高校电子资源访问管理控制系统的设计和应用概要.docx

1、高校电子资源访问管理控制系统的设计和应用概要收稿日期：唱唱；修回日期：唱唱作者简介：施晓华（唱），男，江苏人，馆员，硕士，主要研究方向为数字图书馆及网络安全（xhshi lib sjtu edu cn ）；钱吟（唱），女，浙江人，助理馆员，硕士，主要研究方向为数字图书馆；谢锐（唱），男，安徽人，工程师，硕士，主要研究方向为网络管理与网络安全高校电子资源访问管理控制系统的设计和应用施晓华a，钱吟a，谢锐b（上海交通大学a 图书馆；b 网络中心，上海）摘要：为了对电子资源过量下载实施有效管理，上海交通大学图书馆在网络中心的支持下，开发了电子资源访问管理控制系统。系统通过对校内用户访问图书馆购买的电

2、子资源情况进行实时网络抓包分析，监测学校用户下载电子全文时的各类违规现象，并通过TCP 会话劫持技术实时限制违规用户访问图书馆电子资源，有效保护了图书馆的知识产权。阐述了系统的功能需求、整体设计和实现技术原理，介绍了系统应用效果及还需进一步完善的工作。关键词：图书馆；电子资源；访问控制；抓包分析；TCP 会话劫持中图分类号：TP ；TP 文献标志码：A 文章编号：唱（）唱唱doi ：j issn 唱Design and application of electronic resources accessmanagement and control system in high schoolSH

3、I Xiao 唱hua a，QIAN Yin a，XIE Ruib（，）：For the purpose of effective management excessive downloading of electronic resources ，Shanghai Jiaotong Universi 唱ty Library developed a system to manage and control the electronic resource access with the support of Network Center Through analysis of real 唱time

4、 captured network packet of campus users who accessed library electronic resources ，the system was monitoring all kinds of illegally downloading full 唱text electronic resources ，and utilizing TCP session hijack technology ，system banned the illegal users to access the electronic resources and effect

5、ively protected the intellectual property rights of li 唱brary This paper described the system functional requirements ，overall design and implementation of technical principles ，and proposed further improvement of the work ：library ；electronic resources ；access control ；package capture and analysis

6、；TCP session hijacking引言高校图书馆的数字资源版权保护已经成为影响和谐图书馆构筑的非常重要的因素之一。由于学校少数人员过量下载图书馆订购的数字资源，引起国外几个重要数据供应商经常禁止违规IP 访问数据库，不仅造成学校师生在教学科研中获取资源的困难，也给图书馆相关工作人员的处理工作带来了不便。更有甚者，部分校内用户账号被校外人员盗用并公布在互联网上进行非法牟利，学校的代理服务器因此而被几个数据商禁止访问，使学校的声誉受到影响。为此，国内部分高校（如清华大学）制作了网络监控软件用以检测违规下载，限制超过规定数量的全文下载。这不仅使数据商的投诉和限制大大减少，而且工作人员能灵活

7、调整不同数据商的监测条件，收到了很好的效果。上海交通大学图书馆经与网络中心多次讨论后，建立了一套用来进行非法全文下载监测、违规情况警告和封禁的管理控制系统。系统方案采用在学校边界的路由器上监测用户访问图书馆指定商用资源的情况，并根据系统设置要求进行非法全文下载的用户限制。方案的实施将明显减少图书馆购买的商用资源被非法使用的情况，及时发现和中止用户违规使用的行为、减轻图书馆资源管理人员的工作量并提高图书馆网上服务的管理质量。电子资源访问管理控制系统的需求和总体设计畅系统功能需求）抓包分析功能系统可以从全校网络出口流量中过滤出对应所需检测的电子数据库的实时网络数据包，通过专业的分析软件进行实时监测

8、、分析，将所有相关的如URL 、访问时间、源IP 地址和目标IP 地址等访问信息写入后台数据库。）违规分析功能实时分析后台数据库的电子数据库访问信息，根据设置的违规参数获取各类违规信息，写入违规信息表以待调用；每次违规信息、封禁和解禁信息系统都通过e 唱mail 或短信形式提醒管理员。）违规用户的封禁解禁功能系统通过预先设置的用户封禁规则，实时获取需要封禁用户的IP 和封禁起始时间，自动发送封禁命令；同时检测已经达第卷第期年月计算机应用研究Application Research of ComputersVol No Mar 到解禁时间的被禁用户，自动发送解禁命令。实时调取违规IP 的信息，通

9、过TCP 会话劫持技术将用户的HTTP 访问重定向至图书馆警告页面。）Web 后台管理功能管理员可以通过Web 后台，添加、管理需要监控的数据库URL 、IP 地址及子网掩码；并针对不同数据库在单位时间内允许下载全文数量的上限进行设置、修改。管理员自动和手动关闭违规IP 或用户对特定数据库的访问权，能手工开启被禁止IP 的使用权限。后台显示统计各数据库对应的违规IP 和次数、违规发生的时间，单位时间内违规和处理情况的统计汇总。畅系统设计流程如图所示，系统主要分为抓包与违规控制平台、违规分析平台和Web 管理平台，三个平台使用同一个后台数据库，本系统开发时选用了Postgresql 数据库。系统

10、主要功能有流量过滤、抓包分析、违规分析、违规警告和Web 后台管理。 系统的运行流程如下：a ）流量过滤模块将所有用户访问的数据包进行筛选， 过滤出访问图书馆相关数据库的那部分流量信息。b ） 抓包分析模块对过滤后的流量进行分析，提取系统所需要的信息（如用户IP 地址、URL 、目标数据库的IP 地址等），将这些信息写入系统后台数据库的相应表中供违规分析程序调用。c ）违规分析模块对抓包得到的数据信息进行分析，按照各个数据库的违规条件进行违规判定。d ）违规处理模块对判定为违规的用户进行或者警告或者封禁的处理。电子资源访问管理控制系统各项功能的实现畅流量过滤对流量的过滤是通过校网络中心的边界路

11、由器来实现的，将访问特定数据库的那部分数据包过滤出来。如图所示，整个学校出口的流量非常巨大，约Gb 唱ps ，很难对出口流量全部进行基于URL 的抓包分析，所以在系统设计时提出了进行基于目标IP 地址的流量过滤需求。由于全校访问电子数据库的流量一般不超过Mbps ，利用带有千兆网卡服务器就能保证完全获取校内用户访问需检测的电子数据库（表）的各类信息。表需监测的电子数据库IP 样例列表数据库URL 数据库IP 网络掩码http ：pubs acs org http ：www ieee org ieeexplorehttp ：scitation aip org http ：arjournals a

12、nnualreviews org http ：www sciencedirect com 基于此对目标IP 的二层交换流量过滤功能的需求，经学校网络中心测试，发现目前的Extreme 公司的三层以上的交换机可以实现此功能，满足系统应用的需要。抓包服务器使用Windows Server 位操作系统、GHz CPU 、GB 内存以上，块千兆网卡。通过Extreme 的X 系列交换机进行流量的分流。实现时，通过编写相关ACL 策略文件及实现流量镜像（mirror ）功能，将相关流量镜像至设定的端口（port ，此端口连接抓包服务器网卡）上即可。流量过滤ACL 文件代码如下：entry filter

13、flowif match all protocol tcp ；destination 唱adress ；then redirect 唱port ：；畅网络抓包分析网络抓包分析（packet capture and analysis ）是通过抓取捕捉网络流动的数据包并通过查看包内部数据来发现网络中传递的各类信息。网络抓包分析系统依赖于一套捕捉网络数据包的函数库。这套函数库工作在网络分析系统模块的最底层；作用是从网卡取得数据包或根据过滤规则取出数据包的子集，再转交给上层分析模块。从协议上说，这套函数库将一个数据包从链路层接收，至少将其还原至传输层以上，以供上层分析。本系统开发时选取WinPcap

14、作为底层的API 接口实现数据包的捕获和分析。WinPcap 是一套免费的、基于Windows的网络接口API ，主要用于网络封包抓取的一套工具，可适用于位的操作平台上解析网络封包，包含了核心的封包过滤、一个底层动态链接库和一个高层系统函数库以及可用来直接存取封包的应用程序界面。WinPcap 目前的最新稳定版本为。开发应用时首先需要选择、获得本地主机网络适配器信息；若有多个网络适配器时，打开指定的网络适配器，获得该网络适配器的相关信息；再创建线程接收所有流过的数据包信息；接收数据报成功时调用dealData 函数处理解析数据报。抓包程序，可以理解为是一个对数据包进行分析，然后将有用信息写入后

15、台数据库的过程。程序对由X 过滤出流量信息进行分析提取，实时将所有违规分析程序所需要的相关信息如HTTP 访问的URL 、捕获时间、源IP 地址和目标IP 地址第期施晓华，等：高校电子资源访问管理控制系统的设计和应用等写入后台数据库。程序每天在数据库中建立一张表，以日期命名如“url ”，结果如图所示。畅违规分析如图所示，违规分析程序主要就是针对抓包获取到的校内用户和电子数据库站点之间的HTTP 的get 请求进行分析，分析用户请求访问的URL 内容，并根据URL 中的请求文件类型来判断用户是否为下载或阅读全文。如何判断出某个数据库站点的用户访问的URL 是在进行全文下载是一个比较重要的环节，

16、因为每个数据库提供全文下载的文献类型会有所不同，而且每个数据库发布系统在全文发布时，其全文URL 也有不同，无明显统一特征。这就需要用户管理员对不同的电子数据库的全文类型进行多次的测试和判断，找出URL 对应的全文关键词。一般数据库的全文文献特征为URL 最后的后缀名为“PDF ”，但对于一些数据库，如美国化学学会ACS 电子数据库，它的全文特征就在URL 的中间，所以需要一些正则表达式来表示，如：doi pdf 倡；doi pdfplus 倡；doi full 倡其中，星号（倡）表示全文关键词在URL 中间，若无则默认在结尾处；有多个不同关键词用分号（；）区分。获取到用户IP 在单位时间内对

17、一个数据库的全文下载篇数，就可以判断出用户是否有过量下载的违规行为。系统目前主要探测两类违规情况：a ）单位时间内总下载篇数，检测用户是否下载超过设置的最大篇数（图）。b ）单位时间内同一个全文URL 的下载次数，检查用户是否使用网络下载工具多线程下载全文。违规分析模块的实现是借助于基于C 开发的程序来完成的，该程序主要是对抓包得到的信息进行违规判定以及作出相关的处理。程序运行界面如图所示。由图可知，可以设定每隔一段时间就循环地对对应表（图中是url ）中的抓包数据进行分析，将各个数据库的违规信息写入违规信息表中。畅违规封（解）禁上节提到的违规分析和处理程序是每隔s 对违规信息表进行分析，对于

18、分析出来的违规IP ，按照一定的违规控制策略（表）进行对应的封禁和解禁处理。表违规控制策略h 内违规次数自动解除时间次min 次min 次min 次及以上由管理员手工解除违规分析程序通过判断违规IP 在h 内的违规次数推算出此次违规对应的封禁时间（开始封禁时间解禁时间），写入后台记录封禁实时事务的数据表中；在Web 管理平台中，系统管理员进行提前手工解禁时，只需通过Web 接口修改事务表对应的解禁时间即可。在实际管理中，网络中心在校园网出口处开发了基于TCP 会话劫持（TCP session hijack ）的违规封禁程序，实现对一些校内违规IP 的实时封禁和解禁。本系统运行时，由图书馆运行的

19、违规分析程序通过Web Service 方式发送处理的IP 和处理方式（封禁解禁）信息至网络中心封禁程序。基于TCP 会话劫持就是在一次正常的通信过程中，有第三方参与到其中，在基于TCP 的会话里注入额外的信息，即从会话双方直接联系变成与第三方联系。当确认的违规主机开始与外部主机进行通信时，违规封禁程序就会侦听到相应报文并采取措施来重定向页面或者终止该TCP 连接。基于TCP 会话劫持的违规封禁程序（如图）主要有以下三个步骤：a ）找到一个违规用户的会话。会话劫持的第一步要求程序可以找到违规用户IP 的会话。通过嗅探在学校出口处的所 b ）预测正确的序列号。在TCP 传输数据时 ，两个主机的T

20、CP 层之间要交换初始序号，这些序号用于标志字节流中的数据，还对应用层的数据字节进行记数。通常在每个TCP 报文 段中都有一对序号和确认号。TCP 报文发送者认为自己的字节编号为序号，而接收者的字节编号为确认号。每一个字节传输过后，初始序号都会递增。所以，会话劫持成功的关键就 是计算或预测出正确的序列号。c ）向违规用户发送警告。 一旦确定了序列号，系统就可以构造TCP 报文 ， 与用户建立通信，通过向用户发送一个重置计算机应用研究第卷命令重定向至警告的页面。由于是学校统一进行违规IP 的封禁，这些违规不全是图书馆的违规下载，在发送警告页面时，网络中心的警告页面还需要进行自动判断，判断如果是图

21、书馆违规下载IP 后，再次跳转到图书馆警告页面，如图所示。畅 管理员Web 管理平台主要完成管理员对系统的参数设置和日常管理与统计，Web 架构如图 所示，主要模块的功能有：a ）数据库管理模块，添加、管理需要处理的数据库列表，设置各类数据库相关参数，主要包括数据库全文关键词、 单位时间内允许下载全文的最大篇数等。b ）浏览、修改数据库信息，主要包括添加修改监测电子数据库对象的IP 地址和子网掩码等。c ）手动封禁IP 模块，系统设计时为管理员提供了手工添加（解除）需要封禁IP 地址的功能。d ）封禁用户信息浏览模块，用于查看当前被封禁的IP 用户列表，浏览用户违规下载全文的时间和篇数，同时可

22、对封禁用户进行解封处理。e ）系统用户管理模块，对系统用户进行授权管理，浏览用户信息。f ）违规统计信息模块，统计各类违规信息。g ）代理管理模块，校内代理地址的登记，可设置对部分代理放宽全文下载最大篇数。h ） 违规搜索模块，查询某IP 的违规历史信息。系统应用效果在系统正式推出后 ，图书馆在主页上同时推出了“关于对电子资源违规下载实施监控的公告”，介绍了系统检测的数据库对象、违规和封禁的规则和数据。 在全校师生中有效宣传了系统功能，提倡大家尊重知识产权， 进一步明确了合理使用图书馆电子资源的必要性；同时在发生违规被封禁后，提供有效沟通途径以及时处理。年初至今，系统运行了半年多时间，使用效果

23、良好， 根据统计显示，年月共有违规次，月共有违规 次，月共有违规次，月共有违规次，月共有违规次。同时在程序中对违规次数设置了阈值，当某一用户违规下载的次数超过了这个阈值时，系统将会自动发送邮件给管理员，如图所示。管理员就能根据用户的违规情况及时进行处理。从数据中可以看出，该程序在一定程度上能起到警示的作用，在用户心理上形成不要在短时间内大量下载以及不要使用工具下载的习惯，从而能有效地防止用户过量下载全文的现象，使得数据库商的投诉也有所减少。在系统部署和试运行过程中，发现不少违规IP 是一些校内部门的内部NAT 代理地址，这给图书馆管理员的管理和控制带来了诸多困难，因而在开发后期，工作人员增加了

24、代理IP 地址管理的模块，但在实际使用中仍然不够科学和严谨。需要完善的工作由于目前系统的违规分析数据主要是分析用户访问的全文URL 信息，图书馆无法更加有效地区分一个代理服务器的过量下载是由于一个人的违规下载还是由于多人同时下载而导致的。这些需要对这个IP 的网络数据包作进一步的编程分析，而对于用户使用多线程下载工具，系统目前也无法从源数据包分析中获取用户是否正使用下载工具、使用何种下载工具的标志。对于一些通过学校统一认证账号登录后使用的上网形式，如提供校外访问服务的Proxy 、VPN 及校内的无线网认证等，对违规用户不仅仅需要对IP 的管理控制，还需要进一步结合统一认证账号，以至于图书馆门

25、禁或读者管理系统的账号等。基于这些缺点，希望可以在下一步的工作中，进一步研究、开发以完善图书馆对用户违规访问电子资源的控制和管理功能。结束语图书馆知识产权保护和防止用户恶意下载电子资源，一直是困扰图书馆电子资源服务的一大难题，往往小部分读者的违规影响了所有合法读者使用图书馆购买的电子数据库。通过本文的介绍，在校园网出口处建立一个监控系统，在有用户初次违规时就警告以致禁止其进一步访问电子数据库；通过设置比数据库商略严的违规条件，在短时间内就有效防止了大量恶意下载操作，使得图书馆对电子资源访问的管理控制系统化，主动地处理各类违规下载事件。参考文献：邹荣，张成昱，姜爱蓉，等电子资源访问管理与控制系统的设计及应用J 图书情报工作，（）：唱www postgresql org EB OL （唱唱）。网络抓包分析系统和其协议分析研究EB OL （唱唱）http ：www cto com html Network html http ：www wipcap org EB OL （唱唱）周奇，佘华君，姜开达实时预警校园网病毒J 中国教育网络，：唱关于对电子资源违规下载实施监控的公告EB OL （唱唱）http ：www lib sjtu edu cn view do ？id 第期施晓华，等：高校电子资源访问管理控制系统的设计和应用