【正文】 性，允許更換視圖和控制器對象，而且可以根據(jù)需求動態(tài)的打開或關閉、甚至在運行期間進行對象替換。 （ 3） 模型的可移植性。因為 模型是獨立于視圖的，所以可以把一個模型獨立地移植到新的平臺工作。需要做的只是在新平臺上對視圖和控制器進行新的修改。 （ 4） 潛在的框架結(jié)構(gòu)。可以基于此模型建立應用程序框架，不僅僅是用在設計界面的設計中。 基于 MVC 模式建設 Web 站點系統(tǒng)，可以提高代碼的重用性；可以提高代碼的可維護性；可以提高編寫程序的效率。所以目前，越來越多的網(wǎng)站開始采用 MVC模式來進行架構(gòu)，但是在這其中，對于系統(tǒng)安全性問題的研究還進行的不多。 在構(gòu)建 Web 系統(tǒng)之初，就要考慮系統(tǒng)的安全性，考慮用戶對系統(tǒng)的訪問控制。通過訪問控制，一方面只有 合法的用戶才可以安全、正確的使用系統(tǒng)，非法的用戶是無法登陸系統(tǒng)進行操作；的；另一方面合法的用戶登錄系統(tǒng)之后，由于用戶的類型不同，就會存在不用的用戶在訪問系統(tǒng)時具有不同的權(quán)限，比如一個企業(yè)或公司的經(jīng)理往往會比企業(yè)或公司的員工具有更多的權(quán)限和功能，相應的用戶登錄系統(tǒng)之后，他們只能行使系統(tǒng)準許他們的權(quán)限。 縱觀現(xiàn)在的 Web 系統(tǒng)，大都存在這樣的問題：功能雖強大，但是卻存在很多 3 的安全隱患。系統(tǒng)中的不同類型的用戶對信息都具有相同的權(quán)限，可以任意的修改和刪除，這對于一些重要的信息是非常危險的。對信息的科學管理，應該是最高 層的用戶擁有對信息最高的權(quán)限，而處于底層或次底層的用戶僅擁有對信息最少的權(quán)限。此外，現(xiàn)在大部分 Web 系統(tǒng)中都缺少一個良好的訪問控制模塊。在該模塊中，可以為系統(tǒng)設定不同的用戶，分配不同的權(quán)限。將系統(tǒng)中的用戶和系統(tǒng)中的權(quán)限關聯(lián)起來，形成一種有效的系統(tǒng)安全管理。 綜上所述，企業(yè)在構(gòu)建自身的商務 Web 系統(tǒng)時，在考慮功能完整性和操作簡便性的同時，還應重點考慮構(gòu)建的 Web 系統(tǒng)的安全性。只有在保證了安全性的前提下，功能的完整性和操作的簡便性才變得有意義。 RBAC 模型概述 RBAC原理簡介 1992 年，美國國家標準與技術(shù)研究所（ NIST）的 David Ferraiolo 和 Rick Kuhn 在綜合了大量的實際研究之后，率先提出基于角色的訪問控制模型框架，并給出了 RBAC 模型的一種形式化定義。該模型第一次引入了角色的概念并給出其基本語義，指出 RBAC 模型實現(xiàn)了最小權(quán)限原則（ the least privilege）和職責分離原則（ separation of duty）。該模型中給出了一種集中式管理的 RBAC管理方案。 1995 年他們以一種更直觀的方式對該模型進行了描述。 Ravi Sandhu 和 他領導的位于 Gee Mason 大學的信息安全技術(shù)實驗室（ LIST）于 1996 年提出了著名的 RBAC96 模型，將傳統(tǒng)的 RBAC 模型根據(jù)不同需要拆分成四種嵌套的模型并給出形式化定義，極大的提高了系統(tǒng)靈活性和可用性。 1997 年他們更進一步，提出了一種分布式 RBAC 管理模型 DRBAC97，實現(xiàn)了在 RBAC 模型基礎上的分布式管理。這兩個模型清晰的表征了 RBAC 概念并且蘊涵了他人的工作，成為 RBAC 的經(jīng)典模型。絕大多數(shù)基于角色的訪問控制研究都以這兩個模型作為出發(fā)點。 在 RBAC 中，涉及到的基本概念如下： 用戶 （ User）：系統(tǒng)的使用者?？梢允侨?、計算機、機器人等，一般指人。 角色（ Role）：一定數(shù)量的權(quán)限的集合。權(quán)限分配的單位與載體，目的是隔離用戶與權(quán)限的邏輯關系。對應于組織中某一特定的職能崗位，代表特定的任務范疇。角色的例子有：經(jīng)理、采購員、推銷員等。 權(quán)限（ Permission）：表示對系統(tǒng)中的客體進行特定模式訪問的操作許可，例如對數(shù)據(jù)庫系統(tǒng)中關系表的選擇、插入、刪除。在應用中，許可受到特定應用 4 邏輯的限制。 用戶指派（ User Assignment）：用戶與角色之間的關系是多對多的關系。用戶指派指根據(jù)用戶 在組織中的職責和能力被賦為對應角色的成員。用戶通過被指派到角色間接獲得訪問資源的權(quán)限。 權(quán)限指派（ Permission Assignment）：角色與權(quán)限之間的關系也是多對多的關系。權(quán)限指派指角色按其職責范圍與一組操作權(quán)限相關聯(lián)。進行權(quán)限分配時，應遵循最小特權(quán)原則（ the Least Privilege Rule），即分配的權(quán)限集既能保證角色充分行使其職權(quán)，又不能超越職權(quán)范圍。 角色激活（ Role Activation）：是指用戶從被授權(quán)的角色中選擇一組角色的過程。用戶訪問的時候?qū)嶋H具有的角色只包含激活后的 角色，未激活的角色在訪問中不起作用。相對于靜態(tài)的角色授權(quán)來說，角色激活是一種動態(tài)的過程，提供了相當?shù)撵`活性。 會話（ Session）：用戶是一個靜態(tài)的概念，會話則是一個動態(tài)的概念。一次會話是用戶的一個活躍進程，它代表用戶與系統(tǒng)進行交互，也叫主體（ Subject）。用戶與會話是一對多關系，一個用戶可同時打開多個會話。 活躍角色集（ ARS）：一個對話構(gòu)成一個用戶到多個角色的映射，即會話激活了用戶授權(quán)角色集的某個子集，這個子集被稱為活動角色集， ARS 決定了本次會話的許可集。 在 RBAC 中，它遵循如下的基本原則： 角色繼承（ Role Inheritance） 為了提高效率，避免相同權(quán)限的重復設置， RBAC 采用了“角色繼承”的概念，定義了這樣的一些角色，他們有自己的屬性，但可能還繼承其他角色的屬性和權(quán)限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責任關系。 最小權(quán)限原則（ the Least Privilege Rule） 所謂最小權(quán)限原則是指：用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限。實現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。在 RBAC 中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設計擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當一個主體預訪問某資源時，如果該操作不在主體當前活躍角色的授權(quán)操作之內(nèi)，該訪問將被拒絕。 職責分離（ Separation of Duty） 對于某些特定的操作集，某一個角色或用戶不可能同時獨立地完成所有這些操作。職責分離的概念包括：多路共享資源，用功能分解命名互相區(qū)分的權(quán)限集，對用戶進行強制分類，允許層次性的分解權(quán)限。 5 RBAC適用性分析 在 RBAC 模型中，一個用戶通過用戶授權(quán)獲得一個或者 幾個角色，但角色不能被同時激活；一個角色可以被同時授予多個用戶；每個角色有一個或多個節(jié)點，一個節(jié)點也可以被賦予多個角色；每個節(jié)點有一個或者多個功能，一個功能可以被同時掛在不同的節(jié)點上，而節(jié)點可以有子節(jié)點，子節(jié)點也可以再有子節(jié)點；一個功能對應一個或多個頁面；一個頁面有一個或多個操作。這樣每個用戶登錄時就可以根據(jù)角色得到一棵功能樹從而使用系統(tǒng)中的資源。 為更真實的描述現(xiàn)實， RBAC 模型還有許多的控制機制。如對 Web 頁面多維度和細粒度控制，對角色、功能、節(jié)點的靜態(tài)限制和對角色的動態(tài)限制。對頁面的限制主要是限制用 戶在特定時間和特定地點所能看到的功能和所能進行的操作。其他限制主要是在功能被賦予節(jié)點時、節(jié)點被賦予角色時和角色被賦予用戶時的限制。模型中有了這些限制才更完整、更真實地反應現(xiàn)實，從而使實際模型細化的過程更加平滑，現(xiàn)實和計算機實現(xiàn)策略達到較好的融合。 頁面是 Web 應用系統(tǒng)中最重要的元素，控制頁面訪問是整個系統(tǒng)安全的重要條件。對頁面的訪問控制可以從時間和空間兩個方面來進行，對頁面功能和數(shù)據(jù)的訪問，可以通過用戶登錄后所帶 session 中的信息進行控制。 時間約束分為一般時間約束和周期時間約束兩種。一般時間約束是指從 一個時間點持續(xù)到另一時間點之間可以訪問某個頁面，例如，企業(yè)商務系統(tǒng)中的商品招標頁面，它在某一指定時間段內(nèi)開放，對這種約束可以在用戶訪問網(wǎng)頁的時候判斷訪問時間是否在允許范圍內(nèi)。周期時間約束是指對那些功能和數(shù)據(jù)周期性開放的頁面進行訪問控制。空間約束主要是對用戶在不同地方（網(wǎng)段）登錄所能看到的頁面以及頁面能提供的信息進行控制。例如，管理部門內(nèi)部事務所對應的頁面通常對用戶所在的訪問位置有較嚴的限制。一般系統(tǒng)的高層用戶都有一個固定的 IP 段，就可以對那些重要的頁面設置允許訪問的 IP 范圍來達到對關鍵資源的保護。對頁面的空 間約束可以分成分網(wǎng)段、分樓層、分房間、分 IP 地址等不同層次的控制。 對頁面功能和數(shù)據(jù)的訪問需要知道用戶的大概類型，主要包括管理員、部門管理員、一般職工、游客（企業(yè)或單位以外的人員）等。用戶登錄后將用戶的類型保存到 session 中，在用戶訪問頁面時就可以根據(jù)用戶的不同類型，以及他們對時間、空間等硬性約束的滿足情況來顯示相應的功能和數(shù)據(jù)。 通過了解 RBAC模型的原理和 RBAC模型中對訪問控制的支持，我們可以看出，RBAC 模型可以很好的應用于已有或?qū)⒁_發(fā)的企業(yè)商務 Web 系統(tǒng)中。通過在系統(tǒng)中使用 RBAC 模型，可以 很好的解決如下的問題： 權(quán)限管理混亂的問題。通過在系統(tǒng)中增加角色這個概念，很好的解決了這個 6 問題。在 RBAC 模型中，可以利用角色與系統(tǒng)中的所有權(quán)限關聯(lián)，使得某種角色具有某種特定的權(quán)限，從而在為用戶設定好相應的角色之后，也就意味著得到了相應的系統(tǒng)權(quán)限。 控制邏輯混亂的問題。通過使用 RBAC 模型，可以避免在系統(tǒng)中書寫負責的控制邏輯來進行訪問控制。尤其當系統(tǒng)設計的用戶和角色比較多時，單純的依靠代碼進行訪問控制將變得相當困難。 換句話說， RBAC 模型為我們提供了良好的訪問控制支持。在企業(yè)商務 Web系統(tǒng)中利用 RBAC 模 型，可以簡便、科學、清晰地進行訪問控制，從而在一定程度上提高了整個 Web 系統(tǒng)的安全性。 RBAC 在 MVC 中的應用現(xiàn)狀 網(wǎng)站程序的安全是系統(tǒng)開發(fā)人員必須考慮的重要因素之一，因為這涉及到網(wǎng)站的建設者、網(wǎng)站用戶的諸多安全問題，如果不處理好，可能會給系統(tǒng)的使用者和管理者帶來嚴重問題。現(xiàn)在普遍在使用的安全措施有如下幾種： （ 1）防止 SQL 注入 比如 URL、表單等提交信息時，通過一段防止 SQL 注入的過濾代碼即可防止出錯信息暴露，或者通過轉(zhuǎn)向，當系統(tǒng)出錯時轉(zhuǎn)到一個提示出錯的頁面等。 對于文本型輸入，如果要進行 檢查，就得根據(jù)字段本身的性質(zhì)進行。例如如果是年齡，就得限定必須是數(shù)字，大小必須限定在一個范圍之間，比如說 18120之間。對于用戶名，應該建立一個集合，這個集合里存放有被允許的字符，或被禁止的字符。 （ 2）驗證碼技術(shù) 所謂驗證碼，就是將一串隨機產(chǎn)生的數(shù)字或符號，生成一幅圖片，圖片里加上一些干擾象素，由用戶肉眼識別其中的驗證碼信息，輸入表單提交網(wǎng)站驗證，驗證成功后才能使用某項功能。放在會員注冊、留言本等所有客戶端提交信息的頁面，要提交信息，必須要輸入正確的驗證碼，從而可以防止不法用戶用軟件頻繁注冊，頻繁發(fā)送不 良信息等。 （ 3） MD5 加密技術(shù) MD5 的全稱是 MessageDigest Algorithm 5，當用戶登錄的時候，系統(tǒng)把用戶輸入的密碼計算成 MD5 值，然后再去和保存在文件系統(tǒng)中的 MD5 值進行比較，進而確定輸入的密碼是否正確。通過這樣的步驟，系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。這不但可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道，而且還在一定程度上增加了密碼被破解的難度。 （ 4）數(shù)據(jù)備份 7 一般采用數(shù)據(jù)庫系統(tǒng)自動定時備份、定時自動刪除幾天以前的數(shù)據(jù)等，即可完成數(shù)據(jù)的備份功 能。而圖片、文件一般是不能自動備份，需要手工操作，所以我們必須要定期手工對網(wǎng)站的圖片、文件進行備份操作。 訪問控制技術(shù)是由美國國防部（ Department of Defense, DoD）資助的研究和開發(fā)成果演變而來的。這一研究導致兩種基本類型訪問控制的產(chǎn)生：自主訪問控制（ Discretionary Access Control, DAC）和強制訪問控制（ Mandatory Access Control, MAC）。最初的研究和應用主要是為了防止機密信息被未經(jīng)授權(quán)者訪問，近期的應用主要是把這些策略應用到為商 業(yè)領域。 自主訪問控制，允許把訪問控制權(quán)的授予和取消留給個體用戶來判斷。為沒有訪問控制權(quán)的個體用戶授予和廢除許可。自主訪問控制機制允許用戶被授權(quán)和取消訪問其控制之下的任何客體（ object），換句話說，用戶就是他們控制下的客體的擁有者。然而，對于多數(shù)組織來說，最終用戶對所訪問的信息沒有擁有權(quán)。對于這些組織，公司或代理機構(gòu)是事實上的系統(tǒng)客體和處理他們的程序的擁有者。訪問優(yōu)先權(quán)受組織控制，而且也常常基于雇員功能而不是數(shù)據(jù)所有權(quán)。 強制訪問控制，在美國國防部 Trusted Computer Security Evaluation Criteria (TCSEC) 中定義如下：“一種限制訪問客體的手段，它以包含在這些客體中的信息敏感性和訪問這些敏感性信息的主體的正式授權(quán)信息（如清除）為基礎”。 強制訪問控制是“強加”給訪問主體的，即系統(tǒng)強制主體服從訪問控制政策。強制訪問控制（ MAC）的主要特征是對所有主體及其所控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據(jù)。系統(tǒng)通過比