一种统一授权管理系统的设计与实现

张海波++郝二伟++李竞

摘 要：论文针对当前社会各部门信息化建设过程中，基于Web的信息系统不断增多的发展现状，设计了一种可以统一进行用户授权管理的系统。系统通过Web Service完成各系统的服务调用，通过DWR与各信息系统交互信息，完成底层协议适配。将各系统的资源和菜单在同一权限管理中进行注册，并通过用户属性建立角色，形成基于角色的访问策略，从而完成用户权限统一分配。在此基础上，通过协议适配接口完成系统日志上报，完成用户行为跨信息系统的审计，完成对用户行为的管理。

关键词：授权；用户管理；审计

中图分类号：TP315 文献标识码：A

1 引言

随着信息化时代的到来，各地方各部门信息化建设水平不断上升。在各机构单位推进信息化进程中，普遍会建立多个信息系统，这些系统的使用者通常都是固定的。如果没有统一的用户权限管理系统，在管理用户上需要重复注册和授权，这直接导致管理人员的工作效率低下，管理成本增加，容易造成权限错误等问题，同时使用者在多个系统进行切换存在重复登录，不便于在各个系统中的协同操作。在实践中，通常简单的两个系统可以通过设置单点登录解决重复登录问题，但是这并没有完美地解决用户权限统一设置问题。故在多系统中，设计一个统一的用户授权管理系统成为必然。用户授权管理系统是各信息系统统一的用户管理、权限管理和审计管理平台，为信息系统提供用户管理、身份认证、资源管理、权限管理、权限判决和日志审计服务[1-3]。

2 用户授权管理软件解决的主要问题

一是各信息系统分别维护自己的用户，同一个用户在不同信息系统需要进行多次注册。

二是难以完成一个用户执行跨各信息系统的任务。

三是只采用用户名口令方式，各自认证，安全性弱。

四是在针对用户操作进行日志审计时，只针对单个信息系统中用户的操作行为进行分析，基于日志对用户的审计不具备跨信息系统的关联性。

五是实现对各个系统内部资源和信息系统的菜單是否可用的统一权限控制。

3 统一用户授权管理软件的设计与实现

3.1 系统设计原理和管理体系结构

用户在登录信息系统时，首先由信息系统内部构件去访问统一用户权限管理系统，统一用户权限管理系统根据用户名，进行数据库查询，得到用户在各个信息系统的权限信息，返回给登录的信息系统，实现一次用户登录多个系统授权的过程。如图1所示。

用户授权管理服务系统由授权服务软件和嵌入在各个信息系统的用户管理模块和用户审计模块组成。统一用户授权管理软件部署在专门的服务器上，对外提供身份认证、授权服务、审计服务等。在用户登录时，信息系统对用户授权管理软件提供的服务进行调用，通过身份认证服务、权限判决服务，返回对其拥有的被管网络资源和菜单进行细粒度的权限控制列表，实现管理流程。在用户授权管理的同时，加入审计构件，对用户的行为进行审计，各个系统的审计日志均通过调用授权管理软件的相应服务，上报给授权管理系统，实现了多个信息系统的联合审计。

用户管理模块和用户审计模块集成在信息应用系统当中，分别提供用户管理和权限管理和操作界面和审计管理的操作界面。

3.1.1 身份认证和访问策略

用户登录后首先要进行身份认证，通过用户名、密码等方式查数据库表格验证即可。验证通过进行授权，将用户属性分为用户姓名、工号、职务、部门、级别等信息。根据用户属性可将用户归类为不同角色，使用户访问各类角色所对应的资源和菜单。可以根据实际的应用环境的要求划分角色，也可以根据级别和部门划分角色。角色的定义相对稳定，用户通过角色的分配来获取访问资源的权限，由此形成了权限访问策略。图2为用户属性和角色相结合的访问策略。

3.1.2 授权服务

这种服务为访问控制策略的执行提供依据。对访问控制权限的判决包括三个要素，即主体（用户）、客体（访问目标）和操作权限。权限判决服务根据系统制订的访问控制策略，判断该访问是否符合策略要求，返回判决结果。

请求中包含了访问者信息、访问请求信息、目标信息、上下文信息、决策因素是基于角色的访问策略，使用映射组织结构的方式来阐述权限控制策略。策略规则包括五个基本要素：用户（Users）、角色（Roles）、目标（Objects）、操作（Operations）、权限（Permissions），通过XML来描述，主要由几个部分组成：主体策略—指定主体域，表明合法用户的范围；信任源策略—指定哪些信任源可以允许角色分配；角色分配策略—指定那一个信任源对哪一个主体分配哪一角色，多长时间的期限；目标策略—指定该策略下目标域包括的范围；行为策略—指定目标支持的行为和方法，如只读，读写等；目标访问策略—指定何种角色在何种条件下对何种目标有访问的权限。

3.1.3 审计服务

建立统一的审计服务接口，各个分信息系统的用户行为均上报到统一权限管理系统，避免每个信息系统分别建立行为审计，提高资源利用率，并且可以进行跨系统的联合审查，有利于跟踪分析用户行为。

3.2 软件体系结构

软件从下至上分为协议适配、数据处理、业务逻辑、功能模块四层，分别实现底层与各级授权管理系统、网络管理系统进行Web Service协议适配，Web页面操作与Java类交互、用户管理、权限管理、审计管理等功能。

4 统一用户授权管理系统应注意的问题

一是用户授权服务系统是各信息系统登录时必备的系统，要关注其运行状态，不能成为导致各信息系统不能正常登录或不退出登陆情况下日志不能正常上报的故障点。

二是用户权限管理系统要与各个信息系统密切契合，要按照统一的框架进行的开发。

三是系统使用之初，要把各个信息系统的菜单、资源等在权限管理系统中进行注册，用户的分为哪些角色要在统一授权管理系统中进行的角色配置。

5 结束语

通过统一用户授权管理系统的设计，实现了对多个信息系统的登录和对不同资源、菜单的访问控制权限，并实现了用户行为审计管理，避免了用户重复登录、有助于提高管理员工作效率，并且实现了跨系统的协同作业和跨系统的用户行为审计。另外，在增加信息系统数量时只要使用既定的框架和已有的功能模块即可使用本系统进行授权管理，代码重用率高。

参考文献

[1] 孙倩.统一用户授权管理系统的设计与实现[D].北京航空航天大学，2003.

[2] 茹惠素.基于HTTPS协议的统一登录系统设计与实现[J].浙江大学学报， 2008， 36（5）：527-530.

[3] 麦思博软件技术有限公司.软件设计之道：那些值得借鉴的实践案例[M].电子工业出版社， 2007.01.