一種統一授權管理系統的設計與實現

張海波++郝二偉++李競

摘 要：論文針對當前社會各部門信息化建設過程中，基于Web的信息系統不斷增多的發展現狀，設計了一種可以統一進行用戶授權管理的系統。系統通過Web Service完成各系統的服務調用，通過DWR與各信息系統交互信息，完成底層協議適配。將各系統的資源和菜單在同一權限管理中進行注冊，并通過用戶屬性建立角色，形成基于角色的訪問策略，從而完成用戶權限統一分配。在此基礎上，通過協議適配接口完成系統日志上報，完成用戶行為跨信息系統的審計，完成對用戶行為的管理。

關鍵詞：授權；用戶管理；審計

中圖分類號：TP315 文獻標識碼：A

1 引言

隨著信息化時代的到來，各地方各部門信息化建設水平不斷上升。在各機構單位推進信息化進程中，普遍會建立多個信息系統，這些系統的使用者通常都是固定的。如果沒有統一的用戶權限管理系統，在管理用戶上需要重復注冊和授權，這直接導致管理人員的工作效率低下，管理成本增加，容易造成權限錯誤等問題，同時使用者在多個系統進行切換存在重復登錄，不便于在各個系統中的協同操作。在實踐中，通常簡單的兩個系統可以通過設置單點登錄解決重復登錄問題，但是這并沒有完美地解決用戶權限統一設置問題。故在多系統中，設計一個統一的用戶授權管理系統成為必然。用戶授權管理系統是各信息系統統一的用戶管理、權限管理和審計管理平臺，為信息系統提供用戶管理、身份認證、資源管理、權限管理、權限判決和日志審計服務[1-3]。

2 用戶授權管理軟件解決的主要問題

一是各信息系統分別維護自己的用戶，同一個用戶在不同信息系統需要進行多次注冊。

二是難以完成一個用戶執行跨各信息系統的任務。

三是只采用用戶名口令方式，各自認證，安全性弱。

四是在針對用戶操作進行日志審計時，只針對單個信息系統中用戶的操作行為進行分析，基于日志對用戶的審計不具備跨信息系統的關聯性。

五是實現對各個系統內部資源和信息系統的菜單是否可用的統一權限控制。

3 統一用戶授權管理軟件的設計與實現

3.1 系統設計原理和管理體系結構

用戶在登錄信息系統時，首先由信息系統內部構件去訪問統一用戶權限管理系統，統一用戶權限管理系統根據用戶名，進行數據庫查詢，得到用戶在各個信息系統的權限信息，返回給登錄的信息系統，實現一次用戶登錄多個系統授權的過程。如圖1所示。

用戶授權管理服務系統由授權服務軟件和嵌入在各個信息系統的用戶管理模塊和用戶審計模塊組成。統一用戶授權管理軟件部署在專門的服務器上，對外提供身份認證、授權服務、審計服務等。在用戶登錄時，信息系統對用戶授權管理軟件提供的服務進行調用，通過身份認證服務、權限判決服務，返回對其擁有的被管網絡資源和菜單進行細粒度的權限控制列表，實現管理流程。在用戶授權管理的同時，加入審計構件，對用戶的行為進行審計，各個系統的審計日志均通過調用授權管理軟件的相應服務，上報給授權管理系統，實現了多個信息系統的聯合審計。

用戶管理模塊和用戶審計模塊集成在信息應用系統當中，分別提供用戶管理和權限管理和操作界面和審計管理的操作界面。

3.1.1 身份認證和訪問策略

用戶登錄后首先要進行身份認證，通過用戶名、密碼等方式查數據庫表格驗證即可。驗證通過進行授權，將用戶屬性分為用戶姓名、工號、職務、部門、級別等信息。根據用戶屬性可將用戶歸類為不同角色，使用戶訪問各類角色所對應的資源和菜單。可以根據實際的應用環境的要求劃分角色，也可以根據級別和部門劃分角色。角色的定義相對穩定，用戶通過角色的分配來獲取訪問資源的權限，由此形成了權限訪問策略。圖2為用戶屬性和角色相結合的訪問策略。

3.1.2 授權服務

這種服務為訪問控制策略的執行提供依據。對訪問控制權限的判決包括三個要素，即主體（用戶）、客體（訪問目標）和操作權限。權限判決服務根據系統制訂的訪問控制策略，判斷該訪問是否符合策略要求，返回判決結果。

請求中包含了訪問者信息、訪問請求信息、目標信息、上下文信息、決策因素是基于角色的訪問策略，使用映射組織結構的方式來闡述權限控制策略。策略規則包括五個基本要素：用戶（Users）、角色（Roles）、目標（Objects）、操作（Operations）、權限（Permissions），通過XML來描述，主要由幾個部分組成：主體策略—指定主體域，表明合法用戶的范圍；信任源策略—指定哪些信任源可以允許角色分配；角色分配策略—指定那一個信任源對哪一個主體分配哪一角色，多長時間的期限；目標策略—指定該策略下目標域包括的范圍；行為策略—指定目標支持的行為和方法，如只讀，讀寫等；目標訪問策略—指定何種角色在何種條件下對何種目標有訪問的權限。

3.1.3 審計服務

建立統一的審計服務接口，各個分信息系統的用戶行為均上報到統一權限管理系統，避免每個信息系統分別建立行為審計，提高資源利用率，并且可以進行跨系統的聯合審查，有利于跟蹤分析用戶行為。

3.2 軟件體系結構

軟件從下至上分為協議適配、數據處理、業務邏輯、功能模塊四層，分別實現底層與各級授權管理系統、網絡管理系統進行Web Service協議適配，Web頁面操作與Java類交互、用戶管理、權限管理、審計管理等功能。

4 統一用戶授權管理系統應注意的問題

一是用戶授權服務系統是各信息系統登錄時必備的系統，要關注其運行狀態，不能成為導致各信息系統不能正常登錄或不退出登陸情況下日志不能正常上報的故障點。

二是用戶權限管理系統要與各個信息系統密切契合，要按照統一的框架進行的開發。

三是系統使用之初，要把各個信息系統的菜單、資源等在權限管理系統中進行注冊，用戶的分為哪些角色要在統一授權管理系統中進行的角色配置。

5 結束語

通過統一用戶授權管理系統的設計，實現了對多個信息系統的登錄和對不同資源、菜單的訪問控制權限，并實現了用戶行為審計管理，避免了用戶重復登錄、有助于提高管理員工作效率，并且實現了跨系統的協同作業和跨系統的用戶行為審計。另外，在增加信息系統數量時只要使用既定的框架和已有的功能模塊即可使用本系統進行授權管理，代碼重用率高。

參考文獻

[1] 孫倩.統一用戶授權管理系統的設計與實現[D].北京航空航天大學，2003.

[2] 茹惠素.基于HTTPS協議的統一登錄系統設計與實現[J].浙江大學學報， 2008， 36（5）：527-530.

[3] 麥思博軟件技術有限公司.軟件設計之道：那些值得借鑒的實踐案例[M].電子工業出版社， 2007.01.