張海波++郝二偉++李競

摘 要：論文針對當(dāng)前社會各部門信息化建設(shè)過程中，基于Web的信息系統(tǒng)不斷增多的發(fā)展現(xiàn)狀，設(shè)計(jì)了一種可以統(tǒng)一進(jìn)行用戶授權(quán)管理的系統(tǒng)。系統(tǒng)通過Web Service完成各系統(tǒng)的服務(wù)調(diào)用，通過DWR與各信息系統(tǒng)交互信息，完成底層協(xié)議適配。將各系統(tǒng)的資源和菜單在同一權(quán)限管理中進(jìn)行注冊，并通過用戶屬性建立角色，形成基于角色的訪問策略，從而完成用戶權(quán)限統(tǒng)一分配。在此基礎(chǔ)上，通過協(xié)議適配接口完成系統(tǒng)日志上報，完成用戶行為跨信息系統(tǒng)的審計(jì)，完成對用戶行為的管理。

關(guān)鍵詞：授權(quán)；用戶管理；審計(jì)

中圖分類號：TP315 文獻(xiàn)標(biāo)識碼：A

1 引言

隨著信息化時代的到來，各地方各部門信息化建設(shè)水平不斷上升。在各機(jī)構(gòu)單位推進(jìn)信息化進(jìn)程中，普遍會建立多個信息系統(tǒng)，這些系統(tǒng)的使用者通常都是固定的。如果沒有統(tǒng)一的用戶權(quán)限管理系統(tǒng)，在管理用戶上需要重復(fù)注冊和授權(quán)，這直接導(dǎo)致管理人員的工作效率低下，管理成本增加，容易造成權(quán)限錯誤等問題，同時使用者在多個系統(tǒng)進(jìn)行切換存在重復(fù)登錄，不便于在各個系統(tǒng)中的協(xié)同操作。在實(shí)踐中，通常簡單的兩個系統(tǒng)可以通過設(shè)置單點(diǎn)登錄解決重復(fù)登錄問題，但是這并沒有完美地解決用戶權(quán)限統(tǒng)一設(shè)置問題。故在多系統(tǒng)中，設(shè)計(jì)一個統(tǒng)一的用戶授權(quán)管理系統(tǒng)成為必然。用戶授權(quán)管理系統(tǒng)是各信息系統(tǒng)統(tǒng)一的用戶管理、權(quán)限管理和審計(jì)管理平臺，為信息系統(tǒng)提供用戶管理、身份認(rèn)證、資源管理、權(quán)限管理、權(quán)限判決和日志審計(jì)服務(wù)[1-3]。

2 用戶授權(quán)管理軟件解決的主要問題

一是各信息系統(tǒng)分別維護(hù)自己的用戶，同一個用戶在不同信息系統(tǒng)需要進(jìn)行多次注冊。

二是難以完成一個用戶執(zhí)行跨各信息系統(tǒng)的任務(wù)。

三是只采用用戶名口令方式，各自認(rèn)證，安全性弱。

四是在針對用戶操作進(jìn)行日志審計(jì)時，只針對單個信息系統(tǒng)中用戶的操作行為進(jìn)行分析，基于日志對用戶的審計(jì)不具備跨信息系統(tǒng)的關(guān)聯(lián)性。

五是實(shí)現(xiàn)對各個系統(tǒng)內(nèi)部資源和信息系統(tǒng)的菜單是否可用的統(tǒng)一權(quán)限控制。

3 統(tǒng)一用戶授權(quán)管理軟件的設(shè)計(jì)與實(shí)現(xiàn)

3.1 系統(tǒng)設(shè)計(jì)原理和管理體系結(jié)構(gòu)

用戶在登錄信息系統(tǒng)時，首先由信息系統(tǒng)內(nèi)部構(gòu)件去訪問統(tǒng)一用戶權(quán)限管理系統(tǒng)，統(tǒng)一用戶權(quán)限管理系統(tǒng)根據(jù)用戶名，進(jìn)行數(shù)據(jù)庫查詢，得到用戶在各個信息系統(tǒng)的權(quán)限信息，返回給登錄的信息系統(tǒng)，實(shí)現(xiàn)一次用戶登錄多個系統(tǒng)授權(quán)的過程。如圖1所示。

用戶授權(quán)管理服務(wù)系統(tǒng)由授權(quán)服務(wù)軟件和嵌入在各個信息系統(tǒng)的用戶管理模塊和用戶審計(jì)模塊組成。統(tǒng)一用戶授權(quán)管理軟件部署在專門的服務(wù)器上，對外提供身份認(rèn)證、授權(quán)服務(wù)、審計(jì)服務(wù)等。在用戶登錄時，信息系統(tǒng)對用戶授權(quán)管理軟件提供的服務(wù)進(jìn)行調(diào)用，通過身份認(rèn)證服務(wù)、權(quán)限判決服務(wù)，返回對其擁有的被管網(wǎng)絡(luò)資源和菜單進(jìn)行細(xì)粒度的權(quán)限控制列表，實(shí)現(xiàn)管理流程。在用戶授權(quán)管理的同時，加入審計(jì)構(gòu)件，對用戶的行為進(jìn)行審計(jì)，各個系統(tǒng)的審計(jì)日志均通過調(diào)用授權(quán)管理軟件的相應(yīng)服務(wù)，上報給授權(quán)管理系統(tǒng)，實(shí)現(xiàn)了多個信息系統(tǒng)的聯(lián)合審計(jì)。

用戶管理模塊和用戶審計(jì)模塊集成在信息應(yīng)用系統(tǒng)當(dāng)中，分別提供用戶管理和權(quán)限管理和操作界面和審計(jì)管理的操作界面。

3.1.1 身份認(rèn)證和訪問策略

用戶登錄后首先要進(jìn)行身份認(rèn)證，通過用戶名、密碼等方式查數(shù)據(jù)庫表格驗(yàn)證即可。驗(yàn)證通過進(jìn)行授權(quán)，將用戶屬性分為用戶姓名、工號、職務(wù)、部門、級別等信息。根據(jù)用戶屬性可將用戶歸類為不同角色，使用戶訪問各類角色所對應(yīng)的資源和菜單?？梢愿鶕?jù)實(shí)際的應(yīng)用環(huán)境的要求劃分角色，也可以根據(jù)級別和部門劃分角色。角色的定義相對穩(wěn)定，用戶通過角色的分配來獲取訪問資源的權(quán)限，由此形成了權(quán)限訪問策略。圖2為用戶屬性和角色相結(jié)合的訪問策略。

3.1.2 授權(quán)服務(wù)

這種服務(wù)為訪問控制策略的執(zhí)行提供依據(jù)。對訪問控制權(quán)限的判決包括三個要素，即主體（用戶）、客體（訪問目標(biāo)）和操作權(quán)限。權(quán)限判決服務(wù)根據(jù)系統(tǒng)制訂的訪問控制策略，判斷該訪問是否符合策略要求，返回判決結(jié)果。

請求中包含了訪問者信息、訪問請求信息、目標(biāo)信息、上下文信息、決策因素是基于角色的訪問策略，使用映射組織結(jié)構(gòu)的方式來闡述權(quán)限控制策略。策略規(guī)則包括五個基本要素：用戶（Users）、角色（Roles）、目標(biāo)（Objects）、操作（Operations）、權(quán)限（Permissions），通過XML來描述，主要由幾個部分組成：主體策略—指定主體域，表明合法用戶的范圍；信任源策略—指定哪些信任源可以允許角色分配；角色分配策略—指定那一個信任源對哪一個主體分配哪一角色，多長時間的期限；目標(biāo)策略—指定該策略下目標(biāo)域包括的范圍；行為策略—指定目標(biāo)支持的行為和方法，如只讀，讀寫等；目標(biāo)訪問策略—指定何種角色在何種條件下對何種目標(biāo)有訪問的權(quán)限。

3.1.3 審計(jì)服務(wù)

建立統(tǒng)一的審計(jì)服務(wù)接口，各個分信息系統(tǒng)的用戶行為均上報到統(tǒng)一權(quán)限管理系統(tǒng)，避免每個信息系統(tǒng)分別建立行為審計(jì)，提高資源利用率，并且可以進(jìn)行跨系統(tǒng)的聯(lián)合審查，有利于跟蹤分析用戶行為。

3.2 軟件體系結(jié)構(gòu)

軟件從下至上分為協(xié)議適配、數(shù)據(jù)處理、業(yè)務(wù)邏輯、功能模塊四層，分別實(shí)現(xiàn)底層與各級授權(quán)管理系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行Web Service協(xié)議適配，Web頁面操作與Java類交互、用戶管理、權(quán)限管理、審計(jì)管理等功能。

4 統(tǒng)一用戶授權(quán)管理系統(tǒng)應(yīng)注意的問題

一是用戶授權(quán)服務(wù)系統(tǒng)是各信息系統(tǒng)登錄時必備的系統(tǒng)，要關(guān)注其運(yùn)行狀態(tài)，不能成為導(dǎo)致各信息系統(tǒng)不能正常登錄或不退出登陸情況下日志不能正常上報的故障點(diǎn)。

二是用戶權(quán)限管理系統(tǒng)要與各個信息系統(tǒng)密切契合，要按照統(tǒng)一的框架進(jìn)行的開發(fā)。

三是系統(tǒng)使用之初，要把各個信息系統(tǒng)的菜單、資源等在權(quán)限管理系統(tǒng)中進(jìn)行注冊，用戶的分為哪些角色要在統(tǒng)一授權(quán)管理系統(tǒng)中進(jìn)行的角色配置。

5 結(jié)束語

通過統(tǒng)一用戶授權(quán)管理系統(tǒng)的設(shè)計(jì)，實(shí)現(xiàn)了對多個信息系統(tǒng)的登錄和對不同資源、菜單的訪問控制權(quán)限，并實(shí)現(xiàn)了用戶行為審計(jì)管理，避免了用戶重復(fù)登錄、有助于提高管理員工作效率，并且實(shí)現(xiàn)了跨系統(tǒng)的協(xié)同作業(yè)和跨系統(tǒng)的用戶行為審計(jì)。另外，在增加信息系統(tǒng)數(shù)量時只要使用既定的框架和已有的功能模塊即可使用本系統(tǒng)進(jìn)行授權(quán)管理，代碼重用率高。

參考文獻(xiàn)

[1] 孫倩.統(tǒng)一用戶授權(quán)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京航空航天大學(xué)，2003.

[2] 茹惠素.基于HTTPS協(xié)議的統(tǒng)一登錄系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].浙江大學(xué)學(xué)報， 2008， 36（5）：527-530.

[3] 麥思博軟件技術(shù)有限公司.軟件設(shè)計(jì)之道：那些值得借鑒的實(shí)踐案例[M].電子工業(yè)出版社， 2007.01.