Java平台下基于角色访问控制探究.docVIP

Java平台下基于角色访问控制探究 　　摘要：随着IT技术的发展，为满足应用的需要，系统的安全性越来越引起人们的重视，对于系统的授权，根据相关应用程序的具体特征，不同的系统和程序都会采用不同的权限控制方式。现在，角色访问控制验证和隐私等相关技术都已经实现了标准化和产品化，与之相关的技术也越来越成熟。同时，现在开发的几乎所有多用户系统，在使用过程中都会涉及到权限问题，而且使用系统的用户越多，用户的身份越复杂，相应的系统权限管理难度也就越大。因此，做好系统权限管理方面的技术研究非常重要。为此就Java平台下角色的访问控制进行了讨论，并对其相关技术进行了略述。 关键词：权限控制；Java；基于角色的访问 中图分类号：TP301.2文献标识码：A文章编号：1672-7800（2012）010-0021-03 作者简介：孙惠芬（1975-），女，硕士，镇江高等职业技术学校讲师、软件设计师，研究方向为数据库、软件开发。 1基于角色的访问控制方法（RBAC） 在角色访问控制技术中，往往使用角色（Role）来隔离使用者与权限。所有授权都给予了Role而不是用户或工作组。基于角色的访问控制方法（RBAC），可以降低系统权限控制管理的复杂性，降低管理成本，同时对企业的安全策略可以提供灵活地支持，使企业在调整变化时具有较大的伸缩性。 1.1基本概念 RBAC权限管理思想核心是Who、What、How。这三者在RBAC模型中组成了访问权限控制的三元素。 Who：系统中权限访问的控制权利所用者； What：系统权限控制所针对的发出访问的对象； How：使用了哪种权限方式来回答访问者（同意或拒绝）。 Operator：操作。 Role：角色，也是系统中的若干权限的集合，可以起到隔离用户与权限的逻辑关系。 Group：分组，分配权限的单位与载体。分配权限给组，组可包含用户，用户可继承组的权限。用户与组可以是多对多，也可以是多对一，并可分不同的控制层次，以满足不同层级权限控制的要求。 1.2RBAC原理 基于角色的访问控制方法（RBAC）的核心思想在于角色、用户和权限三者的关系。一般称为用户分配（UserAssignment，简称UA）和权限分配（PermissionAssignment，简称PA），且用户分配UA和权限分配PA左右两边都是多对多关系，也就是用户可以有多个角色（Role），角色也包含着多个用户。在这种关系中需要中间表使两个表保持关系。UA与PA就相当于中间表，而且RBAC都是基于这样的关系模型。 在RBAC中集合是比较隐晦的一个元素，每个集合是一个映射。当用户在激活它的所有角色的子集时，对应着一个集合。每个集合关联一个用户，但每个用户可关联一个或多个集合。 在RBAC系统中，会有多人有相同的权限要求，因此引入了“组”的概念。并可以用参与者（Actor）来取代用户，“组”同样也看作是参与者。在Party模式中，每个使用者可以对应到一个用户，但不是所有用户都对应使用者。Party中的部门或组织，都能对应到分组，而分组却不一定对应一个机构。比如，可以有部门经理这个分组，这是因为许多人都有同样的职位。利用分组可以处理多人角色相同的问题，还可以解决角色访问控制中的授权问题。例如，质量部门的信息可以让所有质量部门的人看到，通过质量部门对应的分组，就可授权访问控制权限给这个分组。 2Java权限系统介绍 Java的权限系统的核心主要由创造权限、分配权限、使用权限三部分组成，然后，系统围绕这三部分分别实现权限的创造、分配、使用。 2.1创造权限 在这里是指权限与资源的对象声明，还没有把权限与具体资源联系起来，形成权限实例。 2.2分配权限 是指将权限与资源实例（ResourceInstance）关联，产生了权限实例。系统管理员建立他认为合适的权限模型。如建立角色、用户组，给用户分组，将用户组与角色关联等。 2.3使用权限 是指通过使用分配权限去使用各个子系统。系统管理员建立一个比较适合管理和维护的权限模型，规定什么权限可访问什么资源，即上面所说的权限实例。这样就如同给系统穿上了盔甲，起到保护作用。系统管理员可以设定权限框架，自行增加、删除、管理使用者与权限之间关系，同时可设定用户与角色的对应关系。权限实例就好似纽带，是Java系统中最关键的部分，联系着程序、管理员、用户之间的关系。 3具体功能模块举例 3.1建立角色功能并做分配 （1）建立一个管理模块，此模块具有增加、修改、删除功能。并且给每个功能各分配一个ID，即功能代号。 （2）建立一个角色，把ID功能代码放到角色的权限中，存到系统