面向纵向业务开发平台的访问控制与安全审计系统研究与实现-计算机科学与技术专业论文.docxVIP

Classified Classified Index：TP309 U．D．C：004 Southwest Jiaotong University Master Degree Thesis RE SEARCH ANDⅡ讧PLEMEN『T／、TION ON ACCES S COINTRoL AND SECU时TY AI】-DIT OF VERTICAL BUSSINESS DEVELOPMENT PLATFOI之M Grade：2013 Candidate：Shen Tingting Academic Degree Applied for：Master Speciality：Computer science and Technology Supervisor：Tan Xianhai May．29，2016 万方数据 西南交通大学本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并 西南交通大学 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并 向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权西南交通大学可以将本论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复印手段保存和汇编本学位论文。 本学位论文属于 1．保密口，在 年解密后适用本授权书； 2．不保密if,使用本授权书。 (请在以上方框内打“√”) 学位论文作者签名：印饽婷 指导老师躲馁欷弱 日期：矽诌．oh．o r 日期：硼多，多．／ 万方数据 西南交通大学硕士学位论文主要工作(贡献)声明本人在学位论文中所做的主要工作或贡献如下： 西南交通大学硕士学位论文主要工作(贡献)声明 本人在学位论文中所做的主要工作或贡献如下： (1)从纵向业务开发平台大量的安全共性中提取部分安全共性，即访问控制和安 全审计，分析并研究了现有应用系统中访问控制和安全审计的国内外现状，针对中国 工程物理研究院安全需求并结合实际中的项目开发经验，完成了纵向业务开发平台访 问控制和安全审计的总体方案设计和架构设计。 (2)对NISTRBAC中的CoreRBAC模型进行了研究和分析，针对其不足并结合 研究院中绝大多数业务系统中访问控制的实际需求，提出了一种改进的细粒度角色访 问控制模型(FG．RBAC)，在此模型的基础上，设计并实现了访问控制模块，完成了 用户管理、资源管理、菜单管理和资源授权管理等功能。 (3)将安全审计模块从业务逻辑中抽象出来进行统一管理，通过审计事项和审计 策略的设置，实现了实时地对系统中用户的操作进行审计信息记录，并对系统中的审 计信息进行审计，根据审计结果和设定的审计特征值做比较。依据比较结果做出不同 的事件响应，并根据运用场合实现了审计信息查询、审计信息统计等功能。 (4)完成了定时任务调度管理模块，能够通过系统任务调度配置和定时任务调度 管理实现定时对兼职用户、临时角色是否过期的检查，对安全审计信息的定时备份和 清理的功能，能够将每天任务调度的执行结果反馈回来。 (5)对系统进行了部署和运行，并在其基础上直接进行二次开发，添加三个业务 模块对系统功能的正确性和有效性进行了验证。 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作所得的成 果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰 写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中作了明确说明。 本人完全了解违反上述声明所引起的一切法律责任将由本人承担。 学位论文作者签名；1和翅争娉 日期≯铂．6．J 万方数据 西南交通大学硕士研究生学位论文 西南交通大学硕士研究生学位论文 第1页 摘 要 计算机技术快速的发展使各种应用系统在科学、社会、军事等领域得到了广泛的 运用。应用安全共性问题，如身份验证、访问控制和安全审计等，是每个应用系统必 不可少的核心模块。纵向业务开发平台是中国工程物理研究院构建其他应用系统的基 础，它包括了绝大多数安全共性且为开发其他应用系统所复用。然而，随着研究院对 安全共性需求的提高和计算机开发技术的发展，旧版本的纵向业务开发平台中相同安 全功能模块的代码很少被复用或与业务模块呈现一种高度耦合的状态，导致每开发一 个不同业务需求的应用系统，都需大量的改动现有代码，有的甚至需要重新设计。对 现有纵向业务开发平台进行升级和改进，设计并实现一个与具体业务模块分离，提供 一个包含大多数安全共性功能模块，使开发新的应用系统可以直接复用包含大量安全 共性的纵向业务开发平台已经成为一个亟待解决的问题。 针对上述问题，结合中国工程物理研究院和其下属计算机应用研究所的实际开发 需求，分析了现有系统中安全控制实现方法的优缺点，抽取纵向业务开发平台中部分 的安全共性，设计了为构建其