信息系統(tǒng)中的訪問(wèn)控制技術(shù)研究.pdf

1、在信息系統(tǒng)開(kāi)發(fā)設(shè)計(jì)過(guò)程中，安全性能被放在了重要的位置，成為信息系統(tǒng)生存的關(guān)鍵，構(gòu)建企業(yè)級(jí)信息系統(tǒng)的安全體系己成為一個(gè)重要的研究領(lǐng)域。訪問(wèn)控制作為系統(tǒng)安全體系結(jié)構(gòu)中的一個(gè)重要組成部分，是解決安全問(wèn)題的關(guān)鍵技術(shù)之一。其中，基于角色的訪問(wèn)控制RBAC(Role-Based Access Control)為管理大量的資源訪問(wèn)提供了一種動(dòng)態(tài)靈活的方式，在企業(yè)級(jí)開(kāi)發(fā)中得到普遍應(yīng)用。J2EE作為目前流行的企業(yè)級(jí)開(kāi)發(fā)平臺(tái)，其訪問(wèn)控制機(jī)制主要是基于角色的

2、，體現(xiàn)了RBAC的一些應(yīng)用優(yōu)勢(shì)。論文研究訪問(wèn)控制技術(shù)及其在信息系統(tǒng)安全體系中的應(yīng)用，主要完成了如下工作：
　　 研究了目前信息安全領(lǐng)域的發(fā)展現(xiàn)狀，分析了信息系統(tǒng)的安全需求，并對(duì)其中的安全問(wèn)題進(jìn)行了深入分析，研究了主要的安全技術(shù)，包括數(shù)據(jù)加密、入侵檢測(cè)、身份認(rèn)證、訪問(wèn)控制等。重點(diǎn)分析了信息系統(tǒng)中的安全訪問(wèn)控制技術(shù)。
　　 對(duì)訪問(wèn)控制技術(shù)進(jìn)行了深入研究，論文首先從訪問(wèn)控制的基本元素、核心手段、基本原理和訪問(wèn)控制模型入手，對(duì)訪

3、問(wèn)控制技術(shù)做了基本介紹，并對(duì)常用的訪問(wèn)控制相關(guān)技術(shù)做出了分析。然后，對(duì)RBAC模型及J2EE訪問(wèn)控制機(jī)制進(jìn)行了深入的分析：RBAC模型借助于角色實(shí)體，實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離，大大減少了授權(quán)管理的復(fù)雜性，易于實(shí)現(xiàn)動(dòng)態(tài)復(fù)雜的訪問(wèn)控制策略；J2EE標(biāo)準(zhǔn)中的訪問(wèn)控制機(jī)制作為一個(gè)基于角色的安全機(jī)制，通過(guò)認(rèn)證和授權(quán)，保障應(yīng)用的訪問(wèn)安全。
　　 在此基礎(chǔ)之上，結(jié)合J2EE中的常用技術(shù)：Servlet組件技術(shù)、JSP組件技術(shù)、JavaB

4、ean和EJB，對(duì)系統(tǒng)開(kāi)發(fā)模式、體系結(jié)構(gòu)設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)做出了具體分析和論證。驗(yàn)證了其在企業(yè)級(jí)應(yīng)用訪問(wèn)控制方面的有效性和實(shí)用性。
　　 最后，本文進(jìn)一步分析比較了J2EE訪問(wèn)控制機(jī)制同標(biāo)準(zhǔn)RBAC模型訪問(wèn)控制策略間的差異，并結(jié)合企業(yè)級(jí)應(yīng)用的特征，指出了J2EE訪問(wèn)控制機(jī)制中所存在的問(wèn)題：對(duì)角色間繼承約束關(guān)系以及角色權(quán)限動(dòng)態(tài)管理的不支持等。
　　 本文工作對(duì)J2EE平臺(tái)技術(shù)下基于角色的訪問(wèn)控制技術(shù)的應(yīng)用研究提供了有益的參考