基于角色访问控制（RBAC）的Web应用

摘要

随着网络的迅速普及和网络应用日益深入社会生活各个层面,网络应用的安全性问题成为制约其发展的主要因素之一.访问控制是安全服务体系结构的重要组成部分,并且和身份认证,加密等其他要素紧密结合.访问控制就是对资源和服务使用的限制,决定主体是否对客体有权限进行某种操作.基于角色的访问控制(RBAC)是一种新兴的访问控制技术和理念,是将用户划分成与其职能和职位相符合的角色,根据角色赋予相应操作权限,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境,是传统的自主访问控制和强制访问控制的升级和替代.RBAC的建模和实现技术是目前RBAC技术研究的热点和难点.该文在参考RBAC96模型和借鉴、发展NIST的RBAC/Web模型基础上,提出一种通用化的利用关系数据库表述用户、角色、权限,用户/角色分配,角色/权限分配,角色继承关系,以及动态约束信息,在Web服务器上构建带有RBAC功能的应用层的三层结构网络应用的方法.从数据库关系表中提取角色分配,角色继承,权限分配,动态约束等信息,创新性的利用访问控制掩码ACM和用户动态约束掩码UDCM,根据用户角色和动态约束规则合并和过滤用户请求的权限信息.权限信息附着于会话Session上对访问要求实现访问控制.并根据权限信息动态生成个性化的管理角色操作界面.结合运用MD5信息摘要散列算法,实现用户登录口令的有随机数加强的加密传输以防止窃听,并可进行数据库口令数据加密保存,系统的完成了访问控制,传输加密,数据库加密的整合.方案采用JSP,Servlet,Javascript,Oracle等技术设计了RBAC的实现架构,结合客户端脚本和服务器端应用开发,具有表述易懂,标准化程度高,便于扩展和变通,任务分配均匀,与操作系统平台无关等特性,对现有的其他RBAC实现方法如NIST RBAC/Web等是很好的完善和补充,对项目开发也具有较高指导和借鉴意义.

目录

文摘

英文文摘

前言

1网络安全和相关背景技术基础

1.1网络安全面临的威胁

1.1.1网络发展面临安全挑战

1.1.2网络进攻的来源

1.1.3网络攻击的种类

1.2安全服务体系结构

1.2.1加密

1.2.2身份认证服务

1.2.3访问控制服务

1.2.4数据完整性服务

1.2.5不可否认服务

1.3 DES，SSL加密和MD5信息摘要算法

1.3.1 DES加密技术及其扩展

1.3.2 Security Socket Layer

1.3.3 MD5信息摘要算法

1.4设计中相关技术背景知识

1.4.1 Java与applet，JSP/servlet，JDBC，JavaBean

1.4.2 Oracle数据库及基本概念

1.4.3 Javascript与HTML

2基于角色的访问控制(RBAC)

2.1传统的访问控制类型

2.1.1自主形访问控制DAC

2.1.2强制性访问控制MAC

2.2 RBAC基本概念和模型

2.2.1 RBAC中的基本概念

2.2.2 RBAC基本原则

2.2.3 RBAC角色之间的关系分析

2.2.4 RBAC的优点

2.3 RBAC96模型

2.3.1 RBAC规则模型

2.3.2 RBAC管理模型

2.4 NIST RBAC/web模型

3RBAC/Web应用实现方案

3.1服务器结构设计

3.2 RBAC服务器应用层开发逻辑架构与流程

3.2.1RBAC服务器应用层架构的组成部分

3.2.2访问控制器(ACS)

3.2.3用户动态约束器

3.2.4 ACM，UDCM掩码的必要性

3.2.5 Web的基于角色访问控制的工作流程

3.3数据库设计

3.4角色继承的对象表述和排序算法

3.5管理职责角色划分

3.6 RBAC管理界面的动态生成

3.7 RBAC的Web应用实现方案特点总结

4身份验证与传输加密

4.1单向散列算法

4.2 MD5的理论和实现原理

4.3用MD5保护用户登录密码

4.4 MD5密码保护的Javascript+JSP实现

4.4.1MD5密码保护的浏览器脚本

4.4.2 MD5密码保护的服务器端脚本

4.5数据库加密增强口令安全性

4.6 MD5加密方案特点总结

5总结

参考文献

致谢