J2EE平台下角色访问控制的改进模型研究与应用

摘要

随着信息管理系统向着多用户、多应用方向发展,用户可访问的数据资源的结构日益复杂,规模日益庞大,为了防止非法用户访问系统资源或者合法用户越权访问系统资源等诸多系统内部安全问题,访问控制技术在系统中广泛使用。
　　 论文重点研究了基于角色的访问控制技术,详细分析了RBAC96模型族中各模型的关系和特点。但由于RBAC模型在实际应用中存在授权不灵活、系统角色泛滥等诸多问题,因此论文提出了一种RBAC改进模型,在RBAC模型基础上引入传统访问控制基本思想,增加针对用户的直接授权,形成支持角色授权和用户直接授权的多形式授权解决方案,设计出一种更适合实际应用需求的RBAC模型。然后将改进后的模型应用到实际系统中,实现系统的权限管理功能。
　　 最后对系统进行白盒、黑盒及性能测试。白盒测试验证软件编码的正确性。对系统的各功能模块进行手工测试表明系统实现符合软件需求,系统支持用户的直接授权和角色授权。在性能测试方面,测试采样200次Http请求并发访问,系统的平均响应时间稳定在6秒以内,能即时响应用户的请求。
　　 结果表明,RBAC改进模型在实际系统应用的可行性,它具有良好的灵活性、扩展性,能有效的保护系统资源访问的安全,具有较高的实用价值。