勘探信息系統統一認證與訪問控制的實現

李微巍

（遼河油田勘探開發研究院，遼寧 盤錦 124010)

1 引言

目前，在遼河油田公司內部運行的勘探數據庫應用系統有十余套，包括勘探信息管理系統、勘探成果發布系統、地震數據發布系統、勘探部署與網上審批系統、錄井實時發布系統等，這些系統在用戶管理上基本都自成體系，用戶訪問不同的應用系統則需要在不同的系統中輸入用戶名和口令，而且由于在每套應用系統中用戶的用戶名和口令都不一定相同，因此用戶需要記憶每一套應用系統的用戶名和口令，這為用戶帶來了極大的不便。建立統一登入系統及認證標準，實現統一認證，單點登錄，并且根據用戶權限訪問控制實現登錄系統后操作權限范圍內的業務及瀏覽權限范圍內的頁面，確保各系統信息的安全性、保密性、方便性。

2 統一認證平臺體系架構

用戶集中統一認證系統采用Web Service技術，基于LDAP和數據庫認證相結合的方式，實現統一、集中的用戶管理。系統體系架構如圖1所示。

圖1 統一認證體系架構

2.1 認證服務器分析

該系統采用B/S結構，認證服務器負責對用戶進行身份驗證，并把認證結果返回給應用服務器。

2.2 身份信息處理和通信

應用服務器根據認證的結果，結合其自身的RBAC訪問控制系統，對用戶訪問系統進行授權。認證服務端由SAML響應器、身份驗證服務和認證服務數據庫構成。SAML響應器用于與應用服務端進行SAML協議信息。用于完成認證服務器和應用系統的身份信息處理和通信。

2.3 身份驗證服務的分析

身份驗證服務主要用于對登錄用戶進行驗證；認證服務數據庫用于保存與用戶的身份相關的信息。應用服務端由SAML響應器、RBAC訪問控制和應用系統數據庫組成。SAML響應器用于與認證服務端進行SAML協議信息，用于完成認證服務器和應用系統的身份信息處理和通信。

2.4 RBAC訪問控制組件的研究

RBAC訪問控制組件用于根據用戶在該系統中的角色對用戶訪問系統的權限進行有效的控制；應用系統端數據庫主要包括應用系統的賬戶和對應權限信息，當然還應包括用于保存應用系統業務數據的信息。

3 數據庫設計

3.1 統一認證系統包含兩部分數據庫

按照模型設計的要求，統一認證系統包括兩部分數據庫：一部分屬于認證服務器的主系統數據庫，另一部分是應用系統的子系統數據庫。

設計主系統數據庫的目的主要是為了表達同一用戶管理模型中的映射關系，把各應用系統的賬戶和統一的用戶ID聯系起來。

數據庫由Application、User 、User＿Account＿Application 3 個表構成，各表之間通過外鍵相關聯。

表User的主要作用是為了表達統一身份認證的統一用戶的目的。各應用系統的各個賬號由User表中的user＿ID表示。這樣，用戶的身份就被統一起來了，用戶的驗證主要根據這張表的user＿code 和 password 判斷，它由用戶唯一標志（user＿code）、密碼（password）和用戶名（user＿name）構成。

表User＿Account＿Application的主要作用是建立用戶到各應用系統中的賬號，與賬號對應訪問的系統建立對應關系。根據登錄模型設計的要求，訪問控制由系統自行決定。所以，建立這樣的關聯后，用戶訪問各系統就可以根據系統自身的訪問控制表進行用戶系統授權。

3.2 訪問控制部分

它由用戶唯一標志（user＿code）、賬號標志（obj_id）和應用系統唯一標志（application＿id）構成，這3個字段聯合構成一個主鍵，用于表示三者的唯一關系。表Application的主要作用是描述應用系統的信息，包括應用系統唯一標志（application＿id）、應用系統名稱（application＿name）和應用系統的訪問地址（application＿url）。

3.3 各系統應用數據庫

該數據庫包括4個基本信息表，即User（用戶表）、Role（角色表）、Privilege （權限表）、Object（操作對象），它們分別定義了用戶、角色、權限、操作對象各個實體的基本信息。

3.4 認證端賬戶概念

它對應于認證端的賬戶概念：Role表用于定義角色，一個角色代表享有系統相似權限的一部分人；Privilege表用于定義系統的權限；Object表用于表達系統的功能實體，它和權限通過Privilege＿To＿Object（權限－操作對象關系表）關聯起來，用于表達訪問控制的結果。

User＿To＿Role（用戶－角色關系表）主要用于描述用戶到角色的對Role＿To＿Privilege（角色－權限關系表）用于表達角色擁有的權限。

3.5 通過權限限制

通過用戶就能夠找到用戶到權限的一個對應。同樣，User＿To＿AddPrivilege （ 用 戶 － 附 加 權 限 關 系 表 ）、User＿To＿SubPrivilege（用戶－限制權限關系表）也可以分別得到一個用戶到權限的對應。

4 系統實現

系統開發重點包括兩部分：認證端和應用系統端。

4.1 認證端（Identity Provider）

應用系統信息頁面主要根據已經通過驗證的登錄用戶，依據數據庫中該用戶對應的可訪問的應用系統信息，在頁面上顯示，供用戶選擇登錄。用戶選擇登錄后，將生成用戶認證斷言和票據并保存在應用中，然后把票據傳遞給應用服務器的票據接受處理頁面，由應用系統端作進一步處理。

斷言查詢的功能主要是根據應用系統端傳遞過來的請求信息找到對應該請求的斷言，并根據該斷言把斷言結果返回給應用系統端，應用系統端作進一步處理。

認證端數據庫的主要功能是保存用戶的身份驗證數據和應用系統信息的相關信息。

圖2 應用系統管理功能界面

4.2 應用系統端

應用系統端中包含的頁面和其對應的功能票據接收頁面根據認證服務器端的票據構造SAML請求對象，并把查詢斷言傳遞到認證服務器，認證服務器根據其保存的斷言信息返回查詢結果（SAML返回對象）給該頁面。

應用系統端根據該結果決定是否給用戶訪問。身份認證代理將應用系統標識，及用戶、密碼發給統一認證服務器，由統一認證服務器進行認證，并返回ClientSessionID。身份認證代理跳轉回應用系統URL，并將ClientSessionID作為參數一起發送給應用系統。

系統默認頁面是該頁面為應用系統的總控制臺，在這里可以訪問應用系統的具體功能。如果用戶認證成功，則表示用戶有權進入該應用系統，該頁面將根據對用戶的訪問控制權限，對用戶訪問系統的功能作限定。

應用系統端數據庫主要功能是保存原有系統的用戶身份信息和對應訪問控制信息。

圖3 統一身份認證訪問入口調用過程

［1］萬明，聶鵬.XML 在統一身份認證中的應用［J］.計算機與現代化，2009（12）.

［2］李孟河.基于角色的訪問控制技術及其應用［J］.計算機應用研究，2002（10）.