合法用户对于数字图书馆的认证信息一旦被公布，大量非法用户就会蜂拥而上，用该认证信息获取各种数据资源。由于Internet上信息传播速度非常快，加上上网用户逐渐增多，这种认证信息的公布所带来的后果是比较严重的。首先，作者的知识产权难以得到有效保证；其次，大量用户无节制的下载资源，使得数字图书馆的服务器负荷加重，难以为其它合法用户提供优质高效的服务；再次，对于购买了访问权限的合法用户特别是按流量计费的用户来说，认证信息的公布带来直接的经济损失；最后，这些使用数字资源的不公正现象，也会影响数字图书馆建设的健康发展。

4．加强存取权限控制的思考

根据上述分析，加强数字图书馆存取权限控制已经是势在必行。笔者主要从技术角度对该问题进行了一些思考。

4.1  采用一次性口令认证方案

在网络安全的身份认证领域有许多现成的研究成果，可以直接将之应用到数字图书馆的建设当中。针对传统认证方式的不足，可以采用一次性口令认证方案^[3～5]。

例如在基于信息摘要MD（Message Digest）技术的一次性口令认证过程中^[5]，用户口令只在客户端和服务器端出现，而在网络传输中口令是隐藏在随机数据串中且被哈希函数加密的形式。安全哈希函数的特性决定了从截获的H（M）难以逆推出口令P；而且伪造N使H（N）＝H（M）也不可能。因此，该方案可以有效防范窃听攻击。由于随机数据串各异，保证了每次认证传输的H（M）都不相同，因此即使认证信息被多次截获也无任何意义，可以有效对付重放攻击。

可见，与传统认证方案相比，一次性口令认证方案具有较高的安全性。

4.2  对登录用户进行IP范围限制

一次性口令认证方式可以有效对付认证信息在传输过程中被截获的可能，但是对于已经掌握了合法认证信息的非法用户则无能为力。特别是一些集体购买数据库的合法用户，往往把认证信息放在网站上以方便所属人员登录各种数据图书馆，用户合法信息很容易泄漏。考虑到集体用户的IP地址范围相对集中，可以对用户登录进行IP限制，在认证时验证登录用户的IP地址是否在允许的范围内。具体实现方式如下：

在数字图书馆的用户认证表中增加两个字段：BeginIP和EndIP，分别表示用户登录时所允许的起始和终止IP地址。当两者都为空时，表示不限制登录用户的IP地址范围；若两者不为空，则在用户登录时通过与服务器的连接获取用户IP地址，并进行地址范围的判断，用类似“select * from USER where USER_NAME=’****’ and PASS=’****’ and IP between BEGINIP and ENDIP”的SQL语句，可以实现带IP限制的用户登录认证方式。

上一页  [1] [2] [3] [4] 下一页