基于組件的Web環(huán)境下訪問控制系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet的普及，Web友好的用戶界面、方便的用戶操作和通用性使得越來越多的企業(yè)把他們的管理信息系統(tǒng)以B/S模式架設(shè)到Web上。在現(xiàn)實的工作生活中，根據(jù)用戶的需求不同、身份不同、職責(zé)不同、業(yè)務(wù)范疇不同，出于方便信息獲取和信息保密的需要，應(yīng)分別授予權(quán)限。由于網(wǎng)絡(luò)的開放性，共享性，對基于B/S的管理信息系統(tǒng)的安全管理提出了新的要求。訪問控制作為避免非授權(quán)訪問的一種重要的網(wǎng)絡(luò)安全手段越來越受到人們的關(guān)注。
　　

2、自主型訪問控制(DAC)和強制型訪問控制(MAC)是傳統(tǒng)的訪問控制方式，都存在明顯不足。角色訪問控制(RBAC)引入“角色”概念，能夠有效解決傳統(tǒng)訪問控制技術(shù)中的不足，既降低了授權(quán)管理工作的復(fù)雜性，有能夠有效降低管理成本，能夠更加靈活的定制和執(zhí)行企業(yè)安全保護(hù)策略。但RBAC模型注重的是主體如何獲取對客體的訪問權(quán)限，忽略了具體權(quán)限的實現(xiàn)方式，尤其是在Web環(huán)境下如何實現(xiàn)對Web資源的訪問加以控制。
　　本文在對傳統(tǒng)RBAC模型研究的

3、基礎(chǔ)上，通過分析Web資源結(jié)構(gòu)，引入組件、頁面和功能概念。通過擴展傳統(tǒng)RBAC模型，提出了一種基于組件的權(quán)限控制方法，很好的實現(xiàn)了Web環(huán)境下對管理信息系統(tǒng)的訪問控制。此系統(tǒng)還提供對新增Web資源的注冊和控制接口，使系統(tǒng)具有強大的擴展性，降低開發(fā)和維護(hù)成本。在實踐上，本文通過運用擴展后的模型，在Java EE框架下，以商業(yè)銀行信貸系統(tǒng)為例實現(xiàn)了一套基于組件的Web環(huán)境下權(quán)限系統(tǒng)，驗證了此權(quán)限系統(tǒng)的安全性、訪問控制嚴(yán)格性和可擴展性，有著良