基于代理機制的“數字海洋”授權模型研究

王偉，石綏祥，李四海，劉振民，顧云娟

(1. 國家海洋信息中心數字海洋實驗室，天津 300171；2. 江蘇省海洋與漁業局信息中心，江蘇 南京 210003)

基于代理機制的“數字海洋”授權模型研究

王偉1，石綏祥1，李四海1，劉振民1，顧云娟2

(1. 國家海洋信息中心數字海洋實驗室，天津 300171；2. 江蘇省海洋與漁業局信息中心，江蘇 南京 210003)

“數字海洋”用戶授權系統建設是整個信息基礎框架構建的基礎，是實現框架內數據與應用資源整合的前置條件。在對框架構建授權需求進行深入分析的基礎上，結合目前網絡授權方案的發展以及基于角色的用戶訪問控制技術，本文給出了用于實現框架授權的基于代理機制的授權模型，有效解決了節點用戶授權的復雜需求。

數字海洋；代理；授權；服務

引 言

依據中國近海“數字海洋”信息基礎框架（以下簡稱框架）構建總體實施方案，項目建設的最終目標是要在“數字海洋”專網的基礎上，實現國家海洋局局屬單位、沿海省市共 23個節點上的各類海洋數據與業務應用的集成與共享。然而，出于對數據與應用資源安全性的考慮，運行在節點上的各類系統實際上都會有自己相對獨立的用戶認證和授權機制，這使得用戶必須面對安全機制的多樣性和異構性，從而導致：存放在“數字海洋”專線網節點上的數據與應用資源很難實現真正意義上的整合與共享，因為如果某個節點欲將自己的某些資源共享，必須要知道其他所有節點的授權信息；一個用戶訪問其他節點共享資源時，他在節點安全區將會擁有多個登錄密碼和訪問權限，因而記住每個安全區的密碼成為困難，在實際操作中也很難實現；節點在開展各類特色系統開發的時候，必須要重復開發用戶管理、功能授權等功能模塊，這在一定程度上沒有很好實現“數字海洋”建設成果的可繼承性與可復用性，造成開發資源的浪費。

因此，在面向整個“數字海洋”各級節點整體的分布式系統平臺內，需要有一個統一的、具有較高安全控制能力的用戶認證和授權系統，一方面保證數據安全和用戶操作方便，另一方面也可完全達到“數字海洋”建設的最終目標。針對“數字海洋”信息基礎框架構建項目的用戶認證和授權問題，在對目前國內外 IT廠商提供的代表性解決方案與技術進行深入研究的基礎上，依據數字海洋授權具體需求，提出了一種基于代理機制的網格環境下對用戶集中認證、分散授權的解決方案，從而實現了“數字海洋”集成框架真正意義上的單點登陸。

1 需求分析

1.1 用戶與角色

“數字海洋”用戶是指一個可以獨立訪問集成到“數字海洋”信息基礎框架中的計算機系統中的數據或者用數據表示的其它資源的主體，用戶分布在國家海洋局局屬單位、沿海省市等 23個節點上。角色由用戶自行定義，是指一個組織或任務中的工作或位置，它代表了一種資格、權利和責任。在“數字海洋”節點中，每一個節點都可以根據本節點的具體業務需求，指定用于該節點的用戶角色。根據用戶業務崗位不同，一個用戶可以擁有多個角色。

為實現框架建設目標，“數字海洋”任意節點上的任何用戶都要放到整體框架中來分析，在整個框架中由一個唯一的USERID來標識；框架必須為用戶提供一個統一的入口，采用單點登錄的方式，通過全局登錄界面（Portal）登錄節點系統，能夠通過加密算法驗證用戶身份和判斷用戶是否已經登錄系統，并可通過代理機構來保存用戶的登錄狀態；由于“數字海洋”節點職能、對國家建設系統的需求、特色系統建設情況各異，節點能夠利用國家主中心節點分配的管理員賬戶進行組織機構、角色的定義。機構與角色編號在數字海洋全局中也都是唯一的。

1.2 菜單控制

在菜單控制方面，框架應具有管理節點各類系統業務功能菜單的能力。依據用戶的角色，用戶在成功登錄系統后，框架中的授權模型能夠為節點系統提供菜單數據信息服務，為用戶加載與之角色相對應的確切菜單元素。

為實現需求描述中的菜單控制功能，框架中的授權模型應達到以下幾點具體要求：

a) 為了方便用戶進行權限組織管理，框架中需要建立一張業務功能列表。任意節點中的任一業務系統菜單信息，都保存在業務功能列表中，這在用戶界面上表示為樹狀分層結構。

b) 業務功能模塊以用戶定制菜單來體現，仍然采用編號分層方式，編號的每兩位為一個層次。并標明一個層次是子菜單還是業務模塊，子菜單只有一種可否被訪問的權限設置，業務模塊權限由系統管理員或授權用戶進行設置。對每個業務模塊設置它的對象控制、記錄增刪改控制和記錄集控制。當用戶擁有對業務模塊的某一權限時，必需對處于它上級的子菜單有可被訪問的權限。刪除某一級子菜單時將提示用戶他的下級菜單與功能模塊都將被刪除掉。

c) 當用戶同時充當多個角色并且權限重復時，重復的權限僅一次有效，用戶擁有他充當的所有角色的權限的并集。

1.3 對象控制

對象是指應用系統窗口中的可視對象，如菜單項、按鈕、下拉列表框、數據編輯控件及數據編輯控件的字段等。對象控制通過角色與用戶授權來實現，包括對對象屬性的控制以及數據編輯控件中的數據記錄的維護等。對象屬性指對象的使能/禁止、可視/屏蔽；記錄維護指對記錄的增加、刪除、修改。

將每個業務模塊可進行屬性設置的對象由程序員事先設定或由售后技術支持工程師指導用戶加入。在系統管理員或授權用戶進行設置業務模塊的各種權限時，設置用戶在擁有該業務模塊這種權限時的對象屬性。沒有設置屬性的對象在保存對象信息的時候，用戶權限信息中不被保存。

1.4 記錄集控制

通過條件設置，用戶可以將特定記錄集中的全部或部分記錄與其他用戶共享。因此，框架授權模型必須能夠為數據的所有者提供條件設置功能，確保數據只為已授權的用戶訪問。具體要求如下：

a) 在對用戶設置業務模塊權限時，同時在過濾表中設置本模塊的數據編輯控件的數據篩選條件，篩選條件是組成SQL語句的WHERE條件子句迫使當前訪問的模塊根據篩選條件對數據編輯控件的SQL語句進行重組，并檢索數據。

b) 當存在需要從數據庫中多個表取數據的情況時，過濾表中存在多條記錄，每一條記錄記錄一個數據編輯控件取數的篩選條件。

c) SQL語句的WHERE子句的生成與校驗可以通過SQL語法分析服務，利用對象所提供的函數分析SQL語句，截取WHERE條件子句，校驗新組合的SQL語句的合法性。

1.5 服務控制

框架構建是在服務總線的基礎上展開的，基于總線的服務發布與獲取都需要進行必要的審批與控制。

1.6 權限的分散管理

上述提到的權限管理內容應該滿足既可集中管理，也可分散管理的目標：

a) 權限管理由系統管理員集中管理，系統管理員工作負擔過大，難對所有節點、所有崗位的分工有全面和具體的了解。對權限做出標準細致的劃分，對于“數字海洋”這樣大型的綜合系統適合于把一部分設置權限交由一些比較高級的用戶來進行，有利于各崗位細致協調的工作。這就是權限的分散管理。

b) 要實現權限的分散管理，就須對授權模塊進行一些授權管理，這要求整個系統的授權安全管理工作要做到細致，不要出現權限的漏洞使一些高級用戶擁有過大的權限。

c) “數字海洋”權限管理采用分級授權的方式實現。所謂分級授權，是指國家主中心節點超級管理員向其他局屬節點、省級節點分配管理員權限；局屬、省級節點進一步向市級節點分配管理員權限。任一節點的管理員不對節點內部業務權限進行分配，而是通過將管理員角色附加到節點內部高級用戶的形式，來實現對節點具體業務權限的管理。

2 研究現狀

2.1 Passport解決方案

為了滿足基于網絡的授權要求，各大軟件廠商、研究機構都提出了自己的解決方案。微軟提出的Passport方案[1]，是由微軟運行的一種web服務，是.Net戰略的一部分。借助于瀏覽器Cookie以及URL攜帶認證憑證的方式，能夠實現用戶一次登錄，就可訪問多個聯盟網站的功能。然而，由于 Cookie以及URL攜帶認證信息的限制，passport方案雖然能夠解決應用系統“用戶是誰”的問題，但對解決登錄用戶在系統內“能做什么”的問題卻顯得無能為力。

2.2 基于角色的授權模型

基于管理信息系統的要求，研究機構提出了一種“基于角色”的授權模型（role-based access control，RBAC）。在該模型中，用戶與權限通過建立用戶與角色的關系、角色與權限的關系聯系起來，通過分配和取消角色來完成用戶權限的授予和取消。這樣整個系統分為兩個部分，即訪問權限與角色相關聯，角色在與用戶關聯，從而實現了用戶與訪問權限的邏輯分離[2,3]。其簡要模型圖如圖1所示。

基于角色的授權模型解決了Who，What，How問題，即哪一個用戶（who）對系統中的什么對象（what）做如何（How）操作的問題。然而，在“數字海洋”框架建設中，部署在節點的系統是異構的，RBAC可以很好的解決一個節點的授權問題，但如果應用到整個“數字海洋”全局，還不能滿足框架的要求。

圖1 基于角色的授權模型Fig. 1 Role-based authorization model

3 基于代理機制的授權模型

由框架對授權模型的復雜需求以及目前授權方案的研究狀況來看，無論是微軟的passport還是基于角色的授權模型RBAC都不能很好的解決框架對授權的需求。但是，Passport中基于網絡的服務授權模式以及RBAC的靈活性，卻為框架基于代理機制的授權模型的研究提供了極為有意義的參考。

3.1 代理機制

代理（Agency）的概念最早由簡森（Jensen）和梅克林(Meckling)于 1976年提出[4]，但是主要應用在商業上。代理機制在商業上的成功應用以及該機制內涵思想的普遍適用性，使得代理理念很快在計算機領域得到了廣泛的應用。所謂的代理就是利益雙方為達成某種目的需求，依據一定的規約而委托第三方行使一定權利的行為。

運行在“數字海洋”上的各類系統是異構的，有國家建設的，也有地方依據本身的特色需求而自行開發建設的，如何使這些系統在框架下安全、高效的運行，實現“數字海洋”框架構建的數據共享、應用共享、服務海洋決策之目的，首先必須要構建一套高效、合理、安全的授權模型。國家節點為系統建設創建用戶管理與授權的代理，為節點系統建設提供包括用戶與角色管理、菜單管理、對象控制、記錄集控制、服務控制等代理服務，在底層為實現框架構建目標提供基礎保障。

圖2 授權代理服務框架示意圖Fig. 2 Diagram of authorized agent service framework

3.2 “數字海洋”授權模型

3.2.1 代理框架 借鑒Passport面向服務的分布式解決方案與基于角色授權模型的靈活性，“數字海洋”授權模型采用集中部署代理，節點分散定義相結合的方式，實現框架的授權。模型主要包含節點部門定義、對象定義、用戶定義、用戶組定義、角色定義、權限定義、權限配置、用戶委派、用戶加入到組等軟件構件。這些構件以服務的形式，部署在“數字海洋”主節點上，供其他各級節點管理員用戶調用。授權代理服務發布功能框架如圖2所示。

授權代理將信息化建設中的用戶授權模塊抽象出來，并以標準的WebService接口的形式，供節點信息化建設重用。采用這種方式，可以有效解決“數字海洋”眾多節點系統異構、需求復雜而給總集成造成極大困難的問題，通過授權組件以服務的形式提供，使得節點精通業務人員能夠自由定義本節點業務系統的授權邏輯，解決了軟件功能單一與用戶需求多樣性的矛盾，實現了軟件產品的開發與用戶需求的無縫結合。

3.2.2 授權模型的運行 總體上，代理框架分為授權代理預定義以及用戶的操作界面動態生成兩個部分。其中在授權代理的預定義中，為用戶產生主體能力表，是授權模型的核心。授權模型的運行流程如圖3所示。

節點用戶首先利用授權代理在代理服務器上創建節點的部門信息，在此基礎上完成本部門用戶的創建、可控對象的定義、角色定義以及角色配權、用戶委派等操作，其中可控對象的定義為節點系統建設的系統開發人員。授權模型依據用戶的定義數據生成節點用戶的主體能力表，供用戶登錄界面的初始化之用。

集成在“數字海洋”框架中的任何系統，用戶的訪問均需通過統一的入口（Portal）登錄。用戶鑒別機構通過對用戶提供的用戶名/密碼或者CA證書的甄別，判斷用戶是否是“數字海洋”框架的合法用戶。如合法，則通過調用該用戶的主體能力表，在總集成框架內形成針對于該用戶的操作界面，完成該用戶的授權。

3.2.3 主要功能組件職責 a) 節點部門定義工具：“數字海洋”節點包括局屬節點、沿海省市等共 23個節點，為了使節點間的授權信息不會相互影響，造成授權紊亂，必須要首先進行節點的部門定義。按照行政隸屬以及業務指導關系，數字海洋節點可采用樹狀結構進行管理，根節點為國家主節點。

圖3 基于代理機制的授權模型功能框架Fig. 3 Functional framework of agent-based authorization model

授權模型中的其他構件，都是在部門基礎上展開的。比如，可控對象的定義、用戶的定義、角色的定義等都是針對于某一個特定部門的。部門內的資源（包括角色、可控對象）分為公有和私有兩種，標有公有屬性的，可以被下級部門使用，標有私有屬性的資源只能為本部門所用。

b) 對象定義工具：節點系統中的各種功能模塊、數據、界面元素等對象，依據節點的具體業務情況，對象的機密程度是不一樣的，受到的保護程度亦有差別。系統中的對象均由程序員通過主節點授權代理提供的對象定義工具事先定義好，系統也只能控制這些事先已定義好的對象。因此，對象定義是整個系統的核心步驟，直接影響后面的各個安全控制環節。對象定義由系統開發程序員進行初始化配置，包括如下幾步：

(1) 功能模塊定義：系統中除部分公用的界面、公用功能模塊外，其它均為業務功能模塊，是用戶完成各自不同業務功能的主要途徑，也是我們安全管理要保護的重點對象，所以我們必須對業務功能模塊定義。只有對功能模塊對象在代理上進行定義，授權代理才能依據用戶需要完成用戶業務功能菜單的授權。

(2) 界面元素控制：除了功能模塊菜單要受到控制外，如要控制功能模塊里面的界面元素，這些界面元素也需定義。大部分界面元素均包含有相關的業務功能操作，所以對相應操作的界面元素進行定義是有必要的。

(3) 數據信息控制：業務功能模塊的大部分界面元素是顯示和操作數據內容的基礎，也是用戶對讀取數據和操作數據的主要途徑，為了數據信息的安全有必要對這些界面元素的操作數據采取安全保密措施。這就需要對這些界面元素定義相關的數據約束條件。

c) 權限定義：在定義好系統對象的前提下，基于不同情況的用戶安全需求，還需要定義不同的訪問類型，也就是要定義對象的權限。定義權限包括對象訪問控制和數據訪問控制兩方面。為了表述方便我們對權限用一個三元組符號來形式表示為：P（O，T，P），其中O表示訪問對象；T表示訪問類型；P表示謂詞。表示在謂詞P為真時對于對象O可進行T類型的訪問。權限定義是系統安全管理基礎步驟之一，只有給各種對象定義好訪問權限，才能給角色配置權限，基于角色管理才能成為可能。

d) 角色定義：基于代理機制的授權模型吸收了基于角色的訪問控制方法的思想，把對用戶的授權分成兩部份，用角色來充當用戶行使權限的中介。這樣，用戶與角色之間以及角色與權限之間就形成了兩個多對多的關系。授權代理提供角色定義工具允許用戶根據自己的需要（職權、職位以及分擔的權利和責任）定義相應的角色。

圖4 角色的繼承Fig. 4 Inheritance of roles

角色之間有相應繼承的關系，當一個角色R1繼承另一個角色R2時，R1就自動擁有了R2公用的訪問權限。角色繼承關系自然的反映了一個組織內部權利和責任的關系，為方便權限管理提供了幫助。角色繼承關系提供了對已有角色的擴充和分類的手段，使定義新的角色可以在已有角色的基礎上進行，擴充就是通過增加父角色的權限去定義子角色，分類通過不同子角色繼承同一父角色來體現。另外還允許多繼承，即一個角色繼承多個父角色，多繼承體現對角色的綜合能力。

“數字海洋”節點總體結構呈樹狀分布，在授權初始化時，國家根節點管理員只向其他節點分配管理員角色，由節點管理員對本節點的具體角色情況進行二次定義。換言之，各級節點管理員角色呈樹狀繼承關系（如圖 4所示），有效實現了“數字海洋”權限的分散管理。

e) 角色配置：角色是一組訪問權限的集合，一個用戶可以是很多角色的成員，一個角色也可以有很多個權限，而一個權限也可以重復配置于多個角色。權限配置工作是組織角色的權限的工作步驟之一，只有角色具有相應的權限后用戶委派才能具有實際意義。

f ) 用戶與用戶組的定義：系統的最終使用者是用戶，因此必須建立用戶的鑒別機構，登記用戶的身份信息。任一用戶在“數字海洋”授權模型內都有一個唯一標識，節點具有管理員角色的用戶可利用授權代理進行本節點用戶的創建。“數字海洋”用戶鑒別機構利用用戶名/密碼或者CA認證的方式來確定登錄用戶是否合法。

為了實現代理授權模型滿足分散式權限管理的需要，加入了用戶組（指一群用戶的集合）的概念。用戶組也可以委派角色，當用戶被加入用戶組時，自動對用戶所在用戶組擁有的角色進行了委派。為了便于分散式權限管理，授權模型還同時支持對部分組的權限進行下發方式處理，授權特定的用戶對用戶組的用戶權限進行管理。

4 模型優點

通過對基于代理機制的數字海洋授權模型功能框架的描述，該模型具有以下優點：

(1) 實現了框架內用戶的統一管理，為框架內實現數據資源、應用資源的分發與共享創建了必備的基礎條件。實現數據的分發與共享，首要的前提條件是安全、簡便，用戶在全局的唯一性使得用戶可以將資源準確的分發給指定用戶或群，更可以簡便獲取到其他用戶共享過了的資源。

(2) 實現了框架內所有節點運行系統在授權管理上的統一。框架內的用戶只要記住自己的登錄密碼，或者是保管好自己的認證證書，就可以訪問框架內任何授權的資源或應用，再不會因為進入不同的安全區而必須適應不同的認證策略而發愁。

(3) 實現了資源重用，減少重復建設，大大降低節點特色系統建設成本，提高開發建設效率。代理授權模型以標準 webservie形式發布功能構件，在框架內是開放的。節點業務特色系統的建設者可以將主要精力放在本節點的業務功能實現上，直接利用框架授權模型。

(4) 實現了節點分級授權。由于各個節點的業務情況不同，需求各異，主節點管理員不可能為其他節點定制適用角色與權限。通過角色繼承的方式，主節點向下級節點分配管理員角色，節點管理員依據自身需求客戶化本地管理員角色，有效解決了主節點功能一般性與下級節點需求特殊性的矛盾。

(5) 實現了節點整體特殊性與框架內一致性的統一。代理授權模型的使用是基于節點部門的，這就有效的保證了節點整體的特殊性。節點對代理授權模型的使用又是在統一的規約下進行的，這又在框架內維持了安全機制的一致性，使框架內的資源分發與共享成為可能。

(6) 基于角色授權機制的引用與擴充，使得基于代理機制的授權模型能夠輕松實現“數字海洋”眾多節點復雜的權限管理。

5 結束語

“數字海洋”信息基礎框架內的各類海洋產品數據以及業務應用數據的整合都離不開高效靈活的授權模型的支持，基于代理機制的授權模型為框架的構建提供了一個開放的、靈活的、可定制的用戶授權環境，很好的解決了因節點眾多而使用戶管理與授權需求復雜化的問題。代理授權模型的可繼承、可復用性極大降低了信息管理系統的開發難度與建設成本，有效規范了框架內的用戶管理，為未來框架內節點特色信息系統建設提供了有力的系統用戶管理模型支撐。

[1] 蔣黎峰, 趙保華. 一種靈活的認證授權系統的設計與實現 [J]. 計算機工程與應用, 2006, 18： 221-223.

[2] Epstein P, Sandhu R. A UML Based Approach to Role Engineering [C]. In Proceedings of the 4th ACMWorkshop on Role-Based AccessControl,Fairfax, VA, October 28-29, 1999： 135-142,

[3] Mohammed I, Dilts D M. Design for dynamic user-role-based security [J]. Computers & Security, 1994, 13(8)： 661-671.

[4] 陳漢文. 審計理論 [M]. 北京： 機械工業出版社, 2009： 10-11.

Research on agent-based authorization model in “digital ocean”

WANG Wei1, SHI Sui-xiang1, LI Si-hai1, LIU Zhen-min1, GU Yun-juan2

(1. National Marine Data and Information Center, Tianjin 300171, China;2. Ocean and Fisheries Information Center of Jiangsu Province, Nanjing 21000, China)

The building of authorization system is not only the foundation of building “Digital Ocean” information infrastructure framework, but also the pre-condition for integrating data and application resources within the framework. Base on the in-depth analysis of authority needs, combined with the development of network authorization solution as well as role-based user access control technology, an agent-based authorization model has been given.

digital ocean; agent; authorization; service

TP392; P7

A

1001-6932(2010)02-0206-07

2009-03-10；

2009-10-26

國家海洋局908專項（908－03）

王偉 (1976－)，男，河北寬城人，工程師，碩士研究生，主要研究方向為計算機軟件與理論。電子郵箱：wangwei@mail.nmdis.gov.cn