论文部分内容阅读
计算机网络及通信技术的高速发展推动了企事业单位应用业务系统的蓬勃发展。权限管理是保障应用业务系统安全的核心机制。访问控制模型为实现权限管理提供了科学的理论依据。RBAC模型是学术界在访问控制领域研究的热点,当它应用于业务逻辑复杂、组织机构庞大、用户角色数量众多的应用业务系统时,暴露出了管理效率低、授权复杂、权限泄漏等诸多不容忽视的问题。本论文针对RBAC模型在应用业务系统的权限管理机制中表现的不足,研究了经典的访问控制模型,特别是RBAC模型及扩展模型。分析了应用业务系统访问控制机制的内在特征,引入了树型结构和约束域的概念,提出了适用于应用业务系统权限管理的树型结构的ARBAC模型,并设计了相应的访问控制体系结构。设计并实现了B/S架构下基于树型结构的ARBAC模型的应用业务系统的权限管理系统。通过对权限管理系统的测试和分析,验证了树型结构的ARBAC模型的正确性、安全性和便捷性。本文主要研究内容及创新点如下:(1)研究并提出了树型结构的RBAC模型。在实际的应用场景中,繁多的角色不便于管理,复杂的继承关系给应用业务系统带来了安全隐患。树型结构的RBAC模型用岗位代替传统的角色,将岗位作为结点引入树型组织机构中,岗位间为扁平化关系。该模型使岗位层次清晰、授权简单、直观理解性好,极大的降低了权限管理的难度,消除了角色继承引入的安全隐患。(2)在树型结构的RBAC模型的基础上,提出了适用于应用业务系统权限管理的树型结构的ARBAC模型,实现了用岗位管理岗位的机制。它完善了ARBAC02模型中“组织机构”的概念,从整体上规定了管理员的管理范围。管理员在树型结构中的位置确定了管理员可管理的组织机构、岗位、用户及管理员间的树型关系,从而简化了管理员对约束域的管理。(3)分析并设计了基于安全IP域的静态口令和动态口令结合的身份认证机制。该机制保留了静态口令的便捷性,又引入了动态口令的安全性,既简单又安全。(4)设计并实现了Java EE架构下基于树型结构的ARBAC模型的权限管理系统。该系统包括了访问控制执行、访问控制决策、访问控制策略制定等模块。在具体实现中,采用了上述身份认证机制,并结合了SHA-256加密算法、HTTPS加密通信、密码复杂度检查、密码定期更新等安全机制,进一步保障了系统的安全。评测结果表明本论文设计并实现的权限管理基本达到了预期的目标。本论文提出了适用于业务逻辑复杂、组织机构庞大、用户角色数量众多的应用业务系统的树型结构的ARBAC模型,设计了该模型的访问控制体系结构,采用了优秀的S2SH开源集成框架实现了基于Java EE的应用业务系统的权限管理。通过评测验证了改进模型、访问控制体系结构、基于树型结构的ARBAC模型的权限管理的正确性、有效性和直观性。