某石油管理局企業(yè)標準授權系統(tǒng)知識_第1頁
某石油管理局企業(yè)標準授權系統(tǒng)知識_第2頁
某石油管理局企業(yè)標準授權系統(tǒng)知識_第3頁
某石油管理局企業(yè)標準授權系統(tǒng)知識_第4頁
某石油管理局企業(yè)標準授權系統(tǒng)知識_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、PAGE 8某某石油管理局企業(yè)標準授權系統(tǒng)與其它應用的接口規(guī)范1適用范圍圍本標準規(guī)定定了某某某石油管管理局授授權系統(tǒng)統(tǒng)與其它它應用的的接口規(guī)規(guī)范。本標準適用用于某某某油田(企企業(yè)內(nèi)部部)對于于 授權系系統(tǒng)與其其它應用用接口的的要求。2規(guī)范解釋釋權本規(guī)范由某某某油田田石油管管理局信信息中心心解釋。3總則本規(guī)范是是指基于于目錄服服務的授授權系統(tǒng)統(tǒng)與其它它應用的的接口規(guī)規(guī)范,著著眼于應應用先進進的認證證技術,統(tǒng)統(tǒng)一認證證、統(tǒng)一一授權管管理,規(guī)規(guī)范原有有的業(yè)務務系統(tǒng)的的授權方方式的改改造,指指導新的的應用開開發(fā)。4認證授權權系統(tǒng)的的基本概概念在業(yè)務系統(tǒng)統(tǒng)和授權權中,有有些應用用如數(shù)據(jù)據(jù)庫系統(tǒng)統(tǒng)難以主主

2、動認證證用戶的的身份,為為了更好好認證用用戶,我我們引入入認證實實體AAA(注:非Atttriibutte Autthennticcatiion的的縮寫,AAA為AAuthhentticaatioon & Auuthooritty的縮縮寫),來參與與認證用用戶的身身份。用戶的身份份認證和和訪問控控制授權權有兩種種基本方方式:其其一,先先認證再再授權;其二,將將認證和和授權融融于一體體,一次次性實現(xiàn)現(xiàn)認證和和訪問控控制授權權。在本本技術方方案中,對對于這兩兩種認證證授權方方式格方方公司都都能提供供。但不不管是哪哪種基本本方式,對對于不同同的平臺臺,實現(xiàn)現(xiàn)原理基基本一致致,只是是APII調(diào)用略略有

3、差別別。認證再授權權:利用PKII技術驗驗證用戶戶的身份份,用戶戶的身份份驗證完完以后再再查詢用用戶的資資源票據(jù)據(jù)(權限限信息),并并對票據(jù)據(jù)信息的的合法性性進行驗驗證,根根據(jù)資源源票據(jù)的的情況來來控制用用戶的訪訪問。用戶身份份鑒別的的基本原原理為:用戶發(fā)請求求到認證證實體;認證實體收收到用戶戶認證請請求以后后,產(chǎn)生生隨機數(shù)數(shù),并將將隨機數(shù)數(shù)反饋給給用戶;用戶用私鑰鑰對隨機機數(shù)加密密,將用用戶的證證書、加加密的結結果及屬屬性證書書傳輸給給認證實實體;認證實體收收到隨機機數(shù)后,驗驗證證書書的合法法性及有有效性,并并解密隨隨機數(shù),比比較發(fā)出出的隨機機和收到到并解密密的隨機機數(shù)是否否一致,如如一致則

4、則說明用用戶的身身份是合合法的,否否則用戶戶非法;用戶的身份份被鑒別別以后,到到ORSSP查詢詢其信息息資源票票據(jù),對對應用系系統(tǒng)用戶戶授權控控制。將認證和授授權融于于一體:用戶的身份份認證和和具體的的業(yè)務系系統(tǒng)授權權相結合合的辦法法來認證證用戶的的身份,即即采用認認證授權權(AAA)服務務來對用用戶的身身份進行行認證,結結合業(yè)務務系統(tǒng)反反饋用戶戶的資源源權限票票據(jù),以以實現(xiàn)業(yè)業(yè)務系統(tǒng)統(tǒng)對用戶戶身份的的安全認認證和資資源訪問問的有效效控制。對對用戶的的身份認認證采用用CA和和數(shù)字證證書技術術來認證證用戶?;镜哪DP腿缦孪拢浩溥^程如下下:業(yè)務系統(tǒng)向向AA提提交用戶戶的數(shù)字字證書,如如有屬性性

5、證書,則則從客戶戶端提交交;AA從客戶戶證書中中提取用用戶IDD,驗證證用戶IID的合合法性;利用事事先加載載的CAA證書,來來驗證個個人證書書的合法法性,并并通過CCA系統(tǒng)統(tǒng)提供證證書回收收列表(CCRL)查查詢用戶戶身份的的有效性性;若用戶的身身份合法法,則通通過用戶戶ID號號查詢用用戶的信信息資源源票據(jù)。ORSP把把用戶的的資源權權限票據(jù)據(jù)反饋給給AA。AA獲得用用戶的資資源權限限票據(jù)后后,驗證證票據(jù)的的合法性性(判斷斷PMIIC簽名名是否合合法),再再利用用用戶的數(shù)數(shù)字證書書/或隨隨機密鑰鑰對票據(jù)據(jù)加密;AA把加密密的用戶戶的資源源權限票票據(jù)及證證書傳輸輸給業(yè)務務系統(tǒng);業(yè)務系統(tǒng)收收到加

6、密密的票據(jù)據(jù)后,利利用用戶戶自己的的私鑰解解密票據(jù)據(jù),獲得得用戶的的資源權權限表。應應用系統(tǒng)統(tǒng)獲得該該資源表表以后,在在應用程程序中控控制用戶戶對業(yè)務務系統(tǒng)資資源的訪訪問。從以上可以以看出,用用戶的身身份認證證采用PPKI和和數(shù)字證證書技術術,用戶戶身份的的認證是是安全的的,不存存在在網(wǎng)網(wǎng)絡密碼碼被截獲獲的安全全隱患,用用戶的信信息資源源票據(jù),AAA從OORSPP獲取用用戶的資資源票據(jù)據(jù),AAA利用數(shù)數(shù)字簽名名機制對對票據(jù)的的合法性性進行驗驗證,杜杜絕了仿仿冒的安安全漏洞洞,在AAA到業(yè)業(yè)務系統(tǒng)統(tǒng)采用用用戶的個個人證書書,只有有擁有該該證書的的個人才才能解密密該票據(jù)據(jù),不存存在票據(jù)據(jù)在傳輸輸中

7、被篡篡改的可可能性。在在業(yè)務系系統(tǒng)內(nèi)部部,業(yè)務務系統(tǒng)必必須利用用個人的的私鑰對對加密的的票據(jù)解解密,該該機制也也杜絕了了利用他他人證書書登錄系系統(tǒng)的可可能性。5業(yè)務系統(tǒng)統(tǒng)接口需需求包含WEBB系統(tǒng)、數(shù)數(shù)據(jù)庫系系統(tǒng)、NNOTEES系統(tǒng)統(tǒng)、MAAIL系系統(tǒng)等接接口需求求。油田目前有有很多信信息系統(tǒng)統(tǒng)在網(wǎng)絡絡中運行行,其中中包括WWEB應應用、數(shù)數(shù)據(jù)庫系系統(tǒng)的應應用、基基于NOOTESS的OAA系統(tǒng)、MMAILL郵件系系統(tǒng)。對于NOTTES的的OA系系統(tǒng)又有有兩種形形式:CC/S和和B/SS方式,郵郵件系統(tǒng)統(tǒng)則采用用WINN平臺下下的郵件件系統(tǒng)為為主。對于郵件系系統(tǒng)及BB/S下下的NOOTESS O

8、AA系統(tǒng),可可采用CCSP技技術實現(xiàn)現(xiàn)OA系系統(tǒng)的用用戶身份份認證、郵郵件的簽簽名和加加密。對于B/SS的應用用,則需需要采用用數(shù)字證證書技術術來實現(xiàn)現(xiàn)用戶身身份的認認證和訪訪問控制制授權。由由于WEEB服務務器可以以采用WWIN平平臺和非非WINN平臺,因因此都可可以統(tǒng)一一到WEEB服務務器平臺臺使用代代理技術術將用戶戶的應用用請求轉轉到認證證和授權權服務實實現(xiàn)身份份鑒別和和授權。基于WEBB的數(shù)據(jù)據(jù)庫(如如Orccalee)電子子郵件應應用可用用WEBB代理技技術實現(xiàn)現(xiàn)認證和和授權。6接口APPI和其其它接口口模塊描描述對以上系統(tǒng)統(tǒng)進行接接口函數(shù)數(shù)和模塊塊的詳細細描述。對于NOTTES系系

9、統(tǒng)的提提供了JJAVAA的認證證授權接接口程序序段如下下:/*Doominno JJavaa 的認認證授權權接口 */* * Peerfoormss thhe llogoon mmethhod. * rretuurn boooleaan * pparaam UUserrid Javva.llangg.Sttrinng * pparaam PPasssworrd JJavaa.laang.Strringg */publiic bboolleann loogonn(Sttrinng UUserrid, Sttrinng PPasssworrd)/* PPerfformm thhe llogoon

10、mmethhod. */boolleann rcc;longg innstaanceeId=0;if(00 != (iinsttancceIdd= pproxxy.llogoon(UUserrid, Paasswwordd)= 3Fraame maiinInns= neww MaainIInscco(); maainIIns.shoow();rc= trrue; ellse SStriing ba= OOK; / Diialoog(FFramme, Strringg, bboolleann) smbbd ddiallog = nnew smbbd(nnew Fraame(),Loggon Fa

11、iiledd, fallse, LLogoon FFailled, bba);diaalogg.seetReesizzablle(ffalsse);diaalogg.shhow(); rrc= fallse; /*if(UUmparreToo(Paasswwordd)= 0)Fraame maiinInns= neww MaainIInscco(); maainIIns.shoow();rc= trrue; ellse SStriing ba= OOK; / Diialoog(FFramme, Strringg, bboolleann) smbbd ddiallog = nnew smbbd(nnew Fraame(),Loggon Faiiledd, fallse, LLogoon FFailled, bba);diaalogg.seetReesizzablle(ffalsse);diaalogg.shhow(); rrc= fallse; */retuurn rc;在上面例子子中,將將Dommi

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論