论文摘要
随着Internet技术兴起而发展起来的Browser/Server体系结构,已成为当今应用软件的首选体系结构,然而Internet与生俱来的开放性给Browser/Server模式的信息系统也带来了更多的安全问题,同时任何多用户系统都不可避免地涉及到权限管理,都需要解决实体鉴别、访问控制等安全服务,保证只有被授权用户才能访问相应的系统资源。在当前信息系统访问控制技术中,基于角色的访问控制模型获得了广泛的应用,通过给用户分配角色,再根据角色赋予操作权限来简化授权管理、明确责任,从而提高系统的可管理性。本文在分析比较多种访问控制模型的基础上,着重分析了应用于B/S信息系统中的基于角色访问控制模型,在涉及到不同类型用户、不同层次系统资源两个方面的管理时,单纯对用户进行角色分配难以满足要求,同时角色层次与限制关系过于复杂导致实现困难、角色不易管理。本文从功能划分中抽取了业务模块的概念,模块加上具体的操作就构成了权限,其中模块划分、其粒度大小和操作类型完全可以根据业务特点来自定义,从而把所有业务功能纳入了统一访问控制范畴。同时角色与业务要素的组合符合人们对业务系统的自然认识,两者一起能形成更为丰富的组合,从而减少了配置所需的权限和角色数量,避免了大规模应用下其几何级数式的增长,权限配置由此更为灵活和简便,同时业务要素的加入也有利于资源范围的控制。此外,业务模块与菜单等界面元素间的对应关系的建立,为功能界面的统一控制奠定了数据基础,从而把菜单等界面元素也一起纳入了统一访问控制范畴。本文由此提出了基于模块和角色组合的扩展RBAC模型,并在其基础上完成了系统结构设计、数据库设计,实现了业务与统一访问控制系统间的结合与解耦,把各异的业务操作纳入了控制范畴,解决了资源访问范围的权限限定,功能菜单、按钮控件的权限操控等关键问题,满足了简洁、清晰地配置用户权限的需求。从而构建出一套合理、通用、易扩展、实现成本低的B/S信息系统的访问控制系统,目前已在多个信息系统中得到了成功的应用和推广。