原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于代理Web应用安全管控系统设计与实现
基于代理Web应用安全管控系统设计与实现
摘 要:针对现有Web应用访问控制的不足,在基于角色的访问控制模型基础上提出一种基于代理的Web应用安全管控方法。首先,根据用户访问控制的需求,以页面为单位划分Web应用的业务功能,构建角色-功能的访问控制模型,实现用户对Web应用功能的细粒度访问控制;其次,对Web应用安全管控系统的整体架构及各功能模块进行设计,通过代理的方式在Web应用前端部署管控系统,控制用户对Web应用系统的所有访问行为,阻止未授权用户的Web应用访问,并最大程度减少对现有Web应用系统的改动;最后,对系统进行了实现,结果表明系统能有效地实现电子政务等Web应用的安全管控。
关键词:Web应用;应用代理;安全管控;访问控制
Abstract: Aiming at the shortcomings of access control models in current web systems, a web application security control framework based on proxy is proposed on the basic of role-based access control. Firstly, according to the requirements of user access control, the business functions of web application are divided by page, and a role-function access control model is built, which achieves fine-grained access control of web application functions. Secondly, we design the architecture of a web application security control system and its functional module, in which the control proxy is deployed in the front-end of web application, and it makes the access behavior of user to the web application functions is under control and the unauthorized access to the web application is blocked. In this way, it can minimize the changes to existing web applications. Finally, we implement the designed system and the result shows that the system can achieve effective security control of electronic government and other web applications.
Key words: web application; application proxy; security control; access control
1 引言
从普通用户的角度来看Web系统,其被看成一系列页面的合集,这一系列页面在向用户提供其需要的数据的同时也向用户提供了各类操作。Web页面中的数据是通过网页中HTML标签展示给用户,而页面的操作指页面向用户提供的如新增、删除、修改等各种交互行为。用户在使用Web浏览器观览页面时,页面会通过显式或隐式的方法告知用户完成某工作或任务的操作步骤,因此,用户对Web系统的操作皆通过对页面的访问来实现。在Web应用系统中,由于不同的Web系统涉及到不同的业务,而各种业务具有多样性,所以Web页面的组织形式也灵活多样[1]。
访问控制是保证Web应用系统完整性、机密性、可用性的一种主要技术手段,它通过限制对某些控制功能的使用来确保Web应用资源在合法的范围内使用,保证用户在授权范围内访问Web应用资源。随着计算机和互联网技术的发展,应用系统规模日益庞大,用户数量和类型增多,属性变化也更加频繁,这对安全管理提出了更高的要求[2]。
传统的安全控制策略由于其自身机制的不足,很难胜任如此庞大的安全服务,不能满足日益复杂的Web应用对访问控制的需求,带来了安全工作负荷大,易出错等种种问题。为了应对Web应用安全控制的新形势,美国乔治梅森大学提出了RBAC模型,即基于角色的访问
文档评论(0)