吳龍波

大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源，加快推動(dòng)數(shù)據(jù)資源共享開放和開發(fā)應(yīng)用已經(jīng)成為國家的戰(zhàn)略目標(biāo)[1]。隨著航班量的持續(xù)猛漲，空管數(shù)據(jù)量急劇提升，中南地區(qū)作為全國最繁忙的空域，運(yùn)行壓力不斷增大。目前中南地區(qū)生產(chǎn)系統(tǒng)和辦公管理系統(tǒng)眾多，不同業(yè)務(wù)系統(tǒng)間的交互日漸頻繁和復(fù)雜，亟需一個(gè)統(tǒng)一的數(shù)據(jù)處理和交換平臺(tái)。民航中南空管局在信息化專項(xiàng)發(fā)展建設(shè)規(guī)劃中明確提出了建設(shè)云數(shù)據(jù)中心的計(jì)劃，為數(shù)據(jù)的統(tǒng)一采集交換提供了共享平臺(tái)，但空管行業(yè)數(shù)據(jù)具有敏感性，面臨的一個(gè)重要威脅是其資源或服務(wù)的未授權(quán)訪問，尤其當(dāng)數(shù)據(jù)匯聚到云數(shù)據(jù)中心時(shí)，如何建設(shè)資源或服務(wù)的認(rèn)證授權(quán)機(jī)制，實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)的安全數(shù)據(jù)交換，已經(jīng)成為一個(gè)建設(shè)要點(diǎn)。

OAuth[2]（Open Authorization）2.0即開放授權(quán)協(xié)議，是目前主流的認(rèn)證授權(quán)機(jī)制，在FaceBook等互聯(lián)網(wǎng)公司中有廣泛應(yīng)用。OAuth協(xié)議本質(zhì)為數(shù)據(jù)資源授權(quán)服務(wù)，為數(shù)據(jù)擁有者、數(shù)據(jù)中心和申請?jiān)L問用戶三者之間提供了一個(gè)安全可靠的協(xié)議標(biāo)準(zhǔn)，申請?jiān)L問用戶可以使用Oauth認(rèn)證服務(wù)在數(shù)據(jù)擁有者的許可下獲取被授權(quán)的在云數(shù)據(jù)中心的資源。OAuth允許數(shù)據(jù)擁有者提供一個(gè)令牌給申請用戶，一個(gè)令牌對應(yīng)一個(gè)特定的數(shù)據(jù)資源路徑，同時(shí)該令牌只能在特定的時(shí)間內(nèi)訪問特定的資源。

1 OAuth2.0認(rèn)證授權(quán)機(jī)制分析

1.1 OAuth2.0角色

為實(shí)現(xiàn)可靠的認(rèn)證授權(quán)機(jī)制，OAuth2.0構(gòu)建了四個(gè)角色，分別為資源擁有者、資源服務(wù)器、授權(quán)服務(wù)器和客戶端，以下為四個(gè)角色的詳細(xì)說明。

1）資源擁有者（Resource Owner）：是數(shù)據(jù)資源的持有者，可以授權(quán)給其他用戶訪問名下受保護(hù)的數(shù)據(jù)資源，其實(shí)體可以使一個(gè)單位或個(gè)人。

2）資源服務(wù)器（Resource Server）：存儲(chǔ)受保護(hù)資源的地方，本文中為云數(shù)據(jù)中心，客戶端通過訪問令牌向資源服務(wù)器請求資源，資源服務(wù)器驗(yàn)證通過后給客戶端發(fā)送相應(yīng)受保護(hù)資源。

3）授權(quán)服務(wù)器（Authorization Server）：對資源擁有者進(jìn)行驗(yàn)證，得到資源擁有者的授權(quán)后，對客戶端頒發(fā)授權(quán)令牌（Access Token），授權(quán)服務(wù)器可以與資源服務(wù)器整合在一起。

4）客戶端（Client）：即數(shù)據(jù)資源申請?jiān)L問者，自身不存儲(chǔ)數(shù)據(jù)，而是在得到資源擁有者授權(quán)后，使用其提供的授權(quán)令牌在有效期內(nèi)訪問受保護(hù)的數(shù)據(jù)資源，應(yīng)用到客戶端所在的應(yīng)用系統(tǒng)。

1.2 OAuth2.0授權(quán)流程

下面以空管的網(wǎng)絡(luò)和氣象部門在云數(shù)據(jù)中心交換數(shù)據(jù)為例，詳細(xì)說明OAuth2.0的資源認(rèn)證授權(quán)和訪問流程。我們假設(shè)氣象部門將氣象云圖資源保存在云數(shù)據(jù)中心，網(wǎng)絡(luò)部門通過云數(shù)據(jù)中心向氣象部門申請?jiān)L問氣象云圖的授權(quán)，在這個(gè)場景中，資源擁有者為氣象部門，資源服務(wù)器和授權(quán)服務(wù)器為云數(shù)據(jù)中心，網(wǎng)絡(luò)部門為客戶端。整個(gè)授權(quán)流程如圖1所示，授權(quán)流程包含6個(gè)步驟[3]，每個(gè)步驟說明如下。

1）請求授權(quán)：客戶端（網(wǎng)絡(luò)部門）向資源擁有者氣象部門請求訪問特定資源（氣象報(bào)文），客戶端要求氣象用戶給予授權(quán)。

2）訪問許可：氣象用戶同意給予客戶端授權(quán)。

3）令牌申請：客戶端使用上一步獲得的授權(quán)，向授權(quán)服務(wù)器（云數(shù)據(jù)中心）申請令牌。

4）令牌發(fā)放：授權(quán)服務(wù)器對客戶端進(jìn)行認(rèn)證以后，如確認(rèn)通過，則發(fā)放授權(quán)令牌。

5）請求資源：客戶端使用令牌，向資源服務(wù)器（云數(shù)據(jù)中心）申請獲取資源（氣象報(bào)文）。

6）資源響應(yīng)：資源服務(wù)器（云數(shù)據(jù)中心）確認(rèn)訪問令牌有效性，如無問題則向客戶端開放資源（氣象報(bào)文）。

6個(gè)步驟之中，第二步是關(guān)鍵，即用戶怎樣才能給與客戶端授權(quán)。有了這個(gè)授權(quán)以后，客戶端就可以獲取令牌，進(jìn)而憑令牌獲取資源。

2 Oauth2.0認(rèn)證授權(quán)機(jī)制在云數(shù)據(jù)中心的應(yīng)用研究

為保障數(shù)據(jù)發(fā)布和調(diào)用安全，基于OAuth2.0的資源認(rèn)證授權(quán)機(jī)制作用在數(shù)據(jù)中心的數(shù)據(jù)服務(wù)層，如圖2所示，其中包括3個(gè)要素：用戶身份統(tǒng)一驗(yàn)證、認(rèn)證授權(quán)機(jī)制、REST服務(wù)。

REST服務(wù)：REST(Representational State Transfer)，即“表述狀態(tài)轉(zhuǎn)移”，它將需要操作的事物抽象為資源，同時(shí)給每一個(gè)資源賦予一個(gè)唯一的的資源標(biāo)識(shí)符URI，并通過HTTP處理和傳輸資源狀態(tài)，是當(dāng)前API交換的主流服務(wù)規(guī)范。通過REST服務(wù)，可以將云數(shù)據(jù)中心的所有數(shù)據(jù)資源的訪問轉(zhuǎn)化為API接口，客戶端程序通過申請API接口的訪問權(quán)限來達(dá)到獲取受保護(hù)的數(shù)據(jù)資源。

用戶統(tǒng)一身份驗(yàn)證：面向所有云數(shù)據(jù)中心的用戶，統(tǒng)一實(shí)現(xiàn)用戶的身份的驗(yàn)證和權(quán)限分配。

認(rèn)證授權(quán)機(jī)制：應(yīng)用了OAuth2.0的認(rèn)證授權(quán)流程，與REST結(jié)合后，保障了每一個(gè)資源在被訪問前都必須申請?jiān)撡Y源擁有者的授權(quán)，在取得授權(quán)后向云數(shù)據(jù)中心申請?jiān)L問令牌，通過訪問令牌在指定時(shí)間內(nèi)訪問REST服務(wù)接口，達(dá)到訪問受保護(hù)資源的目的。

3 結(jié)論

OAuth2.0是目前主流的資源認(rèn)證授權(quán)協(xié)議，本文研究了將其應(yīng)用在空管數(shù)據(jù)安全訪問的流程，并對Oauth2.0認(rèn)證授權(quán)機(jī)制在云數(shù)據(jù)中心的應(yīng)用進(jìn)行了研究，有效解決了當(dāng)前空管業(yè)務(wù)系統(tǒng)安全交互的難題，對推進(jìn)航空安全大數(shù)據(jù)建設(shè)有重要意義。

圖1 OAuth2.0授權(quán)流程圖

圖2 OAuth2.0在數(shù)據(jù)中心應(yīng)用圖