支持多种访问控制模型的集中授权模型研究
2017-12-25 13:56边玲霍利岭路慧
学周刊 2017年3期
边玲+霍利岭+路慧
摘 要:在分布式系统中,由于各个独立系统采用不同的访问控制模型,给权限管理带来了诸多问题。而支持多种访问控制模型的集中授权模型,在支持原有访问控制模型的基础上可以满足多个应用系统的集中授权管理。集中授权模型采用的是分布式集中管理方式,使用XML文档格式存储集中授权模型中用户及权限信息。集中授权模型独立于具体的应用,具有较好的可重用性,使用过程中只进行少量修改就能够支持较为广泛的应用,可以有效地降低开发成本。
关键词:控制模型;集中授权;授权信息
中图分类号:G65 文献标识码:A 文章编号:1673-9132(2017)03-0008-02
DOI:10.16657/j.cnki.issn1673-9132.2017.03.003
一、引言
企业在信息化进程中建立了各种应用信息系统,随着网络技术的发展,不同应用系统间信息和资源的共享和交换需求不断增加,而各信息系统之间由于建设时间及技术不同,应用系统均有独立的用户管理、资源管理、身份管理和权限管理方式。这些因素给企业带来了如下问题。
1.管理复杂。作为管理员分别对各个系统进行维护,需要掌握不同的权限管理模式,且不同系统中用户信息、资源和权限信息要分别定义,这就增加了管理人员的负担。
2.用户口令不统一。各个系统使用了不同的用户管理方式,这就要求员工记住多个用户名和密码,增加了使用难度。
3.开发费用高。访问控制是应用系统重要的部分,如果企业由于业务原因,需要增加新的应用系统时,在缺乏统一的访问控制模式下,开发出来的新系统无法在原有系统中重用,增加了系统的开发费用。
隨着信息化进程进一步发展,应用系统数量逐渐增多,不同系统有不同的访问模型,因此企业信息化系统中存在大量的“信息孤岛”,为了实现信息一体化,信息集成成为企业首要解决的问题。与此同时,安全的访问控制也不容忽视。
二、模型授权过程
为了实现不同用户对系统不同资源的访问,集中授权模型根据用户使用系统资源的需要进行系统权限的分配。在企业信息系统中,将每个独立的应用系统定义成一个系统域,包括域名称、域ID、域描述及各系统所使用的控制模型。本文中研究的集中授权模型包含用户、角色、权限、对象等实体,各实体间的关系包括:用户角色关系(URA)、权限系统域关系、角色系统域关系、角色授权关系 、角色继承关系、访问控制列表、用户系统域关系、客体系统域关系。
集中授权模型授权过程简要描述:
1.添加用户,为该用户在所有系统域中逐个授权,允许一个用户属于多个系统域。
2.获取用户所属的系统域,将第一个系统域标记为Domain。
3.用户在系统域Domian中授予权限。
4.该用户在所属的所有系统域都完成授权,表示完成该用户授权。
三、授权信息的存储格式
XML指可扩展标记语言(EXtensible Markup Language),与HTML语言类似,是一种具有结构性的标记语言,XML主要用来传输和存储数据,而HTML主要用来显示数据。在分布式系统中,使用XML描述集中授权信息,XML凭借其方便、可读性强、跨平台性等便于发布的特点适合用来描述和定义访问控制策略。XML语言可扩展性强,使用过程中XML的标签都是根据实际需要由系统管理员定义,因此,具有较强的可读性。
权限信息使用XML存储格式描述格式如下所示:
各实体关系的XML存储格式如下所示:
访问控制策略采用XML格式存储,因此,文档的安全性变得非常重要,为保证用户的合法访问与系统安全性,使用XML加密、签名等方式来防止XML文档被非法访问与篡改。
四、 模型特点
总结该模型的主要特点如下:
1.该模型支持多种访问控制模型,可以满足不同的应用系统对访问控制模型的多样化需求。
2.可以解决分布式环境“信息孤岛”问题,在原有系统不变化的基础上实现不同应用系统的集中授权管理。
3.由于权限管理模块的可重用性,新开发系统可以直接使用权限管理模块,从而降低开发成本,该模型使得权限管理更加方便。
五、结语
本文针对分布式系统中访问授权出现的问题,设计了一个支持多种访问控制模型的集中授权模型,该模型不依赖于具体的应用,并且具有良好可重用性,做少量修改即可应用于某个新系统,可以大大降低开发成本。本文简单介绍了XML的存储格式、集中授权模型的用户及权限信息使用XML文档格式存储,为保证用户的合法访问与系统安全性,对XML文档的安全性问题进行了简单分析。
参考文献:
[1] 任河,李杰.资源访问控制与统一身份认证技术的研究[J].机电产品开发与创新.2004(6):9-11.
[2] 金斌.统一的身份认证和访问控制之单点登录系统设计与实现.上海交通大学,2007.
