陈云飞 福建中医学院信息管理研究所 2006年8月15日 iReader iReader 远程访问管理系统 远程访问管理系统 ( ( IRAAS V1.0) IRAAS V1.0) -- -- 读者网络身份认证管理的一种实现 读者网络身份认证管理的一种实现 www.pdffactory.com zycnzj.com/ www.zycnzj.com zycnzj.com/http://www.zycnzj.com/
陈云飞
福建中医学院信息管理研究所
2006年8月15日
iReaderiReader远程访问管理系统远程访问管理系统((IRAAS V1.0)IRAAS V1.0)
----读者网络身份认证管理的一种实现读者网络身份认证管理的一种实现
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 2
主要内容主要内容
• 系统简介
• 系统适用对象
• 现有的图书馆用户需求
• 目前常见读者网络认证方式
• 现有的读者身份认证方案
• 系统主要特点
• 系统主要功能
• 系统运行简介
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader远程访问管理系统(iReader Remote
Access Administration System,以下简称iReader)是一套建立在由安全体系构建的网络环境下的用户远程访问管理系统,它使授权的用户可以随时随地通过Internet访问局域网或校园网内的数据资源。
iReader对外提供统一的数据访问接口,屏蔽分布式环境中数据资源的多样性和异构性,消除数据孤岛和信息孤岛,实现单点登录,统一访问;在实现数据资源的集成与共享的同时,能有效保护数据资源的知识产权和使用授权。
iReader 3
1.1.系统简介系统简介
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
系统主要适用的对象:
- 图书馆、信息管理机构、企事业单位等基于WEB为主的资源网站及数据库系统等。
(目前能支持国内图书馆网站上提供的各类电子资源,如电子图书、电子全文期刊、专业数据库、在线视频资料等)
iReader 4
2.系统适用对象
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• 需要远程(在家里、在外地、在会议途中等)访问本机构内部网站资源。
• 需要实现单点登录 (SSO)访问本地网站资源。
• 需要对用户和资源进行不同分组的访问授权。
• 需要限制用户在合法授权范围内使用资源。
• 需要与其他信息服务机构(图书馆等)共享自己的网络(电子)资源的机构。--跨机构的用户访问认证。
• 需要简单、快捷的用户界面,降低使用难度。
iReader 5
3.3.现有的图书馆用户需求现有的图书馆用户需求
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 6
4.目前常见读者网络认证方式
常见读者网络认证方式
• 不改变用户IP的方式:用户名/密码;用户上网IP
--该方式不支持访问有IP访问限制的商业数据库产品
• 改变用户IP的方式:VPN;PROXY
--该方式可使远程用户的IP转换为授权范围内的本地IP,但需要图书馆主动采取措施限制授权使用对象,以避免知识产权纠纷。
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 7
5.国内外现有读者身份认证方案
9.1. 国内读者身份认证软件
• ISC(北京铭寰科技)--VPN,不适合图书馆应用
• RasDL(上海半坡)--Proxy IE插件,安全性差,如存在密码未加密传送等问题
• 随易通(华建电子,中科院数字图书馆)--USB KEY认证
9.2. 国外读者身份认证软件
• EZProxy—“采用URL重写”技术(注)
• Athens—独立的管理中心,用户名/密码验证(注)
• Shibboleth—基于使用机构与数据提供商间的信任机制(注)
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• 技术成熟:基于成熟的PROXY技术
• 功能实用:支持单点登录后访问所有经授权的内部和外部网站资源;支持定制用户可访问的资源;提供对所访问资源的保护;
• 针对性强:适合对数字图书馆资源和用户的授权管理
• 操作简便:方便、简捷的用户使用界面
• 安全性高:支持用户名/密码和USB-KEY认证方式
• 扩展性好:布署方便,只需增加一台服务器,不用改动其他数据资源的设置。提供批量读者数据导入导出功能,支持多级身份认证服务器。
iReader 8
6.iReader6.iReader系统主要特点系统主要特点
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• 用户身份认证
• 网络访问控制
• 资源分组管理
• 日志统计分析
iReader 9
7.iReader系统主要功能
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• 支持跨Internet域的单点登录(SSO)。• 实现单点登录时,后台应用系统的用户名和口令可以各不相同,无需修改。
• 提供用户名/密码、USB KEY认证两种认证方式。• 支持用户分组权限功能。• 提供用户登录内部日志及审计,加强身份认证的安全性。
• 支持跨机构的用户身份认证,支持级连各机构自己的用户身份信息数据库。
• 基于Web的管理,系统管理员远程维护简便易操作。
iReader 10
7.1. 用户身份认证
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• 支持常见的网络接入:
电话拔号/ADSL/LAN宽带接入/WLAN无线接入等
• 帐号绑定功能:
确保一个用户帐号同一时间只能在一台电脑上使用。
(1)软件加密绑定方式
(2)USB-KEY加密绑定方式
[注]软件加密方式和USB-KEY加密方式可以任选一种,也可以在同一系统同时使用两类加密方式。
iReader 11
7.2. 网络访问控制
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• 支持将用户进行分组,每个分组可以设置不同的访问权限。
• 如权限较低的用户组可以访问目录或摘要,权限较高的用户才能访问全文;又如可以单独授权某类分组用户只能访问电子图书,另外一些分组可以访问全文期刊。
• 管理员可通过WEB方式随时调整资源分组授权设置。
iReader 12
7.3. 资源分组授权
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
• iReader系统提供完善的访问日志,对用户访问信息和资源访问量等进行记录。可供管理员及时了解用户对资源的使用情况。
• 管理员在通过身份认证的情况下,只需通过WEB浏览器,即可从任何一台联网计算机进行系统管理、日志查看。
iReader 13
7.4. 访问日志管理
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 14
8.系统运行环境
5.1. 硬件环境
• 服务器(Server):(略)
• 客户端(Client):(略)
5.2. 软件环境
• 服务器(Server):Linux (RHL AS4/Fedora/9)
• 客户端(Client):Windows 98/2000/XP/2003
5.3. 网络环境:
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 15
9.系统运行过程
(具体见演示)
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 16
9.1.iReader软件版客户端—下载/运
行• 下载客户端(约960KB)
• 直接运行客户端(绿色版,免安装)
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 17
9.2.iReader软件版客户端—激活帐号
• 输入用户名/密码
• 点击“激活”按钮
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 18
9.3.iReader软件版客户端—帐号激活成功
• 弹出帐号激活成功窗口
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 19
9.4.iReader软件版客户端—访问网站
• 点击“打开网站主页”,调用网站浏览器,开始访问指定的网站。
点击点击““打开网站主页打开网站主页””按钮,进入网站按钮,进入网站
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 20
9.5.iReader软件版客户端—帐号激活失败
• 如果用户在多台电脑上激活同一帐号,将弹出帐号激活失败窗口
• 用户帐号要注销后,才可以在另一台电脑上激活。
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 21
9.5.iReader软件版服务器端—管理登录
iReader系统支持WEB方式进行远程管理
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 22
9.6.iReader软件版服务器端—管理界面
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
iReader 23
网站即将开通,不妨上网一试网站即将开通,不妨上网一试
谢谢您的支持,欢迎批评指正谢谢您的支持,欢迎批评指正
http://www.ireader.cn
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
EZproxy 是一个目前被国外图书馆广泛使用的实现校外访问代理的软件。它与普通代理服务器软件的主要区别在于它是采用基于“URL重写”技术,用户无需修改浏览器的设置就能实现代理访问资源的功能。例如,EZproxy服务器的地址为:http://myproxy.mylibrary.com,我们要访问的地址为:http://www.mydatabase.com/index.htm, EZproxy 将其映射为:http://www.mydatabase.com.myproxy.mylibrary.com/index.htm,经过映射之后,对目标网站的访问就由Ezproxy服务器进行中转。这样用户只需通过输入口令通过EZprxoy 的验证即可访问目标网址。EZprxoy 是对传统的Proxy代理的一种改进,解决的浏览器设置的麻烦并改进了日志管理等功能;它仍然是基于用户名/口令的验证方式。它的缺点是用户需要输入的网址将变得很快,不符合用户使用习惯。另外,它缺乏对数据资源访问的知识产权保护措施,对用户名/口令的使用没有进行必要的限定。
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
Athens 是英国高等教育部于1996 年开始展开的一个
用于网络数据库登录管理的项目,随后成为英国教育部门和卫生部门利用网络资源的事实标准,注册Athens 帐号后仅需登陆一次就可以利用 Athens Access Management 系统提供的多种网络资源。
Athens 的特点是的思路是只要一个口令就可登录所有有权限的数据库。对的支持或设置的解决方案,只要注册一个用户任何可以上网的地方登录数据库。它的操作也对用户来讲几乎没有什么障碍。Athens 的另一据库从维护用户数据中解脱出来,而且,用户的知识产权控制及为用户提供个性化服务。
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
Shibboleth 是一个用于解决对共享资源的机构成员进行认证和授权的体系,它是Internet2(下一代互联网)项目中的一部分。Shibboleth 是基于采购电子信息资源的机构和资源提供商之间的一种信任机制进行工作的,这种信任机制的建立来源于两个程序组件:安装在机构用户站点(来源站点)的Shibboleth Identity Provider (IdP)和安装在资源提供商站点(资源站点)的Shibboleth Service Provider (SP)。当用户访问某个资源时,资源站点首先询问访问者的来源(Where are you from?),当访问者提供其来源,资源站点请求来源站点对用户进行验证,来源站点通过验证之后将该用户的信息发送给资源站点,该信息并不仅仅是说明该用户是否合法,还可以包括其他一些个人信息,资源站点以收到的用户信息为依据,对用户进行相应的授权及个性化服务。与Athens 项目类似,这种模式突破了IP 地址的限制,可以为用户提供更多个性化服务,资源提供商也从维护一大堆密码、IP 范围的重负中解脱出来,它的特点:不是把验证工作交给第三方,而是由用户
机构本身来完成。目前已有OCLC、CSA、EBSCO 等29 个数据库提供商宣布支持Shibboleth,同时有美国的麻省理工大学、杜克大学等众多高校参与到Shibboleth 的研究开发当中。
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/
陈云飞,E-mail: [email protected] QQ:352314
学历背景:1990年毕业于福建师范大学图书情报学专业,2001年获福州大学计算机应用专业硕士,现为华侨大学工商管理学院在读博士,研究方向:信息技术与现代管理。
从业经历:1990-2003年任职于福州大学图书馆(1996-2001年任福州大学图书馆信息技术部主任,2002-2003年任数字化建设部主任),2003-2005年,调入福建中医学院图书馆,任系统开发部主任,2005年至今任职于福建中医学院信息管理研究所。
(本项目相关网站:http://www.ireader.cn)
iReader 27
本人简介本人简介
www.pdffactory.com
zycnzj.com/ www.zycnzj.com
zycnzj.com/http://www.zycnzj.com/