基于角色的访问控制模型在Web信息系统中的设计与实现

摘要

随着Internet技术的飞速发展，越来越多的用户开始构建基于B/S模式的Web信息系统。由于B/S模式本身的技术特点，决定了Web系统中的访问控制能力不够强，权限管理非常复杂，如何建设安全的、权限管理复杂度较低的Web信息系统权限管理模型已经成为当前的一个研究热点。而采用RBAC模型的、细粒度的、基于统一资源抽象的访问控制能够在一定程度上提高Web信息系统的安全性以及访问控制授权的灵活性。
　　 文中首先分析了不同类型的RBAC模型及其扩展模型的优缺点，同时分析了Web信息系统架构基础及其客体的一般结构，参考ISO1018-3访问控制架构对NIST的RBAC模型在客体方面进行了相应扩展，给出了适合Web信息系统的E_RBAC模型及其形式化描述;其次，设计并开发了基于E_RBAC模型的细粒度访问控制系统的关键部件，包括ADF和AEF。最后，通过某单位科研信息管理系统展示了E_RBAC模型的具体应用，以及如何基于该模型快速实现Web信息系统的统一访问控制。
　　 细粒度访问控制模型E_RBAC实现了JavaWeb信息系统中页面元素级、数据访问级和控制器层的访问控制，与已有的方案相比具有更细的控制粒度和更灵活的授权模式，可以大大提高系统的安全性和访问控制的灵活性。同时，基于动态组装的方法方便了系统的快速开发、测试、和部署，具有较强的适用性。

目录

声明

摘要

1 访问控制技术绪论

1．1 研究背景与课题来源

1．2 计算机信息系统访问控制策略概述

1．3 研究工作内容

1．4 论文的组织结构

2 RBAC模型家族综述

2．1 RBAC96家族模型

2．2 CORE RBAC模型

2．3 ARBAC97模型

2．4 RBAC模型的优缺点

3 基于资源抽象的Web系统的访问控制

3．1 Web相关技术概述

3．2 基于MVC模式的访问控制系统设计概述

3．3 Web系统权限管理需求分析

3．4 Web系统中的资源抽象

3．5 Web系统的访问控制

4 E_RBAC模型的应用框架设计

4．1 基于E_RBAC模型的应用框架设计原则和设计思想

4．2 E_RBAC模型的应用框架体系结构设计

4．2．1 角色分配策略定义

4．2．2 角色层次策略定义

4．2．3 角色层次管理策略定义

4．2．4 权限分配策略定义

4．2．5 用户信息库组织结构策略定义

4．2．6 角色访问数据范围组织策略

4．2．7 角色访问UI组织策略

4．3 AEF和ADF及相互间通信方式设计

4．3．1 AEF设计

4．3．2 ADF设计

4．3．3 ADF和AEF之间的通信设计

4．4 E_RBAC权限模型管理功能设计

5 基于E_RBAC模型的应用的实现

5．1 应用背景概述

5．2 E_RBAC模型中访问控制执行功能(AEF)的实现

5．2．1 动态授权控制器

5．2．2 角色数据范围绑定器

5．2．3 角色功能模块动态组装器

5．2．4 授权回收控制器

5．3 E_RBAC模型中访问控制定义功能(ADF)的实现

5．3．1 页面数据的封装

5．3．2 操作元数据定义、数据操作界面定义

5．3．3 角色定义

5．3．4 系统模块定义

5．3．5 操作功能权限定义

5．3．6 角色菜单定义

5．3．7 角色数据范围定义

5．3．8 角色有效列定义

5．3．9 角色列显示定义

5．3．10 用户角色定义

5．4 E_RBAC模型中AEF和ADF通信功能的实现

5．5 E_RBAC模型中管理功能的实现

5．5．1 用户组与用户组管理

5．5．2 资源管理

5．5．3 角色管理

5．5．4 权限管理

6 总结与展望

致谢

参考文献