1. 研究目的与意义(文献综述)
| 1.1 课题研究意义 |
| 随着信息系技术的高速发展,各种信息的访问安全逐渐成为企业或者个人关注的热 |
| 点。信息系统的权限访问控制技术因此也成为了一项研究热点。信息管理系统作为人机 |
| 交互系统,它庞大而复杂,可能一个小小的漏洞就能成为致命的安全威胁,而访问控制 |
| 技术作为国际化标准组织定义的五项标准安全服务之一,是实现信息管理系统安全的一 |
| 项重要机制。通过访问控制服务,既可限制关键资源的访问,也可防止非法用户的侵入 |
| 或因合法用户的不慎操作所造成的破坏。传统的访问控制模式有两种:自主访问控制 |
| (DAC,Discretionary Access Control)、强制访问控制(MAC,Mandatory Access Control) |
| 自主访问控制控制力太弱,它允许用户个体授权或撤销它所拥有的资源,但信息在移动 |
| 过程中其访问权限关系会发生改变;而强制访问控制则控制力又太强,它使用主体和客 |
| 体对象相关的安全标签进行访问控制。两者都不能很好地适应商业、企业环境。基于角 |
| 色的访问控制(RBAC)是目前流行的先进的安全管理控制方法。作为访问控制的新模 |
| 式,已逐渐受到人们的认可和重视。RBAC有效地克服了传统访问控制技术中存在的不 |
| 足之处,可以减少授权管理的复杂性,降低管理开销,而且还能为管理员提供一个比较 |
| 好的实现安全政策的环境。 |
| 当代企业的权限管理需要都各不相同,因而相关的权限管理访问控制系统只 |
| 能满足自身系统的权限管理需要,构建一个通用的、完善的、安全的、易于扩展和管理 |
| 的基于角色的权限访问控制模型在维护系统安全方面是十分必要的。 |
| 1.2 研究背景及现状 |
| 二十世纪七十年代,多用户、多任务在线系统刚出现,RBAC的概念由此产生。20 |
| 世纪90代初美国NIST研究会( NATIONAL INSTITUTE OF STANDARDS AND |
| TECHNOLOGY)提出这种访问控制技术。该技术主要研究将用户划分成与其在组织结构 |
| 体系相一致的角色,角色本身相对稳定,因为一个组织或机构的活动或功能一般不会频 |
| 繁的变动,这样可以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好 |
| 的实现复杂安全策略的环境。从1996年开始,美国计算机协会ACM每年都召开RBAC专 |
| 题研讨会来促进RBAC的研究(从2001开始,该会议改名SACMAT,为当前访问控制技术 |
| 的发展提供论坛)。目前对于基于角色的访问控制RBAC(Role—Based Access Contr01)的 |
| 研究较为深入的有美国George Mason大学Ravi Sandhu等人和以NIST研究会的John |
| F.Barkley为首的DAC研究小组。以Sandhu为代表的学院派主要提出了RBAC 96和RBAC |
| 97模型。NIST的DAC研究小组主要提出了RBAC在商业和政府中的应用架构,特别提出 |
| 了RBAC/WEB模型,将RBAC独立于WEB服务器和浏览器,给Internet提供了一种方便 |
| 灵活又安全可靠的访问控制策略。2001年,NIST公布了RBAC的建议标准[2],以推进 |
| RBAC进一步的应用。2004年4月19日,NIST的RBAC模型正式通过了美国国家标准局国 |
| 际信息技术标准委员会ANSI/INCITS[1](American National Standard institute,international |
| Committee for Information Technology Standards)的标准制定工作而成为一项国家标准 |
| ANSI INCITS 359-2004。国外主要的信息网络公司,如Sun公司的SunMicrosystems Logo |
| 产品,IBM公司的Tiv01i SecureWay等,均提出了自己实用性的类RBAC产品解决方案, |
| 国内的360卫士通公司以及台湾博询认证公司都有实现该项功能的相关系统产品。目前 |
| 国内对RBAC的研究主要有中国科学院软件研究所、华中科技大学等,重点是对RBAC |
2. 研究的基本内容与方案
| 2.1 研究基本内容 在传统的RBAC基础上,提出一种,通用的,易扩展的,便于管理的RBAC模 |
| 型。首先进行需求分析, 对RBAC模型在实际应用中存在权限定义维护困难、系 |
| 统扩展性方面存在不足等方面的问题进行了讨论。针对上述问题,通过增加系统资源动 |
| 态管理功能以及引入用户组的概念,设计一个可以在中小型Web应用系统中通用的权限 |
| 管理子系统,实现了基于角色的访问控制。该方案简化了访问控制的操作, 具有较大的 |
灵活性, 使系统的安全性得到提高。
2.2 研究目标
| 通过加入系统资源动态管理功能以及引入用户组的概念,设计一个可以在中小型 |
| Web应用系统中通用的权限管理子系统。JSP本身提供了与用户管理相关的各种控 |
| 件,由此可以实现诸如用户注册、密码修改、密码找回、用户状态检测等常用的基本功 |
| 能。后台数据库,设计实现用户和角色管理所必需的数据库和表,实现了用户和角色的 |
| 创建、编辑、删除、获取等功能。用户可对这些表进行修改和扩充,对这些对象进行扩 |
| 展。菜单和权限的管理,是通用权限管理子系统实现的重点,主要的实现有权限(操作)、 |
菜单和页面(对象)及它们之间的关系(操作与对象间的联系)。
2.2 拟采用的技术方案
2.2.1 涉及到的技术
a.shiro安全框架
b.restfulAPI接口调用
c.freemarker标签
d.Activiti工作流引擎
e.基于RBAC的权限管理
2.2.2 拟采用的措施
| 配置资源以及资源的操作:定义统一的资源模型,提供通用的的资源统一接口。 |
| 系统资源动态管理功能原理: |
| 这里,把权限集合分解成图3-1右侧方框内的两部分:权限类别集合与资源集合, |
| 使得权限集由这两部分根据一定的运算规则组合构成。这样,当系统的资源集随着用户 |
| 需求变化而动态调整时,权限集也会自动地进行变化,从而实现了系统权限能够适应系 |
统资源动态变化的要求。
数据库设计:
| 为了实现web型信息系统中用户权限配置的通用性,本系统采用B/S架构实现,将 |
| JSP作为服务环境,SQL Server 2008作为数据库开发工具。数据库主要包含用户, |
3. 研究计划与安排
第1-2周:查阅相关文献资料,确定研究方向,拟定论文题目;
第3-4周:查阅相关文献资料,明确研究内容;
第5-6周:查阅相关文献资料,完成开题报告和5000字以上的英文资料翻译;
4. 参考文献(12篇以上)
[1]孔浩,全晓松,顾庆传.基于Java EE的权限控制模型的分析和设计叨.昭通师范高等专科学校学报,2011,(5).| [2] :基于角色的权限管理访问控制系统平台研究与实践[学位论文]李兰崇,2009年 兰 |
| 州大学 |
| [3] :基于角色的安全访问控制的应用[学位论文]于伟海,2006年 大连理工大学 |
| [4] :开放实验室中的访问控制研究[学位论文]田丽丽,2007年 中北大学 |
| [5] :基于角色的安全访问控制机制的研究[学位论文]马水平,2005年 中国海洋大学 |
| [6] :一种基于RBAC扩展模型的Web系统权限控制方法[期刊论文]《科学技术与工程》, |
| 2007年 吴春雷 等 |
| [7] :基于属性证书和策略的RBAC在Web中的应用研究[学位论文]王云胜,2007年 武汉理 |
| 工大学 |
| [8] :崔鹏,李丽亚.RBAC在企业管理信息系统中的应用[J].机电产品开发与创新, |
| 2004,17(1):17-19. |
| [9] :李波,黄东军.一种Web 环境下改进的权限控制机制[J].企业技术开 |
| 发,2006,25(4):3-5. |
| [10] :张海英,万建成.Web 用户界面自动生成系统中的界面模板[J].计算机工程与设 |
| 计,2006,27(18):3491-3493. |
| [11] :周沈刚,赵嵩正.一种基于RBAC的web环境下信息系统权限控制方法[J].计算机 |
| 应用研究,2005,(6) |
| [12] :乔颖,须德,戴国忠.一种基于角色访问控制(RBAC)的新模型及其实现机制[J].计 |
| 算机研究与发展,2000,37(1):37~44. |
| [13] :朱平伦.在Web上实现用户功能界面定制方法的探讨[J].胜利油田职工大学学 |
| 报,2003,17(2):57-59. |
| [14] :钟秀玉, 凌捷. 计算机动态取证的数据分析与研究[ J] . 计算机应用与软件, |
| 2004( 9) : 26- 27. |
| [15] :王广慧,基于角色的访问控制[J].网络安全技术与应用,2002.(9) |
| [16] :杨柳,危韧勇,陈传波,等.一种扩展型基于角色权限管理模型(E—RBAC)的研究.计 |
| 算机工程与科学,2006,28(9):126—128. |
| [17] :郑荣贵, 黄平, 谷会东. Delphi6. 0 数据库开发与应用. 北京: 电子工业出版社, |
| 2002. |
| [19] :乔颖,须德,戴国忠.一种基于角色访问控制(RBAC)的新模型及其实现机制[J].计 |
| 算机研究与发展,2000,37(1):37~44. |
| [20] :智勇. 基于角色的权限管理在教育资源管理系统中的应用. 计算机与现代化, Jul |
| y, 2003, 95 ( 7) : 37-39. |
