利用清华大学现有的网络控制，采取如下三种控制手段：冻结用户对某个数据库的访问权限；冻结用户对校外网络的访问权限；冻结用户的网络帐号。管理员可以根据需要增加、删除和更改控制手段。在系统对用户进展任何操作之前，“提醒页面都会通知该用户系统对他的控制手段，以便用户理解并标准自己的访问

9、行为。为某个用户违规后所获得的“提醒页面，系统管理员可以根据需要和用户的反应，调整控制时间的长短，如图5所示：“提醒页面是系统和用户交互的一个重要组成局部，系统在后台运行，对于用户来说，是完全不可见的，所以，假如没有“提醒页面，用户可能不能判断无法访问资源站点的原因所在，系统就不能到达警告用户的目的。3.4日志分析日志分析是系统的一项根本功能，是用户理解该系统运转的重要局部。分析效劳器将信息记录在ra-le数据库中。用户的每条记录包括时间，源IP，目的IP，访问URL。记录系统检查到的用户违背规那么行为及处理手段记录包括时间，用户IP，数据库代号，违规行为代号，对应规那么编码，参数，处理手段代

10、号。访问管理与控制系统记录用户的每次恳求；记录系统检查到的用户违背规那么行为，记录对用户的处理手段。日志记录保存在数据库中，以供管理员查询和统计。管理员可以按照各种条件对违规情况、处分情况、资源访问情况进展查询。系统可以按照时间、资源站点、用户IP、用户名或用户证件号等等条件查询电子资源的访问情况；查询系统的违规与处分记录，并且根据违规与处分记录追踪到详细用户，系统管理员还可以根据违规与处分记录是否合理来断定违规检查和控制手段是否合理。根据系统所记录的日志，系统可以统计数据库访问状况。系统可以按照IP地址块分组对每个数据库在单位时间内的人流量、出流量、入包数、出包数、下载次数进展统计，还可以统

11、计访问该库的IP个数，平均每个IP的访问情况(入流量、出流量、入包数、出包数、下载次数)，最高访问情况(入流量、出流量、入包数、出包数、下载次数)。并且提供图表方式显示统计结果。系统可以对数据库违规信息进展统计，可以针对每个数据库统计总的违规次数、每种违规类型发生的次数、每种处理手段发生的次数、违规IP地址数进展统计。系统可以对IP违规情况进展统计，指定时间内违规次数最高的N(N代表任意整数)个IP的情况，包括违规次数、各种违规类型、处分情况等。可以针对所有数据库统计，也可以针对一种数据库统计。系统可以对数据库下载情况进展统计，统计指定时间内被访问次数排名位于前N位的文件、数据库、源IP及相关

12、信息。可以看到，系统日志分析模块非常重要，根据日志分析，可以获取所需要的各种统计信息。4电子资源访问管理与控制系统的应用及下一步工作从电子资源访问管理控制系统的构造和功能可以看到，该系统具有以下特征：系统采用HA架构实现高可靠性：系统支持HA架构，当主效劳器发生故障时，备份效劳器自动接收；系统具有高性能：通过算法设计支持千兆线路的处理才能，可以部署多条千兆线路；系统具有良好的可扩展性：各个功能按照模块构造设计，可以根据实际需求灵敏部署；系统具有灵敏的参数配置：管理员可以根据资源控制需求进展参数配置；系统具有丰富的统计信息：可以针对各个资源、IP范围、违规类型、控制手段等各种信息进展统计分析，系

13、统还具有图表的显示方式，可以给管理员提供丰富直观的信息；系统具有友好的用户交互：通过给用户推提示网页的方式，提醒用户系统对其做过何种操作，防止中断用户对于资源或网络的访问，导致用户不知所措。系统目前正在清华大学图书馆运行，获得了良好效果，在本系统运行之前，曾经发生过出版商对清华大学图书馆提出过违规警告信息。系统运行过程中，由于系统本身对用户有标准和警告功能，从而使用户可以意识到自己访问行为的不当，根本杜绝了用户有意识的大量下载电子资源的情况。随着电子资源的增多和用户的访问行为改变，电子资源访问管理控制系统还需要加强和完善。本系统下一步的改良工作重点有以下几个方面：增加用户认证功能，用户认证后才

14、能访问资源数据库，假如用户不认证，即使其位于合法访问的IP范围内，也不能访问数据库。增加用户管理功能，创立用户库，用户信息中含有证件号、院系、年级等。假如需要，还可以按用户组进展数据库访问行为分析。同时，还需要增加对用户账号的封禁、增删等管理功能。从前文表达可以看到，所有规那么设置都是基于IP进展的，在进一步的改良工作中，各个功能模块都增加按用户进展阈值设置的规那么。以IP判断改为以用户判断，假如一个用户同时用多个IP，那么合并到一个用户上。增加所有用户在一定时间内，访问某个数据库到达一定数值，那么在其后一段时间内对访问该数据库的用户推警告信息，并给管理员发送eail通知这个功能。增加系统日志分析模块中的统计功能，使系统可以按用户属性(院系、年级等)进展文献使用统计。增加每个数据库检索次数的规那么设定。可以看到，这些改良的工作在标准用户访问行为上将获得更好的效果；在统计用户访问行为上将提供更详细的信息。5结语图书馆的电子资源越来越多，图书馆为了保护电子资源的知识产权，维护学校的声誉，