探究油氣數字製圖管理系統訪問控制設計與實現論文
探究油氣數字製圖管理系統訪問控制設計與實現論文
引言
圖件是油氣勘探開發成果表達的重要方式, 勘探開發過程中需要編繪各類專業圖件。為了輔助油氣行業製圖人員繪製A cr G瑪圖件, 同時對個人及專案成果圖件進行有效管理,便於圖件及製圖資源共享, 研製了油氣數字製圖管理系統( Dm ap s e vr e r )。該系統採用伺服器/ 客戶端體系結構111 , 伺服器端為Or ac le 資料庫管理系統和rA C SD E 空間資料引擎,儲存圖件、圖層資料等製圖資源, 以及系統使用者、專案等資訊;客戶端包括兩種型別: 基於rA c G瑪E ng in e 開發的w ind。獨立執行軟體和基於rA c G瑪A cr M ap 開發和執行的外掛。系統直接面向製圖人員和專案管理人員, 使用者型別包括個人使用者、專案組使用者、專案組管理員和超級使用者。系統主要功能有:
( 1 ) 基於rA c G 瑪的製圖編輯;
( 2 ) 製圖模板、圖層資料、製圖投影、油氣行業符號等製圖資源提供;
( 3 ) 以個人或專案為單元的圖件和圖層資料的管理和共享。訪問許可權控制是資訊系統研製中非常重要的環節, 構建靈活可靠、易於擴充套件的許可權控制體系是系統正常執行的重要條件。在Dm ap s e vr e r 系統中, 使用者具有多級組織結構, 資源型別多樣, 資源管理和共享機制較為複雜, 需要一套安全可靠的訪問許可權控制機制來保證系統資源能夠且只能被授權使用者訪問。本文在分析D m ap s e vr e r 系統的訪問控制特點基礎上, 採用基於屬性的訪問控制模型(A B A )C 和訪問控制列表(A CL ) 設計並開發了訪問許可權控制模組, 實現了Dm ap s e vr e r系統訪問許可權控制。
一、訪問控制模型
訪問控制作為資訊保安的重要技術, 在資訊系統中扮演著越來越重要的角色。訪問控制根據預設的規則, 對使用者的訪問請求進行判斷, 使得資源只能被擁有相應許可權的使用者訪問。常用的訪問控制模型有自主訪問控制模型( D A C )、基於角色的訪問控制模型( R B A C )、基於屬性的訪問控制模型( A B A C )、訪問控制列表( A C L ) 等。其中, 應用最為普遍的是基於角色的訪問控制14 1。R B A C 引人“ 角色” 概念,透過為角色賦予許可權, 然後將角色指派給使用者的.方式, 使使用者獲得相應的訪問許可權。R B A C 實現了最小許可權原則以及責任分離原則, 降低了授權管理的複雜程度。但是,R B A c 模型對於面向資源的細粒度的訪問支援不夠15 1, 如果需要對個別使用者設定對於個別資源的訪問許可權,R B A C 模型不能對此進行很好地支援。鑑於本系統使用者和資源複雜的屬性特徵,以及多型別的操作許可權, 基於角色的訪問控制模型不能很好地解決本系統的細粒度訪問許可權控制問題。基於屬性的訪問控制模型( A B A C )的基本元素包括主體( 請求者)、客體( 被訪問資源)、訪問方法和環境。這些元素統一使用屬性來描述, 各元素的屬性可根據系統需要定義。A B A C 將各元素的屬性作為授權的基礎, 透過預設的屬性判別條件來決定訪問是否被允許。屬性概念的引人,可以將訪問控制中對實體的描述統一起來, 提供一種統一描述的實現框架。A B A C 具有較強的靈活性和可擴充性, 能解決細粒度訪問控制和大規模使用者動態授權問題。訪問控制列表( A CL )是面向資源的訪問控制機制,以使用者和資源為中心, 記錄哪些使用者能夠訪問哪些資源。A C L 表述直觀, 授權管理簡便, 應用範圍廣泛。但使用者和許可權直接掛鉤, 使得其必須維護大量的列表。因此, 單獨採用訪問控制列表, 在效能上略顯不足。透過對常用訪問控制模型的研究, 針對D m ap s e vr e r 系統訪問許可權控制需求, 設計了一種結合A B A c 和A c L 的訪問控制實現方法。這種方法以基於屬性的訪問控制模型為主,並採用A C L 記錄使用者自定義的資源許可權, 將資源的可訪問使用者列表作為屬性項參與A B A C 訪問控制模型構建。屬性的使用既使得訪問控制能實現對資源的細粒度管理, 還確保系統具有較強的靈活性和可擴充套件性。此外, 採用A C L 記錄使用者自定義許可權, 既能克服A B A C 無法針對單個使用者和資源許可權設定的缺點, 又在一定程度上克服單獨使用A C L 效能的劣勢。
二、D m a P S e r v e r 訪問控制實現
D m a p s e r v e r 訪問控制特點。D m a p s e r v e r 系統的多使用者型別、多種資源及專案管理等特點決定了許可權控制的複雜J陛。系統的訪問許可權控制有如下特點:
( 1 ) 同一資源對不同的使用者具有不同的操作許可權, 因此, 系統需要採用細粒度的許可權管理;
( 2 ) 許可權的劃分不僅要實現對於不同模組人資訊
三、結論
對於油氣數字製圖管理系統而言, 安全有效、易於擴充套件的許可權控制機制是至關重要的。本文針對該系統的訪問控制需求特點, 設計了基於A B A C 與A CL 相結合的許可權控制模型,並實現了系統在各類客戶端的許可權控制功能。應用表明, 系統訪問許可權控制模組安全可靠, 易於擴充套件, 實現了對資源的細粒度訪問控制, 能夠滿足複雜系統訪問控制需求, 取得了良好的應用效果。