支持多種訪問控制模型的集中授權模型研究
2017-12-25 13:56:34邊玲霍利嶺路慧
學周刊 2017年3期
邊玲+霍利嶺+路慧
摘 要:在分布式系統中,由于各個獨立系統采用不同的訪問控制模型,給權限管理帶來了諸多問題。而支持多種訪問控制模型的集中授權模型,在支持原有訪問控制模型的基礎上可以滿足多個應用系統的集中授權管理。集中授權模型采用的是分布式集中管理方式,使用XML文檔格式存儲集中授權模型中用戶及權限信息。集中授權模型獨立于具體的應用,具有較好的可重用性,使用過程中只進行少量修改就能夠支持較為廣泛的應用,可以有效地降低開發成本。
關鍵詞:控制模型;集中授權;授權信息
中圖分類號:G65 文獻標識碼:A 文章編號:1673-9132(2017)03-0008-02
DOI:10.16657/j.cnki.issn1673-9132.2017.03.003
一、引言
企業在信息化進程中建立了各種應用信息系統,隨著網絡技術的發展,不同應用系統間信息和資源的共享和交換需求不斷增加,而各信息系統之間由于建設時間及技術不同,應用系統均有獨立的用戶管理、資源管理、身份管理和權限管理方式。這些因素給企業帶來了如下問題。
1.管理復雜。作為管理員分別對各個系統進行維護,需要掌握不同的權限管理模式,且不同系統中用戶信息、資源和權限信息要分別定義,這就增加了管理人員的負擔。
2.用戶口令不統一。各個系統使用了不同的用戶管理方式,這就要求員工記住多個用戶名和密碼,增加了使用難度。
3.開發費用高。訪問控制是應用系統重要的部分,如果企業由于業務原因,需要增加新的應用系統時,在缺乏統一的訪問控制模式下,開發出來的新系統無法在原有系統中重用,增加了系統的開發費用。
隨著信息化進程進一步發展,應用系統數量逐漸增多,不同系統有不同的訪問模型,因此企業信息化系統中存在大量的“信息孤島”,為了實現信息一體化,信息集成成為企業首要解決的問題。與此同時,安全的訪問控制也不容忽視。
二、模型授權過程
為了實現不同用戶對系統不同資源的訪問,集中授權模型根據用戶使用系統資源的需要進行系統權限的分配。在企業信息系統中,將每個獨立的應用系統定義成一個系統域,包括域名稱、域ID、域描述及各系統所使用的控制模型。本文中研究的集中授權模型包含用戶、角色、權限、對象等實體,各實體間的關系包括:用戶角色關系(URA)、權限系統域關系、角色系統域關系、角色授權關系 、角色繼承關系、訪問控制列表、用戶系統域關系、客體系統域關系。
集中授權模型授權過程簡要描述:
1.添加用戶,為該用戶在所有系統域中逐個授權,允許一個用戶屬于多個系統域。
2.獲取用戶所屬的系統域,將第一個系統域標記為Domain。
3.用戶在系統域Domian中授予權限。
4.該用戶在所屬的所有系統域都完成授權,表示完成該用戶授權。
三、授權信息的存儲格式
XML指可擴展標記語言(EXtensible Markup Language),與HTML語言類似,是一種具有結構性的標記語言,XML主要用來傳輸和存儲數據,而HTML主要用來顯示數據。在分布式系統中,使用XML描述集中授權信息,XML憑借其方便、可讀性強、跨平臺性等便于發布的特點適合用來描述和定義訪問控制策略。XML語言可擴展性強,使用過程中XML的標簽都是根據實際需要由系統管理員定義,因此,具有較強的可讀性。
權限信息使用XML存儲格式描述格式如下所示:
各實體關系的XML存儲格式如下所示:
訪問控制策略采用XML格式存儲,因此,文檔的安全性變得非常重要,為保證用戶的合法訪問與系統安全性,使用XML加密、簽名等方式來防止XML文檔被非法訪問與篡改。
四、 模型特點
總結該模型的主要特點如下:
1.該模型支持多種訪問控制模型,可以滿足不同的應用系統對訪問控制模型的多樣化需求。
2.可以解決分布式環境“信息孤島”問題,在原有系統不變化的基礎上實現不同應用系統的集中授權管理。
3.由于權限管理模塊的可重用性,新開發系統可以直接使用權限管理模塊,從而降低開發成本,該模型使得權限管理更加方便。
五、結語
本文針對分布式系統中訪問授權出現的問題,設計了一個支持多種訪問控制模型的集中授權模型,該模型不依賴于具體的應用,并且具有良好可重用性,做少量修改即可應用于某個新系統,可以大大降低開發成本。本文簡單介紹了XML的存儲格式、集中授權模型的用戶及權限信息使用XML文檔格式存儲,為保證用戶的合法訪問與系統安全性,對XML文檔的安全性問題進行了簡單分析。
參考文獻:
[1] 任河,李杰.資源訪問控制與統一身份認證技術的研究[J].機電產品開發與創新.2004(6):9-11.
[2] 金斌.統一的身份認證和訪問控制之單點登錄系統設計與實現.上海交通大學,2007.
