某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)知識

1、PAGE 8某某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范1適用范圍圍本標(biāo)準(zhǔn)規(guī)定定了某某某石油管管理局授授權(quán)系統(tǒng)統(tǒng)與其它它應(yīng)用的的接口規(guī)規(guī)范。本標(biāo)準(zhǔn)適用用于某某某油田（企企業(yè)內(nèi)部部）對于于 授權(quán)系系統(tǒng)與其其它應(yīng)用用接口的的要求。2規(guī)范解釋釋權(quán)本規(guī)范由某某某油田田石油管管理局信信息中心心解釋。3總則本規(guī)范是是指基于于目錄服服務(wù)的授授權(quán)系統(tǒng)統(tǒng)與其它它應(yīng)用的的接口規(guī)規(guī)范，著著眼于應(yīng)應(yīng)用先進進的認(rèn)證證技術(shù)，統(tǒng)統(tǒng)一認(rèn)證證、統(tǒng)一一授權(quán)管管理，規(guī)規(guī)范原有有的業(yè)務(wù)務(wù)系統(tǒng)的的授權(quán)方方式的改改造，指指導(dǎo)新的的應(yīng)用開開發(fā)。4認(rèn)證授權(quán)權(quán)系統(tǒng)的的基本概概念在業(yè)務(wù)系統(tǒng)統(tǒng)和授權(quán)權(quán)中，有有些應(yīng)用用如數(shù)據(jù)據(jù)庫系統(tǒng)統(tǒng)難以主主

2、動認(rèn)證證用戶的的身份，為為了更好好認(rèn)證用用戶，我我們引入入認(rèn)證實實體AAA（注：非Atttriibutte Autthennticcatiion的的縮寫，AAA為AAuthhentticaatioon & Auuthooritty的縮縮寫）,來參與與認(rèn)證用用戶的身身份。用戶的身份份認(rèn)證和和訪問控控制授權(quán)權(quán)有兩種種基本方方式：其其一，先先認(rèn)證再再授權(quán)；其二，將將認(rèn)證和和授權(quán)融融于一體體，一次次性實現(xiàn)現(xiàn)認(rèn)證和和訪問控控制授權(quán)權(quán)。在本本技術(shù)方方案中，對對于這兩兩種認(rèn)證證授權(quán)方方式格方方公司都都能提供供。但不不管是哪哪種基本本方式，對對于不同同的平臺臺，實現(xiàn)現(xiàn)原理基基本一致致，只是是APII調(diào)用略略有

3、差別別。認(rèn)證再授權(quán)權(quán)：利用PKII技術(shù)驗驗證用戶戶的身份份，用戶戶的身份份驗證完完以后再再查詢用用戶的資資源票據(jù)據(jù)（權(quán)限限信息），并并對票據(jù)據(jù)信息的的合法性性進行驗驗證，根根據(jù)資源源票據(jù)的的情況來來控制用用戶的訪訪問。用戶身份份鑒別的的基本原原理為：用戶發(fā)請求求到認(rèn)證證實體；認(rèn)證實體收收到用戶戶認(rèn)證請請求以后后，產(chǎn)生生隨機數(shù)數(shù)，并將將隨機數(shù)數(shù)反饋給給用戶；用戶用私鑰鑰對隨機機數(shù)加密密，將用用戶的證證書、加加密的結(jié)結(jié)果及屬屬性證書書傳輸給給認(rèn)證實實體；認(rèn)證實體收收到隨機機數(shù)后，驗驗證證書書的合法法性及有有效性，并并解密隨隨機數(shù)，比比較發(fā)出出的隨機機和收到到并解密密的隨機機數(shù)是否否一致，如如一致則

4、則說明用用戶的身身份是合合法的，否否則用戶戶非法；用戶的身份份被鑒別別以后，到到ORSSP查詢詢其信息息資源票票據(jù)，對對應(yīng)用系系統(tǒng)用戶戶授權(quán)控控制。將認(rèn)證和授授權(quán)融于于一體：用戶的身份份認(rèn)證和和具體的的業(yè)務(wù)系系統(tǒng)授權(quán)權(quán)相結(jié)合合的辦法法來認(rèn)證證用戶的的身份，即即采用認(rèn)認(rèn)證授權(quán)權(quán)（AAA）服務(wù)務(wù)來對用用戶的身身份進行行認(rèn)證，結(jié)結(jié)合業(yè)務(wù)務(wù)系統(tǒng)反反饋用戶戶的資源源權(quán)限票票據(jù)，以以實現(xiàn)業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)對用戶戶身份的的安全認(rèn)認(rèn)證和資資源訪問問的有效效控制。對對用戶的的身份認(rèn)認(rèn)證采用用CA和和數(shù)字證證書技術(shù)術(shù)來認(rèn)證證用戶?；镜哪ＤＰ腿缦孪拢浩溥^程如下下：業(yè)務(wù)系統(tǒng)向向AA提提交用戶戶的數(shù)字字證書，如如有屬性性

5、證書，則則從客戶戶端提交交；AA從客戶戶證書中中提取用用戶IDD，驗證證用戶IID的合合法性；利用事事先加載載的CAA證書，來來驗證個個人證書書的合法法性，并并通過CCA系統(tǒng)統(tǒng)提供證證書回收收列表（CCRL）查查詢用戶戶身份的的有效性性；若用戶的身身份合法法，則通通過用戶戶ID號號查詢用用戶的信信息資源源票據(jù)。ORSP把把用戶的的資源權(quán)權(quán)限票據(jù)據(jù)反饋給給AA。AA獲得用用戶的資資源權(quán)限限票據(jù)后后，驗證證票據(jù)的的合法性性（判斷斷PMIIC簽名名是否合合法），再再利用用用戶的數(shù)數(shù)字證書書/或隨隨機密鑰鑰對票據(jù)據(jù)加密；AA把加密密的用戶戶的資源源權(quán)限票票據(jù)及證證書傳輸輸給業(yè)務(wù)務(wù)系統(tǒng)；業(yè)務(wù)系統(tǒng)收收到加

6、密密的票據(jù)據(jù)后，利利用用戶戶自己的的私鑰解解密票據(jù)據(jù)，獲得得用戶的的資源權(quán)權(quán)限表。應(yīng)應(yīng)用系統(tǒng)統(tǒng)獲得該該資源表表以后，在在應(yīng)用程程序中控控制用戶戶對業(yè)務(wù)務(wù)系統(tǒng)資資源的訪訪問。從以上可以以看出，用用戶的身身份認(rèn)證證采用PPKI和和數(shù)字證證書技術(shù)術(shù)，用戶戶身份的的認(rèn)證是是安全的的，不存存在在網(wǎng)網(wǎng)絡(luò)密碼碼被截獲獲的安全全隱患，用用戶的信信息資源源票據(jù)，AAA從OORSPP獲取用用戶的資資源票據(jù)據(jù)，AAA利用數(shù)數(shù)字簽名名機制對對票據(jù)的的合法性性進行驗驗證，杜杜絕了仿仿冒的安安全漏洞洞，在AAA到業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)采用用用戶的個個人證書書，只有有擁有該該證書的的個人才才能解密密該票據(jù)據(jù)，不存存在票據(jù)據(jù)在傳輸輸中

7、被篡篡改的可可能性。在在業(yè)務(wù)系系統(tǒng)內(nèi)部部，業(yè)務(wù)務(wù)系統(tǒng)必必須利用用個人的的私鑰對對加密的的票據(jù)解解密，該該機制也也杜絕了了利用他他人證書書登錄系系統(tǒng)的可可能性。5業(yè)務(wù)系統(tǒng)統(tǒng)接口需需求包含WEBB系統(tǒng)、數(shù)數(shù)據(jù)庫系系統(tǒng)、NNOTEES系統(tǒng)統(tǒng)、MAAIL系系統(tǒng)等接接口需求求。油田目前有有很多信信息系統(tǒng)統(tǒng)在網(wǎng)絡(luò)絡(luò)中運行行，其中中包括WWEB應(yīng)應(yīng)用、數(shù)數(shù)據(jù)庫系系統(tǒng)的應(yīng)應(yīng)用、基基于NOOTESS的OAA系統(tǒng)、MMAILL郵件系系統(tǒng)。對于NOTTES的的OA系系統(tǒng)又有有兩種形形式：CC/S和和B/SS方式，郵郵件系統(tǒng)統(tǒng)則采用用WINN平臺下下的郵件件系統(tǒng)為為主。對于郵件系系統(tǒng)及BB/S下下的NOOTESS O

8、AA系統(tǒng)，可可采用CCSP技技術(shù)實現(xiàn)現(xiàn)OA系系統(tǒng)的用用戶身份份認(rèn)證、郵郵件的簽簽名和加加密。對于B/SS的應(yīng)用用，則需需要采用用數(shù)字證證書技術(shù)術(shù)來實現(xiàn)現(xiàn)用戶身身份的認(rèn)認(rèn)證和訪訪問控制制授權(quán)。由由于WEEB服務(wù)務(wù)器可以以采用WWIN平平臺和非非WINN平臺，因因此都可可以統(tǒng)一一到WEEB服務(wù)務(wù)器平臺臺使用代代理技術(shù)術(shù)將用戶戶的應(yīng)用用請求轉(zhuǎn)轉(zhuǎn)到認(rèn)證證和授權(quán)權(quán)服務(wù)實實現(xiàn)身份份鑒別和和授權(quán)。基于WEBB的數(shù)據(jù)據(jù)庫（如如Orccalee）電子子郵件應(yīng)應(yīng)用可用用WEBB代理技技術(shù)實現(xiàn)現(xiàn)認(rèn)證和和授權(quán)。6接口APPI和其其它接口口模塊描描述對以上系統(tǒng)統(tǒng)進行接接口函數(shù)數(shù)和模塊塊的詳細(xì)細(xì)描述。對于NOTTES系系

9、統(tǒng)的提提供了JJAVAA的認(rèn)證證授權(quán)接接口程序序段如下下：/*Doominno JJavaa 的認(rèn)認(rèn)證授權(quán)權(quán)接口 */* * Peerfoormss thhe llogoon mmethhod. * rretuurn boooleaan * pparaam UUserrid Javva.llangg.Sttrinng * pparaam PPasssworrd JJavaa.laang.Strringg */publiic bboolleann loogonn(Sttrinng UUserrid, Sttrinng PPasssworrd)/* PPerfformm thhe llogoon

10、mmethhod. */boolleann rcc;longg innstaanceeId=0;if(00 != (iinsttancceIdd= pproxxy.llogoon(UUserrid, Paasswwordd)= 3Fraame maiinInns= neww MaainIInscco(); maainIIns.shoow();rc= trrue; ellse SStriing ba= OOK; / Diialoog(FFramme, Strringg, bboolleann) smbbd ddiallog = nnew smbbd(nnew Fraame(),Loggon Fa

11、iiledd, fallse, LLogoon FFailled, bba);diaalogg.seetReesizzablle(ffalsse);diaalogg.shhow(); rrc= fallse; /*if(UUmparreToo(Paasswwordd)= 0)Fraame maiinInns= neww MaainIInscco(); maainIIns.shoow();rc= trrue; ellse SStriing ba= OOK; / Diialoog(FFramme, Strringg, bboolleann) smbbd ddiallog = nnew smbbd(nnew Fraame(),Loggon Faiiledd, fallse, LLogoon FFailled, bba);diaalogg.seetReesizzablle(ffalsse);diaalogg.shhow(); rrc= fallse; */retuurn rc;在上面例子子中，將將Dommi