基于角色的细粒度权限管理通用模型的设计与实现

研基于角色的权限管理子系统的设计与实现武深龙吉林大学分类号：TP311.52单位代码：10183研究生学号：201153H197密级：公开吉林大学硕士学位论文基于角色的细粒度权限管理通用模型的设计与实现TheDesignandImplementationoftheRole-BasedFine-grainedAuthorityManagementGeneralModel作者姓名：武深龙专业：软件工程研究方向：网络安全指导教师：胡亮教授培养单位：计算机科学与技术学院2014年9月基于角色的细粒度权限管理模型的设计与实现TheDesignandImplementationoftheRole-BasedFine-grainedAuthorityManagementSubsystem作者姓名：武深龙专业名称：软件工程指导教师：胡亮教授学位类别：软件工程硕士答辩日期：年月日未经本论文作者的书面授权，依法收存和保管本论文书面版本、电子版本的任何单位和个人，均不得对本论文的全部或部分内容进行任何形式的复制、修改、发行、出租、改编等有碍作者著作权的商业性使用（但纯学术性使用不在此限）。否则，应承担侵权的法律责任。吉林大学硕士学位论文原创性声明本人郑重声明：所呈交学位论文，是本人在指导教师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名：日期：年月日《中国优秀博硕士学位论文全文数据库》投稿声明研究生院：本人同意《中国优秀博硕士学位论文全文数据库》出版章程的内容，愿意将本人的学位论文委托研究生院向中国学术期刊（光盘版）电子杂志社的《中国优秀博硕士学位论文全文数据库》投稿，希望《中国优秀博硕士学位论文全文数据库》给予出版，并同意在《中国博硕士学位论文评价数据库》和CNKI系列数据库中使用，同意按章程规定享受相关权益。论文级别：■硕士□博士学科专业：软件工程论文题目：基于角色的权限管理子系统的设计与实现作者签名：指导教师签名：年月日作者联系地址（邮编）：吉林大学计算机科学与技术学院（130012）作者联系电话：摘要I摘要基于角色的细粒度权限管理通用模型的设计与实现近年来，随着网络技术的迅速发展，数字化和信息化的应用越来越普及，极大程度上给人们的生活和工作带来了便利。Web技术的发展，使得网络管理系统的开发变得更加方便、功能也变得更加强大，从而使得基于Web技术的应用系统在许多企业和政府机构的管理中使用广泛。Web应用系统可以以一个高效的服务器为中心，灵活、有效地从整体上管理系统中的分布式节点，这种做法可以使企业摈弃之前的高成本管理方式，只需将人力资源都集中在中心服务器，即可统筹管理全局。然而，由于网络具有开放性，这种应用在给管理带来便利的同时，其中信息数据的安全性和保密性遭受到很大的威胁。为了能够保证Web应用系统中敏感信息的安全性和保密性，访问控制技术得到了非常广泛的应用。在一个基于Web技术的应用系统中，访问控制技术的主要的目的是防止未授权的用户对系统中的相关数据和资源进行非法的访问，这样可以保证数据资源在一定的合法范围内得到有效的使用和管理。目前主要的访问控制方式可以分为自主访问控制(DiscretionaryAccessControls,DAC)、强制访问控制(MandatoryAccessControls,MAC)和基于角色的访问控制（Role-BasedAccessControl,RBAC）三大类。其中，DAC方式的访问控制能力太弱，而MAC方式的访问控制能力又太强，因此，访问控制能力适中的RBAC方式是当前得到业界公认的解决大型企业管理系统中对资源访问的进行统一控制的最有效方法。在本文中，首先研究了目前常用的几种访问控制方法，并且详细地介绍了RBAC的基本概念及其实现模型。之后，通过对几种常用的访问控制方法进行分析，以“万商天下”超市订货系统的权限控制需求为例，在RBAC机制的基础之上，设计了一个基于角色的通用的细粒度的权限控制模型，进而以这个模型为基础完成了权限管理子系统的构建，并进一步实现这个子系统在“万商天下”超市订货系统中的应用。该模型通过“权限—角色”分配、“角色—用户”分配，将用户和权限进行分离，从而灵活地对用户的权限进行管理。基于这个模型所构建的权限控制系统在整个系统中所起摘要II到的主要作用是对访问系统的用户进行控制和管理，以防止未被授权的用户对系统进行非法访问，从而保护系统中数据资源的安全。本文主要完成的工作如下：介绍系统开发的背景意义，详细研究RBAC技术在国内外的发展现状及其实现模型；以“万商天下”超市订货系统为例，对基本的RBAC进行改进，提出一个新的基于Web系统的通用细粒度权限控制模型；在“万商天下”超市订货系统的需求中抽取权限管理相关的需求，根据新提出的权限控制模型，设计系统的架构，并对各个功能模块进行详细的设计，具体实现本文中提出的权限控制子系统，完成它在“万商天下”超市订货系统中的实际应用。通过实际的应用，可以验证本系统中提出的权限控制通用模型能有效地实现Web系统中的权限控制。关键词：Web技术，系统安全，访问控制，角色，权限管理AbstractIIIAbstractTheDesignandImplementationoftheRole-BasedFine-grainedAuthorityManagementGeneralModelInrecentyears,withtherapiddevelopmentofnetworktechnology,theapplicationofdigitizationandinformationtechnologyisbecomingincreasinglypopular,whichmakespeople'slifeandworkmoreandmoreconvenient.ThetechnologyofWeballowsdeveloperstomanagethesystemmoreconvenient,morepowerful,andtherefore,Webapplicationsystemshavebeenwidelyusedinenterprisesandgovernmentagencies.Webapplicationsarewithanefficientserver-centric,manageandcontrolthedistributednodesflexibleandeffectivelyfromthewhole,sothatenterprisescangetridofthemanagementwithintensivehumanresourcesandhighcosts.However,atthesametime,duetotheopennessofthenetwork,suchapplicationssuffergreatinformationsecuritythreats.Inordertoensurethesecurityandconfidentialityoftheinformationintheseapplications,accesscontroltechnologyhasbeenwidelyusedtoavarietyofinformationmanagementsystems.InaWebapplicationsystem,themainpurposeofaccesscontroltechnologyistopreventusers’unauthorizedaccessofthesystemresourcestoensurethatdataandresourcesareusedandmanagedeffectivelyinlegalrange.Atpresent,accesscontrolmethodscanbeclassifiedintothreecategories:DiscretionaryAccessControls(DAC),MandatoryAccessControls(MAC)andRole-BasedAccessControl(RBAC).Amongthem,thecontrolabilitytoofDACistooweak,thecontrolabilityofMACistoostrong,androle-basedaccesscontrolisnowconsideredasamosteffectivewaytosolvetheissueofunifiedresourceaccesscontrolinlarge-scaleenterprise.Thispaperstudiessomeofthecommonlyusedaccesscontrolmethods,anddescribestheconceptofrole-basedaccesscontrolanditsrealizationprincipleindetail.Withthecomparisonoftheseveralcommonlyusedaccesscontrolmethods,combinedwiththeAbstractIVrequirementsofWanShangTianXiasupermarketorderingsystem,wedesignanewrole-basedaccesscontrolmodelbasedonthemechanismofbasicRBAC.Furthermore,basedonthismodel,takeWanShangTianXiasupermarketorderingsystemasanexample，wedesignarole-basedgeneralfine-grainedauthoritycontrolmodel.Accordingtothismodel,weconstructtheauthoritymanagementsubsystemof“WanShangTianXia”supermarketorderingsystem.Withthemechanismofauthority-roleassignmentandrole-userassignment,usersandauthoritiesareseparated,sotheauthoritiesofusersinthissystemcanbemanagementflexibly.ThemainpurposeofthisauthoritiescontrolsubsystemistocontrolandmanagetheusersofWanShangTianXiasupermarketorderingsystem,inordertopreventthewholesystemfromillegalaccess,sothatthesecuritycanbeguaranteed.Inthispaper,themainworksareasfollows:Firstly,thebackgroundandsignificanceofthissystemisintroduced,thedevelopmentandimplementationprinciplesofrole-basedaccesscontroltechnologyarestudiesindetail;Then,therequirementsaboutauthoritiescontrolofthissystemareextractedfromthedemandsofWanShangTianXiasupermarketorderingsystem,andforspecificneeds,animprove