基于对象RBAC权限控制模型在Web系统中应用.docVIP

基于对象RBAC权限控制模型在Web系统中应用 　　摘要：本文在RBAC的基础上研究了基于对象的权限控制模型以及该模型在树形结构Web系统中的权限控制方法，通过系统资源树的生成，提出了用户权限对象及角色权限集对象的概念及其设计思想，并在实践中加以应用。实现了系统全局资源的安全访问控制，增加了系统权限控制的灵活性。 　　关键词：树 基于角色的访问控制 Web 系统资源树 用户权限 对象 序列化 　　中图分类号：TP311 文献标识码：A 文章编号：1007-9416(2011)11-0242-02 　　 　　随着计算机技术，特别是网络技术的发展，大型网络应用系统或数据管理系统所面临的一个难题就是日益复杂的数据资源的安全管理。常用的自主访问控制（discretionary access controls）和强制访问控制（mandatory access controls）方法都是由主体和访问权限直接发生关系,根据主体/客体的所属关系或主体/客体的安全级来决定主体是否有对客体的访问权.但是,处于全球网络环境中的计算机或软件系统的访问用户往往种类繁多,数量巨大,并且动态变化,使得用传统的访问控制方法进行安全管理变得非常困难。 　　基于角色访问控制RBAC(role-based access control)方法引入角色这个中介,安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色[1]。这样，整个访问控制过程就分成了两部分，即访问权限与角色相关联，角色再与用户相关联，从而实现了用户与访问权限的逻辑分离。 　　随着网络技术的发展和Internet的普及,Web系统友好的用户界面和方便的用户操作，使得越来越多的信息系统构架于互联网平台上，基于B/S模式结构的信息系统逐渐代替了基于C/S模式结构的信息系统。但由于网络信息的共享特性，使得基于Web的信息系统的安全问题越来越突出，为了解决这一问题，很多人提出了利用RBAC[2]来实现基于RBAC的信息系统的安全访问控制。 　　Web信息系统其功能模块结构通常表现为树型结构。本文采用RBAC权限控制的思想,针对Web信息系统的树型页面资源形式,建立与Web信息系统对应的页面资源树,提出Web信息系统用户权限的控制访问方法,解决了Web应用系统功能模块动态增删时,用户权限动态生成及对页面操作权限的重新定位的问题,在实际的系统开发中取得了良好的效果[3]。 　　1、树形系统的页面资源 　　1.1 系统资源树 　　Web信息管理系统的开发过程,可看作是建立系统页面资源树的过程。Web信息管理系统一般由若干个功能模块组成,每个功能模块实质上是一些具有特定功能的页面文件的集合,功能的细分将产生更小的文件集合,页面文件是这种划分的最小单位。因此,可以把整个系统的所有页面文件构成一颗树,该树的节点皆由页面文件组成，在本文中称为系统资源树。该系统资源树是一棵无序树,树中所有节点都无需按序排列。树中每一个节点代表一个页面文件,故页面文件是最小的访问控制单元。 　　这颗系统资源树可用二元组(V,E)表示,其中V是一非空有限集合, E是集合V上的二元关系,并满足下列条件: 　　(1)E是反自反的; 　　(2)对于每一个v∈V,最多存在一个v∈V,使得∈E; 　　(3)存在唯一元素v∈V,不存在任何v′∈V,使得∈E,元素v称为根。 　　树根的层数定义为0。 　　为系统资源树的每个节点生成一个权限对象，该对象表示具有操作此节点的权限，将其权限对象作为节点的特性，称为节点操作特性。 　　1.2 系统资源树的权限生成 　　按以下步骤生成用户权限 　　首先，为系统中的每一个页面分配一个唯一的标识id,该标识id代表系统资源树中的某个节点。标识id对应的格式为K-P-N，其具体含义如下： 　　K为节点在树中的层次； 　　P为节点的父节点编号； 　　N为该节点在其父节点的所有子节点中的编号。 　　系统资源树种各节点的编号见(图1)。 　　其次，定义系统资源树中各节点的操作权限。假设Web信息系统提供如下操作功能：完全控制、浏览、读取、修改、删除、导入、导出和打印这八种功能，其中0表示没有该权限，1表示具有权限。 　　第三，根据节点具有的操作权限生成权限对象，每个节点的权限对象包含2个属性，分别是节点标识id、节点权限字符串。将该对象作为节点的操作特性。 　　将某一角色或用户对系统资源树上每一个节点的节点操作特性全部读取就可以生成用户权限。(对于某一角色或用户来说,若有节点不包括在访问范围中,则可将其节点权限对象的权限字符串全部置为0)。 　　2、权限控制实现方法 　　2.1 权限对象设计思想 　　首先，设计节点权限类，节点