漆瑞豐，周建中，劉 懿

(1.華中科技大學土木與水利工程學院，湖北 武漢 430074；2.華中科技大學數(shù)字流域科學與技術湖北省重點實驗室，湖北 武漢 430074)

0 引 言

以數(shù)據(jù)為驅動中心，一大批水利信息化系統(tǒng)，如防洪調度、大壩安全監(jiān)測、水資源智慧調配等在各單位有效部署運行；這有力支撐了水利行業(yè)各項業(yè)務工作[1]。水文、氣象、地形等數(shù)據(jù)由于其特殊性，往往具有較高的安全等級，在水利信息化快速發(fā)展的同時，保障這些數(shù)據(jù)在網(wǎng)絡傳輸過程中的信息安全成為水利信息化進一步安全快速發(fā)展的必要條件。水利行業(yè)各級單位在網(wǎng)絡安全法的基礎上，統(tǒng)籌考慮水利信息化過程中可能遇到的各種安全問題，高起點頂層設計；初步建立起網(wǎng)絡安全保障體系[2]。

傳統(tǒng)的水資源管理系統(tǒng)采用單體式架構，每一個服務完整承擔前后臺功能，每個業(yè)務系統(tǒng)都是獨立的整體。但隨著水資源管理決策支持系統(tǒng)越來越多，數(shù)據(jù)安全等級越來越高，傳統(tǒng)單體式架構已經(jīng)難以滿足當前業(yè)務需求，所以現(xiàn)在的水資源管理決策支持系統(tǒng)采取了前后端分離的微服務架構。

在微服務架構下，基于簡單Session/Cookie的認證方式已無法滿足分布式微服務系統(tǒng)的認證、鑒權需求。因此，為了適應如今系統(tǒng)框架和安全需求的變化和日益復雜的業(yè)務需求，需要將系統(tǒng)的認證鑒權模塊獨立出來。基于token令牌網(wǎng)絡安全體系的隨機性強、不可預測性高以及無法輕易破解等特點恰好滿足了水資源管理決策支持系統(tǒng)專業(yè)化復雜業(yè)務應用對安全性的需要。

1 相關理論及技術

1.1 基于token的身份認證機制

身份認證是防止非法用戶進入系統(tǒng)訪問受保護資源、服務的重要方法，也是部分網(wǎng)絡攻擊的重要手段[3]。采用token身份認證機制，能較好解決當前水資源管理決策支持系統(tǒng)中的身份認證及權限鑒別等問題。當物聯(lián)網(wǎng)客戶端(用戶或者終端設備)發(fā)起登錄或連接請求時，系統(tǒng)服務器端會根據(jù)用戶或者物聯(lián)網(wǎng)終端設備的注冊信息，生成一串用于用戶訪問憑據(jù)的字符串，并將其反饋給客戶端作為token令牌[4]。

1.2 token驗證步驟

基于token的身份認證，用戶的密碼等信息將不再存儲在客戶端或者服務端。在解決敏感信息存儲問題的同時釋放了服務器資源，而且服務端不用再耗費資源判斷用戶是否處于登錄狀態(tài)[4]。下面詳細闡述基于token的身份認證方法[5-7]：

步驟1，客戶端使用用戶名和密碼請求登錄。

步驟2，服務端收到請求，去驗證用戶名與密碼。

步驟3，驗證成功后，服務端簽發(fā)一個token，token與用戶名對應。token一般可存儲在緩存或數(shù)據(jù)庫中，方便查詢驗證；再把token發(fā)送給客戶端。

步驟4，客戶端收到token后將其存儲在數(shù)據(jù)庫或者Local Storage中。

步驟5，客戶端每次向服務端請求資源時，需要標識服務端簽發(fā)的token信息。

步驟6，服務端收到請求后，驗證客戶端請求標識的token，如果驗證成功，返回請求的數(shù)據(jù)(見圖1)。

圖1 token驗證步驟

token技術是搭建水資源管理決策支持系統(tǒng)網(wǎng)絡安全框架的關鍵技術。利用此技術，可以將受保護的后臺水利專業(yè)模型資源和前端瀏覽器或者客戶端隔離，從而保障后臺的資源安全；同時，當水資源管理決策支持系統(tǒng)有拓展業(yè)務需求時，可以借助token進行鑒權，在保障安全的同時直接進行數(shù)據(jù)共享，避免了各個系統(tǒng)重新整合的麻煩。

2 網(wǎng)絡安全體系框架

2.1 系統(tǒng)整體框架設計

分布式系統(tǒng)架構是將分散的計算機資源整合為一個整體，向用戶提供一致性調用、監(jiān)控和管理功能的系統(tǒng)結構；同時，將系統(tǒng)擁有的多種通用的物理和邏輯資源，根據(jù)任務需求動態(tài)分配，并通過計算機網(wǎng)絡實現(xiàn)物理和邏輯資源的信息交換。

本文考慮到水資源管理決策支持系統(tǒng)采用基于面向服務(SOA)的架構技術，將水資源管理多專業(yè)模型服務統(tǒng)一部署，以小規(guī)模服務集群的方式運行，通過服務接口的方式提供給應用開發(fā)者。為此，采用token技術搭建統(tǒng)一權限中心，對整個系統(tǒng)的安全權限進行管理；同時，搭建統(tǒng)一數(shù)據(jù)服務系統(tǒng)，避免大量第三方應用直接讀寫數(shù)據(jù)庫對數(shù)據(jù)庫造成安全威脅。

2.1.1 安全框架構建

在上述的分布式架構中，為了保證前端瀏覽器和后臺服務、后臺服務與數(shù)據(jù)庫的通信安全，防止用戶信息(用戶名/密碼)泄露，設計了如圖2所示的安全框架。

圖2 安全框架示意

安全框架分為4個角色：

(1)資源擁有者(resource owner)。水利模型服務資源實際擁有者，擁有定義實際訪問權限或授權許可的實體，通常是水利流域管理部門。如，各流域水資源部、梯調中心等，也可包括后續(xù)可接入系統(tǒng)的其他水利專業(yè)模型的開發(fā)部門。在本網(wǎng)絡安全中框架，資源擁有者為流域管理者，是具有流域調度權限的調度部門。使用水資源管理支持系統(tǒng)的專業(yè)調度人員在獲得流域管理者(資源擁有者)的授權后，便可以請求相應水利專業(yè)模型，并得到相關結果。流域調度人員可以通過Web瀏覽器、PC桌面客戶端或者移動終端應用等支持REST服務的終端請求服務。

(2)資源服務器(resource server)。它用于存儲用戶受保護的數(shù)據(jù)和服務資源，如發(fā)電優(yōu)化模型水電站96點日計劃對應表、中長期預報最大最小值儲存表等流域和水庫運行相關信息；中長發(fā)電期優(yōu)化調度、庫群模擬及河道模擬等專業(yè)水利業(yè)務計算模型。流域調度員(客戶端)通過授權令牌向資源服務器請求資源，資源服務器處理訪問請求。受保護的水利專業(yè)模型等資源部署在資源服務器中，被封裝成服務并對外提供可調用。

(3)統(tǒng)一鑒權中心(Unified Authentication Center)。統(tǒng)一鑒權中心擁有者為流域相關調度部門，由相關流域職能部門決定調度員是否具有相關水利模型或數(shù)據(jù)的調用權限。統(tǒng)一鑒權中心是網(wǎng)絡安全框架的核心組件，它承擔了系統(tǒng)登陸認證發(fā)放token、授權的核心功能。當外部請求水利專業(yè)模型服務接口時，會先被統(tǒng)一鑒權中心攔截，身份驗證通過后發(fā)放token。

(4)統(tǒng)一數(shù)據(jù)服務(Unified Data Service)。該服務用于接收資源服務器的服務發(fā)送帶token的數(shù)據(jù)庫操作請求，解析請求頭字段中的token信息，并向統(tǒng)一鑒權中心發(fā)送token驗證請求，在接收到統(tǒng)一鑒權中心返回的token合法信息后，對數(shù)據(jù)庫進行相應的增、刪、改、查操作，返回數(shù)據(jù)信息或操作結果給資源服務器。

基于token令牌的網(wǎng)絡安全體系框架，可將水資源管理決策系統(tǒng)中的后臺重要服務資源和前端瀏覽器或客戶分離，保障了后臺服務和數(shù)據(jù)庫數(shù)據(jù)的安全。同時，在網(wǎng)絡傳輸過程中，不直接傳輸用戶名和密碼，而是用于證明身份的token值，進一步保障了用戶的信息安全，提高了系統(tǒng)的整體安全性。

2.1.2 基于token的認證及鑒權

在水資源管理決策支持系統(tǒng)的實際應用中，一般用戶只有訪問一般后臺服務的需求，而系統(tǒng)管理員承擔著用戶的創(chuàng)建、刪除、修改等任務。針對此需求，應用系統(tǒng)給用戶設計了不同的權限等級。不同用戶登陸后，根據(jù)角色不同，可以請求到服務端不同的資源。用戶登錄是基于令牌身份認證的核心功能。具體登錄過程時序見圖3。

圖3 登陸時序示意

基于token的水資源管理決策支持系統(tǒng)登陸過程和處理機制如下：當用戶第一次登陸時，瀏覽器會將用戶名密碼加密，并用post請求將密文發(fā)送到資源服務器。在資源服務器接收到請求之前，授權服務器會將請求攔截，獲取請求參數(shù)的用戶名密碼，調用認證服務。認證服務將會根據(jù)用戶名從數(shù)據(jù)庫中取出用戶真實密碼，對比兩者的差異，若認證通過則生成token令牌。最后，認證服務器將驗證結果和生成的token令牌返回給客戶端或前端瀏覽器，客戶端或前端瀏覽器將令牌存儲在本地，作為請求資源的鑒權憑證。

當前用戶再次請求后臺受保護水利專業(yè)模型服務時，會將上次登陸時儲存在瀏覽器緩存中token值加到請求頭字段中一起發(fā)送給后臺指定REST服務。后臺服務接收到請求之后，首先解析請求頭信息，提取對象信息和token值并將其發(fā)送給授權服務器。授權服務器根據(jù)用戶信息在數(shù)據(jù)庫中驗證token的合法性并對其角色進行判斷，確認令牌合法性和對應角色之后再請求對應的資源服務獲取用戶所需資源，并返回結果給資源控制器[6]；最后將數(shù)據(jù)返回到前端。

隨著現(xiàn)代水利信息資源的深入開發(fā)和利用，越來越多的專業(yè)模塊集成到水資源管理決策支持系統(tǒng)；同時，還會有其他的系統(tǒng)或者服務調用本系統(tǒng)的接口或者計算數(shù)據(jù)。在這種應用背景下，重新將兩個系統(tǒng)進行整合不僅難度大，費時費力，延誤系統(tǒng)應用的最佳時期；而且將本系統(tǒng)水利專業(yè)模型服務接口全部暴露，增加安全隱患。而基于token的鑒權方案可以完美解決這一實際難題。若有第三方系統(tǒng)或者應用需要接入水資源管理決策支持系統(tǒng)時，系統(tǒng)管理員會分配給此應用一個client_ID。當其請求受保護資源時，將會被授權服務器攔截。授權服務器判斷請求角色，判斷角色是否具有訪問權限，若具有訪問權限則發(fā)放token，第三方攜帶token便可以請求資源服務器的相關水利專業(yè)資源。系統(tǒng)鑒權流程如圖4所示。

圖4 基于token的鑒權流程示意

2.2 框架技術實現(xiàn)

水資源管理決策支持系統(tǒng)網(wǎng)絡安全體系框架提供了一套完整的身份認證鑒權流程及方法，以此為基礎，開展了系統(tǒng)集成工作，并研究了安全框架的實現(xiàn)技術。

(1)Spring Security。Spring Security是一個能夠為基于Spring的企業(yè)應用系統(tǒng)提供聲明式安全訪問控制解決方案的安全框架。其提供了一組可以在Spring應用上下文中配置的Bean及相關的配置文檔，借助IOC(控制反轉)，DI(依賴注入)和AOP(面向切面編程)功能將用戶身份認證進行統(tǒng)一的管理，從而實現(xiàn)對資源訪問的綜合管控與維護[8]。Spring Security本質是提供了一整套完整的過濾器鏈，方便快捷的攔截請求，將生成的token值添加到請求頭發(fā)送至下一服務。全面利用Spring所提供出的強大功能，為各企業(yè)當中所使用的程序自身安全性能提供了有效且快速的解決方案[9]。采用Spring Security技術，可以為快速為水資源決策支持系統(tǒng)網(wǎng)絡安全體系提供網(wǎng)絡請求攔截技術，方便自定義生成token值。

(2)OAuth2.0協(xié)議。OAuth2.0協(xié)議是一種專門針對跨平臺應用之間認證授權而設計的框架協(xié)議，其最新版本OAuth2.0于2012年10月發(fā)布，稱為RFC 6749[10]。該協(xié)議允許在應用之間通過重定向方式讓用戶顯示而明確地參與授權過程，并且保護用戶關鍵的憑證(口令)信息[11-12]，允許第三方應用程序使用該用戶的私有資源(如個人信息、照片、通訊錄等)，而無需將用戶名和密碼直接提供給第三方應用程序。OAuth2.0協(xié)議已經(jīng)成為互聯(lián)網(wǎng)上主流的開放平臺授權方式，得到了眾多互聯(lián)網(wǎng)企業(yè)支持[10-14]。OAuth2.0協(xié)議為水資源管理決策支持系統(tǒng)的可拓展性提供了技術支持，可以在保護用戶信息和資源安全的前提下允許第三方應用訪問，使得系統(tǒng)的應用更加廣泛。

3 基于token令牌的網(wǎng)絡安全體系應用案例

金沙江下游—三峽梯級水庫群是長江流域最大的水庫群，水能資源豐富。針對該水庫群防洪、發(fā)電的復雜需求，需研發(fā)一套滿足各方面綜合需求的水資源管理決策支持系統(tǒng)。系統(tǒng)的所有數(shù)據(jù)全部存儲在三峽梯調數(shù)據(jù)服務器的數(shù)據(jù)庫中，涉及長江上游干支流流域氣象水文數(shù)據(jù)，河道、水庫、機組基礎數(shù)據(jù)，以及金沙江—三峽梯級各水庫的各個時間段的流量、出力、水頭、發(fā)電量和水庫運行工況等數(shù)據(jù)。采用本文研究方法，搭建的基于token令牌的水資源管理決策支持系統(tǒng)網(wǎng)絡安全框架如圖5所示。

圖5 水資源管理決策支持系統(tǒng)網(wǎng)絡安全框架

圖6 請求得到token值

圖7 請求服務時攜帶token值

基于token令牌的網(wǎng)絡安全框架體系已集成到金沙江下游—三峽梯級水資源管理決策支持系統(tǒng)，并經(jīng)過安裝、測試、部署和試運行，目前已經(jīng)在中國長江電力股份有限公司宜昌梯級調度中心上線應用。系統(tǒng)相關界面和應用效果以及相應token生成流程如圖6、7所示。

4 總結與展望

本文通過分析傳統(tǒng)基于Session/Cookie的網(wǎng)絡安全認證流程及其認證方式的不足，闡述了基于token的網(wǎng)絡認證方式的優(yōu)勢，結合水資源管理決策支持系統(tǒng)搭建了一套網(wǎng)絡安全體系，既保護了后臺資源、數(shù)據(jù)，提升了系統(tǒng)的安全性，又避免了用戶重復登陸的繁瑣操作，提高了用戶體驗。目前水資源管理決策支持系統(tǒng)網(wǎng)絡安全體系生成的token值由OAuth2.0內(nèi)置實現(xiàn)，后續(xù)還可以對token值的生成算法進行改進，增強個性化，為使用系統(tǒng)的用戶建立更加完善的安全屏障。