张家峁矿业公司数字化矿井资源访问授权实现

2014-04-14韩培强

电子测试 2014年8期

关键词：跨域访问控制张家

韩培强，王钧

(陕煤集团神木张家峁矿业有限公司，719300)

0 引言

张家峁矿业公司作为一座新建的国有大型煤矿企业，建设规划以高起点规划、高标准要求的思路进行施工，具体要求基础信息数字化、生产过程数字化、管理过程数字化三者相互支持，相互依存，而且都可以进行可视化展示。

1 张家峁矿业公司数字化矿井建设现状

数字化矿井建设是一个动态的需要不断完善的建设过程。张家峁矿业公司自试生产以来，坚持“以数字信息化带动工业化”、“走新型工业化道路”的发展方针，按照“打破常规，形成合力，壮大规模，加快发展”的总体工作思路，在数字信息化建设方面，高点定位，提出了“创建国内一流信息化矿井”的宏伟目标，先后制定了信息化建设总体规划和总体方案，通过了专家的评审，仅仅用了一年半的时间，先后建成了，井下移动通信系统、井下供电集控系统，井上下一体的全数字通信网络及井下、地面工业监控网络平台，为信息技术的发展和应用奠定了基础；率先建成了神南公司第一个涵盖井下工业以矿井综合自动化平台，实现了井下皮带运输、排水、供电、通风、的地面远程集中控制；开发完成了包括办公自动化系统、安全生产管理信息系统、煤炭销售管理信息系统、地测管理信息系统、党群、工会系统、物资管理系统等18 个在内的信息流通平台，全面实现了各领域的信息化管理，实现了网上办公，在应用方面达到了神南公司领先水平；建成了包括安全生产监测监控系统、束管监测系统、井下人员定位系统、瓦检员巡检管理系统、工业电视监视系统、大屏幕显示系统、工作面顶板压力监测系统在内的监测监控平台，等多项国内先进技术，实现了对煤矿环境、设备、人员的全方位实时监测。为实现真正意义上的数字化矿井建设，实现信息化管理系统、监测监控系统以及自动化控制三者之间的互联和信息共享，迫切需要建立一个统一的信息获取平台（portal 门户），对网络内的所有系统进行有效的管理，为全矿的管理、服务与决策、预警支持等提供高效的科学化依据(如图1）。

2 protal 门户

2.1 protal 门户概述

Portal 门户就是将来自不同应用系统、不同数据源、不同平台的各种类型的数据和资源进行内容聚集的信息集成平台，它为用户提供统一的网络入口，访问不同的WEB 应用，强调以用户为中心，提供个性化的服务、单点登录、不同来源的内容整合功能，从而实现了信息系统的集中访问。Portal 的集成画面如下图2所示：

2.2 portal 带来的益处

Portal 门户的建立，在一定程度上可以解决好网络实际运行中所涉及到的“多个应用、多重管理”的问题。为企业相关的管理者、供应商、用户、分销商等提供一个唯一的企业信息接入点。通过系统的集成形成广泛的，相互关联的企业应用环境。它不但能降低企业的运营成本，通过丰富的企业信息资源吸引新客户，密切老客户的关系，更重要的是缩短企业响应市场时间。使企业在激烈的市场竞争中占据最有利的地位。

3 portal 中的安全问题

由于portal 中数据变得越来越大，系统之间的关系越来越复杂，这就要求对不同系统进行安全划分，有层次的划分，对某些数据进行重点保护。由于系统间数据流的需要，自然要考虑访问控制的安全策略，以便从整体考虑信息系统的安全问题。Portal的安全问题主要涉及三个方面的内容，一是对用户的认证，二是对用户或用户组的授权，三是对用户或用户组的管理。

3.1 portal 的访问控制模型

3.1.1 基于PKI 的访问控制

张家峁矿业公司的protal 门户由Oracle HTTP Server、Oracle 数据库和 .NET Framework 开发工具等组成。其中Oracle HTTP Server 中采用PKI（公钥基础设施）认证，可以配置成根据客户机X. 509 证书中的信息来限制对文件和服务的访问。在通信双方建起了严格的信任链，解决了可信的身份问题。

3.1.2 基于RBAC 的访问控制

张家峁矿业公司protal 门户采用RBAC（基于角色的访问控制）的基本思想，将访问权限与角色相关联，通过给每一个用户分配一个或多个适当角色，每个角色都具有相应的权限，从而让用户与访问权限关联起来。提供用户身份到应用授权的映射功能，实现了与实际应用的对应的、与具体应用系统和管理无关的访问控制机制，极大的简化应用中访问控制和权限管理系统的开发与维护。角色是安全控制的核心，根据公司内为完成不同的任务需要而设置，极大的简化了安全管理。解决了相同安全域中在可信身份的基础上的授权管理和访问控制问题，特别适合大规模的授权应用。减少了授权管理的复杂性，降低了管理开销；同时灵活的支持公司的安全策略，对公司的变化有很大的伸缩性。

RBAC 模型如图3 所示：在RBAC 中，权限被赋予角色，而不是用户，当一个角色被制定给一个用户时，此用户就拥有了该角色所包含的权限。

3.1.3 采用Spring MVC 技术作为RBAC 的实现

在传统的WEB 系统中，所有的权限验证逻辑都混杂在业务逻辑中，用户的每一个操作可能都需要对用户是否有进行该项操作的权限进行判断，来达到认证授权的目的。本系统采用Spring MVC 框架，提供具有AOP（面向切面编程）的能力，拥有完善的Controller（控制器）继承架构，能够根据需求使用适当的控制器。在整个Spring MVC 架构中，使用者并不是直接连接到所需的资源，而是先连接到前端控制器，再由前端控制器判断使用者的请求，然后分派给合适的控制器对象来处理请求，另外Spring MVC 架构将系统的控制器、模型对象、分派器以及处理程序对象的角色等从业务系统中分离出来，达到不同技术层级间松散耦合的效果，提高系统灵活性、复用性和可维护性，通过策略接口，Spring 框架是高度可配置的，这种分离让它们更容易进行定制。

3.2 规划portal 的安全性

Portal 是将Web 技术与企业运作过程相结合的解决方案，让用户随时、随地、安全、方便的访问完成他们任务所需要的东西。保证portal 门户内部信息的安全存取，就必须解决不同安全域之间访问控制所涉及到的问题。

3.2.1 portal 中访问控制的动态机制

本公司考虑到不同域间的访问控制的关键在于不同域之间角色的映射问题，通过跨域授权中介系统维护一个角色和组映射策略表，表中有一系列映射策略，一个映射策略定义了一个授权域中角色、组到另一个授权域中角色、组的映射关系。当一个授权域的用户访问另一个授权域时，跨域授权中介系统基于角色和组映射策略将用户在其原授权域中的角色、组映射对应到其要访问的目标授权域中的角色、组，从而将用户在一个域中的权限转换和对应到另外一个域，据此实现基于RBAC 或ACL 的跨域访问控制。

3.2.2 角色、策略、及授权信息

张家峁矿业公司RBAC 访问控制按照用户到目标的次序分为基本访问控制和跨域控制两部分，其中基本访问控制系统位于一个授权域内，定义用户角色、用户组及访问控制策略，从而对本域的用户身份、访问控制权限进行管理；用户身份信息以及本地的访问控制策略对用户的在线资源访问与操作请求做出“允许”或“拒绝”的决定；通过一定的方式与应用服务系统集成，负责拦截、检查用户的资源访问请求，获取用户身份信息，通过一定的服务状态（Session）机制跟踪用户及在Session 对象中保存用户的身份信息，并依据授权决策引擎的在线授权决策结果，对用户的服务请求进行控制。而跨域授权控制：通过角色和组映射实现不同授权域中权限的转换，跨域授权控制中配置有如下两个表：1)、角色和组映射策略表，该表定义了将一个授权域中的角色、组集合映射到另一个授权域中的角色、组集合的映射策略；2)授权域权限与授权策略管理地址表，表中有与授权相连的、各个授权域中的权限与授权策略管理的用户信息查询服务地址和端口号，通过对策略进行分类划分有利于在增加或减少策略需求时，可具体设置，形成一个完整的流程化设置。

4 结论

张家峁矿业公司在信息系统的开发与应用中，采用了protal 门户建立一个统一的信息获取平台，对网络内的所有应用系统进行有效的管理。同时为人们提供了网络中个性化的服务。人们获得授权后，按一定的条件要求去访问相应的信息，从而提高了整个网络应用的效率及网络运行的安全性和可靠性。在Portal 中采用基于RBAC 安全管理，由于角色与权限之间的变化比角色与用户之间的变化要慢的多，减少了授权管理的复杂性，降低了管理开销，在操作上，权限分配直观、容易理解、便于使用。在RBAC 的实现方式上采用Spring MVC 技术架构，提供了一种不同技术层级间松散耦合和面向切面编程（AOP）来保护用户的应用程序，采用Spring MVC 技术不需要在你的应用程序中编写任何安全代码，及达到保护应用系统的目的。最后设计了不同安全域之间的资源访问控制动态机制，实现了基于RBAC 或ACL 的不同安全域之间的访问控制。提供与实际应用处理模式相应的、与具体业务系统开发和管理无关的访问控制机制，极大的简化了安全管理，进而增加了系统的灵活性和扩展性。