探究油气数字制图管理系统访问控制设计与实现
引言
✉ 图件是油气勘探开发成果表达的重要方式, 勘探开发过程中需要编绘各类专业图件。为了辅助油气行业制图人员绘制A cr G玛图件, 同时对个人及项目成果图件进行有效管理,便于图件及制图资源共享, 研制了油气数字制图管理系统。该系统采用服务器/ 客户端体系结构111 , 服务器端为Or ac le 数据库管理系统和rA C SD E 空间数据引擎,存储图件、图层数据等制图资源, 以及系统用户、项目等信息;客户端包括两种类型: 基于rA c G玛E ng in e 开发的w ind。独立运行软件和基于rA c G玛A cr M ap 开发和运行的插件。系统直接面向制图人员和项目管理人员, 用户类型包括个人用户、项目组用户、项目组管理员和超级用户。系统主要功能有:
基于rA c G 玛的制图编辑;
制图模板、图层数据、制图投影、油气行业符号等制图资源提供;
以个人或项目为单元的图件和图层数据的管理和共享。访问权限控制是信息系统研制中非常重要的环节, 构建灵活可靠、易于扩展的权限控制体系是系统正常运行的重要条件。在Dm ap s e vr e r 系统中, 用户具有多级组织结构, 资源类型多样, 资源管理和共享机制较为复杂, 需要一套安全可靠的访问权限控制机制来保证系统资源能够且只能被授权用户访问。本文在分析D m ap s e vr e r 系统的访问控制特点基础上, 采用基于属性的访问控制模型C 和访问控制列表 设计并开发了访问权限控制模块, 实现了Dm ap s e vr e r系统访问权限控制。
一、访问控制模型
访问控制作为信息安全的重要技术, 在信息系统中扮演着越来越重要的角色。访问控制根据预设的规则, 对用户的访问请求进行判断, 使得资源只能被拥有相应权限的用户访问。常用的访问控制模型有自主访问控制模型、基于角色的访问控制模型、基于属性的访问控制模型、访问控制列表 等。其中, 应用最为普遍的是基于角色的访问控制14 1。R B A C 引人 角色 概念,通过为角色赋予❣权限, 然后将角色指派给用户的方式, 使用户获得相应的访问权限。R B A C 实现了最小权限原则以及责任分离原则, 降低了授权管理的复杂程度。但是,R B A c 模型对于面向资源的细粒度的访问支持不够15 1, 如果需要对个别用户设置对于个别资源的访问权限,R B A C 模型不能对此进行很好地支持。鉴于本系统用户和资源复杂的属性特征,以及多类型的操作权限, 基于角色的访问控制模型不能很好地解决本系统的细粒度访问权限控制问题。基于属性的访问控制模型的基本元素包括主体、客体、访问方法和环境。这些元素统一使用属性来描述, 各元素的属性可根据系统需要定义。A สB A C 将各元素的属性作为授权的基础, 通过预设的属性判别条件来决定访问是否被允许。属性概念的引人,可以将访问控制中对实体的描述统一起来, 提供一种统一描述的实现框架。A B A C 具有较强的灵活性和可扩充性, 能解决细粒度访问控制和大规模用户动态授权问题。访问控制列表是面向资源的访问控制机制,以用户和资源为中心, 记录哪些用户能够访问哪些资源。A C L 表述直观, 授权管理简便, 应用范围广泛。但用户和权限直接挂钩, 使得其必须维护大量的列表。因此, 单独采用访问控制列表, 在性能上略显不足。通过对常用访问控制模型的研究, 针对D m ap s e vr e r 系统访问权限控制 ☺需求, 设计了一种结合A B A c 和A c L 的访问控制实现方法。这种方法以基于属性的访问控制模型为主,并采用A C L 记录用户自定义的资源权限, 将资源的可访问用户列表作为属性项参与A B A C 访问控制模型构建。属性的使用既使得访问控制能实现对资源的细粒度管理, 还确保系统具有较强的灵活性和可扩展性。此外, 采用A C L 记录用户自定义权限, 既能克服A B A C 无法针对单个用户和资源权限设置的缺点, 又在一定程度上克服单独使用A C L 性能的劣势。
二D m a P S e r v e r 访问控制实现
D m a p s e r v e r 访问控制特点。D m a p s e r v e r 系统的多用户类型、多种资源及项目管理等特点决定了权限控制的复杂J陛。系统的访问权限控制有如下特点:
同一资源对不同的用户具有不同的操作权限, 因此, 系统需要采用细粒度的权限管理;
权限的划分不仅要实现对于不同模块人信息
三、结论
对于油气数字制图管理系统而言, 安全有效、易于扩展的权限控制机制是至关重要的。本文针对该系统的访问控制需求特点, 设计了基于A B A C 与A CL 相结合的权限控制模型,并实现了系统在各类客户ศ端的权限控制功能。应用表明, 系统访问权限控制模块安全可靠, 易于扩展, 实现了对资源的细粒度访问控制, 能够满足复杂系统访问控制需求, 取得了良好的应用效果。