作者：邹荣,张成昱,姜爱蓉,陈武,安常青
[摘要]为了保证合法用户对电子资源的正当使用，清华大学图书馆与信息网络工程研究中心合作建立电子资源访问管理与控制系统。介绍电子资源访问管理和控制系统的设计理念与体系结构，系统实现方法及功能模块以及系统实现过程中出现的主要技术问题和解决方法；提出本系统的应用状况与需要改进的工作。
[关键词]电子资源 违规访问 访问管理与控制 过量下载 图书馆应用

1 前言

近年来，图书馆购买的电子资源数量有大幅度增长，为学校的教学科研提供了丰富的、便捷的信息服务，受到广大师生普遍欢迎。但在电子资源的使用过程中，经常有少数读者发生大量下载电子资源的行为，被电子资源出版商视为“违规”下载，受到出版商惩罚；惩罚措施常常是停止某个ip段或者整个学校ip范围对某种资源的访问，使大批正常使用的用户受到牵连，也败坏了学校的声誉。杜绝“违规”下载，保护电子资源知识产权，保证用户对电子资源的正当使用权益是图书馆应该考虑的问题。清华图书馆与清华大学信息网络工程研究中心研究开发了电子资源访问管理与控制系统，对用户访问电子资源进行管理和控制。本文介绍电子资源访问管理与控制系统在清华大学图书馆的设计和应用。

2 电子资源访问管理与控制系统的建or

2.1 访问管理与控制系统需求分析
根据校园网网络环境和电子资源存放位置把需要控制访问的资源分为两类：外部资源和内部资源。LOCaLHOsT外部资源指的是校外所有数据资源的ip地址域；内部资源指的是图书馆用于提供数据资源的ip地址域。
访问管理和控制系统设计应该能够实时监视资源使用情况，防止用户滥用资源；与身份认证系统结合，获取用户信息；可以记录、统计用户资源使用情况，应该具备高性能并且能够实时处理千兆数据；并且能够避免单点故障，尽量减少单机故障对整套系统运行的影响；为便于管理，还应该做到界面友好、配置方便。

2.2 访问管理与控制系统体系结构
访问管理和控制系统是用于规定如何作出访问决定的系统。访问管理和控制系统涵盖电子资源、用户和访问行为，通过对用户的控制达到控制对电子资源访问的目的。清华大学图书馆建立的访问控制系统结构见图1。

从图1中可以看到，系统通过千兆交换机的端口镜像功能把校园网出口的流量转发到数据采集服务器，数据采集服务器将相关网络数据包完整地转发给数据分析服务器，用户必须通过校园网出口网关以后才能访问图书馆资源，数据分析系统统计访问信息，做违规检查，对访问进行控制，并做相关日志。根据校园网出口网关的信息，可以对用户进行追踪控制。为了防止单点故障，使用两台数据分析服务器主备方式运行，当主服务器发生故障时，备份服务器自动接管。管理服务器为管理员提供web页面供查询和管理，访问管理与控制系统数据采集、数据分析、应用管理分布在不同服务器上，协同工作。

3 电子资源访问管理与控制系统的功能实现

访问管理与控制系统对用户访问进行实时监控，基于用户的访问流量和频率来判断用户行为是否合理。访问管理与控制系统除了提供访问控制外，还提供日志分析。日志是通过审计访问记录实现的，访问记录包括用户访问了什么资源和进行了什么操作。该系统功能主要是通过几个功能模块来实现的：资源配置模块、违规检查模块、控制手段模块、日志分析模块。下面分别对这几个功能模块进行介绍。

3.1 资源配置
图书馆管理员可以增加或删除需要进行访问管理和控制的电子资源，管理员点击“增加”、“删除”或者“修改”功能，就可以增加、删除或者修改数据库的配置，如图2所示：

配置完成后，需要点击“更新”，才能使新配置生效。
电子资源是通过资源站点的ip或ip段进行定位的，给出资源站点所在ip和子网掩码，就可以精确定位资源站点了，如图3所示：

3.2 违规检查
访问管理与控制系统检查给定时间内用户所使用的ip地址与所控制的资源站点之间的通讯，本文把某一用户与某一个数据库资源间的通讯称为一个“ses-sion”，它主要用来统计某用户对某数据库资源的访问情况，统计结果将作为违规判断的依据。如果“ses-sion”记录的用户访问行为超过指定界限，系统认为该用户此种访问行为违规。管理员可以针对不同电子资源站点所包含的不同文件类型，设置不同的违规规则，并且检查给定时间内用户下载文件的个数，超过某个界限，认为违规。系统支持对于少量违规和多次违规给予不同处理。管理员可以根据违规次数和违规程度的不同，设置不同的惩罚措施。
系统判定违规的规则主要有发包频率限制，收包频率限制，出流量限制，人流量限制，下载频率限制。而且，每种规则都可以定义三种不同的违规程度，设置不同的惩罚级别。其中，下载频率限制主要是针对数据库全文数据进行限制，这是本系统所使用的一个重要规则。系统对用户和资源站点之间已知协议(目前为h

[1] [2] [3] 下一页