基于組件的Web環(huán)境下訪問控制系統(tǒng)的設計與實現.pdf

1、隨著網絡技術的發(fā)展和Internet的普及，Web友好的用戶界面、方便的用戶操作和通用性使得越來越多的企業(yè)把他們的管理信息系統(tǒng)以B/S模式架設到Web上。在現實的工作生活中，根據用戶的需求不同、身份不同、職責不同、業(yè)務范疇不同，出于方便信息獲取和信息保密的需要，應分別授予權限。由于網絡的開放性，共享性，對基于B/S的管理信息系統(tǒng)的安全管理提出了新的要求。訪問控制作為避免非授權訪問的一種重要的網絡安全手段越來越受到人們的關注。
　　

2、自主型訪問控制(DAC)和強制型訪問控制(MAC)是傳統(tǒng)的訪問控制方式，都存在明顯不足。角色訪問控制(RBAC)引入“角色”概念，能夠有效解決傳統(tǒng)訪問控制技術中的不足，既降低了授權管理工作的復雜性，有能夠有效降低管理成本，能夠更加靈活的定制和執(zhí)行企業(yè)安全保護策略。但RBAC模型注重的是主體如何獲取對客體的訪問權限，忽略了具體權限的實現方式，尤其是在Web環(huán)境下如何實現對Web資源的訪問加以控制。
　　本文在對傳統(tǒng)RBAC模型研究的

3、基礎上，通過分析Web資源結構，引入組件、頁面和功能概念。通過擴展傳統(tǒng)RBAC模型，提出了一種基于組件的權限控制方法，很好的實現了Web環(huán)境下對管理信息系統(tǒng)的訪問控制。此系統(tǒng)還提供對新增Web資源的注冊和控制接口，使系統(tǒng)具有強大的擴展性，降低開發(fā)和維護成本。在實踐上，本文通過運用擴展后的模型，在Java EE框架下，以商業(yè)銀行信貸系統(tǒng)為例實現了一套基于組件的Web環(huán)境下權限系統(tǒng)，驗證了此權限系統(tǒng)的安全性、訪問控制嚴格性和可擴展性，有著良