某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)知識(shí)_第1頁(yè)
某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)知識(shí)_第2頁(yè)
某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)知識(shí)_第3頁(yè)
某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)知識(shí)_第4頁(yè)
某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)知識(shí)_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、某某石油管理局企業(yè)標(biāo)準(zhǔn)授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范1適用范圍本標(biāo)準(zhǔn)規(guī)定了某某石油管理局授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范。本標(biāo)準(zhǔn)適用于某某油田(企業(yè)內(nèi)部)對(duì)于 授權(quán)系統(tǒng)與其它應(yīng)用接口的要求。2規(guī)范解釋權(quán)本規(guī)范由某某油田石油管理局信息中心解釋。3總則本規(guī)范是指基于目錄服務(wù)的授權(quán)系統(tǒng)與其它應(yīng)用的接口規(guī)范,著眼于應(yīng)用先進(jìn)的認(rèn)證技術(shù),統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)管理,規(guī)范原有的業(yè)務(wù)系統(tǒng)的授權(quán)方式的改造,指導(dǎo)新的應(yīng)用開發(fā)。4認(rèn)證授權(quán)系統(tǒng)的基本概念在業(yè)務(wù)系統(tǒng)和授權(quán)中,有些應(yīng)用如數(shù)據(jù)庫(kù)系統(tǒng)難以主動(dòng)認(rèn)證用戶的身份,為了更好認(rèn)證用戶,我們引入認(rèn)證實(shí)體AA(注:非Attribute Authentication的縮寫,AA為Au

2、thentication & Authority的縮寫),來參與認(rèn)證用戶的身份。用戶的身份認(rèn)證和訪問控制授權(quán)有兩種基本方式:其一,先認(rèn)證再授權(quán);其二,將認(rèn)證和授權(quán)融于一體,一次性實(shí)現(xiàn)認(rèn)證和訪問控制授權(quán)。在本技術(shù)方案中,對(duì)于這兩種認(rèn)證授權(quán)方式格方公司都能提供。但不管是哪種基本方式,對(duì)于不同的平臺(tái),實(shí)現(xiàn)原理基本一致,只是API調(diào)用略有差別。(1) 認(rèn)證再授權(quán):利用PKI技術(shù)驗(yàn)證用戶的身份,用戶的身份驗(yàn)證完以后再查詢用戶的資源票據(jù)(權(quán)限信息),并對(duì)票據(jù)信息的合法性進(jìn)行驗(yàn)證,根據(jù)資源票據(jù)的情況來控制用戶的訪問。用戶身份鑒別的基本原理為:1、 用戶發(fā)請(qǐng)求到認(rèn)證實(shí)體;2、 認(rèn)證實(shí)體收到用戶認(rèn)證請(qǐng)求以后,產(chǎn)

3、生隨機(jī)數(shù),并將隨機(jī)數(shù)反饋給用戶;3、 用戶用私鑰對(duì)隨機(jī)數(shù)加密,將用戶的證書、加密的結(jié)果及屬性證書傳輸給認(rèn)證實(shí)體;4、 認(rèn)證實(shí)體收到隨機(jī)數(shù)后,驗(yàn)證證書的合法性及有效性,并解密隨機(jī)數(shù),比較發(fā)出的隨機(jī)和收到并解密的隨機(jī)數(shù)是否一致,如一致則說明用戶的身份是合法的,否則用戶非法;5、 用戶的身份被鑒別以后,到ORSP查詢其信息資源票據(jù),對(duì)應(yīng)用系統(tǒng)用戶授權(quán)控制。(2) 將認(rèn)證和授權(quán)融于一體:用戶的身份認(rèn)證和具體的業(yè)務(wù)系統(tǒng)授權(quán)相結(jié)合的辦法來認(rèn)證用戶的身份,即采用認(rèn)證授權(quán)(AA)服務(wù)來對(duì)用戶的身份進(jìn)行認(rèn)證,結(jié)合業(yè)務(wù)系統(tǒng)反饋用戶的資源權(quán)限票據(jù),以實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)對(duì)用戶身份的安全認(rèn)證和資源訪問的有效控制。對(duì)用戶的身份

4、認(rèn)證采用CA和數(shù)字證書技術(shù)來認(rèn)證用戶。基本的模型如下:其過程如下:1) 業(yè)務(wù)系統(tǒng)向AA提交用戶的數(shù)字證書,如有屬性證書,則從客戶端提交;2) AA從客戶證書中提取用戶ID,驗(yàn)證用戶ID的合法性;利用事先加載的CA證書,來驗(yàn)證個(gè)人證書的合法性,并通過CA系統(tǒng)提供證書回收列表(CRL)查詢用戶身份的有效性;3) 若用戶的身份合法,則通過用戶ID號(hào)查詢用戶的信息資源票據(jù)。4) ORSP把用戶的資源權(quán)限票據(jù)反饋給AA。5) AA獲得用戶的資源權(quán)限票據(jù)后,驗(yàn)證票據(jù)的合法性(判斷PMIC簽名是否合法),再利用用戶的數(shù)字證書/或隨機(jī)密鑰對(duì)票據(jù)加密;6) AA把加密的用戶的資源權(quán)限票據(jù)及證書傳輸給業(yè)務(wù)系統(tǒng);7

5、) 業(yè)務(wù)系統(tǒng)收到加密的票據(jù)后,利用用戶自己的私鑰解密票據(jù),獲得用戶的資源權(quán)限表。應(yīng)用系統(tǒng)獲得該資源表以后,在應(yīng)用程序中控制用戶對(duì)業(yè)務(wù)系統(tǒng)資源的訪問。從以上可以看出,用戶的身份認(rèn)證采用PKI和數(shù)字證書技術(shù),用戶身份的認(rèn)證是安全的,不存在在網(wǎng)絡(luò)密碼被截獲的安全隱患,用戶的信息資源票據(jù),AA從ORSP獲取用戶的資源票據(jù),AA利用數(shù)字簽名機(jī)制對(duì)票據(jù)的合法性進(jìn)行驗(yàn)證,杜絕了仿冒的安全漏洞,在AA到業(yè)務(wù)系統(tǒng)采用用戶的個(gè)人證書,只有擁有該證書的個(gè)人才能解密該票據(jù),不存在票據(jù)在傳輸中被篡改的可能性。在業(yè)務(wù)系統(tǒng)內(nèi)部,業(yè)務(wù)系統(tǒng)必須利用個(gè)人的私鑰對(duì)加密的票據(jù)解密,該機(jī)制也杜絕了利用他人證書登錄系統(tǒng)的可能性。5業(yè)務(wù)系

6、統(tǒng)接口需求包含WEB系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、NOTES系統(tǒng)、MAIL系統(tǒng)等接口需求。油田目前有很多信息系統(tǒng)在網(wǎng)絡(luò)中運(yùn)行,其中包括WEB應(yīng)用、數(shù)據(jù)庫(kù)系統(tǒng)的應(yīng)用、基于NOTES的OA系統(tǒng)、MAIL郵件系統(tǒng)。對(duì)于NOTES的OA系統(tǒng)又有兩種形式:C/S和B/S方式,郵件系統(tǒng)則采用WIN平臺(tái)下的郵件系統(tǒng)為主。對(duì)于郵件系統(tǒng)及B/S下的NOTES OA系統(tǒng),可采用CSP技術(shù)實(shí)現(xiàn)OA系統(tǒng)的用戶身份認(rèn)證、郵件的簽名和加密。對(duì)于B/S的應(yīng)用,則需要采用數(shù)字證書技術(shù)來實(shí)現(xiàn)用戶身份的認(rèn)證和訪問控制授權(quán)。由于WEB服務(wù)器可以采用WIN平臺(tái)和非WIN平臺(tái),因此都可以統(tǒng)一到WEB服務(wù)器平臺(tái)使用代理技術(shù)將用戶的應(yīng)用請(qǐng)求轉(zhuǎn)到認(rèn)證和

7、授權(quán)服務(wù)實(shí)現(xiàn)身份鑒別和授權(quán)?;赪EB的數(shù)據(jù)庫(kù)(如Orcale)電子郵件應(yīng)用可用WEB代理技術(shù)實(shí)現(xiàn)認(rèn)證和授權(quán)。6接口API和其它接口模塊描述對(duì)以上系統(tǒng)進(jìn)行接口函數(shù)和模塊的詳細(xì)描述。對(duì)于NOTES系統(tǒng)的提供了JAVA的認(rèn)證授權(quán)接口程序段如下:/*Domino Java 的認(rèn)證授權(quán)接口 */* * Performs the logon method. * return boolean */public boolean logon(String Userid, String Password)/* Perform the logon method. */boolean rc;long instanc

8、eId=0;if(0 != (instanceId= proxy.logon(Userid, Password)= 3Frame mainIns= new MainInsco(); mainIns.show();rc= true; else String ba= OK; / Dialog(Frame, String, boolean) smbd dialog = new smbd(new Frame(),Logon Failed, false, Logon Failed, ba);dialog.setResizable(false);dialog.show(); rc= false; /*if(UpareTo(Password)= 0)Frame mainIns= new MainInsco(); mainIns.show();rc= true; else String ba= OK; / Dialog(Frame, String, boolean) smbd dialog = new smbd(new Frame(),Logon Failed, false, Logon Failed, ba);dialog.setResizable(false);dialog.show(); rc= false; */return rc;在上面例子中,將Do

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論