某石油管理局企業(yè)標準授權(quán)系統(tǒng)知識

1、某某石油管理局企業(yè)標準授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范1適用范圍本標準規(guī)定了某某石油管理局授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范。本標準適用于某某油田（企業(yè)內(nèi)部）對于 授權(quán)系統(tǒng)與其它應(yīng)用接口的要求。2規(guī)范解釋權(quán)本規(guī)范由某某油田石油管理局信息中心解釋。3總則本規(guī)范是指基于目錄服務(wù)的授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范，著眼于應(yīng)用先進的認證技術(shù)，統(tǒng)一認證、統(tǒng)一授權(quán)管理，規(guī)范原有的業(yè)務(wù)系統(tǒng)的授權(quán)方式的改造，指導(dǎo)新的應(yīng)用開發(fā)。4認證授權(quán)系統(tǒng)的基本概念在業(yè)務(wù)系統(tǒng)和授權(quán)中，有些應(yīng)用如數(shù)據(jù)庫系統(tǒng)難以主動認證用戶的身份，為了更好認證用戶，我們引入認證實體AA（注：非Attribute Authentication的縮寫，AA為Au

2、thentication & Authority的縮寫）,來參與認證用戶的身份。用戶的身份認證和訪問控制授權(quán)有兩種基本方式：其一，先認證再授權(quán)；其二，將認證和授權(quán)融于一體，一次性實現(xiàn)認證和訪問控制授權(quán)。在本技術(shù)方案中，對于這兩種認證授權(quán)方式格方公司都能提供。但不管是哪種基本方式，對于不同的平臺，實現(xiàn)原理基本一致，只是API調(diào)用略有差別。（1） 認證再授權(quán)：利用PKI技術(shù)驗證用戶的身份，用戶的身份驗證完以后再查詢用戶的資源票據(jù)（權(quán)限信息），并對票據(jù)信息的合法性進行驗證，根據(jù)資源票據(jù)的情況來控制用戶的訪問。用戶身份鑒別的基本原理為：1、 用戶發(fā)請求到認證實體；2、 認證實體收到用戶認證請求以后，產(chǎn)

3、生隨機數(shù)，并將隨機數(shù)反饋給用戶；3、 用戶用私鑰對隨機數(shù)加密，將用戶的證書、加密的結(jié)果及屬性證書傳輸給認證實體；4、 認證實體收到隨機數(shù)后，驗證證書的合法性及有效性，并解密隨機數(shù)，比較發(fā)出的隨機和收到并解密的隨機數(shù)是否一致，如一致則說明用戶的身份是合法的，否則用戶非法；5、 用戶的身份被鑒別以后，到ORSP查詢其信息資源票據(jù)，對應(yīng)用系統(tǒng)用戶授權(quán)控制。（2） 將認證和授權(quán)融于一體：用戶的身份認證和具體的業(yè)務(wù)系統(tǒng)授權(quán)相結(jié)合的辦法來認證用戶的身份，即采用認證授權(quán)（AA）服務(wù)來對用戶的身份進行認證，結(jié)合業(yè)務(wù)系統(tǒng)反饋用戶的資源權(quán)限票據(jù)，以實現(xiàn)業(yè)務(wù)系統(tǒng)對用戶身份的安全認證和資源訪問的有效控制。對用戶的身份

4、認證采用CA和數(shù)字證書技術(shù)來認證用戶?；镜哪Ｐ腿缦拢浩溥^程如下：1) 業(yè)務(wù)系統(tǒng)向AA提交用戶的數(shù)字證書，如有屬性證書，則從客戶端提交；2) AA從客戶證書中提取用戶ID，驗證用戶ID的合法性；利用事先加載的CA證書，來驗證個人證書的合法性，并通過CA系統(tǒng)提供證書回收列表（CRL）查詢用戶身份的有效性；3) 若用戶的身份合法，則通過用戶ID號查詢用戶的信息資源票據(jù)。4) ORSP把用戶的資源權(quán)限票據(jù)反饋給AA。5) AA獲得用戶的資源權(quán)限票據(jù)后，驗證票據(jù)的合法性（判斷PMIC簽名是否合法），再利用用戶的數(shù)字證書/或隨機密鑰對票據(jù)加密；6) AA把加密的用戶的資源權(quán)限票據(jù)及證書傳輸給業(yè)務(wù)系統(tǒng)；7

5、) 業(yè)務(wù)系統(tǒng)收到加密的票據(jù)后，利用用戶自己的私鑰解密票據(jù)，獲得用戶的資源權(quán)限表。應(yīng)用系統(tǒng)獲得該資源表以后，在應(yīng)用程序中控制用戶對業(yè)務(wù)系統(tǒng)資源的訪問。從以上可以看出，用戶的身份認證采用PKI和數(shù)字證書技術(shù)，用戶身份的認證是安全的，不存在在網(wǎng)絡(luò)密碼被截獲的安全隱患，用戶的信息資源票據(jù)，AA從ORSP獲取用戶的資源票據(jù)，AA利用數(shù)字簽名機制對票據(jù)的合法性進行驗證，杜絕了仿冒的安全漏洞，在AA到業(yè)務(wù)系統(tǒng)采用用戶的個人證書，只有擁有該證書的個人才能解密該票據(jù)，不存在票據(jù)在傳輸中被篡改的可能性。在業(yè)務(wù)系統(tǒng)內(nèi)部，業(yè)務(wù)系統(tǒng)必須利用個人的私鑰對加密的票據(jù)解密，該機制也杜絕了利用他人證書登錄系統(tǒng)的可能性。5業(yè)務(wù)系

6、統(tǒng)接口需求包含WEB系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、NOTES系統(tǒng)、MAIL系統(tǒng)等接口需求。油田目前有很多信息系統(tǒng)在網(wǎng)絡(luò)中運行，其中包括WEB應(yīng)用、數(shù)據(jù)庫系統(tǒng)的應(yīng)用、基于NOTES的OA系統(tǒng)、MAIL郵件系統(tǒng)。對于NOTES的OA系統(tǒng)又有兩種形式：C/S和B/S方式，郵件系統(tǒng)則采用WIN平臺下的郵件系統(tǒng)為主。對于郵件系統(tǒng)及B/S下的NOTES OA系統(tǒng)，可采用CSP技術(shù)實現(xiàn)OA系統(tǒng)的用戶身份認證、郵件的簽名和加密。對于B/S的應(yīng)用，則需要采用數(shù)字證書技術(shù)來實現(xiàn)用戶身份的認證和訪問控制授權(quán)。由于WEB服務(wù)器可以采用WIN平臺和非WIN平臺，因此都可以統(tǒng)一到WEB服務(wù)器平臺使用代理技術(shù)將用戶的應(yīng)用請求轉(zhuǎn)到認證和

7、授權(quán)服務(wù)實現(xiàn)身份鑒別和授權(quán)?；赪EB的數(shù)據(jù)庫（如Orcale）電子郵件應(yīng)用可用WEB代理技術(shù)實現(xiàn)認證和授權(quán)。6接口API和其它接口模塊描述對以上系統(tǒng)進行接口函數(shù)和模塊的詳細描述。對于NOTES系統(tǒng)的提供了JAVA的認證授權(quán)接口程序段如下：/*Domino Java 的認證授權(quán)接口 */* * Performs the logon method. * return boolean */public boolean logon(String Userid, String Password)/* Perform the logon method. */boolean rc;long instanc

8、eId=0;if(0 != (instanceId= proxy.logon(Userid, Password)= 3Frame mainIns= new MainInsco(); mainIns.show();rc= true; else String ba= OK; / Dialog(Frame, String, boolean) smbd dialog = new smbd(new Frame(),Logon Failed, false, Logon Failed, ba);dialog.setResizable(false);dialog.show(); rc= false; /*if(UpareTo(Password)= 0)Frame mainIns= new MainInsco(); mainIns.show();rc= true; else String ba= OK; / Dialog(Frame, String, boolean) smbd dialog = new smbd(new Frame(),Logon Failed, false, Logon Failed, ba);dialog.setResizable(false);dialog.show(); rc= false; */return rc;在上面例子中，將Do