基于角色的校园网Web服务的访问控制研究

摘要

随着教育信息化的不断发展，越来越多的信息和应用通过Web服务发布到网上，但在灵活与开放性的同时，校园网也将面临更加严峻的安全问题。如何保证授权用户能透明地访问各种服务以及防止非法用户的攻击将是一个迫切的需求。访问控制作为一种重要的安全技术，既可以限制对关键资源的访问，也能够防止非法用户的侵入。基于角色的访问控制模型作为与传统的自主访问控制和强制访问控制相比，具有更高的灵活性和可扩展性。SOA 是实现Web 服务一种框架，而.NET平台是开发SOA应用程序常用的平台，.NET以采用面向对象和面向组件的技术来解决软件问题,为实现Web服务的基于角色的访问控制提供了技术支持。 本文以山西财经大学校园网为背景，由于存在窃取网站用户名和密码、直接的SQL命令注入等攻击问题，这些都会使信息被篡改，甚至会被加上法律、法规禁止的不良信息，后果将不堪设想。所以，在我校校园网Web应用中安全性一定是第一位的。本文针对校园网Web服务的安全问题，开发了基于角色的访问控制理论和以面向服务架构(SOA)为标准的.NET平台的访问控制系统。当学校部门用户通过后台更新网站时，先通过本系统把网站文件设为可写即可对信息进行更新；当用户更新完信息后，通过本系统把数据库文件设为只读，之后攻击者即使得到用户名和密码，也无法对信息进行修改。而且.NTE将Web应用编译成为DLL文件从而大大加快了Web应用的运行速度，减少了用户管理的等待时间。 由于本文还存在一些不足,所以在今后的工作中还要进行一些改进:角色分类比较少，在以后的开发应用中还应适当的增加角色;由于大型数据库的复杂性，本系统对其暂时不能进行控制，还应进一步研究；本系统在提高网站安全性的同时，也限制了网站的一些其它功能的使用，今后还需寻找冲突原因加以改进等等。

目录

文摘

英文文摘

声明

1 引言

2 校园网WEB服务安全概述

3 基于角色访问控制

4 基于Web服务的访问控制系统分析和设计

5 校园网web服务器的访问控制实现

结论

参考文献

致谢

攻读硕士期间发表的论文