资源访问(精选十篇)
资源访问 篇1
随着数字化校园网的发展,学校的各类信息资源逐步实现了数字化和网络化。一方面,为了保障这些资源的安全性,许多网络资源都被放在校园内网地址当中,校内的许多数据资源都是受保护的,只有学校内部用户才可以访问资源;另一方面,学校领导或者普通员工在异地也需要处理学校的事务或者查阅学校资料,而用户身份的识别往往是利用IP地址来识别的,这就导致了学校用户利用校外网络无法访问到内网资源。SSL VPN技术为这个难题提供了可行的解决方案。
1 VPN技术简介
VPN(Virtual Private Network,虚拟专用网络)指的是在公用通信网络上建立一条虚拟专用网络通道,利用公共通信网络来传输内部数据。其之所以称为虚拟专用网络通道,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术,从而保证构建在公共网络之上的虚拟内部网络的有效联通性和安全性。虽然VPN的通讯是建立在公共互联网络的基础上,但实际上用户在使用过程中感觉如同使用专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可当专网使用。
2 SSL VPN特点及优势比较
SSL VPN就是采用SSL(Security Socket Layer,安全套接层协议)来实现远程接入的一种VPN技术。
SSL协议是基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可以保证信息的真实性、完整性和保密性。
SSL VPN使用SSL协议进行认证和加密,不需要安装其它客户端软件,只要有支持SSL的浏览器就可以。因此,SSL VPN远程资源访问方案更加容易配置与管理,网络配置成本比IPSec VPN要低很多。
SSL VPN为远程用户提供一种基于SSL协议的访问通道。SSL VPN服务器位于企业防火墙内部,防火墙开通标准的HTTPS服务(443)端口。SSL VPN网络应用拓扑图如图1所示。
SSL VPN使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL协议属于高层安全机制,因而被广泛应用于WEB浏览器程序和WEB服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而用户可以通过任何的标准浏览器实现远程安全接入。
根据SSL VPN技术的特点,可以做到精细的权限控制。不同的用户可以授予不同级别的权限,比如对数字图书馆资源也可以针对不同用户进行权限细分,不同权限级别用户访问相应的资源,非授权用户则无法访问;再比如,人事管理人员可以访问人事管理系统、网络管理人员可远程调试网络设备等。SSL VPN可以建立基于分组的策略管理,例如设立教师组、学生组等,不同组赋予不同的访问权限;也可建立基于角色的策略管理,给每一个角色赋予不同的权限;还可设立临时账号,给那些需要临时访问学校内部资源的人员提供便利,在使用期限截止以后,该账号会自动注销。
身份认证手段有很多,主要有CA、USBKey、用户名/密码、LDAP/AD、Radius、短信猫/短信网关、动态令牌、硬件特征码等。
目前,SSL VPN可以支持多种用户认证方式,除了支持常规的Local DB、LDAP/AD、Radius、 Secur ID等认证方式外,还可以支持USBKEY的身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能,可以为用户提供完善的内部网络资源的安全远程接入服务。对于校园外的移动办公用户,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户端软件就可以安全访问校园内部任何资源。
现在有更强的身份认证手段,就是通过把远程访问的应用系统账号和SSL VPN账号进行绑定来增强应用系统账号使用安全性。
目前,部分高校已经建立了统一身份认证系统,例如一卡通系统、Radius系统、Oracle/SQL Server数据库系统、AD/LDAP系统。SSL VPN可以和这些身份认证系统有机地结合在一起,以防止用户账号被盗用后,不良使用者进入学校内部网络窃取重要机密信息。高校SSL VPN的用户比较多,而且流动性较大,把SSL VPN认证与身份认证系统相结合,可大大减少网络管理员的工作量。用户可以用已有的身份认证账号进行登录, 管理员不需要重复建立账号,首次登录后账号信息将自动记录到SSL VPN服务器上,以后使用SSLVPN账号需要进行双重匹配。如果某一用户账号从认证系统注销, SSL VPN就会匹配失败无法登录。
3 SSL VPN在校园信息化建设中的应用
3.1 通过SSL VPN实现各办公应用系统的访问
使用SSL VPN 接入的师生,只需要登陆此SSL VPN 门户,经过认证和授权,就可以通过SSL VPN 隧道轻松访问校内各应用系统,如排课系统,即可进行查阅等操作,也可以完成信息发布、事务处理等校务工作。
3.2 通过SSL VPN实现远程网络管理
当校园网的软件或硬件设备出现意外故障时,网络管理人员可以马上通过SSL VPN接入到校园内部网络,通过SSL VPN隧道安全快捷地在任何时间、任何地点及时修复故障,完成网络管理工作,保障校园信息化系统的稳定工作。
3.3 通过SSL VPN实现数字图书馆的访问
用户在校外公网接入到校内时必需经过SSL VPN的认证和授权,只有通过认证和授权的用户才能使用接入SSL VPN,保障了学校授权人员的权限。客户登陆后SSL VPN网关会分配一个虚拟的IP地址给登陆用户,这个地址是学校内部统一地址,这些IP地址被允许访问校内的和园区的数字图书馆,这样通过SSL VPN在校外网也能顺利地访问到园区数字图书馆,解决了园区图书馆只对本校园IP地址开放的问题,保证了广大师生在校外也能随时使用大学园区图书馆。
3.4 通过SSL VPN完成WLAN接入用户的管理控制和计费
用户接入校内网时在SSL VPN的门户上进行认证、审计。其认证是和城市热点计费的Radius系统相结合的,即用户登录时,SSL VPN网关会将用户名、密码等信息通过Radius 协议提交给Radius 服务器进行认证,进而决定用户接入是否允许。SSL VPN还会将用户登录后分配的IP地址、以及登录和退出的时间提交给Radius 服务器来进行计费。同时,SSL VPN 还可以对WLAN 接入用户的访问权限进行控制,比如是否允许访问某些网段、公网是否可以访问等接入控制。
4 SSL VPN的实施
SSL VPN是基于应用层的VPN,也就是它的工作是基于Http协议和TCP层的。SSL VPN的部署非常简便,可串接也可旁路接入,一般可把它作为一台应用服务器部署于校园网络的任意位置。正常情况下,SSL VPN部署在防火墙之后,需要将防火墙上的一个固定的公网IP地址映射到SSL VPN上,或者只映射其IP地址的443端口即可。
在配置好SSL VPN服务器的应用、用户、权限后,使用人员可在任意能够接入Internet的地方通过浏览器,采用HTTPS(Secure Hypertext Transfer Protocol)方式访问该固定公网IP或者对应域名,即可轻松接入校园网访问OA系统、学工系统、数字图书馆等学校内部资源。
4.1 网络接口配置
这里以网关模式为例,需要配置内网接口相关信息(包括LAN口的IP地址、子网掩码)。
IP地址:172.18.0.17;子网掩码:255.255.255.0
外网线路类型有以太网和ADSL两种类型可供选择,这里选用的是以太网。
IP地址:60.190.19.108
子网掩码:255.255.255.224
首选DNS:202.96.104.16
备份DNS:202.96.104.17
默认网关:60.190.19.97
配置完成后,保存配置并重新启动所有服务,以使配置生效,接着完成其它设置。
除了网关工作模式,还有单臂模式。选择单臂模式时,只需要配置内网接口(LAN口)IP地址、子网掩码、默认网关、设置DNS。
在系统设置中,可以对网络接口的配置进行日常的维护。多IP绑定只有在外网接口为以太网模式下方可启用。
在设备外网接口能获取多个IP,需要把这些IP都映射到内网服务器时使用。通过多IP绑定,可以为WAN口绑定多个IP。WAN口绑定的多IP必须和WAN口配置的IP在同一个网段,使用相同的网关IP,否则无法在WAN口进行绑定。
4.2 资源管理
SSL VPN 设置主要分为三大部分,分别是资源管理、用户管理和角色管理。三者之间的关系是:通过角色把用户组或用户和资源联系起来,用户组内的用户获得相应的资源访问权限。
资源管理主要是用户定义SSL VPN内网的可用资源,包括WEB资源、APP资源和IP资源。为了更好地对资源进行管理、更符合用户使用习惯,以及VPN客户端可以更有条理地显示,可以把多个资源添加到资源组。在资源列表中,可以清楚显示对应资源。
WEB资源支持包括HTTP(S)、MAIL和FTP 3种类型的页面应用。WEB资源中定义的资源是通过修改访问地址来实现访问的,有一定的局限性,而APP资源几乎支持所有的C/S应用,包括Web、Mail和Ftp等。若通过WEB资源无法实现的,可以使用APP资源来添加。
APP资源主要用于定义、配置和管理各种类型的SSL VPN内网资源,以适应各种各样的C/S结构及基于TCP协议的应用程序对SSL VPN内网资源和内网服务器的访问。
IP资源主要用于定义、配置和管理各种基于IP协议的SSL VPN内网资源,以适应各种各样的C/S结构及不同协议(TCP/UDP/ICMP)的应用程序对SSL VPN内网资源和内网服务器的访问。
5 结语
SSL VPN 作为一种安全的接入技术,迎合了用户低成本、高性价比远程访问的需求,并已经广泛应用于各行各业。随着理论研究的进行,其功能将更加完善,安全性能也将越来越高。本文列举了SSL VPN实施中的一些基本配置,但在实际项目运用中要结合具体情况,比如要考虑环境、设备等因素。
参考文献
[1]马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计,2007(21).
[2]张世永.网络安全原理与应用[M].北京:科学出版社,2005.
资源访问 篇2
1、共享访问时断时续
有的时候,我们从局域网的同一台计算机出发,访问Windows Server 2008系统中某个相同的共享资源时,会遇到这样一则奇怪的故障现象,一会儿共享资源能够顺利访问到,一会儿却出发共享访问出错的现象,那么为什么会出现这种现象呢?引起这种现象的原因比较多,例如网络连接的可靠性、网络病毒的突发性、系统自身的稳定性等,在排除了这些可能因素之后,如果还不能将该共享访问故障解决的话,我们需要认真检查客户端系统的上网设置,例如默认网关设置、通信协议设置等。
因为,要是客户端系统同时设置了两个网关地址,并且这两个网关地址的“metric”数值完全相同的话,那么客户端系统每次进行共享访问时,往往会随意选用一个网关地址,一旦被选用的网关地址与Windows Server 2008系统所使用的网关地址不属于同一个工作子网时,共享访问就会出现错误的故障现象,要是被选用的网关地址恰好与Windows Server 2008系统所使用的网关地址属于同一个工作子网时,共享访问就能正常了;对于由网关地址选用不当造成的共享访问时断时续故障,我们可以在客户端系统中修改与Windows Server 2008系统同处一个工作子网的网关地址“metric”数值,让该数值大于“1”就可以了,这样一来客户端系统日后每次进行共享访问时都会自动优先选用 “metric”数值高的网关地址了,也就是说自动选用与Windows Server 2008系统同处一个工作子网的网关地址了,
在修改网关地址的“metric”数值时,我们可以按照如下步骤进行:
首先在客户端系统打开“开始”菜单,从中单击“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,进入客户端系统的注册表编辑窗口;
其次用鼠标选中该编辑窗口的HKEY_LOCAL_MACHINE节点选项,从该选项下面选中 SYSTEMCurrentControlSetServicesTcpipParameters注册表子项,再从目标注册表子项下面找到目标网卡设备,在对应目标网卡设备下面双击DefaulGatewayMetric键值,打开设置对话框,在这里将“metric”数值修改成大于“1”就可以了。
在确认网关参数设置正确后,我们还需要对目标网卡设备的通信协议设置进行一下检查,因为客户端系统的网上邻居功能在工作的时候使用的是 NetBIOS通信协议,要是不小心将该协议取消安装的话,那么我们自然就无法通过网上邻居窗口寻找到Windows Server 2008系统中的共享资源;在检查NetBIOS通信协议是否安装时,我们可以按照如下步骤来操作:
首先依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,找到目标本地连接图标,用鼠标右键单击该连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标本地连接的属性设置窗口;
其次从该属性设置窗口中选中“TCP/IP协议”选项,再单击“属性”按钮,进入TCP/IP协议属性设置窗口,单击该设置窗口中的“高级”按钮,在其后出现的高级设置页面中,找到“NetBIOS设置”选项,检查该选项下面的“启用TCP/IP上的NetBIOS”项目是否处于选中状态,一旦发现它还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好上述设置操作,这样一来客户端系统的网上邻居功能就能正常工作了,通过该网上邻居窗口我们也就能顺利地访问到Windows Server 2008系统中的共享资源了。
资源访问 篇3
1. 我的电脑 桌面之上能找回
Windows老用户多通过桌面上的“我的电脑”访问文件资源,然而Windows 10桌面没有提供此图标,许多用户一时不能像Windows 7或Windows 8那样轻易找回该图标。
在最新版本Windows 10 10586-1151中,点击开始菜单,依次选择“设置→个性化”,点击左侧的“主题”,然后点击右侧的“主题设置”(图1)。在接下来弹出的窗口中,就会出现类似于Windows 8.1的个性化设置窗口。点击左侧的“更改桌面图标”项,在桌面图标设置窗口中勾选“计算机”一项,之后桌面上就能看到“此电脑”图标了(图2)。“此电脑”就是“我的电脑”,当然,若硬要“我的电脑”,可用F2将其更名。
2. 资源管理 直接进入此电脑
细心的你一定已经发现,启动Windows 10资源管理器后,自动出现的是“常用文件夹”和“最近使用的文件”两组“快速访问”记录。这可以大大减少接续工作时寻找上次打开位置或文件的时间。但是,按照传统习惯,也许希望打开资源管理器之后,能够直接看到“此电脑”下的资源。
为实现上述目的,在“迅速访问”上单击鼠标右键,然后选择“选项”。在开启的“文件夹选项”窗口中,将“打开文件资源管理器时打开”后面的选项选择为“此电脑”,单击“应用”并确定(图3)。这样,下次开启文件资源管理器后,看到的就是自动打开的“此电脑”下的驱动器和文件列表了。
3. 接续工作 快速開启文件夹
如果你常常在某个固定的文件夹下工作,那么肯定希望每次启动电脑后自动打开此文件夹。当然,在桌面建立一个该文件夹的快捷方式,双击就可以进入。但是,能不能连双击也免了呢?可以!
只需在“文件夹选项”窗口中,切换到“查看”选项卡,然后在“高级设置”列表中,将“文件和文件夹”一组下的“登录时还原上一个文件夹窗口”选中(图4),这样,下次登录系统时就会自动开启上次关机前的工作文件夹了。
4. 打破常规 另类快捷自定义
Windows 10资源管理器启动热键为Win+E,但是,如果碰巧键盘的Win键坏掉了怎么办?其实,还可以给资源管理器指定另外的多组快捷键。具体方法:在按下Shift键的同时,右键单击Windows 10任务栏上的文件资源管理器图标,在弹出的快捷菜单中选择“属性”。之后,在文件资源管理器属性窗口中切换到“快捷方式”选项卡,点击“快捷键”后的文本框,按下新设的组合热键(例如Ctrl+Alt+E),点击“应用”并确定(图5)。
经过如上设置后,就可以绕过Win键,用Ctrl+Alt+E组合键快速启动资源管理器了。
5. 两个边框 常用任务可常驻
对于经常访问的程序、网站、文件夹、文件,除了在桌面上建立快捷方式外,还可以将它们安置在桌面或资源管理器窗口的“边框”上,这样可以让桌面变得更为清爽。
Windows 10资源管理器窗口的上端边框,是系统快速访问工具栏所在的位置,上面其实可以安排更多的系统功能图标。通过右击Windows资源管理器功能区面板上的任一系统功能组件(例如“映射网络驱动器”),选择“添加到快速访问工具栏”(图6),即可将“映射网络驱动器”的功能固定在资源管理器窗口的顶栏。别的功能也可用同样的方法添加。
在系统任务栏边框上,除了通过右击并选择“固定在任务栏”将经常访问的程序、文件夹、文件、网址固定在任务栏上外,对于多个分组项目,可以用建立分级菜单的方式来组织,以达到快速访问的目的。
火速链接
资源访问 篇4
1 目前远程访问电子资源的主要技术
1.1 SSL VPN技术
VPN (virtual private network) 即虚拟专用网技术, 它可以在公用网络 (通常是因特网) 和特定的内部网之间建立一个临时的、可信的安全连接, 并保证数据的安全传输。SSL (secure sockets layer安全套接层) 是VPN的一种。Netscape公司开发的SSL是一种互联网数据安全协议。SSL协议为数据通讯提供安全支持并且被用于WEB浏览器与服务器之间的加密数据传输与身份认证, 是位于TCP/IP协议与各种应用协议之间的协议。[2]
1.2 代理服务器技术
代理服务器是指在一台能够上网的机器上安装提供共享代理上网服务的代理服务器软件, 该代理服务器就可以代表其它计算机传递网页、多媒体文件、电子邮件等数据包或信息。
当客户端通过代理服务器上网时, 客户端浏览器是向代理服务器发出请求而不是直接到Web服务器去取回网页, 由代理服务器取回客户端所需要的信息并传送给客户端的浏览器。
2 我馆访问母体高校数字资源的方式与存在问题
2.1 母体高校校外访问所采用的方法
母体高校南京邮电大学采用的是深信服SSL VPN组网技术来实现用户在单位网络外部安全访问网络内部的资源。学校采用此技术, 是为了在学校网络安全的前提下, 方便师生员工在校外也能充分利用校园网资源。通达学院迁址异地办学, 为方便访问母体高校数字资源, 向母体高校申请了有限数量的VPN账号, 分配给老师和图书馆使用。
使用申请的VPN账号访问母体高校资源, 需要在客户端安装Easyconnect代理程序客户端, 在安装Easyconnect程序过程中根据提示完成相关插件的安装, 安装好之后打开装Easyconnect程序, 初次使用先输入代理服务器地址, 然后输入VPN账号、密码登陆后即可访问母体高校图书馆数字资源。
2.2 访问母体高校资源目前存在的问题
通达学院图书馆为扬州校区师生申请了若干VPN账号, 除去给部分教师的账号, 留给学生使用的账号非常有限, 不可能每位学生一个独立的账号。而且VPN账号的密码可以在客户端更改, 把账号和密码直接给学生个人使用, 可能存在密码被更改的风险。
学生上课需要一个教学班的学生同时访问一些外文数据库资源, 任课教师也不可能在课堂上有限的时间内指导学生如何利用客户端、使用账号密码访问校外资源。
为充分利用所申请的VPN账号、避免账号密码被更改的麻烦、实现多人同时访问VPN, 就需要实现学生不直接使用账号和密码就可以远程访问资源的功能。
3 我馆电子阅览室目前采用的解决方法
通过对目前我馆访问母体高校资源的需求与现实资源的分析, 决定在我馆电子阅览室使用网页代理服务器技术解决母体高校图书馆电子资源访问的问题。本项目初期目标是在电子阅览室上机的学生在未获取深信服VPN账号、密码的情况下, 通过网页代理服务器访问母体高校数字资源。为节约成本, 最大程度使用现有资源, 将电子阅览室的配置进行了优化。
3.1 机器功能及角色分配
(1) 功能分配:考虑到该项目的成本、规模, 项目初期没有使用专业服务器, 而是选择电子阅览室最前面的四台学生机作为VPN网页代理的服务器。安装在这四台代理服务器上的软件在后台运行, 不影响这四台机器作为学生机正常使用;机房管理机安装的系统是Windows Server 2003, 将该机器作为DNS服务器和网页服务器;其它所有机器都是客户端。
(2) 角色分配:在整个电子阅览室VPN网页代理技术组网中, 根据机器功能可分为四种角色, 分别是代理服务器、DNS服务器、网页服务器和客户端。代理服务器的作用是接收客户端发送的网页请求, 通过VPN客户端程序访问母体高校资源, 然后将获取的网页资源传送给客户端浏览器;DNS服务器的作用是将客户端发送来的域名翻译成具体的代理服务器IP地址;网页服务器的主要作用是对客户端发送的信息进行过滤;客户端是学生所使用的机器, 学生可以直接打开浏览器上网并访问母体高校资源, 整个访问过程对学生透明。
3.2 代理服务器
选择四台普通的PC机作为代理服务器, 一方面是为了节约成本, 另外一方面是因为带宽的限制, 设置四台服务器可以得到更快的响应速度。
分别在四台服务器上安装代理服务器程序squid并对其进行配置。squid是开源软件, 性能优异, 响应迅速, 并能够减少网络阻塞。程序的监听端口设置为3128, 划分缓存空间, 存储客户端访问过的资源, 设置时间定期删除缓存。当本地用户再次访问这些对象时, Squid可以直接快速地提供对这些对象的访问, 而不必再次占用带宽访问远程服务器上的对象。
3.3 客户端批处理配置
客户端使用批处理文件进行一次性配置, 分别配置代理服务器地址、端口号、网页服务器地址、DNS服务器地址。该批处理文件只需配置一次, 配置好之后, 学生可以直接使用, 不需要再进行相关设置。因为配置了四台代理服务器, 所以对该批处理文件进行设置的代理服务器地址为njupttdxy.org;DNS服务器地址为:10.100.110.1, DNS服务器会根据代理服务器空闲状态将代理服务器地址njupttdxy.org解析为具体的代理服务器地址;网页服务器地址与DNS服务器地址相同, 网页服务器重点配置proxy.pac文件, 该文件将需要访问的母体高校图书馆电子资源域名添加到数组中, 客户端访问该文件进行资源过滤的地址是http://10.100.110.1/proxy.pac;
3.4 资源过滤-配置网页服务器
通达学院针对本校的专业特色和学生特点, 订购了本校的在线学习数据库、电子图书、期刊数据库等, 使用VPN代理是为了访问本校没有购买的资源。根据这一需求, 在网页服务器上配置了Ngnix, Nginx是一款轻量级的Web服务器, Nginx安装简单、配置文件简洁、启动比较容易。将需要访问母体校区资源的网址添加到名为proxy.pac的文件中, 该文件存放在Ngnix的HTML文件夹下面。客户端根据批量配置好的网页服务器地址, 向网页服务器发送访问请求, 客户端浏览器根据网页服务器proxy.pac文件中的域名设置, 判断当前要访问的资源是否要经过代理服务器, 若不需要经过代理服务器访问母体高校资源则直接将请求发送到电子阅览室的上级域名服务器, 直接使用本地网络访问。通过网页服务器进行资源过滤, 只要将需要访问母体高校的资源转到发代理服务器, 其它访问使用本地网络, 可以有效的减轻代理服务器的负担, 提高访问各种网络资源的速度。
3.5 负载均衡-配置DNS服务器
电子阅览室的管理机安装的是windows server 2003系统, 作为VPN代理项目的DNS服务器, 因为选择了四台机器作为代理服务器, 客户端发送网页请求经过了网页服务器域名过滤之后, 需要经过VPN代理服务器转发请求, DNS服务器就将接收的域名“njupttdxy.org”解析成具体的代理服务器IP地址, 具体翻译成哪台代理服务器的地址是通过配置的BIND9解析客户端发送的域名, 然后选择发送到最空闲的代理服务器, 例如:代理服务器IP为10.100.110.4连接客户端请求数为3, 代理服务器IP为10.100.110.5、10.100.110.6、10.100.110.7连接客户端请求数都是4, 则DNS服务器就将将接收的域名“njupttdxy.org”解析成IP为10.100.110.4, 即客户端请求连接数最少的代理服务器。这样就使得四台代理服务器能够负载均衡, 有效的提高响应速度[3]。
4 访问过程实例分析
以上介绍了电子阅览室网页代理服务器各个部分的作用, 在这一部分我们通过具体的访问实例, 分析网页代理服务器整个的工作流程。
实例1:用户在客户端浏览器发送访问请求, 用户需要访问的外文数据库IEEE/IEE?Electronic?Library (IEL) 需要使用网页代理服务器访问母体高校资源, 用户同时需要在百度上搜索信息不需要通过网页代理服务器[4]。该用户的访问流程是:
(1) 客户端开机上网, 在浏览器中输入想要访问的域名, 首先向网页服务器请求proxy.pac文件, 网页服务器上返回给客户端proxy.pac文件;
(2) 客户端根据获取的proxy.pac文件进行判断当前所访问的资源域名是否在该文件的数组。
(3) 如果访问的是百度, 经判断baidu.com不在数组中, 则向DNS服务器请求百度的IP地址, 此IP直接从本地校园网出口访问;
(3) 如果访问的是外文数据库IEL, 判断*ieee.org在proxy.pac文件数组中, 客户端向代理服务器发送njupttdxy.org的dns请求;
(4) DNS服务器根据负载均衡原则, 将最空闲的代理服务器IP地址返回给客户端;
(5) 客户端根据DNS服务器返回的IP地址, 将请求数据发送给代理服务器, 如果用户要访问的资源在服务器缓存中已经存在, 则直接从代理服务器中读取数据返回给客户端, 否则代理服务器将客户端请求通过VPN发送给远程服务器 (母体高校服务器) [5]。本实例具体过程见图4-1:
5 结束语
本文具体描述了为共享母体高校电子资源实现的小范围的VPN网页代理项目, 该项目是本校老师和学生共同完成的, 完全利用现有的资源, 实现近百人同时访问母体高校资源。因为校园网带宽及设备配置的限制, 在使用的过程也发现一些问题, 整个的访问速度在不同时间段存在不稳定性, 在后续适当增加代理服务器带宽、更换更高配置的服务器, 可以有效解决这些问题。
参考文献
[1]吴志平, 许忠兵.独立学院异地办学模式下师资队伍建设的困境与对策[J].黑龙江教育学院学报, 2014, v.33;No.20108:30-31.
[2]张凯, 贝蓓, 张建军.利用SSLVPN构建数字资源远程访问平台[J].河北大学学报 (自然科学版) , 2013, v.3304:437-442.
[3]顾犇.信息过载问题及其研究[J].中国图书馆学报, 2013 (5) :40-43, 74
[4]Michael Armbrust, Armando Fox, Rean Griffith, etal.A View of Cloud Computing[J].Communications of the Acm, 2014:50-58
资源访问 篇5
一、天津科技大学数图资源外网访问系统服务内容:天津科技大学数字图书馆系统。即拥有天津科技大学数图资源外网访问系统服务账户的用户可以在校园网覆盖范围外访问校内数图系统的资源。
二、现阶段可以申请天津科技大学数图资源系统的用户,必须是已经办理天津科技大学校园一卡通的用户,我们将用一卡通的教工卡号判断您是否有权限申请。
三、天津科技大学数图资源外网访问系统用户的开户流程采用网络开通办法,具体开通流程如下:
1、凡需申请的教职员工可在信息化办公室网站主页上(http://nic.tust.edu.cn)的文档下载一栏里下载并填写《天津科技大学数图资源外网访问系统账户申请表》,以获取由信息化办公室提供的天津科技大学数图资源外网访问系统账户。
2、申请用户请将填写好的申请表以电子邮件方式传给信息化办公室网络账户管理员(邮件地址为: vpn@tust.edu.cn),网络账户管理员将在三个工作日内手工开通账户,以邮件方式通知申请用户;
3、用户可以电话进行确认或咨询,电话:60271980。
四、天津科技大学数图资源外网访问系统用户需在信息化办公室网站(http://nic.tust.edu.cn)上的“特色服务”一栏点击“VPN”服务,或者直接进入VPN网站(http://vpn.tust.edu.cn)查看数图资源外网访问系统使用说明、下载并安装相应的客户端软件,即可使用天津科技大学数图资源外网访问服务。
五、天津科技大学数图资源外网访问系统用户的管理要求与网络认证用户相同,天津科技大学数图资源外网访问系统用户进入校园网访问,须遵循网络安全管理的要求。用户有责任保护好帐户与密码信息。为了网络和校内信息的安全,对泄露帐户信息或让非本校人员使用天津科技大学数图资源外网访问系统者,信息化办公室将禁用用户帐号。
资源访问 篇6
虚拟专用网(Virtual Private Network,简称VPN)是指在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需要的物理链路(如DDN或帧中继等),而是架构在公用网络(如Internet)之上的逻辑网络。因此,虚拟专用网是对企业内部网的扩展,虚拟专用网可以实现远程用户、企业分支机构、商业伙伴及供应商公司等的内网建立安全可信的网络链接,保证数据的安全传输。其中,IPSec、MPLS VPN和SSL VPN是目前使用较多的VPN技术。
随着社会信息化的发展,高等教育信息化程度越来越高,由于数据库知识产权和版权等限制,居住在校外的师生访问不了校园内部馆藏资源,给校外师生的学习科研造成不便。针对于目前各个高校普遍存在的问题,使校外师生通过相应的身份认证技术进入校园网然后利用校园网IP地址合法王文校内的电子资源数据库,满足校外师生远程访问电子资源的需求。因此,采用VPN技术既能保证电子资源数据库的知识产权,又能实现校外师生访问馆藏资源,提高电子资源的利用率。
2 VPN技术简介
采用VPN技术能给用户带来的好处有:
1)使用VPN技术可降低成本。通过公用网建立VPN,可以节约大量的通信费用,而不用投入大量的人力、物力去安装、维护广域网(WAN)的线路设备。
2)传输数据安全可靠。由于虚拟专用网采用加解密技术和身份认证技术等,保证数据的可靠性及传输数据的安全性和保密性。
3)连接方便灵活。用户通过VPN网络,合作伙伴之间就不需要在双方之间租用线路或帧中继线路,可以直接通过VPN配置安全连接线路即可。
4)完全控制。虚拟专用网虽然使用ISP的设施和服务,但完全掌握自己网络的控制权,对于网络安全设置、网络管理变化都可自己管理,便于管理。
3 远程访问校园网资源存在的难题
由于校外用户访问校内电子资源过程中存在用户环境复杂、安全性高、使用方便、访问量大等问题,使校园网目前普遍存在以下问题:
1)用户希望随时随地能够快速访问校园网内的电子资源数据库。由于大多数电子资源仅供学院内部使用,具有知识产权保护,因此大多数电子资源在开放前都对合法用户的IP地址等进行限制,防止校外非法用户使用。而校外的合法用户由于使用的电脑IP地址不是合法的IP地址,因此不能正常访问电子资源。由此可见,校外合法用户如想正常使用校园网的电子资源数据库,需要获取校园网IP地址,采用合法使用电子资源。
2)用户接入方便和远程接入易用原则。由于大多数师生对计算机网络专业知识了解不够,因此,希望在进行VPN连接时能够方便快捷,而且在连接过程中容易实现连接,便于实现及网络故障维护。
3)系统的可扩展性。由于校园网电子资源较多,所支持的技术平台也各种各样,因此,要求用户在使用过程中的各种访问方式都能够支持,具有通用性和可扩展性。
4 采用VPN技术实现远程访问校园网资源
随着社会信息化和对资源的不断需求,大多数师生在校外进行备课、科研等工作时需要及时有效地访问校园网电子资源数据库,因此,校园网必须提供一种有效的远程访问方式。通过采取VPN技术,可以突破校园网电子资源访问瓶颈,实现校园网之间的信息资源共享,实现远程访问校园网资源。
4.1 主要的技术难题
校园网通过VPN技术实现时需要考虑资源开放与访问权限两大问题。
1)网络资源开放。要保证校外师生能够像在校内网一样能够访问校园网所有的电子资源数据库。
2)校内资源的访问权限。
既要保障校外师生方便使用校内网电子资源的同时,也要保障资源的安全性。因此,在通过VPN技术实现资源开放的同时,需要针对于师生用户的不同需求,通过设置不同的访问权限来加以限制,要使师生在校外方便地远程接入校园网,保证高可靠的网络应用。
4.2 采用SSL VPN技术实现用户远程访问校内资源
SSL VPN是采用SSL(Security Socket Layer)协议来实现远程接入的一种VPN技术,相对于传统VPN,SSL VPN具有部署简单,维护成本低,网络适应强等特点。海蜘蛛路由系统针对中国互联网的特点,根据终端接入路由器的功能需要,专门设计并构建了一套专用Linux系统,并以此系统为基石,以用户需求为导向,逐步开发了路由系统的各个通用模块,以及针对有中国特色的网络环境所设计的一系列专用模块。整个系统模块化程度高,灵活性和可扩展性强,体积精减、运行效率高,安全性好、稳定性佳,并具有良好的硬件兼容性。海蜘蛛路由系统中关于SSL VPN技术的解决方案如下:
1)SSL_VPN服务端的设定
a)设定SSL_VPN服务参数。进入“服务应用”→“SSL VPN服务”,如初次使用需要生成证书、密钥等文件,点击在右下角的“证书密钥文件管理”在弹出的窗口中单击“这里”即可“重新生成CA、服务器端证书及TLS密钥”,如图1(a)所示。然后单击导出按钮即可导出刚刚生成的证书文件:ca.crt、ca.key、server.key、ta.key、server.crt。如果之前导出过上述5个文件,则可以上传其到服务器,沿用原有的证书及密钥,无需重新生成。
b)VPN参数设置
VPN连接参数设置如图2所示,其中,协议类型/监听端口设置为UDP,端口默认为1194,如更改,则需要在客户端进行更改设置。VPN子网地址是为链接到此VPN服务器的客户端分配的IP地址,一般使用的是内部保留IP地址,即用192.168.*.*或10.*.*.*,这里我们使用10.10.0.0/255.2555.0.0,此地址可根据本单位的实际情况自行设置。VPN安全参数设置如图3所示。如果想让客户端拨入后能访问远程局域网,只需勾选“允许客户端访问本地局域网”。
c)VPN用户管理
VPN服务器端用户管理主要是管理客户端用户连接VPN服务器时需要登录的用户名和密码,以及对客户端状态、IP地址等信息进行管理。在服务器管理界面中,进入“服务应用”→“用户账号管理”,点击新增用户,如图4所示:
其中分配固定IP地址是为此用户分配固定的IP地址,并且此IP地址在任何时候不能在分配给其它客户端。如果需要让某个帐户拨号后始终获得一个固定的VPN IP地址,在“分配固定IP”项输入想要分配的IP即可,如10.10.0.2.
2)SSL_VPN客户端的设定
从Open VPN官方网站下载Open VPN 2.2.1 for Windows程序。下载后双击下载文件进行安装,其安装使用默认参数即可,一直点击Next直到完成。默认安装在C:Program FilesOpen VPN目录下面。然后再对客户端进行配置如下:
a)进入C:Program FilesOpen VPN目录,将从服务器导出的2个文件(ca.crt、ta.key)放到config子目录下。
b)拷贝sample-config目录下的client.ovpn到config子目录下。
c)用记事本打开client.ovpn文件,清空里面的内容,并加入如下内容,如图5所示。其中采取的协议类型、服务器IP地址及端口等需要和服务器端一致。
3)系统测试结果
右键单击client.ovpn配置文件,选择“Start Open VPN on this config file”启动VPN连接。然后依次输入用户名和密码,如果正确,就会看到连接完成的提示。此时,右键单击“网上邻居”,选择“属性”进入网络连接页面,在“LAN或高速Internet”栏中会多出一个已连接的图标,双击它,会看到相关的VPN连接信息,如图6所示。点击详细信息,可以看到此链接的详细信息,如图7所示。最后可以通过ping命令进行网络测试。
5 结束语
SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。目前该系统在郑州大学西亚斯国际学院图书馆得到运用,运用方便灵活,配置安全简单,使用效果显著。
摘要:随着高校校园网可供师生访问的资源日渐增多,由于知识产权和版权等因素使得相当部分电子资源只能在校园网内部访问,不能对外网开放,校外居住的师生访问不了校园网内部资源,采用VPN技术可以实现校外师生远程访问校园网内部资源。该文根据VPN技术的不同特点和校园网应用的实际需要,探讨采用SSLVPN技术实现用户远程访问校园网资源。实验结果表明,该系统有运行效率高,安全性好、稳定性佳等优点。
关键词:VPN技术,SSLVPN,校园网,资源
参考文献
[1]弗拉海.SSL与远程接入VPN[M].王哲,罗进文,白帆,译.北京:人民邮电出版社,2009.
[2]金汉均,汪双顶.VPN虚拟专用网安全实践教程[M].北京:清华大学出版社,2009.
[3]夏冬.利用Windows server2003搭建图书馆VPN服务器[J].科技情报开发与经济,2010,20(2):37-39.
[4]张丽平,谢宝义,史东风.SSL VPN技术在高校图书馆应用的实例与分析[J].科技情报开发与经济,2010,20(8):52-53.
资源访问 篇7
目前,随着国家医疗体制改革的不断推进,建立区域医疗协同服务体系势在必行。在这样一个复杂的系统工程中,影响区域医疗协同服务进入到实用化的重要原因之一就是区域医疗协同服务的安全问题,而访问控制则是解决该问题的关键。
随着访问控制技术的不断发展,先后出现了多种访问控制模型应用于区域医疗协同服务,如自主访问控制DAC(discretionary access control)模型,强制访问控制MAC(mandatory access control)模型[1],基于角色的访问控制RBAC(role-based access control)模型[2],基于任务的访问控制TBAC(task-based access control)模型[4],基于组织的访问控制模型OBAC(Organization based access control)模型[8]。医疗资源与其他资源的一个显著不同是其所有权与使用权往往是分离的,例如医学影像资料的所有者是患者而使用者是医生。通过分析,资源所有权与资源使用权完全分离的访问控制策略需考虑以下问题:
(1) 资源使用者与资源所有者对资源的安全考虑侧重点不同,资源所有者考虑的重点是资源的使用是否侵犯了资源所有者的隐私,而资源使用者更多的是从资源能否有效使用的角度去考虑资源安全问题。
(2) 资源所有者由于没有参与到资源使用中来,因此他对自己资源所在系统的认识是模糊而不完整的,尤其当系统过于庞大复杂时,这很容易使资源所有者对资源使用者产生不信任感。
(3) 系统中的资源可能是分属于不同的资源所有者,每个资源所有者由于其主观思想不同,因此他们对资源安全的要求程度,对资源使用者的信任程度都是有差异的,应该尽可能采用灵活的安全策略满足不同资源使用者的资源安全需求。
恰当的访问控制策略是资源安全的保证。由于传统的访问控制模型中的安全策略都是由单一主体者制定和实施的,因此它们不能针对该特点制定有效的安全策略:OBAC模型和TBAC模型没有考虑资源所有者的安全需求;DAC模型允许资源的所有者制定针对该对象的保护策略,但它的资源所有者同时也参与到资源的使用中来了,因此资源所有者制定的是符合自己安全意愿的资源保护策略,对于其他该资源使用者由于不同资源使用环境和目的,当他们统一遵守资源安全策略使用该资源时,降低了资源的使用效率并导致资源安全隐患;R.Sandhu 等人提出的RBAC模型[7]加强了策略制定的灵活性,但该模型本质上是一种粗粒度的访问控制,仍然无法很好解决资源所有者与资源使用者分离情况下的安全访问问题。
1 O-RBAC模型
在区域医疗信息共享系统中,通过使患者作为权限管理者出现在系统中可以有效解决资源所有权与使用权分离情况下的访问控制矛盾。在O-RBAC模型(如图1所示)中资源所有者将拥有资源的权限管理资格,每一个资源所有者都能根据自己的主观意愿对自己所属的资源进行访问控制。
1.1 RBAC模型的基本要素
本文提出的O-RBAC模型是RBAC模型的一种拓展,将在总体框架上符合NIST标准的RBAC模型[6],首先定义RBAC模型中已有元素和建立在这组元素上的多种关系。
Users={u1,u2,…,um}系统内所有活动者的集合。
Roles={r1,r2,…,rn}系统内所有角色的集合,每个角色为一定数量的权限的集合。
Ops={op1,op2,…,opk}所有资源操作的集合。
OB={ob1,ob2,…,obl}所有资源的集合。
Sessions={s1,s2,…,sp}所有会话的集合。
Perms=2(Ops×Objects)所有权限的集合。
UA⊆Users×Roles表示从用户集合到角色集合的多对多映射,即用户被赋予的角色。
PA⊆Perms×Roles表示从权限集合到角色集合的多对多映射,即角色被赋予的权限。
1.2 角色域与客体类
一个自然组织为了有效运行,将组织又细分为不同的部门,用户通过在组织中扮演着某个角色行使职责,医疗系统即为一个典型的多部门组织。本文根据角色所处的不同部门将角色归为不同的角色域。
定义1 角色域 若存在关系式org(Org,Rol/Org′),则表示角色Rol或角色域Org′ 属于角色域Org。
角色域是树状继承结构,同时满足自反性、传递性和非对称性,是一个偏序关系。除根节点外,每个系统有且只有一个根域,同时每个角色域有且只有一个或没有父节点,若RH表示所有角色域的集合,则形式化表达为:
(1) RH⊆RD×RD表示集合RH上的偏序关系,记作≽,r1≻r2表示r2是r1的子域,r1≽r2表示r1≽r2∨r1=r2,r1≻≻r2表示r2是r1的直接子域。
(2) ∀r1,r2,r3∈RD,则r2≻≻r1∧r3≻≻r1⇒r2=r3。
在区域医疗共享系统中,不为资源使用者的患者其实是作为一种兼职性质的权限管理员来分配自己资源的权限,若每当患者有新的所属资源添加进系统时就进行一次权限分配显然对患者来说是很繁琐的,因此需要将不同的资源根据不同的共性归属为不同的客体类,患者可对客体类进行权限分配即可,这样若新添加资源的所属客体类已经分配权限,系统可自动对该资源分配权限。
定义2 客体类 若存在关系式obc(obc,obj/obc′),则表示资源ob或客体域obc′属于客体域obc。
类似于角色域,客体类也是一个树形继承结构,但不为偏序关系,每一个资源均属于一个客体类,客体类为资源的一个集合,若OBC表示客体类集合,则形式化表达为:
(1) ∀obj∈OB,∃obc∈OBC,obj∈obc。
(2) ∀obc∈OBC,obc⊆OB。
1.3 权限管理角色的分类
由于资源所有者的权限管理权力具有兼职性,系统内的权限管理者仍然是不可或缺的,为对资源所有者和资源使用者的权限管理行为加以区分,O-RBAC模型将RBAC模型中权限管理角色细分为资源所有者角色和系统权限管理角色。
定义3 资源所有者角色 若存在关系式ownership(Ob,Rol) ,则表示资源Ob的拥有者是Rol,则Rol属于资源所有者角色。
考虑到系统中存在所有权使用权未分离的资源,用关系式┐ownership (Ob/Obc)表示该类资源或客体类。
定义4 系统权限管理角色 若存在关系式assign-P(Obc,Act,Rol,Rol′),则表示权限管理角色Rol将资源类Obc的Act操作权限的授予权授予给角色Rol′,则Rol′为系统权限管理角色。
1.4 权限管理策略
O-RBAC模型的权限管理将分为资源所有者对权限的管理和系统权限管理角色对权限的管理。资源所有者可以根据自己的意愿将自己任意资源的任意操作赋予任意角色,系统权限管理角色也可以根据系统的要求将任意资源的任意操作赋予任意角色。资源所有者关心的重点是资源使用的目的,他们对用户是谁是不敏感的,作为系统外人员也无法对用户的安全性进行识别,因此对用户的角色赋予与撤销将由系统权限管理角色完成。
分配权限时,某角色必须同时获得资源所有者和系统权限管理角色的权限授权才能获取某资源的操作权限。
关系式assign(Rol,User,Rol′)表示权限管理员Rol′将角色Rol赋予用户User,关系式assign-R (Obc,Act,Org,Rol)表示系统管理角色Rol将客体类Obc的Act操作权限赋予角色域Org内的用户的角色。关系式assign-O(Obc,Act,Org,Rol)表示资源所有者Rol将客体类Obc的Act操作权限赋予角色域Org内的用户的角色。关系式permitted(Ob;Act;User)表示用户User拥有资源Ob的Act操作权限。
∀b ∀c ∀e ∀g ∀h ∀i ∀p ∀q ∀x ∀y ∀z
ownership (x, e) Λ
assign-O (z, y, q, e) Λ
org (q, p) Λ
obc(z, x) Λ
assign-P (c, y, h, b) Λ
assign-R (c, y, g , h) Λ
assign ( p, i, h) Λ
org (g, p) Λ
obc(c, x)→permitted(x, y, i)
当某资源的所有权、使用权未分离时则与RBAC模型权限管理策略相同。
∀b ∀c ∀g ∀h ∀i ∀p ∀x ∀y
┐ownership (c) Λ
assign-P (c, y, h, b) Λ
assign-R (c, y, g , h) Λ
assign ( p, i, h) Λ
org (g, p) Λ
obc(c, x)→permitted(x; y; i)
撤销某角色拥有的权限时,只需资源所有者或系统权限管理角色任意一方即可撤销。关系式revoke-p (Res, Act, Rol, Rol′) 表示资源所有者或系统权限管理角色Rol撤销Rol′所拥有的对资源Res的Act操作权限的授予权。
∀b ∀c ∀e ∀g ∀i ∀p ∀q ∀x ∀y
assign ( p, i, h) Λ
((assign-P (c, y, h, b) Λ
org (g, p) Λ
obc (c, x) Λ
revoke-R(c, y, g , h))∨
(ownership (x, e) Λ
org (g, p) Λ
obc (c, x) Λ
revoke-R(c, y, g, e)))→┐permitted(x; y; i)
2 O-RBAC模型实施框架
本节将以区域医疗共享原型系统为例介绍O-RBAC模型的实施,图2为O-RBAC模型的实施框架。
2.1 客体类和角色域的划分
首先根据区域医疗共享系统应用需求建立客体类和角色域,如图3、图4所示。
2.2 模型框架的实施
每当有新的医疗信息存入系统时,系统都需要对信息进行种类判断。若为所有权使用权分离的资源则将资源分别交由资源所有者和系统权限管理角色进行权限分配,两者将分配的结果分别存入各自的权限表中。当某用户申请对系统的某资源做某操作时,系统先在系统权限管理者权限表中查询该用户是否被系统权限管理角色授予该资源的操作权,若无则拒绝申请,若有则继续查询资源所有者权限表,对于存在于资源所有者权限表的权限予以通过,否则拒绝。以下为原型系统中的一个实例:
有五条治疗记录α、β、γ、δ、ε分别属于患者A、B、C、D、E,其中A、B、E将客体类病历记录(ζ)的操作行为查看(f)授予给角色科研教师(G)。同时系统权限管理角色(H)将角色科研教师赋予用户I,并且将客体类病历记录的查看权限授予给角色科研教师,当科研教师H查看病人治疗记录时有:
((ownership (α,A) Λ
assign-O (ζ, f, G, A)) ∨
(ownership (β,B) Λ
assign-O (ζ, f, G, B)) ∨
(ownership (ε,E) Λ
assign-O (ζ, f, G, E))) Λ
(assign-R (ζ, f, G ,H) Λ
assign ( G, I,H)
obc (ζ,α) Λ
obc (ζ,β) Λ
obc (ζ,ε) ) →permitted(α, f, I) Λ
permitted(β, f, I) Λ
┐permitted(γ; f; I) Λ
┐permitted(δ; f; I) Λ
permitted(ε; f; I)
结果为I对治疗记录α、β、ε的查看申请通过,治疗记录γ、δ的查看申请被拒绝。实例表明,O-RBAC模型对所有权使用权分离下的资源进行了有效的细粒度访问控制。
3 结 语
本文提出的面向所有者访问控制模型O-RBAC有效解决了传统访问控制模型无法在资源所有权与资源使用权分离情况下的细粒度访问控制问题。使资源所有者能够在基于角色访问控制架构下积极参与到资源的安全保护中来。O-RBAC模型不仅可以应用在区域医疗信息共享服务中,也可以应用于其它类似信息共享服务中,如电子政务中的户籍档案信息管理、电子商务中的顾客信息管理等。由于资源所有者没有参与到资源使用中来,因此他对系统中的资源使用者角色的认识是模糊的,如何建立一套客观公正的信任评价机制,为资源所有者角色在每一次授予权限时给资源使用者提供客观的信任评价将成为下一步研究方向。
参考文献
[1]林闯,封富君,李俊山.新型网络环境下的访问控制技术[J].软件学报,2007,18(4):955-966.
[2]Yue Zhang,James B D Joshi.ARBAC07:A role-based administration model for RBAC with hybrid hierarchy[C]//Proc.of the IEEE Int.Conference on Information Reuse and Integration,2007:196-202.
[3]Sandhu R,Coyne E J,Feinstein H L,et al.Role-Based access control models[J].IEEE Computer,1996,29(2):38-47.
[4]邓集波,洪帆.基于任务的访问控制模型[J].软件学报,2003,14(01):76-82.
[5]Ferraiolo D F,Sandhu R,Gavrila S.Proposed NIST standard for role-based access control[J].ACM Trans.on Information and Systems Se-curity(TISSEC),2001,4(3):224-274.
[6]Kalam A A E,Baida R E,Balbiani P.Organization based access control[C]//Proc.of4th IEEE International Workshop on Policies for Dis-tributed Systems and Networks,2003:120-131.
[7]Kuhn D E,Coyne E J,Weil T R.Adding attributes to role-based access control[J].Computer,2010,43(6):79-81.
[8]Sistla A P,Zhou Min.Analysis of dynamic policies[J].Information and Computation,2008,206(2-4):185-212.
[9]Stoller S D,Yang Ping,Ramakrishnan C R,et al.Efficient policy analy-sis for administrative role based access control[C]//Proc.of the14th ACM conference on Computer and communications security,2007.
[10]赵菁华,刘旭东,冯惠,等.基于职能域的角色访问控制模型的研究及应用[J].计算机应用与软件,2009,26(4):133-136.
资源访问 篇8
(1) 创建Java SOURCE对象实现对操作系统资源的访问和控制功能。
create or replace and compile java source named RegTmpFile as
//这个程序的功能是把操作系统中所有以tmp扩展名的文件名
//全部放入一个文件中。
import java.io.*;
public class RegTmpFile
{
final public static String REG_TMP_FILE=“c:eg_tmp_file.txt”;
public static void listDirs () {
File[]drvs=File.listRoots () ;
for (int i=0;i
File f=drvs[i];
doDirFile (f.getPath () ) ;
}
}
public static void do DirFile (String f_do) {
File f=new File (f_do) ;
String[]fs=f.list () ;
if (null!=fs&&fs.length>0) {
for (int i=0;i
String fname=fs[i];
if (fname!="."||fname!="..") {
String dpf=f_do+fname;
File tmpfile=new File (dpf) ;
if (tmpfile.isDirectory () )
do DirFile (dpf+File.separator) ;
else if (tmpfile.isFile () &&tmpfile.
getName () .toLowerCase () .endsWith (".tmp") )
{
BufferedWriter bw=null;
try{
bw=new BufferedWriter (new FileWriter (DealEx-am.REG_TMP_FILE, true) ) ;
bw.write (tmpfile.getName () ) ;//满足条件的文件名全//部登记在一个文件中
bw.flush () ;
}
catch (IOException e) {
//TODO Auto-generated catch block
e.printStackTrace () ;
}
finally{
try{
bw.close () ;
}catch (IOException e) {
//TODO Auto-generated catch block
e.printStackTrace () ;
}
}
}
}
}
}
}
}
}
(2) 根据Java SOURCE对象创建存储过程, 实现在PL SQL存储里调用Java程序的功能。
create or replace procedure reg_tmp_file
as language java
name'RegTmpFile.listDirs () ';
(3) 把权限授予创建这些对象的用户如:SYSTEM。
grant javauserpriv to system;
grant JAVASYSPRIV to system;
(4) 运行reg_tmp_file存储过程。
execute reg_tmp_file;
资源访问 篇9
网络化制造的研究工作自20世纪末延续至今,其旨在实现企业间的协同和各种社会资源的共享和集成,高速度、高质量、低成本地为市场提供所需的产品和服务[1]。资源的封装、共享、集成是网络化制造领域的本质要求。在这一领域的研究历程中,先后出现了2种重要的网络化制造模式:应用服务提供商(Application Service Provider,ASP)模式和制造网格(Manufacturing Grid,MG)模式。ASP是将各种应用软件或应用系统安装在数据中心(IDC)或服务器群上,通过网络将其功能或基于这些功能的服务,以有偿的方式提供给使用者,并由ASP运营商负责管理、维护和更新这些功能和服务,其本质就是资源的集中管理和分散使用[2]。相关的研究工作在关键技术[3]、应用模式[4]等方面展开。制造网格模式于21世纪初伴随着网格计算研究工作的开展而出现,并迅速成为网络化制造领域的研究热点。制造网格是计算网格思想和技术在制造领域内的应用实践和拓展,其本质是以服务的组合和透明的过程为用户提供制造服务。在制造网格的构建和运营过程中,选择服务所对应的资源进行聚集以形成解决方案是制造网格的关键技术[5]。人们在制造网格系统架构[6]、制造网格服务质量[7]、系统的关键实现技术[8]、虚拟企业联盟的建模[5,9]、任务资源调度[6]、自组织协商与协调[10]等诸多方面展开了深入的研究。纵观网络化制造领域的研究历程,资源的有效封装和安全共享自始至终都是网络化制造系统基础。
1 网络化制造环境下的资源共享模式
网络化制造环境下,制造资源的共享涉及资源安全提供和资源安全享用2个方面。通常,具备自治特性的制造单元充当资源的提供者和享用者。制造单元提供资源的方式包括:(1)以支付为前提,有偿为对方提供资源;(2)以合作为前提,各自为对方提供等当量资源;(3)以协作项目为基础,为实现项目目标,多方按照协议提供资源。在一次网络化制造行为过程中,3种方式可能并发存在。对应地,资源使用方式包括:(1)以交付为前提的自由使用和受限使用,所谓受限是指使用资源时受到使用时段,使用数量的约束;(2)以等额/等值或类似的近似交换手段为前提的资源交换使用;(3)接受项目管理的统筹,在项目范畴内使用资源,这是一种资源的间接使用方式,各方为实现共同利益目标达成的一种“各自提供/共同使用”的资源交互使用,在这一方式中,物理资源以其具备初等智能的代理常驻协同项目内,当项目用户需要使用资源时,必须经由“用户→用户代理→资源代理→资源”路径,才能获取原生资源的使用,这种方式可以实现制造单元资源安全、受控使用。
文献[10]认为:制造单元必须在具备授权条件下才能实现制造网格中资源的互操作,亦即资源的共享需要访问控制。网络化制造环境下受限的资源共享使用和操作,协作项目内的资源调度都要求有安全而灵活的访问控制模型,这是资源安全共享使用的基础。网络化制造环境下资源共享模型如图1所示。
2 RBAC技术概述
在计算机科学领域内,基于角色的访问控制技术(Role-Based Access Control,RBAC)被广泛用来进行资源、对象的访问控制。RBAC由Ferraiolo和Kuhn于1992年提出[11],在RBAC模型中,一个介于用户和资源之间的中介语义词——角色被提出来,相关的概念和技术还包括角色激活、角色的层次性、约束等。Sandhu等在此基础上,提出一个完整的形式化表示模型——RBAC96[12,13]和管理模型ARBAC97[14]。RBAC96模型如图2所示,其核心思想就是建立“用户→角色→资源”的映射关系,以决定用户可以对何种资源进行何种操作。模型中权限是由授权客体(被授权对象,包括实体如资源,以及抽象概念,如功能模块等)以及相应的操作组成,如技术图纸(资源)的浏览、批注圈阅(操作)等。RBAC模型在软件系统实现中得以广泛应用,网络化制造系统亦概莫能外[15,16,17],典型的制造企业职能系统,如ERP、PDM等也均采用这一模型或其扩展。
网络化制造系统中,一个远程协同设计过程对RBAC模型的使用可以例化如下:在分布式的远程网络会议中,结构工程师、电控工程师、BOM工程师、项目负责人为解决某新型产品的设计缺陷进行讨论,会议进行过程中,涉及到的权限控制如表1所示。
项目负责人作为管理角色,赋予结构工程师、电控工程师、BOM工程师相应的资源访问和操作权限。角色的引入,使得项目在进行人员流动和更替时,不会改变既定的职能分工,新的结构工程师可以完全拥有原结构工程师的资源访问和操作权限,这大大提高了制造资源控制的灵活性。
正是不断扩张的问题模型和应用需求驱动了RBAC模型的改进和发展,权限的时态性、角色委托、任务和活动的引入等一系列研究课题,使得发展着的RBAC模型逐步适应于分布式的系统的访问控制,并支持流程、支持时态约束等技术的内嵌使用。这些特征恰恰符合网络化制造系统的资源访问控制需求,而得以在网络化制造系统中推广应用。
3 网络化制造系统中的资源访问控制技术
网络化制造系统中应用RBAC模型时,领域的特殊性不可避免带来一些特殊需求,具体地:
(1)为了满足制造协同的需要,网络化制造系统中总是存在如图1所示的虚拟组织形态。在这种一次性组织内,资源和角色以虚设的代理形式存在,如何通过控制代理的方式来加强对原生域资源的控制。
(2)网络化制造领域内,资源的划分有在线资源和离线资源之分[5,10]。离线资源的不可预知性,会使得“拥有访问权限而不能进行操作”的现象存在,破坏了资源访问控制的完备性,在授权过程中如何进行规避。
(3)制造资源拥有不同的状态,而且存在着不同的访问控制需求。资源访问控制模型,显然需要根据资源状态变迁这一不确定性过程进行控制。
RBAC96模型无法满足这些特殊领域的特殊需求,一系列RBAC模型的关键基础技术和使能技术的研究与应用,使得RABC模型逐步接近和实现对上述问题的完整求解。
3.1 角色层次关系
角色层次关系是RBAC模型中的基础技术,角色之间的层次关系是应用领域中工作职位间关系的抽象[18]。如项目主管可以继承项目组成员的权限,并同时拥有更多的资源访问控制权限,项目主管被称为高级角色,项目组成员成为低级角色。文献[18]将角色分为常规角色和管理角色,常规角色指处理日常业务的角色;管理角色指履行管理职能的角色。进而,将角色层次之间关系分为权限继承关系、角色继承关系、管理层次关系、约束继承关系。权限继承是指继承角色拥有被继承角色全部权限;角色继承关系指继承角色的用户成员自动成为被继承角色的成员;管理层次关系指管理角色对被管理角色拥有授权控制,约束继承关系指继承角色将继承被继承角色上的约束。其中权限继承关系被广泛研究,事实上,任何两个具有权限相交的角色都可以抽象出一个以此相交集为权限集的上层角色。这一思想被应用到网络化制造系统中,通过抽象角色的设定来简化访问控制和管理逻辑。例如结构工程师、电控工程师、BOM工程师可以继承一个名为“工程师”抽象角色的权限。工程师与项目主管又可以继承一个名为“项目组成员”角色的权限。这种继承关系所带来的便利显而易见,项目某个共享资源撤销的信息,可以通过修改项目组成员角色的权限而迅速为项目组内的各个角色所获取。
层次关系的过渡抽象会使得层次关系模型中虚设更多“中介”角色,其中部分功用不大,却使得层次关系模型结构过于复杂和臃肿,这显然不符合应用实际,因此需要采用新的策略。参照对象化建模技术,文献[19]提出了角色的公有权限和私用权限的划分,其中私有权限保留,公有权限被用来继承,以保证每个角色具有业务职能。这种方式打破了下层角色对上层角色权限完全包容这一禁锢,有效简化了层次模型。文献[20]中提出“类型角色层次”模型的概念,其将角色按职能划分为虚拟角色、任务角色、作业角色、特殊岗角色等几大类,并规定了类内和类间的角色继承条件,以应用于工作流执行过程的动态权限控制。这些研究内容的补充,使得角色层次模型可以精细地描述业务系统内职能分工,制造业分工协作的方式在网络化制造系统中得以体现。
3.2 访问控制自治域
在网络化制造系统内,域作为制造单元在网络化制造系统中一阶软件抽象而存在。自治是域的根本属性,因而,域又称为自治域或制造自治域。概念上,认同自治域内已应用RBAC管理模型,实现对自身资源的完整访问控制。文献[21]将权限管理操作分为访问检查、授权、管理三大类,并引入授权表和管理表两个概念,提出一个层次化的访问控制模型。如图3所示。这一模型区分了授权和管理,将既承担管理职能又承担业务处理职能的角色从管理角色中区分开来,以限制上层管理角色对底层业务能力的访问,用于提升系统的安全性能。模型借用域所具备的边界和自治特性,将系统划分为多个各自独立的权限管理域,实现“分层管理、分级授权、多子系统集成”的思想。
域的概念在网络制造领域得以扩展,虚拟化是一种常见的方式:多个自治域的部分资源、用户聚集形成一个虚化的自治域,如图1中所描述的虚拟组织形态。从物理结构角度分析,虚拟自治域涉及到多个物理域,具有跨域特性;从物理组成角度分析,虚拟自治域不单有自有资源,还有隶属各物理自治域的资源的虚化代理。虚拟自治域的资源访问控制要求跨越域边界而不破坏各物理域自有的访问控制机制。众多学者对跨域的访问控制模型和技术进行了研究。文献[22]提出了基于认证的角色代理技术和角色映射技术,通过角色代理和角色映射支持外域角色对本地域资源的访问。文献[23]定义了外域角色到本地域角色映射中的三种策略:缺省策略、直接策略和部分策略。文献[24]提出了一种基于XML的多域访问控制语言,以实现对跨域访问控制的形式化表示,进而方便转化为软件实现。虚拟自治域总是处在一种暂态,其分布式的资源和角色由于其物理隶属不同而不可避免地出现动态变更。文献[25]针对动态角色变更问题,提出一种算法检测角色变更是否破坏已经存在的静态互斥角色关系,这种方法可以避免在角色更换过程中所带来的隐患,更好地支持自治域之间的互可操作性。
网络化制造系统中虚拟组织形态内的资源是制造资源的高阶抽象。资源的共享以自治域之间的互可操作性加以体现,这不得不以高于域这一层次的安全模型和策略来保证。设置具备智能的角色代理、资源代理,设计代理之间的协商机制[10],可以在不破坏自治域安全边界的前提下,支持虚拟组织内的资源访问控制。
今天,虚拟自治域访问控制模型已经成为网络化制造系统中共享资源安全访问控制的技术原型。
3.3 角色代理技术
角色代理技术被提出来后,众多学者对这一技术进行了广泛的研究。在自治域的概念范畴内,角色代理约定:外域角色对本地域资源的访问通过本地角色进行,亦即外域角色需要获取本域角色的代理资格,或者说是本域角色委托给外域角色,这一约定成为自治域内部资源使用安全的保证。角色代理方面的研究以问题为导向,前后解决了角色代理过程中代理权限粒度的控制,被代理角色约束向代理角色传播等问题,研究历程经历了一个从单级到多级,从粗粒度到细粒度,从整体代理到部分代理的过程[26,27,28,29]。文献[30]提出了量化角色的概念,给出了一个形式化的基于量化角色的可控委托模型,支持灵活的委托粒度和支持对角色任意部分权限的委托方式。角色代理是一个单调传播的过程,亦即B角色获得A角色的代理后,可以将代理权转授给C角色,由于存在部分代理技术,被代理的权限集呈现一种单调递减的趋势。应用过程中,原始的代理权发放角色需要掌握和控制整个代理角色链,这使得角色代理增加了新的研究内容。文献[31]分析了角色委托过程中委托事务的临时性,提出将委托角色的使用期限和使用次数限制组成委托票据,接受委托方角色使用委托票据,依据委托发布角色的激活状态行使委托职责。文献[32]使用信任度来刻画授权实体和被授权实体之间的信任程度,提出了一种新的适合于开放式环境的授权委托模型,很好地解决了委托的深度控制问题。
上述的研究主要针对自治域之间的单向角色委托问题。在网络化制造系统中,为了实现自治域之间资源的互操作性,不得不考虑更为复杂的双向角色委托问题。文献[33]深入分析了服务网格环境中虚拟组织用户对资源的访问,提出了基于角色代理的虚拟组织访问控制模型,如图4所示。
该模型的设计思路是:当自治域把资源共享到虚拟组织时,同时将具有该资源访问控制权限的角色代理委托给虚拟组织,当虚拟组织内的用户获得角色代理权,通过代理证书得到原角色验证后,经由原角色使用资源,代理过程中的身份验证和约束判断由虚拟组织权限管理模型执行。任何自治域在向虚拟组织共享资源的同时,可以通过虚拟组织内的角色代理使用资源,这可以借鉴来解决制造网格系统中资源互可操作性问题。
角色代理过程中总是受一定限制,比方说代理时段、资源使用次数、委托的深度等。这些都统一归集到RBAC模型的约束中。
3.4 资源访问控制约束
约束是RBAC96模型中一个重要的组成部分。它规定了访问许可被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则[34]。文献[35]综述了从RBAC96模型的基础约束,包括:用户约束、角色约束、授权约束、会话约束、用户授权约束和角色授权约束;以及从应用中扩展而来的约束:互斥约束、前提约束、数值约束、势约束、时间约束。其中互斥约束排除了角色之间、权限之间冲突的可能性。前提约束规定了某用户被赋予某角色的前提角色。数值约束限制了某个角色能被赋予的最大成员数,同时规定某个用户能够同时激活的会话数不超过2。势约束是比数值约束更为广泛的约束概念,最初的含义是指在一个给定的时间,用户成为某角色时所拥有的权限的上限。在后续的研究过程中,势约束被广泛用来作为模型中各组成元素的量化限制,如文献[33]将其用在代理角色的量化约束上,限制一个角色最多可以被代理的次数。同样,势约束可以用来约束授权客体的使用当量,这对网络化制造系统的资源使用尤其重要,因为制造资源的使用常常以某型当量作为计数和计费标准。
特殊资源上的约束关系是一个新兴的研究方向,网络化制造领域内,作为授权客体的制造资源具有更为复杂的领域属性和领域关系,这些领域信息一旦能有效传播到约束模型中,便可以简化复杂资源的权限管理逻辑,这不失为一个有意义的研究方向。
时间约束(又称时态约束)用来规定RBAC模型中各种指派关系和权限许可状态的有效时间范围。根据对时间的描述方法不同,可以分为连续时间约束和周期时间约束[35]。伴随时态约束的出现,另一种动态的和时态的资源访问过程的访问控制模型——TRBAC[36](Temporal Role-Based Access Control Model,时态访问控制模型)被提出来进行研究,James B.D.Joshi等提出一般化的时态约束模型(Generalized Temporal Role-Based Access Control Model,GTRBAC)[37],该模型支持对角色和两种指派关系(用户-角色,角色-权限)的周期性势约束和持续时间约束,也支持时间段内的势约束和激活态的最长持续时间约束。时态约束的出现,也使得对业务流程执行这一动态过程中的资源访问控制更为充分有效。在业务流程建模过程中,任务具有显式的时态限制,任务所关联的资源在任务执行过程中不断进行状态的变迁,相当于资源围绕时间轴进行着状态的变迁。为了更准确地描述用户、角色、任务、资源之间管理关系,基于任务和角色访问控制模型[38,39,40](Task Crole-based access control model,T-RBAC)被设计出来,模型中,任务作为角色和权限(在这里指资源及其访问操作形成的集合)的中介存在。发展至今,T-RBAC成为对业务过程中资源访问控制的主流访问控制模型,在网络化制造领域得到广泛应用。
4 虚拟组织形态的资源访问控制模型
网络化制造系统中,虚拟组织形态的资源访问控制尤为复杂,设计良好的模型可以直接应用到制造网格系统中。如前所述,作为授权客体的制造资源有在线和离线之分,在线资源通常可以备份到虚拟组织,作为虚拟组织内的实际资源用于协同设计的零部件文档、图纸等。离线资源则通过资源代理被发布到虚拟组织内,如具备某种加工能力的数控机床被表征后形成虚拟组织中的机床代理。这两类资源需要区别对待,原因在于离线资源的状态非确定、非实时,使得虚拟组织形态的资源访问控制模型需要和系统其他功能部件进行交互,以获得离线资源的状态。虚拟组织形态总是以项目形式来组织完成制造任务,任务成为其中不可或缺的元素,T-RBAC的思想和原理可以被引入进行虚拟组织形态中的访问控制。构建虚拟组织中的资源访问控制模型,如图5所示。模型吸收了T-RBAC的原理,并对约束进行扩展,为解决离线资源的访问控制问题,在不确定权限许可集的生成过程中,添加状态约束,以完善动态权限管理。
5 结论与展望
本文阐述了网络化制造系统中制造资源的共享模式,分析了共享制造资源安全访问控制的领域特殊性。综述了网络化制造系统中使用的资源访问控制技术,并针对网络化制造系统中,虚拟组织形态的结构特征和运行特征模式,提出了虚拟组织形态中的资源访问控制模型,以探索和深入研究更精细的、更安全的制造资源访问和使用。
资源访问 篇10
非物质文化遗产资源数据库是图书馆的重要特色数字馆藏, 是广大非遗爱好者及科研人员获取信息的主要渠道。目前图书馆利用先进的网络技术、多媒体技术等已经建立了不同内容、形式的非遗特色专题数据库。然而, 由于受到知识产权及商业利益等因素的影响, 大多数非遗资源都限制在校园网合法IP范围内使用。这样不仅限制了图书馆合法用户在校外访问的权利, 而且还降低了非遗资源的利用率。因此采取合理的应对措施来解决非遗特色资源校外访问问题显得尤为重要。
一、我国非物质文化遗产特色资源建设现状
目前国内高校实施数字资源校外访问系统的途径主要有两种, 一是VPN (虚拟专用网Virtual Private Network) 方式, 二是代理服务器方式。通过宋爽等对我国“985工程”院校的网站进行的调查统计来看, 80%的院校都提供了校外访问服务。其中61.2%的院校采用VPN方式, 32.3%的院校采用代理服务方式[1]102。而北京大学和南京大学则采用两种技术方式并存。总体来看, 我国高校对相关校外访问系统的需求还存在很大空间, 校外访问服务建设正处于普及发展阶段。
国外的校外访问系统中, 最具代表性的是采用EZproxy软件的代理服务器方式[2]93。它是由OCLC研发与提供的, 功能齐全, 价格也很便宜。多达10多种的读者身份认证方式及方便地与各个系统进行二次整合开发是它的突出优势。而且国外高校的校外访问服务普遍采用由校园网管理中心牵头建设。
目前我国非物质文化遗产特色资源数据库的建设主要由民族高校图书馆牵头, 已经建立了内容丰富的具有学科特色、民族特点的数字资源库。音频、视频等多媒体资源的建设也日益突出。大多非遗数据库基本处于基础建设阶段, 还存在一些问题。比如以单馆建设为主, 缺乏行业间的合作, 这就会造成非遗特色资源的数字服务范围受到限制, 难以形成面向大众需求的数字化集成服务机制[3]54。经过对相关网站的调查, 笔者发现, 非遗特色资源库基本都采取校内访问服务, 在网外只能浏览, 不能获取。非物质文化遗产是我国重要的民族文化资源, 具有很强的应用价值。为在更大的网络空间内传播与利用, 促进民族文化的传承与交流, 实现合法用户的校外访问应成为非遗特色资源数据库今后建设的一项重要内容。
二、非物质文化遗产特色资源数据库校外访问实施途径
非物质文化遗产特色资源数据库一般先由图书馆自建, 然后逐步实现跨系统、跨区域的合作与共享。其内容大多由图书馆及其相关部门运用网络、多媒体技术等整理、加工、录入、发布, 所以非遗资源的使用、访问等权限一般是资源的提供单位即图书馆等相关部门。这也是与图书馆购买电子资源提供服务的明显区别。实现所购数字资源的访问一方面需要与提供商签订基于校内IP认证的限定, 另一方面需要为校外合法用户提供合理的访问渠道。这样非遗特色资源库的校外访问实施起来就显得更加简单。
1. 采用VPN方式。
VPN (虚拟专用网络) 是在公用互联网上建立专用的网络技术, 提供对单位内部专用网络进行远程访问的链接。它是架构在公用网络平台上的逻辑网络, 不是传统专用网实现的端到端的物理链路, 所以称为虚拟网。它涵盖了跨共享网或公共网络的封装、加密和身份验证链接的专用网络的扩展[4]65。采用VPN的解决途径即在校园网内布设拥有两块网卡的VPN服务器。其中一个网卡连接校园网, 另一个连接公用互联网。这样就如同在公网上架设了专用网络。而且VPN服务器和校外用户计算机之间的通信采用加密方式, 所以就可以保证数据传输的安全性。当合法用户在校园网外需要访问图书馆特色非遗数字资源时, 在客户机上通过互联网先要找到VPN服务器。然后利用VPN服务器作为跳板进入到校园网内, 实现远程访问、获取非遗特色资源。VPN校外访问技术虽然具有较好的通信安全性及加密性等优势, 但它不能方便地实现通过图书馆自动化集成管理系统对用户身份进行统一验证。购置费用较高也成为部分院校不予采用的因素。
2. 采用代理服务器方式。
代理服务器的功能即代理校外用户获取网络信息。用户通过浏览器向代理服务器发出请求, 由代理服务器向用户传送所需信息。代理服务器有多种验证方式。通过验证用户名口令等合法信息, 使用户合理使用图书馆非遗数字资源。通过IP地址转换方式, 将校外用户的IP地址转换为校园网内IP地址。EZproxy、Squid是常用的代理服务器软件。Squid通过反向代理技术实现校外远程访问。EZproxy采用“重写URL”技术, 校外用户无需设置浏览器即能实现代理访问校内数字资源。目前美国许多著名高校采用EZproxy实现校外访问。国内诸如清华大学、北京理工大学、武汉大学等均选用该技术开发应用系统。通过EZproxy还可以实现与图书馆自动化系统、学生管理系统等的集成, 并且在此基础上开发相应功能。而且它的实施难度与购置费用较低, 所以成为有一定技术实力的图书馆的首选。湖南师范大学图书馆集成ILASII读者认证与Ezproxy实现校外访问[2]92。清华大学采用代理服务器的方式开发了校外访问控制系统, 重点实现了校外合法用户身份统一认证及实时监控用户行为等功能[5]119。虽然EZproxy具有成本较低、配置简单、容易实现等优点, 但是当校外用户请求过多时, 容易造成网络拥堵, 而且通信安全性相对较弱。实现非遗特色资源库的校外访问, 图书馆应根据自身的需求与技术实力等选择合理的校外访问软件, 制定最优建设策略。
3. 由校园网管理中心负责构建校外访问服务平台。
非物质文化遗产特色资源数据库是图书馆特色服务的重要内容之一。图书馆的采购电子资源及其他自建项目也要实现校外访问, 加上学校许多网络信息如电子政务、学生管理系统、远程教学资源等都需要校外合法用户访问。图书馆应与其他部门实现联合、合作。由学校的校园网络管理中心来承担实施校外访问平台的建设是最佳途径。这样不仅可以实现学校所有内容网络资源的校外访问, 而且图书馆可以从大量的技术及维护工作中解脱出来, 将更多的精力投入到满足用户的深层次信息需求上。目前国内如北京师范大学、中国人民大学、浙江大学等都采取以网络管理中心为主体开展校外数字访问服务。
三、非物质文化遗产特色资源数据库校外访问应注意的问题
1. 解决网络环境带来的访问速度问题。
采用先进的校外访问技术, 除了考虑系统功能外, 访问速度也是考察系统运行效果的一项重要指标。高校一般都处于教育网, 而大多数的校外用户一般都接入公网。当校外用户访问校内网络资源时, 首先由公网进入教育网, 然后由教育网内的校外访问系统发出请求, 获得数据结果后再通过与公网的互联转发给校外用户, 这样势必会影响网络速度, 使网络状况不佳, 带来较慢的访问传输效果。因此, 在校外访问系统中配置教育网、公网双址或租用公网光纤开通专用通道, 应成为图书馆或网络管理中心首要考虑的网络环境建设思路。
2. 注意知识产权保护。
非物质文化遗产的版权受法律保护。涉及与非遗传承人的知识产权问题, 特别是一些商业利益保密问题等。在开通校外访问服务时, 图书馆必须首先取得非遗相关人员的同意许可。一些商业秘密比如配料、配方、制作过程等应征求传承人的意见, 进行合理的保护。
3. 做好管理与维护工作, 保障网络安全。
网络管理部门应做好对用户恶意下载行为的监控及管理工作。对校外访问服务器进行设置, 自动拦截数量或下载频次异常, 暂停该用户使用权限等。要加强服务器的安全, 防止非法攻击, 盗取密码等现象。一旦发现异常, 及时做出相应处理, 保障网络安全。采用先进的网络技术解决安全漏洞问题。如在用户密码认证系统中, 采用账号+动态密码的形式, 可以减少盗用现象的发生。引进Shibboleth项目建立有效用户的认证机制, 对用户进行授权及提供个性化服务是一项值得借鉴的建设思路。
实现非物质文化遗产特色资源数据库的校外访问, 提高非遗资源的利用率, 使非物质文化遗产在更大的空间得到保护、交流与传承, 保障校外合法用户及非遗爱好者的权利, 不仅是用户的迫切需求, 也是图书馆拓展自身网络服务的需要。这将成为新型图书馆重要的网络特色服务模式, 成为图书馆特色资源建设与服务重要工作。
摘要:运用数字资源校外访问技术, 阐述非物质文化遗产特色资源数据库的校外访问实施途径, 对比分析了VPN与代理服务器技术的优劣, 提出校外访问服务平台由校园网络管理中心构建。
关键词:非物质文化遗产,特色资源数据库,校外访问,VPN,代理服务器
参考文献
[1]宋爽.高校图书馆校外访问系统最优建设策略[J].大学图书馆学报, 2013 (5) .
[2]田支斌.门户网站中集成ILASII读者认证与Ezproxy校外访问系统的研究[J].现代图书情报技术, 2009 (5) .
[3]冯云.非物质文化遗产保护视野下的民族高校图书馆特色馆藏建设[J].新世纪图书馆, 2013 (10) .
[4]包华.高校图书馆数字资源校外访问研究[J].图书馆学研究, 2013 (5) .
【资源访问】相关文章:
高校图书馆电子资源的远程访问技术分析12-16
国内访问工程师(访问学者)考核要求05-25
思修周末实践家庭访问之访问提纲07-12
访问流量04-24
访问平台05-04
访问性能06-06
访问列表06-24
网络访问07-08
访问路径08-08
访问工程08-10