張家峁礦業公司數字化礦井資源訪問授權實現

韓培強，王 鈞

(陜煤集團神木張家峁礦業有限公司，719300)

0 引言

張家峁礦業公司作為一座新建的國有大型煤礦企業，建設規劃以高起點規劃、高標準要求的思路進行施工，具體要求基礎信息數字化、生產過程數字化、管理過程數字化三者相互支持，相互依存，而且都可以進行可視化展示。

1 張家峁礦業公司數字化礦井建設現狀

數字化礦井建設是一個動態的需要不斷完善的建設過程。張家峁礦業公司自試生產以來，堅持“以數字信息化帶動工業化”、“走新型工業化道路”的發展方針，按照“打破常規，形成合力，壯大規模，加快發展”的總體工作思路，在數字信息化建設方面，高點定位，提出了“創建國內一流信息化礦井”的宏偉目標，先后制定了信息化建設總體規劃和總體方案，通過了專家的評審，僅僅用了一年半的時間，先后建成了，井下移動通信系統、井下供電集控系統，井上下一體的全數字通信網絡及井下、地面工業監控網絡平臺，為信息技術的發展和應用奠定了基礎；率先建成了神南公司第一個涵蓋井下工業以礦井綜合自動化平臺，實現了井下皮帶運輸、排水、供電、通風、的地面遠程集中控制；開發完成了包括辦公自動化系統、安全生產管理信息系統、煤炭銷售管理信息系統、地測管理信息系統、黨群、工會系統、物資管理系統等18 個在內的信息流通平臺，全面實現了各領域的信息化管理，實現了網上辦公，在應用方面達到了神南公司領先水平；建成了包括安全生產監測監控系統、束管監測系統、井下人員定位系統、瓦檢員巡檢管理系統、工業電視監視系統、大屏幕顯示系統、工作面頂板壓力監測系統在內的監測監控平臺，等多項國內先進技術，實現了對煤礦環境、設備、人員的全方位實時監測。為實現真正意義上的數字化礦井建設，實現信息化管理系統、監測監控系統以及自動化控制三者之間的互聯和信息共享，迫切需要建立一個統一的信息獲取平臺（portal 門戶），對網絡內的所有系統進行有效的管理，為全礦的管理、服務與決策、預警支持等提供高效的科學化依據(如圖1）。

2 protal 門戶

2.1 protal 門戶概述

Portal 門戶就是將來自不同應用系統、不同數據源、不同平臺的各種類型的數據和資源進行內容聚集的信息集成平臺，它為用戶提供統一的網絡入口，訪問不同的WEB 應用，強調以用戶為中心，提供個性化的服務、單點登錄、不同來源的內容整合功能，從而實現了信息系統的集中訪問。Portal 的集成畫面如下圖2所示：

2.2 portal 帶來的益處

Portal 門戶的建立，在一定程度上可以解決好網絡實際運行中所涉及到的“多個應用、多重管理”的問題。為企業相關的管理者、供應商、用戶、分銷商等提供一個唯一的企業信息接入點。通過系統的集成形成廣泛的，相互關聯的企業應用環境。它不但能降低企業的運營成本，通過豐富的企業信息資源吸引新客戶，密切老客戶的關系，更重要的是縮短企業響應市場時間。使企業在激烈的市場競爭中占據最有利的地位。

3 portal 中的安全問題

由于portal 中數據變得越來越大，系統之間的關系越來越復雜，這就要求對不同系統進行安全劃分，有層次的劃分，對某些數據進行重點保護。由于系統間數據流的需要，自然要考慮訪問控制的安全策略，以便從整體考慮信息系統的安全問題。Portal的安全問題主要涉及三個方面的內容，一是對用戶的認證，二是對用戶或用戶組的授權，三是對用戶或用戶組的管理。

3.1 portal 的訪問控制模型

3.1.1 基于PKI 的訪問控制

張家峁礦業公司的protal 門戶由Oracle HTTP Server、Oracle 數據庫和 .NET Framework 開發工具等組成。其中Oracle HTTP Server 中采用PKI（公鑰基礎設施）認證，可以配置成根據客戶機X. 509 證書中的信息來限制對文件和服務的訪問。在通信雙方建起了嚴格的信任鏈，解決了可信的身份問題。

3.1.2 基于RBAC 的訪問控制

張家峁礦業公司protal 門戶采用RBAC（基于角色的訪問控制）的基本思想，將訪問權限與角色相關聯，通過給每一個用戶分配一個或多個適當角色，每個角色都具有相應的權限，從而讓用戶與訪問權限關聯起來。提供用戶身份到應用授權的映射功能，實現了與實際應用的對應的、與具體應用系統和管理無關的訪問控制機制，極大的簡化應用中訪問控制和權限管理系統的開發與維護。角色是安全控制的核心，根據公司內為完成不同的任務需要而設置，極大的簡化了安全管理。解決了相同安全域中在可信身份的基礎上的授權管理和訪問控制問題，特別適合大規模的授權應用。減少了授權管理的復雜性，降低了管理開銷；同時靈活的支持公司的安全策略，對公司的變化有很大的伸縮性。

RBAC 模型如圖3 所示：在RBAC 中，權限被賦予角色，而不是用戶，當一個角色被制定給一個用戶時，此用戶就擁有了該角色所包含的權限。

3.1.3 采用Spring MVC 技術作為RBAC 的實現

在傳統的WEB 系統中，所有的權限驗證邏輯都混雜在業務邏輯中，用戶的每一個操作可能都需要對用戶是否有進行該項操作的權限進行判斷，來達到認證授權的目的。本系統采用Spring MVC 框架，提供具有AOP（面向切面編程）的能力，擁有完善的Controller（控制器）繼承架構，能夠根據需求使用適當的控制器。在整個Spring MVC 架構中，使用者并不是直接連接到所需的資源，而是先連接到前端控制器，再由前端控制器判斷使用者的請求，然后分派給合適的控制器對象來處理請求，另外Spring MVC 架構將系統的控制器、模型對象、分派器以及處理程序對象的角色等從業務系統中分離出來，達到不同技術層級間松散耦合的效果，提高系統靈活性、復用性和可維護性，通過策略接口，Spring 框架是高度可配置的，這種分離讓它們更容易進行定制。

3.2 規劃portal 的安全性

Portal 是將Web 技術與企業運作過程相結合的解決方案，讓用戶隨時、隨地、安全、方便的訪問完成他們任務所需要的東西。保證portal 門戶內部信息的安全存取，就必須解決不同安全域之間訪問控制所涉及到的問題。

3.2.1 portal 中訪問控制的動態機制

本公司考慮到不同域間的訪問控制的關鍵在于不同域之間角色的映射問題，通過跨域授權中介系統維護一個角色和組映射策略表，表中有一系列映射策略，一個映射策略定義了一個授權域中角色、組到另一個授權域中角色、組的映射關系。當一個授權域的用戶訪問另一個授權域時，跨域授權中介系統基于角色和組映射策略將用戶在其原授權域中的角色、組映射對應到其要訪問的目標授權域中的角色、組，從而將用戶在一個域中的權限轉換和對應到另外一個域，據此實現基于RBAC 或ACL 的跨域訪問控制。

3.2.2 角色、策略、及授權信息

張家峁礦業公司RBAC 訪問控制按照用戶到目標的次序分為基本訪問控制和跨域控制兩部分，其中基本訪問控制系統位于一個授權域內，定義用戶角色、用戶組及訪問控制策略，從而對本域的用戶身份、訪問控制權限進行管理；用戶身份信息以及本地的訪問控制策略對用戶的在線資源訪問與操作請求做出“允許”或“拒絕”的決定；通過一定的方式與應用服務系統集成，負責攔截、檢查用戶的資源訪問請求，獲取用戶身份信息，通過一定的服務狀態（Session）機制跟蹤用戶及在Session 對象中保存用戶的身份信息，并依據授權決策引擎的在線授權決策結果，對用戶的服務請求進行控制。而跨域授權控制：通過角色和組映射實現不同授權域中權限的轉換，跨域授權控制中配置有如下兩個表：1)、角色和組映射策略表，該表定義了將一個授權域中的角色、組集合映射到另一個授權域中的角色、組集合的映射策略；2)授權域權限與授權策略管理地址表，表中有與授權相連的、各個授權域中的權限與授權策略管理的用戶信息查詢服務地址和端口號，通過對策略進行分類劃分有利于在增加或減少策略需求時，可具體設置，形成一個完整的流程化設置。

4 結論

張家峁礦業公司在信息系統的開發與應用中，采用了protal 門戶建立一個統一的信息獲取平臺，對網絡內的所有應用系統進行有效的管理。同時為人們提供了網絡中個性化的服務。人們獲得授權后，按一定的條件要求去訪問相應的信息，從而提高了整個網絡應用的效率及網絡運行的安全性和可靠性。在Portal 中采用基于RBAC 安全管理，由于角色與權限之間的變化比角色與用戶之間的變化要慢的多，減少了授權管理的復雜性，降低了管理開銷，在操作上，權限分配直觀、容易理解、便于使用。在RBAC 的實現方式上采用Spring MVC 技術架構，提供了一種不同技術層級間松散耦合和面向切面編程（AOP）來保護用戶的應用程序，采用Spring MVC 技術不需要在你的應用程序中編寫任何安全代碼，及達到保護應用系統的目的。最后設計了不同安全域之間的資源訪問控制動態機制，實現了基于RBAC 或ACL 的不同安全域之間的訪問控制。提供與實際應用處理模式相應的、與具體業務系統開發和管理無關的訪問控制機制，極大的簡化了安全管理，進而增加了系統的靈活性和擴展性。

[1] 馮學斌，鄭峰，洪帆. IRBA2000 角色轉換沖突處理策略[J] . 計算機工程與科學， 2007.Vol29

[2] 李真，史清華，魏峰 .PMI 系統中訪問控制策略的分析與設計[J]. 計算機工程與設計，2006（3）.

[3] 蘇紅，曾德超. 基于xml 的安全域間訪問控制策略設計. 信息網絡安全，2005.05