全 文 :第 wu卷 增刊 t
u s s y年 | 月
林 业 科 学
≥≤∞× ≥∂ ∞ ≥≤∞
∂²¯1wu o≥³qt
≥ ³¨qou s s y
林业网格中的用户及数字证书管理
杜 彬t 张 旭u 黄震春t 范东璞u
kt1 清华大学计算机科学与技术系 北京 tsss{w ~ u1 中国林业科学研究院资源信息研究所 北京 tsss|tl
关键词 } 林业网格 ~用户管理 ~数字证书
中图分类号 }×°vsu1t 文献标识码 } 文章编号 }tsst p zw{{kussyl增 t p styz p sw
收稿日期 }ussx p s{ p tz ∀
Υσερ ανδ ∆ιγιταλ Χερτιφιχατιον Μαναγεµεντ ιν Φορεστρψ Γριδ
⁄∏
¬±t «¤±ª÷∏u ∏¤±ª«¨ ±¦«∏±t ƒ¤± ⁄²±ª³∏u
kt1 ∆επαρτµεντ οφ Χοµπυτερ Σχιενχεσ ανδ Τεχηνολογψo Τσινγηυα Υνιϖερσιτψ Βειϕινγ tsss{w ~
u1 Ρεσεαρχη Ινστιτυτε οφ Φορεστ ΡεσουρχεσΙνφορµατιον Τεχηνιθυεσo ΧΑΦ Βειϕινγ tsss|tl
Αβστραχτ } ¶¨µ¤±§§¬ª¬·¤¯ ¦¨µ·¬©¬¦¤·¬²± °¤±¤ª¨ °¨ ±·³¯¤¼¶¤±¬°³²µ·¤±·µ²¯¨¬±·«¨ ¬±©²µ°¤·¬²±ªµ¬§¶¼¶·¨°q·¬¶·«¨ ©²∏±§¤·¬²±
²©·«¨ ¤∏·«²µ¬·¼ °¤±¤ª¨ °¨ ±·¤±§¶¨¦∏µ¬·¼ ¶¨µ√¬¦¨ ¬±√²¦¤·¬²± ²©ªµ¬§¶¤±§ª¬√¨ ¶·«¨ ¥¤¶¬¦¶∏³³²µ·©²µªµ¬§³²µ·¤¯ ¤±§«¬ª«¯¨ √¨ ¯
¥∏¶¬±¨ ¶¶³µ²¦¨¶¶q±·«¬¶³¤³¨µo º¨ ³∏·©²µº¤µ§¤©µ¤°¨ º²µ®©²µ∏¶¨µ°¤±¤ª¨ °¨ ±·¬± ©²µ¨¶·µ¼ ªµ¬§ º«¬¦«¦²∏¨§¶∏³³²µ··º²2
§¬°¨ ±¶¬²±µ²¯¨ °¤±¤ª¨ °¨ ±·o§¬ª¬·¤¯ ¦¨µ·¬©¬¦¤·¬²± °¤±¤ª¨ °¨ ±·¤±§¶¨¦∏µ¬·¼ ¶¨µ√¬¦¨ ¦¤¯¯q¶¨µ¤±§§¬ª¬·¤¯ °¤±¤ª¨ °¨ ±·°²§∏¯¨©²µ
§¬ª¬·¤¯ ©²µ¨¶·µ¼ ªµ¬§«¤¶¥¨ ±¨¬°³¯ °¨¨ ±·¨§¥¤¶¨§²±·«¨ ©µ¤°¨ º²µ®o¤±§¬·º¬¯¯ ²©©¨µ√¨ µ¼ª²²§¶∏³³²µ·©²µ∏¶¨µ¤∏·«¨ ±·¬¦¤·¬²±¤±§
º²µ®©¯²º¬±©²µ¨¶·µ¼ ªµ¬§q
Κεψ ωορδσ} ©²µ¨¶·µ¼ ªµ¬§~∏¶¨µ°¤±¤ª¨ °¨ ±·~§¬ª¬·¤¯ ¦¨µ·¬©¬¦¤·¬²±
数字林业网格k⁄ƒ o§¬ª¬·¤¯ ©²µ¨¶·µ¼ ªµ¬§l也叫林业应用网格 o其研究目标在于配合国家数字林业建设 o针
对林业与生态环境建设工程应用需求 ∀结合网格的优点和大量的数字林业数据 o可以使各种分布式的资源
更好地整合在一起 o并使用户和资源更好地协同工作 ∀用户管理系统是应用网格中必不可少的组成部分 o是
保证网格安全的基础 ∀应用网格中成千上万的用户有着不同的身份 !不同的权限 o他们在网格中的角色不
同 o所允许的操作也不同kƒ²¶·¨µετ αλqousstl ∀如何保存和管理应用网格中的所有用户信息 !权限信息以及
数字凭证信息是用户管理系统所要解决的问题 ∀权限控制对于应用网格门户和工作流系统提供了基本的支
持 o数字证书管理包括证书的申请 !签发和管理 o它提供了对用户身份的强认证 o以实现对网格服务的安全调
用 ∀
t 网格中的用户管理及数字证书
t1t 网格中的用户管理 应用网格中分布着多种多样的网格应用服务 o每个网格应用都对应有不同的服务
对象kƒ²¶·¨µετ αλqoussul o用户管理系统通过对用户的创建 !登录 !授权等操作保证网格中的用户能访问自己
有权访问的资源 o同时又不越权访问其他无权访问的资源 ∀网格中用户管理系统的强弱直接关系到应用网
格的易用性和安全性 ∀
无论网格采取哪种使用方式 o都需要集中管理的身份标识k⁄l基础设施 ∀每一个用户都有自己唯一合
法的标识符 o通过该标识符向网格表明自己的身份 ∀用户需经过网格管理员的认可注册成为合法的网格用
户并获得自己的网格标识符和数字证书 ∀用户管理系统要能灵活的维护用户的基本信息 !用户组信息 !用户
权限等 ∀用户需要经过网格门户来登录网格 o并按照权限来使用网格上的资源 o通过数字证书来调用需要身
份认证的网格应用服务 ∀
t1u 用户的数字证书 数字证书是网格系统中的某个实体用来证明自己身份的一段信息 ∀证书由可信任
的认证中心签发 o有固定的格式 o并且有一定的有效时间 ∀数字证书一般包含以下几部分信息 }tl认证中心
名称 ) ) ) 签发这个证书的认证中心的名称 ~ul有效时间 ) ) ) 这个证书有效的时间范围 ~vl证书拥有者 ) ) )
拥有这个证书的用户或实体名称 ~wl公钥信息 ) ) ) 拥有这个证书的用户或实体的公钥信息 o进行双向认证
时用来证明证书拥有者的合法性 ~xl认证中心的数字签名 ) ) ) 签发这个证书的认证中心的数字签名 o进行
双向认证时用来证明证书本身的合法性 ∀
创建一个有效的证书分为如下几步 }tl用户或资源的管理者首先创建用于身份鉴别的公钥 !私钥和未签
名的证书 o然后通过电子邮件或其他安全的途径把未签名的证书提交给认证中心 ~ul认证中心收到未签名
的证书后 o对用户或资源进行考察 ~vl经考察合格后 o认证中心用自己的证书对未签名的证书进行签名 o然
后把签名的证书通过电子邮件或其他安全途径返还给用户或资源管理者 ∀
用户代理k∏¶¨µ³µ²¬¼l是一个由用户创建的临时证书 o由用户自己的证书签发 o一般生命期比较短 ∀它被
用户授权用于代替用户完成双向认证 !提交作业 !在工作流中以安全方式调用应用服务等工作 ∀
一个完整的数字证书管理系统应该包括认证中心 o支持生成证书申请 !签发证书 !生成用户代理等一系
列过程 o并提供方便的用户界面及管理界面 ∀
2 林业网格中的用户及证书管理
u1t 林业网格特点 在数字林业网格中 o用户管理除了要满足一般网格项目中的需求以外 o还需要支持一
些林业网格所特有的要求 ∀
tl分层次的权限管理 用户按照在网格中的不同角色而被分为多个用户组 ∀每个用户组内设有管理员
来管理组内用户的增删 !权限维护等操作 o最高层的网格管理员可以修改所有网格用户的权限信息 ∀每个用
户组绑定一类具体的应用 o组内用户默认有权限访问此类应用 o一个用户根据所需访问的具体应用可以属于
多个用户组 ∀
ul分区域的权限管理 林业网格中的资源有一个特有的属性就是地理位置 o网格中绝大部分资源 o如卫
星图片 !统计结果等都可以按照地理位置进行分类 o这就要求林业网格的资源可以按照区域的不同来进行限
制 ∀区域也按层次划分 o包含范围可以嵌套 ∀一般用户在注册到网格的时候也有自己所属的区域 o默认只能
访问此区域内的数据 ∀如果需要访问其他区域内资源 o则需要向管理员临时申请 ∀
vl工作流 林业网格中的工作流系统整合了网格中的用户和具体服务资源 o使其能在正确的时间选择
正确的人做正确的事情 o从而提高服务效率 o减少重复开发 ∀在整合各个分散的服务时 o工作流引擎需要结
合用户管理系统来与使用工作流的用户进行交互 o必要的时候还要使用用户的代理证书来对其他资源进行
安全的访问 ∀
u1u 用户管理系统特点 针对林业网格中的特殊需求 o本文在林业网格用户管理系统中设计了比较灵活的
用户权限管理方法 ∀
tl二维用户权限管理 分 u个维度来管理用户权限 o一个维度是根据用户所需的应用类型 o另一个是用
户所在的区域 ∀只有当用户有权访问此类应用 o并且其访问的资源在此用户有权访问的区域内时 o资源才能
够被访问到 ∀用户的应用类型由用户所在用户组判断 o用户的访问区域是用户的一个属性 o可以由管理员进
行修改 ∀
ul灵活的权限分配 除了上面的二维用户权限管理以外 o林业网格用户管理系统还提供了更加灵活的
权限控制能力 ∀系统参考可扩展访问控制标记语言 ÷≤k ÷¨·¨±¶¬¥¯¨¦¦¨¶¶≤²±·µ²¯ ¤µ®∏³¤±ª∏¤ª¨ l的框架
设计了自己的权限规则语法 ∀管理员可以通过修改配置文件脚本来修改用户的访问权限规则 ∀典型的访问
控制和授权包括 v个主要实体 }主体 !资源和动作以及一些其他属性 ∀主体通过请求以得到对资源执行某种
动作的权限 ∀例如某用户请求查看某个区域的卫星数字图像 o这里的主体是这个用户 o动作是/查看0 o资源
是/卫星数字图像0 o所查看的区域属于这个资源的一个属性 ∀规则语法就是通过描绘主体 !资源 !动作 !属性
的逻辑关系 o来得到用户最终是否有权利对该资源进行此类操作 ∀
3 林业网格中的用户及数字证书管理系统
v1t 用户管理整体结构 林业网格用户管理包括用户注册 !授权 !访问控制等主要功能 ∀系统集中的管理
所有网格用户的信息以及证书信息 ∀整个用户系统向上层的工作流引擎和网格门户提供服务和 °k应用
程序接口l o使上层应用能够访问到用户信息 o查询用户权限 ∀系统的整体结构如图 t所示 ∀
用户系统主要向上层提供 v类服务 }tl访问权限控制服务 提供访问控制服务 o接收用户 ⁄!访问动作
{yt 林 业 科 学 wu卷
图 t 用户与数字证书管理系统整体结构
ƒ¬ªqt ≥·µ∏¦·∏µ¨ ²©∏¶¨µ¤±§¦µ¨§¨±·¬¤¯
°¤±¤ª¨ °¨ ±·¶¼¶·¨°
和访问资源 ⁄o返回用户是否有权访问该资源 ∀
决策点k§¨¦¬¶¬²± ³²¬±·l通过策略脚本和用户信息
经过逻辑计算而得到用户是否有权对相关资源
进行请求动作 ∀ul用户管理服务 提供增删用
户 !用户信息查询 !管理员动态授权等服务 o主要
用于网格门户和工作流系统获取用户信息 !管理
员修改用户信息 !修改用户权限 !修改权限脚本
等操作 ∀vl证书管理服务 主要以 °的方式提
供对证书的相关操作以及对服务进行安全调用 ∀
主要用于管理员对证书的签发 !用户自身证书代
理的签发以及对带有强安全检验的服务进行调
用时使用 ∀
v1u 用户证书的签发及使用过程 林业网格用
图 u 数字证书申请页面
ƒ¬ªqu ⁄¬ª¬·¤¯ ¦¨µ·¬©¬¦¤³³¯¼ ³¤ª¨
户管理系统提供了对于数字证书的
管理 ∀主要包括对证书的申请 !管
理员对证书的审核签发 !用户生成
代理证书等 ∀
整个数字林业网格有一个根证
书 o对其下各个用户组签发用户组
证书 ∀最终用户的证书由用户组管
理员通过用户组证书签发 ∀用户在
注册到网格系统时就被提示申请数
字证书 o在填写了相关的证书申请
信息后 o管理员会收到用户的证书
申请 o经过审查合格后 o管理员用系
统提供的工具对用户证书进行签
发 ∀图 u为申请证书的页面 ∀
类似的还有用户生成证书代
理 !管理员签发证书等页面 ∀签发后的证书 o以及证书代理保存在用户的本地特殊目录中 ∀
v1v 参考技术 ≥¶¨µ是一个扩展性很好的用户管理框架 o它包括基本的用户信息管理 o用户组管理 o权限
管理等功能 ∀其底层的数据层可以通过 ÷ k可扩展标记语言l配置使用不同的媒介 o包括数据库 !文件等 ∀
本系统中的用户数据通过 ¬¥¨µ±¤·¨的对象关系映射保存到关系数据库中 ∀林业网格用户管理系统扩展了
≥¶¨µ的权限管理 o使其支持二维的权限管理 ∀
÷≤提供了创建策略和规则来控制信息访问的机制 ∀它创建了一种可移植的 !标准的方式来描述访
问控制实体及其属性 o并提供一种机制 o它能相比简单地拒绝访问或授权访问更加细粒度的进行控制访问 ∀
林业网格用户系统参考 ÷≤o简化设计了自己的用户访问权限控制脚本 ∀
4 结论
林业网格中用户管理系统具有以下优点 }
tl对外提供了用户管理方面的网格服务以及 °o包括认证服务 o访问权限服务等 ∀网格门户以及工作
流引擎可以通过访问这些服务或 °来获得用户的基本信息 !认证以及权限信息 ∀
ul分层次 !分区域的管理了用户的权限 o使得各个地区 !各个等级的用户都能访问到权限允许范围内的
资源 ∀
vl灵活的权限配置功能 o使得管理员可以方便的配置各个用户组的用户所能访问的权限 o可以实时修改
用户组的权限范围 ∀
|yt 增刊 t 杜 彬等 }林业网格中的用户及数字证书管理
wl提供了完整的申请 !签发 !管理数字证书等支持 ∀使得用户在注册到系统的时候就能方便的获得数字
证书 o便于在网格中对服务进行安全调用 ∀
xl灵活的服务安全调用框架 o可以方便的配置安全调用策略 ∀
整个系统除了上述优点以外还有一些待改进的部分 ∀比如现在的用户管理属于集中式管理 o虽然在目
前能够满足需要 o但随着用户数量以及网格节点的增多 o这种集中式的设计可能存在缺陷 ∀下一步将实现分
布式的用户管理 o用户信息按地域相对集中 ∀目前的访问控制策略只是参考了 ÷≤而并没有按照标准实
现 o虽能满足现有需求 o但扩展性较差 o随着支持 ÷≤的开源项目逐步完善 o这部分将会被替代成更加符
合规范的实现 ∀今后工作将着手于这 u点加以改进 ∀
参 考 文 献
ƒ²¶·¨µo ¨¶¶¨¯°¤± ≤ o×∏¨¦®¨ ≥ qusst q׫¨ ¤±¤·²°¼ ²©·«¨ ªµ¬§} ±¨¤¥¯¬±ª¶¦¤¯¤¥¯¨√¬µ·∏¤¯ ²µª¤±¬½¤·¬²±¶q±·¨µ±¤·¬²±¤¯ ≥∏³¨µ¦²°³∏·¨µ³³¯¬¦¤·¬²±¶
ƒ²¶·¨µo ¨¶¶¨¯°¤± ≤ o¬¦®o ετ αλqussu q׫¨ ³«¼¶¬²¯²ª¼ ²©·«¨ ªµ¬§}¤± ²³¨ ± ªµ¬§¶¨µ√¬¦¨¶¤µ¦«¬·¨¦·∏µ¨ ©²µ§¬¶·µ¬¥∏·¨§¶¼¶·¨°¶¬±·¨ªµ¤·¬²±q±·¨µ±¤·¬²±¤¯
≥∏³¨µ¦²°³∏·¨µ³³¯¬¦¤·¬²±¶
k责任编辑 朱乾坤 石红青l
szt 林 业 科 学 wu卷