探究油氣數字製圖管理系統訪問控制設計與實現論文

引言

圖件是油氣勘探開發成果表達的重要方式， 勘探開發過程中需要編繪各類專業圖件。爲了輔助油氣行業製圖人員繪製A cr G瑪圖件， 同時對個人及項目成果圖件進行有效管理，便於圖件及製圖資源共享， 研製了油氣數字製圖管理系統（ Dm ap s e vr e r ）。該系統採用服務器/ 客戶端體系結構111 ， 服務器端爲Or ac le 數據庫管理系統和rA C SD E 空間數據引擎，存儲圖件、圖層數據等製圖資源， 以及系統用戶、項目等資訊；客戶端包括兩種類型： 基於rA c G瑪E ng in e 開發的w ind。獨立執行軟件和基於rA c G瑪A cr M ap 開發和執行的插件。系統直接面向製圖人員和項目管理人員， 用戶類型包括個人用戶、項目組用戶、項目組管理員和超級用戶。系統主要功能有：

（ 1 ） 基於rA c G 瑪的製圖編輯；

（ 2 ） 製圖模板、圖層數據、製圖投影、油氣行業符號等製圖資源提供；

（ 3 ） 以個人或項目爲單元的圖件和圖層數據的管理和共享。訪問權限控制是資訊系統研製中非常重要的環節， 構建靈活可靠、易於擴展的權限控制體系是系統正常執行的重要條件。在Dm ap s e vr e r 系統中， 用戶具有多級組織結構， 資源類型多樣， 資源管理和共享機制較爲複雜， 需要一套安全可靠的訪問權限控制機制來保證系統資源能夠且只能被授權用戶訪問。本文在分析D m ap s e vr e r 系統的訪問控制特點基礎上， 採用基於屬性的訪問控制模型（A B A ）C 和訪問控制列表（A CL ） 設計並開發了訪問權限控制模組， 實現了Dm ap s e vr e r系統訪問權限控制。

一、訪問控制模型

訪問控制作爲資訊安全的重要技術， 在資訊系統中扮演着越來越重要的角色。訪問控制根據預設的規則， 對用戶的訪問請求進行判斷， 使得資源只能被擁有相應權限的用戶訪問。常用的訪問控制模型有自主訪問控制模型（ D A C ）、基於角色的訪問控制模型（ R B A C ）、基於屬性的訪問控制模型（ A B A C ）、訪問控制列表（ A C L ） 等。其中， 應用最爲普遍的是基於角色的訪問控制14 1。R B A C 引人“ 角色” 概念，透過爲角色賦予權限， 然後將角色指派給用戶的方式， 使用戶獲得相應的訪問權限。R B A C 實現了最小權限原則以及責任分離原則， 降低了授權管理的複雜程度。但是，R B A c 模型對於面向資源的細粒度的訪問支援不夠15 1， 如果需要對個別用戶設定對於個別資源的訪問權限，R B A C 模型不能對此進行很好地支援。鑑於本系統用戶和資源複雜的屬性特徵，以及多類型的操作權限， 基於角色的訪問控制模型不能很好地解決本系統的細粒度訪問權限控制問題。基於屬性的訪問控制模型（ A B A C ）的基本元素包括主體（ 請求者）、客體（ 被訪問資源）、訪問方法和環境。這些元素統一使用屬性來描述， 各元素的屬性可根據系統需要定義。A B A C 將各元素的屬性作爲授權的基礎， 透過預設的屬性判別條件來決定訪問是否被允許。屬性概念的引人，可以將訪問控制中對實體的描述統一起來， 提供一種統一描述的實現框架。A B A C 具有較強的靈活性和可擴充性， 能解決細粒度訪問控制和大規模用戶動態授權問題。訪問控制列表（ A CL ）是面向資源的'訪問控制機制，以用戶和資源爲中心， 記錄哪些用戶能夠訪問哪些資源。A C L 表述直觀， 授權管理簡便， 應用範圍廣泛。但用戶和權限直接掛鉤， 使得其必須維護大量的列表。因此， 單獨採用訪問控制列表， 在性能上略顯不足。透過對常用訪問控制模型的研究， 針對D m ap s e vr e r 系統訪問權限控制需求， 設計了一種結合A B A c 和A c L 的訪問控制實現方法。這種方法以基於屬性的訪問控制模型爲主，並採用A C L 記錄用戶自訂的資源權限， 將資源的可訪問用戶列表作爲屬性項參與A B A C 訪問控制模型構建。屬性的使用既使得訪問控制能實現對資源的細粒度管理， 還確保系統具有較強的靈活性和可擴展性。此外， 採用A C L 記錄用戶自訂權限， 既能克服A B A C 無法針對單個用戶和資源權限設定的缺點， 又在一定程度上克服單獨使用A C L 性能的劣勢。

二、D m a P S e r v e r 訪問控制實現

D m a p s e r v e r 訪問控制特點。D m a p s e r v e r 系統的多用戶類型、多種資源及項目管理等特點決定了權限控制的複雜J陛。系統的訪問權限控制有如下特點：

（ 1 ） 同一資源對不同的用戶具有不同的操作權限， 因此， 系統需要採用細粒度的權限管理；

（ 2 ） 權限的劃分不僅要實現對於不同模組人資訊

三、結論

對於油氣數字製圖管理系統而言， 安全有效、易於擴展的權限控制機制是至關重要的。本文針對該系統的訪問控制需求特點， 設計了基於A B A C 與A CL 相結合的權限控制模型，並實現了系統在各類客戶端的權限控制功能。應用表明， 系統訪問權限控制模組安全可靠， 易於擴展， 實現了對資源的細粒度訪問控制， 能夠滿足複雜系統訪問控制需求， 取得了良好的應用效果。