某石油管理局企业标准授权系统知识

1、PAGE 8某某石油管理局企业标准授权系统与其它应用的接口规范1适用范围围本标准规定定了某某某石油管管理局授授权系统统与其它它应用的的接口规规范。本标准适用用于某某某油田（企企业内部部）对于于 授权系系统与其其它应用用接口的的要求。2规范解释释权本规范由某某某油田田石油管管理局信信息中心心解释。3总则本规范是是指基于于目录服服务的授授权系统统与其它它应用的的接口规规范，着着眼于应应用先进进的认证证技术，统统一认证证、统一一授权管管理，规规范原有有的业务务系统的的授权方方式的改改造，指指导新的的应用开开发。4认证授权权系统的的基本概概念在业务系统统和授权权中，有有些应用用如数据据库系统统难以主主

2、动认证证用户的的身份，为为了更好好认证用用户，我我们引入入认证实实体AAA（注：非Atttriibutte Autthennticcatiion的的缩写，AAA为AAuthhentticaatioon & Auuthooritty的缩缩写）,来参与与认证用用户的身身份。用户的身份份认证和和访问控控制授权权有两种种基本方方式：其其一，先先认证再再授权；其二，将将认证和和授权融融于一体体，一次次性实现现认证和和访问控控制授权权。在本本技术方方案中，对对于这两两种认证证授权方方式格方方公司都都能提供供。但不不管是哪哪种基本本方式，对对于不同同的平台台，实现现原理基基本一致致，只是是APII调用略略有

3、差别别。认证再授权权：利用PKII技术验验证用户户的身份份，用户户的身份份验证完完以后再再查询用用户的资资源票据据（权限限信息），并并对票据据信息的的合法性性进行验验证，根根据资源源票据的的情况来来控制用用户的访访问。用户身份份鉴别的的基本原原理为：用户发请求求到认证证实体；认证实体收收到用户户认证请请求以后后，产生生随机数数，并将将随机数数反馈给给用户；用户用私钥钥对随机机数加密密，将用用户的证证书、加加密的结结果及属属性证书书传输给给认证实实体；认证实体收收到随机机数后，验验证证书书的合法法性及有有效性，并并解密随随机数，比比较发出出的随机机和收到到并解密密的随机机数是否否一致，如如一致则

4、则说明用用户的身身份是合合法的，否否则用户户非法；用户的身份份被鉴别别以后，到到ORSSP查询询其信息息资源票票据，对对应用系系统用户户授权控控制。将认证和授授权融于于一体：用户的身份份认证和和具体的的业务系系统授权权相结合合的办法法来认证证用户的的身份，即即采用认认证授权权（AAA）服务务来对用用户的身身份进行行认证，结结合业务务系统反反馈用户户的资源源权限票票据，以以实现业业务系统统对用户户身份的的安全认认证和资资源访问问的有效效控制。对对用户的的身份认认证采用用CA和和数字证证书技术术来认证证用户。基基本的模模型如下下：其过程如下下：业务系统向向AA提提交用户户的数字字证书，如如有属性性

5、证书，则则从客户户端提交交；AA从客户户证书中中提取用用户IDD，验证证用户IID的合合法性；利用事事先加载载的CAA证书，来来验证个个人证书书的合法法性，并并通过CCA系统统提供证证书回收收列表（CCRL）查查询用户户身份的的有效性性；若用户的身身份合法法，则通通过用户户ID号号查询用用户的信信息资源源票据。ORSP把把用户的的资源权权限票据据反馈给给AA。AA获得用用户的资资源权限限票据后后，验证证票据的的合法性性（判断断PMIIC签名名是否合合法），再再利用用用户的数数字证书书/或随随机密钥钥对票据据加密；AA把加密密的用户户的资源源权限票票据及证证书传输输给业务务系统；业务系统收收到加

6、密密的票据据后，利利用用户户自己的的私钥解解密票据据，获得得用户的的资源权权限表。应应用系统统获得该该资源表表以后，在在应用程程序中控控制用户户对业务务系统资资源的访访问。从以上可以以看出，用用户的身身份认证证采用PPKI和和数字证证书技术术，用户户身份的的认证是是安全的的，不存存在在网网络密码码被截获获的安全全隐患，用用户的信信息资源源票据，AAA从OORSPP获取用用户的资资源票据据，AAA利用数数字签名名机制对对票据的的合法性性进行验验证，杜杜绝了仿仿冒的安安全漏洞洞，在AAA到业业务系统统采用用用户的个个人证书书，只有有拥有该该证书的的个人才才能解密密该票据据，不存存在票据据在传输输中

7、被篡篡改的可可能性。在在业务系系统内部部，业务务系统必必须利用用个人的的私钥对对加密的的票据解解密，该该机制也也杜绝了了利用他他人证书书登录系系统的可可能性。5业务系统统接口需需求包含WEBB系统、数数据库系系统、NNOTEES系统统、MAAIL系系统等接接口需求求。油田目前有有很多信信息系统统在网络络中运行行，其中中包括WWEB应应用、数数据库系系统的应应用、基基于NOOTESS的OAA系统、MMAILL邮件系系统。对于NOTTES的的OA系系统又有有两种形形式：CC/S和和B/SS方式，邮邮件系统统则采用用WINN平台下下的邮件件系统为为主。对于邮件系系统及BB/S下下的NOOTESS O

8、AA系统，可可采用CCSP技技术实现现OA系系统的用用户身份份认证、邮邮件的签签名和加加密。对于B/SS的应用用，则需需要采用用数字证证书技术术来实现现用户身身份的认认证和访访问控制制授权。由由于WEEB服务务器可以以采用WWIN平平台和非非WINN平台，因因此都可可以统一一到WEEB服务务器平台台使用代代理技术术将用户户的应用用请求转转到认证证和授权权服务实实现身份份鉴别和和授权。基于WEBB的数据据库（如如Orccalee）电子子邮件应应用可用用WEBB代理技技术实现现认证和和授权。6接口APPI和其其它接口口模块描描述对以上系统统进行接接口函数数和模块块的详细细描述。对于NOTTES系系

9、统的提提供了JJAVAA的认证证授权接接口程序序段如下下：/*Doominno JJavaa 的认认证授权权接口 */* * Peerfoormss thhe llogoon mmethhod. * rretuurn boooleaan * pparaam UUserrid Javva.llangg.Sttrinng * pparaam PPasssworrd JJavaa.laang.Strringg */publiic bboolleann loogonn(Sttrinng UUserrid, Sttrinng PPasssworrd)/* PPerfformm thhe llogoon

10、mmethhod. */boolleann rcc;longg innstaanceeId=0;if(00 != (iinsttancceIdd= pproxxy.llogoon(UUserrid, Paasswwordd)= 3Fraame maiinInns= neww MaainIInscco(); maainIIns.shoow();rc= trrue; ellse SStriing ba= OOK; / Diialoog(FFramme, Strringg, bboolleann) smbbd ddiallog = nnew smbbd(nnew Fraame(),Loggon Fa

11、iiledd, fallse, LLogoon FFailled, bba);diaalogg.seetReesizzablle(ffalsse);diaalogg.shhow(); rrc= fallse; /*if(UUmparreToo(Paasswwordd)= 0)Fraame maiinInns= neww MaainIInscco(); maainIIns.shoow();rc= trrue; ellse SStriing ba= OOK; / Diialoog(FFramme, Strringg, bboolleann) smbbd ddiallog = nnew smbbd(nnew Fraame(),Loggon Faiiledd, fallse, LLogoon FFailled, bba);diaalogg.seetReesizzablle(ffalsse);diaalogg.shhow(); rrc= fallse; */retuurn rc;在上面例子子中，将将Dommi