【期刊论文】基于角色的访问控制的设计与实现.pdf

薹 一 中国高新技术企生 基 于 角 色 的 访 问 控 制 的 设 计 与 实 现 文 高燕【摘 要】本 文 以一 个企 业 E RP系统 为例，研 究 和探 讨 了基 于 角色的 访 问控 制设 计 和 实现。阐述 了 系统 四 个 层 次 的 访 问 控 制 措 施，实现 对 登 陆 系 统 用 户 的 访 问 权 限 控 制，避 免 了 用 户 的 非 法 操 作。保 证 了 系 统 的 安 全 性。【关 键 词】R BA C 访 问控 制E RP 访 问控 制 通常 有 3种 类 型：强 制 访 问 控制 技 术、自主访 问 控制 技 术 和 基 于 角色 的 存取 控 制 技 术 f R o l e B a s e d A c c e s s C o n t r o l，简称 RBAC)”。相对 于 强制 访 问控 制 和 自主访 问 控制 技 术 R B AC已成 为公 认 的最有 发 展潜 力的存 取 控制 策略。R B AC包 括：用 户、角 色、权 限和 数 据 对 象 等，用 户是 访 问 系 统 和对 数 据 对 象 进 行 操 作 的 主体，数 据 对 象 即访 问控 制 的客体，通常 是被 调 用 的程 序或 存取 的 数据 I。权 限是 指针 对 应用 系统 的操 作 权 力 是 对某 一数 据 对 象进 行 某 一 种特 定 的 操作 的权 力。角 色 是定 义 在数 据 对象 上 特定 操 作权 限的 集 合，是 联 系用 户 和权 限 的纽 带 I 通过 角 色 连接 用 户和 权 限，即访 问权 限与 角 色相 关 联，角 色再 与用 户关 联，一个 用 户 所拥 有 的对 应用 系 统 的访 问 权 限 南用 户 所担 任 的角 色来 决 定，从 而 实 现 了用 户 与 访 问 权 限 的逻 辑 分 离，极 大地 方 便 了权 限 的管 理。它 的核 心 思想 是将 访 问权 限与 角 色相联 系 通 过给 用户 分 配合 适 的角 色 让用 户 与访 问权 限相 联 系。本 文 以一 个 企 业 E R P系统 为例 阐述 该 系统 中访 问控 制 的 设 计 与实 现。1基 于角 色 的访 问控 制 的设计 根 据 不 同的操 作 权 限和 操作 范 围 E R P系统 中 的用户 大 体上 分 为三类 角 色：系统 管理 员，授 权用 户，普 通用 户。其 中系统 管 理 人员 负 责 管 理 和维 护 角 色、用 户、权 限 的基 本 信息，处 理 注 册 信 息，实 现 用 户 授权 等。授 权 用 户是 由系统 管 理员 授 予一 定访 问权 限的 用户，如仓 库 管理 员、销 售 管理 员、客 户管理 员 等等，授 权用 户 可 以在 权 限 允许 的范 围 内获取 应 用信 息 资 源。普通 用 户 是没 有 权 限 的用 户，只 能浏 览 基 本 的信 息。同 时 系统 中 的权 限也 分 为 两大 类：模 块 权 限 和 操作 权 限。模 块 权 限是 指 对某 个模 块 的访 问 权 限，具 体指 的是 对 模 块 中 包含 的页 面 的 访问 权 限；操 作 权 限指 的 是 对查 询、保 存、删 除、修 改、查 看、提 交 等 操 作 具 有 的 权 限。即 使 是 同 一 一 个 页 面，不 同 的 角 色 具有 的 操作 权 限也 不尽 相 同 本 系统 中设 计 了一个 权 限管 理 功 能模 块，在这 个 模 块 里 系统 管 理 员可 以对 所有 的类 型 的 用 户进行 权 限 的授 权，可以 创建、修改、删 除 角色、用户 和 权限。2 基 于角 色的 访 问控 制的 实现 安 全 管 理人 员 根 据需 要 定 义各 种 角 色，并 设 置 合适 的访 问权 限，而用 户 根据 其 责任 和 资历 再 被指 派 为不 同 的 角色。这 样 整 个访 问 控 制过 程 就 分成 两个 部 分，即访 问权 限与 角 色相 关联 角 色 再 与 用 户关 联，从而 实 现 了用 户 与访 问权 限 的逻 辑 分 离。本 系 统利 用 的 是 J 2 E E的 安全 机 制 它 的声 明性 安 全 在 We b层 和 E J B层 都有 相 应 的标 准可 实 现 基于 角 色 的对 资源 的访 问 权 限控 制，通 过 对 组件 的部 署 描 述 符 的配 置 可 以方便 地 进 行 权 限 分配 和控 制，实 现 r用 户 与 访 问权 限 的逻 辑分 离，大大 地方便 了权 限的 管理。安全 的访 问控制 步 骤如 下：1)用 户 登 录 登 录要 求验 证 的 页面 时 We b服务 器 首先 返 回一个 消 息，提示 一1 O 8一 浏 览器 发 送验 证 信 息(此 处 为用 户 名和 口令)，然 后浏 览 器 提示 输 入 用 户名 和 口令。将 用 户名 和 口令 发送 到 服 务器 中后 如果 用 户 名 和 口令 信 息 正确，则 We b服 务器 显示 请求 的页面。用户 的 角 色不 同 系 统 出 现 的 访 问 页 面 不 同 2 1 菜 单生 成 器 实现 用户界 面层 的初 级 访 问控 制 用 户通 过身 份验 证 后进 人 系统，系统 要 根据 用 户拥 有 模块 的权 限相 应生 成 菜 单树 即 生成 授 权访 问 页 面 的 x m l数 据 服 务器 将 x m l 数 据 返 回给 客户 端，通 过浏 览器 显 示 出来。客户 端可 以依 据 x m l 数 据 的层 次结 构，通 过 i a v a s e r i p t 解 析 x ml 对象，动态 生 成菜 单 树。生 成菜 单树 的 流程 图 如图 1所 示 圈 1生 成 菜 单 树 流 程 圈 菜 单 树 的 生 成 主 要 由 类 me n u T r e e中 的 v o i d e r e a t e T r e e(S t r i n g u s e r i d)实 现，其 输入 参数 是 用户 I D，无返 回值。作 用 是根 据用 户 I D取 得 用 户 权 限信 息，创 建 X ML对象。解 析 x m l是 在 客户 端 通过 p a r s e T r e e(x m1)函数 实 现 的，首 先 将参 数 x ml 加 载 到 D O M 实例 中，然 后 采 用 深度 优 先 算 法遍 历 D O M 实 例 中 的节 点 生 成 菜 单树 的 H T ML代 码，最 后在 浏览 器 中显 示 出来。3 1 we b层 对 资源 的访 问控 制 当用 户 访 问页 面 的 时候，由 We b容 器 自动 验 证 用 户 的角 色 通 过 和部 署 描 述 文件 w e b x ml中角 色 和受保 护 的 资源 的对 比，来 确 定 该 用户 是 否有 权访 问 受保 护 的 WE B资 源。角色 通过 检 查后 就 可 以 定 制 We b页面，只显 示用 户能 访 问 的项 目。否 则，We b容 器 会拒 绝 并 抛 出 相应 的 错误 信 息，提 示用 户 无 权访 问该 页 面。当 用 户试 图访 问 U R L j s p s t o r e，基 于所 定 义 的安 全 约束，UR L j s p s t o r e是 一个 受 保 护 的资 源。在通 过认 证 后，We b容器 就会 执 行授 权 检查，U R L以 只授 权 s t o T ema ma g e r角 色访 问 的方式 受 到保 护。容 器检 查该 用 户 是否 具 有 这个 角色，若 这 个用 户 有这个 角色，他 就被 允许 访问这 个 U R L。4 1 利 用 A c c e s s B e a n 类 实 现 操 作 权 限 的 访 问 控 制 在每 个 受保 护 的 J S P页面 中，依 据访 问该 页面 的用 户 具有 的操 作 权 限在 页 面 中显 示 相 应 的操 作 按 钮，如“删 除”、“编 辑”、“查 看详 细”等等。该 用户 不具 有 的操 作权 限则 不 显示。业务 逻辑 的具 体 实现 由 A c c e s s B e a n中 的 S tr i n g 】g e t A e c e s s(S t r i n g u s e r i d)函 数 实 现，输 人 参 数 是 用 户编 号，返 回值是 S t r i n g类 型 的 数组，即用 户编 号 为 u s e r i d的 用户 拥有 的 操作 权 限集 合 系 统拥 有 如上 所述 四个方 面 的访 问控 制安 全措 施 后，首 先，用 户 必 须拥 有 正确 的数 据 库 用 户 名 和 口令 才 能 登 录 系统：其 次 为 了 让 未被 授 权 的用 户看 不 到 页面 的 U R L 设 计 了根据 用 户 角 色 自动 生 成 用 户菜 单 的功能，成功 登 录系统 的用户 只 能看 到 系统 为其 分配 的 页 fI 转 l 1 l页1 维普资讯 http:/ 物，结 账，订 单 生成 及 查 询 等 功能。站 在 使用 者 的角 度 来 看，我 觉 得 购物 区有 以 下特 点：界 面清 晰 友好 对 商品 采用 了分 类，分 页 和单 独 等多 种 显 示 方式，条理 清 晰，便 于浏 览 和选 购。在 界面 的色 彩选 择 搭 配方 面 则 主要 强 调平 易 及 柔 和，避 免 大红 大绿，忽 明 忽 暗。这样，整 个 页 面显 得清 晰 友好。当然，与专 业 网 站相 比，仍 有 一定 差 距 毕 竟 我 们没 有 专 门 的美 术指 导。操 作 简单 方 便 由 于有 大量 的 超级 连 接 和标 题 按 钮及 注 释性 文本 作 引导，即使 是第 一 次 浏览，用 户 也 能游 刃 有 余地 完 成 所 有 操 作。特 别 是 我 们借 鉴 了一 些 优 秀 网站 的 好 的做 法，将 购物 车用 分 立 窗体 单独 显示，不 但 扩大 了用 户 的 视 野，而 且 使 操 作 也 简 单 方 便 了 实 际 上 这 样 做 在 技术 上增 加 了不 少 难 度。但 我 觉得 特 别 值得。信 息 量充 足 我 们 在 页 面 上极 少 使 用 固定 的 图 片，而是 大量 的引 入 文 本 信 息，充分 满 足 了用 户对 信 息 的需 求。L 中国高斯技术企业 交互 性 动态 性 强 由 于广 泛 使用 了 J s c r i p t 脚 本，使 网 页真 正 的动 起 来。同时，信 息检 查 直 接 完 成 在 客 户 端 和 后 台保 存 大 量 客 户 标 志 并 及 时 反 馈 的 机 制 极 大 的加 强 了交 互 性。参考 文献 f 1 1 张海 藩 编著 软 件 工程 导论 清 华 大 学 出版 社，1 9 9 8 f 2 1 罗会 涛 等编 著 精 通 MS S QL S E RV E R7 0 电子 工业 出版 社，1 9 9 9 f 3 1 王 炜 等 编著 J a v a s c r i p t 编 程 指 南 电 子 工业 出版 社，1 9 9 9 f 4 1 萨师 煊 等编 著 数 据 库 系统 概 论 高等教 育 出版社，1 9 9 9 f 5 1 张 军等 编著 电子 商 务概 论 中国青 年 出版 社，2 0 0 1 f 6 W il l ia n 1 s o n d y编 著 7 a v a程 序 设 计 电子 工业 出版 社，2 0 0 0 7】施 汝 军等 编 著 网站 7 s p后 台解 决 方案 人 民 邮 电 出版 社，2 0 0 0 (作 者 单 位 系宁 波 大红 鹰职 业技 术学 院)f 上 接 1 0 7页)标 准 的一 系列许 可和 拒 绝语 句组 成。其 处 理 过程 是 自上 向下 的 一 旦 找 到 了 匹配 语 句，就 不 再 继续 处 理。在 访 问控 制 列 表 末 尾 设 置 一 条 隐 含拒 绝语 句，若 在 访 问控 制 列 表 中 没 有发 现 匹 配，则 最 终 与 隐 含 拒绝 语 句相 匹 配。5 结 论 本 文介 绍 了 V L AN 的基 本 原 理 和 具 有 路 由 功能 的第 三层 交换 技术 分 析 了企业 网络 安全 的具体 需 求。给 出 了基 于 V L AN和 三 层交 换 的企 业 网络 安 全架 构。将 网 络划 分 为 核心 层、汇 聚层、接入 层 等 三 个层 次，给 出 V L A N 的划 分 方法 以 及 VL A N之 间的访 问控 制。根 据本 文提 出 的方 法 在 某 企 业 实 际 运 用 通 过 几 个 月 的试 运 行 取 得 了 良 好 的效 果。参 考文 献 1 张 公 忠局 域 网技 术 与 组 网 工程 M 北京：经济 科 学 出版 社，2 0 0 0 2 王 毅 明，雷 军环 虚拟 局 域 网 V L AN 划分 及 路 由 U 信 息技 术，2 0 0 3，2 7(3)：3 8 4 1 3 陈 宇 晓，冯 江 华 VL AN 技 术 综述 U 兵 工 自动 化，2 0 0 2，2 1(6)：4 1 4 4 4 朱保 汉，李 晖VL A N 在 工业 自动化 网络 中的应 用U 工 业控 制计 算机，2 0 0 5，1 8(1)：1 1 1 2 (作 者 单位 系天 津 美新 建筑 设 计有 限 公 司)(上 接 1 0 8 页)面资 源：第 三，用 户 登 录 系统 后。We b服 务 器 通 过 J AA S技 术 限 制 该 用户 只 能访 问被 授 权访 问 的页 面。保证 了 即使 用 户 知 道 未 被授 权 页 面 的 U R L，也 不 能访 问该 页 面；最后 即使 同 样拥 有对 某 个 页 面 的访 问权 限 A c c e s s B e a n类 保 证 不 同 的 角 色 在 相 同 页 面 中 能 够 进 行 的操 作 也 会不 同，进 一 步 保证 了系 统 的安 全性。3 结束 语 本 文 设计 并 实 现 了四个 层 次 的访 问控 制。首 先 用 户 必 须拥 有 正 确 的 数 据 库用 户 名 和 口令 才 能登 录 系 统：其 次 为 了 让 未 被 授 权 的用 户看 不 到 页 面 的 U R L，设 计 了根 据 用 户 角色 自动 生 成 用 户 菜 单 的功 能，成 功 登 录 系统 的 用 户 只能 看 到 系 统 为其 分 配 的页 面 资 源；第 三。用 户 登 录 系统 后。We b服 务器 通过 J A A S技 术 限制 该 用 户 只 能 访 问被 授 权 访 问 的 页 面。保 证 了 即 使 用 户 知 道 未 被 授 权 页 面 的 U R L，也不 能访 问该 页 面：最 后，即 使 同 样拥 有 对 某 个 页 面 的访 问 权 限。A c c e s s B e a n类 保 证 不 同 的 角 色 在相 同 页 面 中 能 够 进 行 的 操 作 也 会 不 同 进 一 步保 证 了 系 统 的安全 性。参 考 文 献 1 梁 娜 基 于 J 2 E E 的 we b安 全 技 术 应 用研 究 D 山 东科 技 大 学，2 0 0 3 2 乔 颖，须 德，戴 国 忠 一 种 基 于 角 色访 问控 制 的新 模 型及 其 实现 机 制 I】计 算 机研 究与发 展 2 0 0 0年 第 1期 3】耿 晖，王 海 波 基 于 XML 的 角 色访 问控 制 U 计 算 机 应 用研 究 2 0 0 2年 第 1 2期 4 赵 志 诚，孙 志毅，刘 惊 雷 基 于 P,_ B AC 的 用 户授 权 管 理模 型的 设 计 与 实现 U1 计 算 机 工程 与 设计 2 0 0 2年 第 1 2期(作 者 单位 系榆 林学 院 计算 机 与 网络 工程 系)更 正 我 刊 2 0 0 8年 第 1 4期(总第 1 0 1期)第 1 2 5页 上 刊 登 的 浅论 电 气 工 程施 工 的 技 术 准 备 与 成 本 控 制 措 施 一 文，由于 编 辑 部 排 版 的 问 题，在 作者 单 位 署名 上 出现 错 误，正 确 的作 者 单 位应 为“深圳 市 南 江 电气 实 业 有 限公 司 紫金 分 公 司”。特此 更 正，并 向作 者 谢正 义 同 志致 歉!中 国 高新 技 术企 业 期 刊 社编 辑 部 2 0 0 8年 7月 1 5日 维普资讯 http:/