2004 年湖北省高校图书馆 自动化和数字图书馆工作研讨会
DESCRIPTION
2004 年湖北省高校图书馆 自动化和数字图书馆工作研讨会. 数字图书馆网络的访问控制技术. 武汉大学图书馆 夏正伟. Agenda : 0. 高校数字图书馆发展和应用现状 1. 为什么要对数字图书馆进行访问控制? 2. 数字图书馆常见的访问控制方式 3. 我馆网络访问控制的具体实践 4. Web Service 等技术在访问控制中的应用展望. 高校数字图书馆发展和应用现状. 数字化图书馆已经成为不可缺少的文献保障手段。很多高校已经提出数字图书馆资源门户的概念,纷纷加大对数字资源建设和购买的力度,文献资源数字化、图书馆服务网络化是一个不可逆转的趋势。. - PowerPoint PPT PresentationTRANSCRIPT
2004 年湖北省高校图书馆自动化和数字图书馆工作研讨会
2004 年湖北省高校图书馆自动化和数字图书馆工作研讨会
数字图书馆网络的访问控制技术数字图书馆网络的访问控制技术
武汉大学图书馆 夏正伟武汉大学图书馆 夏正伟
Agenda:
0. 高校数字图书馆发展和应用现状
1. 为什么要对数字图书馆进行访问控制?
2. 数字图书馆常见的访问控制方式
3. 我馆网络访问控制的具体实践
4. Web Service 等技术在访问控制中的应用展望
Agenda:
0. 高校数字图书馆发展和应用现状
1. 为什么要对数字图书馆进行访问控制?
2. 数字图书馆常见的访问控制方式
3. 我馆网络访问控制的具体实践
4. Web Service 等技术在访问控制中的应用展望
高校数字图书馆发展和应用现状高校数字图书馆发展和应用现状
数字化图书馆已经成为不可缺少的文献保障手段。很多高校已经提出数字图书馆资源门户的概念,纷纷加大对数字资源建设和购买的力度,文献资源数字化、图书馆服务网络化是一个不可逆转的趋势。
数字化图书馆已经成为不可缺少的文献保障手段。很多高校已经提出数字图书馆资源门户的概念,纷纷加大对数字资源建设和购买的力度,文献资源数字化、图书馆服务网络化是一个不可逆转的趋势。
高校数字图书馆发展和应用现状高校数字图书馆发展和应用现状
越来越多的读者习惯于使用数字图书馆获取信息,电子资源易于检索,易于重现 , 不受开放时间和地点所限制等特点方便读者使用.
数字图书馆已成为传统图书馆服务的有力挑战 .
越来越多的读者习惯于使用数字图书馆获取信息,电子资源易于检索,易于重现 , 不受开放时间和地点所限制等特点方便读者使用.
数字图书馆已成为传统图书馆服务的有力挑战 .
高校数字图书馆发展和应用现状高校数字图书馆发展和应用现状
相当一部分读者在电子资源的使用上尚存在技巧上和技术上的障碍.如: 各种专用软件安装设置上的困难 .
读者对电子阅读方式的不习惯 .
住在校外的学生不能直接访问图书馆的信息资源.
一般高校图书馆内的计算机网络是校园网的一个子网,并连接到Internet , 这样就成为了一个对外网开放的网络信息中心。
一般高校图书馆内的计算机网络是校园网的一个子网,并连接到Internet , 这样就成为了一个对外网开放的网络信息中心。
为什么要进行访问控制?为什么要进行访问控制?
高校图书馆需要对其藏有的数字化资源实施有效访问控制, 以确保信息发布者的合法权益,保证合法用户可以快速高效利用网络信息资源,有效防止非法用户的未经授权的访问和入侵,保护电子资源的知识产权。
高校图书馆需要对其藏有的数字化资源实施有效访问控制, 以确保信息发布者的合法权益,保证合法用户可以快速高效利用网络信息资源,有效防止非法用户的未经授权的访问和入侵,保护电子资源的知识产权。
为什么要进行访问控制?为什么要进行访问控制?
• 访问控制技术是计算机安全领域一项传统的技术 ,其基本任务就是防止非法用户进入系统及合法用户对系统资源的非法使用。访问控制一般都是基于安全政策和安全模型的。即系统根据访问控制表 (ACL) 和用户身份判定用户所具有的操作权限。
• 访问控制技术是计算机安全领域一项传统的技术 ,其基本任务就是防止非法用户进入系统及合法用户对系统资源的非法使用。访问控制一般都是基于安全政策和安全模型的。即系统根据访问控制表 (ACL) 和用户身份判定用户所具有的操作权限。
数字图书馆访问控制常见的尺度:
公开可访问:所有人均可以存取的资源,如某图书馆的网站首页,某馆馆藏OPAC 检索等.
特定对象可访问:购置的商业数据库及本地镜像,学位论文数据库
数字图书馆访问控制常见的尺度:
公开可访问:所有人均可以存取的资源,如某图书馆的网站首页,某馆馆藏OPAC 检索等.
特定对象可访问:购置的商业数据库及本地镜像,学位论文数据库
常见的访问控制方式常见的访问控制方式
1. 使用访问者的 IP 地址进行访问控制.优点:方便合法用户的使用,无须用户登录
.缺点:易受地域限制,校园网外读者无法使
用.访问控制容易被绕过.如通过私自开设的代理服务器
1. 使用访问者的 IP 地址进行访问控制.优点:方便合法用户的使用,无须用户登录
.缺点:易受地域限制,校园网外读者无法使
用.访问控制容易被绕过.如通过私自开设的代理服务器
常见实现方法:
基于 HTTP协议的 REMOTE_ADDR 变量.
在 Web编程中对该变量进行校验.
常见实现方法:
基于 HTTP协议的 REMOTE_ADDR 变量.
在 Web编程中对该变量进行校验.
2. 使用用户名 /密码进行访问控制.优点: 不受地域限制缺点: 公开发布的用户名 /密码易扩散
,不能有效限制特定用户访问. 不同的数据库资源可能有不同的
用户名 /密码,造成读者记忆上的负担.
2. 使用用户名 /密码进行访问控制.优点: 不受地域限制缺点: 公开发布的用户名 /密码易扩散
,不能有效限制特定用户访问. 不同的数据库资源可能有不同的
用户名 /密码,造成读者记忆上的负担.
最好采用 SSL协议进行用户名/密码的传送.
最好采用 SSL协议进行用户名/密码的传送.
3.使用 USB 加密设备或加密狗等硬件技术实现.
优点:可靠性强,不可能伪造 缺点:成本较高,难普及,需要对
现有应用程序进行改动. 目前一般应用在大型数据库本地安装
的镜像服务器上.防止非法复制.
3.使用 USB 加密设备或加密狗等硬件技术实现.
优点:可靠性强,不可能伪造 缺点:成本较高,难普及,需要对
现有应用程序进行改动. 目前一般应用在大型数据库本地安装
的镜像服务器上.防止非法复制.
4.采用 DRM 技术 数字版权保护技术 DRM ( Digital Rights
Management):即通过加密、信息安全传递等技术,防止数字信息的非法拷贝、非法打印和散发。 DRM 技术目的是保护数字内容的版权,从技术上防止数字内容的非法复制,最终用户必须得到授权后才能使用数字内容。
4.采用 DRM 技术 数字版权保护技术 DRM ( Digital Rights
Management):即通过加密、信息安全传递等技术,防止数字信息的非法拷贝、非法打印和散发。 DRM 技术目的是保护数字内容的版权,从技术上防止数字内容的非法复制,最终用户必须得到授权后才能使用数字内容。
• 随着中国加入 WTO组织,如何有效地对数字资源进行知识产权的保护,如何在线安全提供数字资源的可控制访问与使用是很多图书馆亟待解决的问题。在采用 DRM 技术前,传统技术的缺陷在于无法实现对电子文献的保护, 无法控制信息输出后的使用与传播, 无法实现对不同用户的个性化权限控制, 无法实现对电子信息使用量、用户数量和传播量(包括范围)的有效控制(如可计量)。
• 随着中国加入 WTO组织,如何有效地对数字资源进行知识产权的保护,如何在线安全提供数字资源的可控制访问与使用是很多图书馆亟待解决的问题。在采用 DRM 技术前,传统技术的缺陷在于无法实现对电子文献的保护, 无法控制信息输出后的使用与传播, 无法实现对不同用户的个性化权限控制, 无法实现对电子信息使用量、用户数量和传播量(包括范围)的有效控制(如可计量)。
• 国内推出的 DRM 系统有方正 Apabi 和北大数字图书馆研究所研制开发的“ IDL-DRM 数字版权保护系统”(学位论文 PDF版)等。如 IDL-DRM遵循国际版权保护组织提出的 ORDL(Open Digital Rights Language) 开放标准,使图书馆能够对 PDF 全文的使用范围和使用权限(如阅读、打印、保存等)进行灵活的控制,满足图书馆对其学位论文进行安全奋发和版权保护的需要。其提供了开放接口,能够和 CALIS认证中心和计费中心无缝集成,成为“ CALIS 高校学位论文数据库”服务系统的安全基础设施。 DRM 技术的应用在数字图书馆领域尚属于起步阶段,相信将来会有更广泛的应用前景。
• 国内推出的 DRM 系统有方正 Apabi 和北大数字图书馆研究所研制开发的“ IDL-DRM 数字版权保护系统”(学位论文 PDF版)等。如 IDL-DRM遵循国际版权保护组织提出的 ORDL(Open Digital Rights Language) 开放标准,使图书馆能够对 PDF 全文的使用范围和使用权限(如阅读、打印、保存等)进行灵活的控制,满足图书馆对其学位论文进行安全奋发和版权保护的需要。其提供了开放接口,能够和 CALIS认证中心和计费中心无缝集成,成为“ CALIS 高校学位论文数据库”服务系统的安全基础设施。 DRM 技术的应用在数字图书馆领域尚属于起步阶段,相信将来会有更广泛的应用前景。
我馆网络访问控制的具体实践 我馆网络访问控制的具体实践
• 在网络访问控制方面,我们除了采取了上述的几种控制手段外,还根据我馆的实际情况,使用了下面几种技术方案:
• 在网络访问控制方面,我们除了采取了上述的几种控制手段外,还根据我馆的实际情况,使用了下面几种技术方案:
• ( 1) 应用代理服务器来满足校内不能访问出国访问的计算机访问我馆订购的国外数据库,以及不能直接接入校园网的读者访问我馆的数据库资源,通过适当的访问控制手段进行管理。
• 代理服务器软件采用免费开放源代码的 Squid
代理服务软件,操作系统采取 Redhat Linux
,同时安装 sqlogmgr 进行 Squid日志的管理
• ( 1) 应用代理服务器来满足校内不能访问出国访问的计算机访问我馆订购的国外数据库,以及不能直接接入校园网的读者访问我馆的数据库资源,通过适当的访问控制手段进行管理。
• 代理服务器软件采用免费开放源代码的 Squid
代理服务软件,操作系统采取 Redhat Linux
,同时安装 sqlogmgr 进行 Squid日志的管理
在 Squid 的配置文件 squid.conf 中,我们采取了几种策略 : 基于访问者源 IP
地址( src),基于目标域名( dstdomain),基于身份验证(authuser) 等,可以实现代理服务器只为指定的用户提供服务,防范对代理服务器的非法访问。
在 Squid 的配置文件 squid.conf 中,我们采取了几种策略 : 基于访问者源 IP
地址( src),基于目标域名( dstdomain),基于身份验证(authuser) 等,可以实现代理服务器只为指定的用户提供服务,防范对代理服务器的非法访问。
• (2) 实现网络访问控制与图书馆自动化管理系统的集成。我们自行开发了数字图书馆网络访问身份验证 AuthGate 接口,使得其可以和自动化管理系统做到无缝集成,读者使用其阅览证号和查询密码就可以查询我馆相关电子资源。
• (2) 实现网络访问控制与图书馆自动化管理系统的集成。我们自行开发了数字图书馆网络访问身份验证 AuthGate 接口,使得其可以和自动化管理系统做到无缝集成,读者使用其阅览证号和查询密码就可以查询我馆相关电子资源。
• 随着高校后勤社会化的发展,越来越多的师生住在校外,他们的计算机都不便直接联入校园网,故现通过 IP 地址进行访问控制的电子资源,无法正常访问。通过此身份验证服务,读者在家中也可以使用受到 IP 地址限制的数据库资源。
• 随着高校后勤社会化的发展,越来越多的师生住在校外,他们的计算机都不便直接联入校园网,故现通过 IP 地址进行访问控制的电子资源,无法正常访问。通过此身份验证服务,读者在家中也可以使用受到 IP 地址限制的数据库资源。
• 用户通过在浏览器中设置的代理服务器自动配置脚本 (PAC 文件 ) ,在访问我馆数据库时,将通过我馆设置的代理服务器进行连接,代理服务器会返回一个身份验证请求,要求用户输入其阅览证号码和密码,代理服务器将得到的证号和密码发送至 AuthGate 服务器进行确认,并根据得到的验证结果确认是否授权该用户访问数据库资源。
• 用户通过在浏览器中设置的代理服务器自动配置脚本 (PAC 文件 ) ,在访问我馆数据库时,将通过我馆设置的代理服务器进行连接,代理服务器会返回一个身份验证请求,要求用户输入其阅览证号码和密码,代理服务器将得到的证号和密码发送至 AuthGate 服务器进行确认,并根据得到的验证结果确认是否授权该用户访问数据库资源。
Web Service 等技术在数字图书馆访问控制中的应用展望
:
Web Service 等技术在数字图书馆访问控制中的应用展望
: • Web Service(Web 服务 ) 是一种独立的
,基于标准的应用,它是基于互联网标准和 XML 技术建立的,用以描述、发布到网络供其他应用程序调用。
• 具有两大特征:普遍性和互操作性。
• Web Service(Web 服务 ) 是一种独立的,基于标准的应用,它是基于互联网标准和 XML 技术建立的,用以描述、发布到网络供其他应用程序调用。
• 具有两大特征:普遍性和互操作性。
• Web Service 是分布式系统的一种新的发展趋势,数字图书馆正是一种典型的分布式系统,各种资源是相对独立和离散的。
• Web Service 使用基于 XML 的消息机制作为服务的创建和访问机制 ,允许软件开发者无缝地集成一个功能多样的客户应用和服务应用。
• Web Service 是分布式系统的一种新的发展趋势,数字图书馆正是一种典型的分布式系统,各种资源是相对独立和离散的。
• Web Service 使用基于 XML 的消息机制作为服务的创建和访问机制 ,允许软件开发者无缝地集成一个功能多样的客户应用和服务应用。
• SOAP (Simple Object Access Protocol)协议,即简单对象访问协议 ,是 Web 服务交换 XML消息的标准协议。它其实是一种用 XML封装信息的机制 ,通过这一机制我们可以把消息简单而有效的封装起来 , 进行 RPC 以及其它各种网络调用。
• SOAP (Simple Object Access Protocol)协议,即简单对象访问协议 ,是 Web 服务交换 XML消息的标准协议。它其实是一种用 XML封装信息的机制 ,通过这一机制我们可以把消息简单而有效的封装起来 , 进行 RPC 以及其它各种网络调用。
• 在数字图书馆网络环境中,每一个访问者都可能随机访问、调用某种数字资源,对于这种随机的访问请求,要保证其安全性和可靠性,要实现其一站登录就可访问所有可用资源,就必须在每一个离散服务被调用时进行统一的身份验证。
• 在数字图书馆网络环境中,每一个访问者都可能随机访问、调用某种数字资源,对于这种随机的访问请求,要保证其安全性和可靠性,要实现其一站登录就可访问所有可用资源,就必须在每一个离散服务被调用时进行统一的身份验证。
• 利用 SOAP消息的信息头传递验证信息将保证身份验证统一高效且可行。
• 将用户验证功能封装成 Web 服务后,数字图书馆中的各子系统可方便对其进行调用,还可以增加电子资源使用计费、系统间结算等功能,实现使用者的一次登录,就可访问若干资源。
• 利用 SOAP消息的信息头传递验证信息将保证身份验证统一高效且可行。
• 将用户验证功能封装成 Web 服务后,数字图书馆中的各子系统可方便对其进行调用,还可以增加电子资源使用计费、系统间结算等功能,实现使用者的一次登录,就可访问若干资源。
Sun 公司 :Sun 公司 :
业界相关解决方案业界相关解决方案
用户资料集中储存
•登录帐户•名称•员工号•登录密码•用户角色•部门信息•帐户状态•登录帐户有效期•权限信息
• 用户资料集中认证
• 利用 LDAP作为统一信息平台统一认证的基础
• 统一信息平台为所有整合的应用系统提供一个统一的认证界面
• 用户资料集中认证
• 利用 LDAP作为统一信息平台统一认证的基础
• 统一信息平台为所有整合的应用系统提供一个统一的认证界面
• Oracle : Single Sign-ON• Oracle : Single Sign-ON
结语结语
当前,数字图书馆各个子系统的访问控制存在相对独立,各自为政的情况。相关组织、厂家正在致力于统一访问控制的研究和实现。
实现统一高效的访问控制系统将提高数字图书馆资源的可用性,极大程度
地方便读者。
当前,数字图书馆各个子系统的访问控制存在相对独立,各自为政的情况。相关组织、厂家正在致力于统一访问控制的研究和实现。
实现统一高效的访问控制系统将提高数字图书馆资源的可用性,极大程度
地方便读者。
• 未来,数字图书馆将开放化、标准化方向发展,各子系统间的互操作性加强
• “一站登录”就可访问所有资源的访问控制模式将成为现实。
• 未来,数字图书馆将开放化、标准化方向发展,各子系统间的互操作性加强
• “一站登录”就可访问所有资源的访问控制模式将成为现实。
