分布环式环境中基于角色访问控制的物流信息系统研究与应用.docVIP

　　分布环式环境中基于角色访问控制的物流信息系统研究与应用 第1章绪论 1.1论文研究背景意义 随着软件科技的发展，数据与文件处理的模式正在由过去集中处理向云计算、分布方式处理的方向转变。企业的软件信息系统越来越多地釆用分布式系统，并且信息与数据通讯由在系统内进行，发展为系统与外部其他主体进行交流，这就要求通过完善的访问控制技术，实现对信息系统中各种资源和数据安全的防护，保障系统的正常运行，实现软件系统的安全[1]。随着企业规模的扩大，企业在办公过程中越来越依靠互联网和自动化办公系统，公司的员工数量越来越庞大，信息系统需要维护的用户数量也越来越大，系统对用户的管理和用户权限的管理工作变得十分繁重、复杂[2]。按照企业现有的系统管理方式，必须要增加系统管理和维护人员的数量，同时加大维护成本来应对如此大量的工作，这样一来，不仅仅增加了企业的人力和时间成本，同时大量的维护工作也増加了出错的可能性，増加了系统的复杂程度。根据软件系统的架构特点，想要提高系统的性能，有两种可取的方式，一种是在纵向上扩展；另一种就是在横向上扩展。具体说明，纵向上扩展就是，采用性能更高，配置更好的机器替代现在出现性能瓶颈的机器。可以使用商用的皮型机或者工作站来替代原来的小逛机。但是，这样做在成本上会成本的增加，同时，当性能达到一定程度之后，纵向上的提高变得十分困难。在分布式系统中，提倡釆用横向扩展的方式来提高系统性能。在横向扩展中，可以将多个小型机集成一个分布式的系统，通过并行处理数据，得到高可用性。这样做不会出现纵向扩展中的性能瓶颈问题，同时，成本花销也不大。目前，大型分布式系统的安全访问技术广泛多样，但是多样化的分布式系统访问技术发展趋势也有着一定的共性，比如说：在各行各业的信息系统不断发展和延伸之下，访问控制技术模块化和构件化的研究得到了快速发展，作为其中的I代表，基于角色访问控制模型RBAC (Role Based Access Control)展现出强大的生命力[3]；同时，随着互联网的迅猛发展，不同类型的安全访问技术之间相互兼容、协调和统一也将成为未来安全访问技术研究的重要方向和课题。 ...... 1.2 国内外研究现状 B/S架构的信息系统，由于其通过互联网相连，完全暴露在互联网之中，可能遭受到各种类型的攻击。这就需要完善的安全机制来对系统进行保护，通常，会建立一套访问安全机制来限制用户的行为。现行的访问安全机制主要包括三种模型，他们包括通过建立用户和用户组这两个实体概念，根据他们之间的所属关系，通过对用户组付权来进行控制的自主访问控制；通过将主体和客体进行安全标记建立起访问安全矩阵，实现安全访问控制的强制访问控制；和基于角色的访问控制（RBAC，Role Based Access Control)[9]。下面将对这三种模型进行分析。自主访问控制（DAC，Discretionary Access Control)：所谓自主访问控制，是指通过建立用户和用户组这两个实体概念，根据他们之间的所属关系来控制对目标资源的访问。他可以通过对用户赋予不同的用户组进行付权，十分灵活方便，但是这种通过用户组来付权的方式可以相互转移授权，随着授权的转移，很可能会出现安全问题，因此自主访问控制模型适合在安全要全不高的环境中使用。强制访问控制（MAC, Mandatory Access Control)：通过访问安全矩阵，将主体和客体进行安全标记，来实现安全访问控制。按照设计好的安全控制级别，对权限进行统一管理，他可以获得更好的安全性。对安全控制要求较高，自主访问控制不能胜任的情况下可以使用强制访问控制。但是，也因为如此，他需要维护一个数据庞大的访问控制矩阵，通过这个矩阵对主体和客体进行安全标记，维护他的工作量比较繁重。并且，随着系统使用用户的增加，维护工作变得更加困难。 ........... 第2章基于角色的访问控制模型 2.1基于角色访问控制的基本思想 RBAC模型将传统的DAC模型和MAC模型结合起来，并改进了他们的不足。通过建立角色这一实体概念，规范了用户对系统资源和数据的访问权限和访问过程[29]。角色是用户和权限资源中间的过度环节，通过它可以对访问控制权限进行管理。之前都是将用户与权限直接相连，有了角色之后，用户首先被分配成不同的角色，而不同的角色具有不同的访问控制权限，用户从而通过角色得到相应权限。这简化了对权限的管理和控制，实现了用户和权限直接的解親，避免对用户直接付权的重复操作。下面介绍RBAC模型中基本定义和概念：1)用户(user):代表需要访问信息系统资源和数据的外部客观实体。通常情况下用户代表一个或者多个人。在面向服务的概念兴起之后，用户也可以代表调用系统的外部系统、计算机等内容。user代表用户集合之中的单个用户[30]。2)角色(ro