【正文】 素之一，因為這涉及到網(wǎng)站的建設(shè)者、網(wǎng)站用戶的諸多安全問題，如果不處理好，可能會給系統(tǒng)的使用者和管理者帶來嚴(yán)重問題。通過使用 RBAC 模型，可以避免在系統(tǒng)中書寫負(fù)責(zé)的控制邏輯來進行訪問控制。通過在系統(tǒng)中使用 RBAC 模型，可以 很好的解決如下的問題： 權(quán)限管理混亂的問題。對頁面的空 間約束可以分成分網(wǎng)段、分樓層、分房間、分 IP 地址等不同層次的控制。周期時間約束是指對那些功能和數(shù)據(jù)周期性開放的頁面進行訪問控制。 頁面是 Web 應(yīng)用系統(tǒng)中最重要的元素，控制頁面訪問是整個系統(tǒng)安全的重要條件。如對 Web 頁面多維度和細(xì)粒度控制，對角色、功能、節(jié)點的靜態(tài)限制和對角色的動態(tài)限制。職責(zé)分離的概念包括：多路共享資源，用功能分解命名互相區(qū)分的權(quán)限集，對用戶進行強制分類，允許層次性的分解權(quán)限。實現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。 活躍角色集（ ARS）：一個對話構(gòu)成一個用戶到多個角色的映射，即會話激活了用戶授權(quán)角色集的某個子集，這個子集被稱為活動角色集， ARS 決定了本次會話的許可集。相對于靜態(tài)的角色授權(quán)來說，角色激活是一種動態(tài)的過程，提供了相當(dāng)?shù)撵`活性。權(quán)限指派指角色按其職責(zé)范圍與一組操作權(quán)限相關(guān)聯(lián)。 用戶指派（ User Assignment）：用戶與角色之間的關(guān)系是多對多的關(guān)系。對應(yīng)于組織中某一特定的職能崗位，代表特定的任務(wù)范疇。 在 RBAC 中，涉及到的基本概念如下： 用戶 （ User）：系統(tǒng)的使用者。 Ravi Sandhu 和 他領(lǐng)導(dǎo)的位于 Gee Mason 大學(xué)的信息安全技術(shù)實驗室（ LIST）于 1996 年提出了著名的 RBAC96 模型，將傳統(tǒng)的 RBAC 模型根據(jù)不同需要拆分成四種嵌套的模型并給出形式化定義，極大的提高了系統(tǒng)靈活性和可用性。 RBAC 模型概述 RBAC原理簡介 1992 年，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（ NIST）的 David Ferraiolo 和 Rick Kuhn 在綜合了大量的實際研究之后，率先提出基于角色的訪問控制模型框架，并給出了 RBAC 模型的一種形式化定義。在該模塊中，可以為系統(tǒng)設(shè)定不同的用戶，分配不同的權(quán)限。 縱觀現(xiàn)在的 Web 系統(tǒng)，大都存在這樣的問題：功能雖強大，但是卻存在很多 3 的安全隱患。 基于 MVC 模式建設(shè) Web 站點系統(tǒng)，可以提高代碼的重用性；可以提高代碼的可維護性；可以提高編寫程序的效率。因為 模型是獨立于視圖的，所以可以把一個模型獨立地移植到新的平臺工作。 MVC 作為構(gòu)建網(wǎng)站系統(tǒng)的主流設(shè)計模式，有其自身的特點和優(yōu)勢，具體表現(xiàn)在： （ 1）可以為一個模型在運行時同時建立和使用多個視圖。通過 Inter 或 Intra，企業(yè)的管理變得更加方便；企業(yè)的信息發(fā)布變得更加便捷；企業(yè)的市場開拓變得更加簡便。 關(guān)鍵詞 ： MVC、 RBAC、訪問控制、角色、權(quán)限。 1 基于 MVC架構(gòu)的網(wǎng)站 RBAC 訪問控制框架設(shè)計與實現(xiàn) 畢業(yè)設(shè)計論文 2 摘 要 一個實際的商務(wù)網(wǎng)站系統(tǒng)除了需要關(guān)注于功能需求之外，還需要考慮很多非功能性需求，安全性就是其中一個非常重要的方面。并將其用于某一具體的商務(wù)系統(tǒng)中，給出了實現(xiàn)過程。 2 第一章 課題背景 MVC 概述 由于 Inter 的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展，大部分的企業(yè)或單位都擁有了自己的 Web 站點。 現(xiàn)在用來建立 Web 站點的工具和編程語言主要有 ASP、 PHP 和 JSP，使用的設(shè)計模式是 MVC。 （ 3） 模型的可移植性?？梢曰诖四Ｐ徒?yīng)用程序框架，不僅僅是用在設(shè)計界面的設(shè)計中。通過訪問控制，一方面只有 合法的用戶才可以安全、正確的使用系統(tǒng)，非法的用戶是無法登陸系統(tǒng)進行操作；的；另一方面合法的用戶登錄系統(tǒng)之后，由于用戶的類型不同，就會存在不用的用戶在訪問系統(tǒng)時具有不同的權(quán)限，比如一個企業(yè)或公司的經(jīng)理往往會比企業(yè)或公司的員工具有更多的權(quán)限和功能，相應(yīng)的用戶登錄系統(tǒng)之后，他們只能行使系統(tǒng)準(zhǔn)許他們的權(quán)限。此外，現(xiàn)在大部分 Web 系統(tǒng)中都缺少一個良好的訪問控制模塊。只有在保證了安全性的前提下，功能的完整性和操作的簡便性才變得有意義。 1995 年他們以一種更直觀的方式對該模型進行了描述。絕大多數(shù)基于角色的訪問控制研究都以這兩個模型作為出發(fā)點。權(quán)限分配的單位與載體，目的是隔離用戶與權(quán)限的邏輯關(guān)系。在應(yīng)用中，許可受到特定應(yīng)用 4 邏輯的限制。 權(quán)限指派（ Permission Assignment）：角色與權(quán)限之間的關(guān)系也是多對多的關(guān)系。用戶訪問的時候?qū)嶋H具有的角色只包含激活后的 角色，未激活的角色在訪問中不起作用。用戶與會話是一對多關(guān)系，一個用戶可同時打開多個會話。 最小權(quán)限原則（ the Least Privilege Rule） 所謂最小權(quán)限原則是指：用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限。 職責(zé)分離（ Separation of Duty） 對于某些特定的操作集，某一個角色或用戶不可能同時獨立地完成所有這些操作。 為更真實的描述現(xiàn)實， RBAC 模型還有許多的控制機制。模型中有了這些限制才更完整、更真實地反應(yīng)現(xiàn)實，從而使實際模型細(xì)化的過程更加平滑，現(xiàn)實和計算機實現(xiàn)策略達到較好的融合。一般時間約束是指從 一個時間點持續(xù)到另一時間點之間可以訪問某個頁面，例如，企業(yè)商務(wù)系統(tǒng)中的商品招標(biāo)頁面，它在某一指定時間段內(nèi)開放，對這種約束可以在用戶訪問網(wǎng)頁的時候判斷訪問時間是否在允許范圍內(nèi)。一般系統(tǒng)的高層用戶都有一個固定的 IP 段，就可以對那些重要的頁面設(shè)置允許訪問的 IP 范圍來達到對關(guān)鍵資源的保護。 通過了解 RBAC模型的原理和 RBAC模型中對訪問控制的支持，我們可以看出，RBAC 模型可以很好的應(yīng)用于已有或?qū)⒁_發(fā)的企業(yè)商務(wù) Web 系統(tǒng)中。 控制邏輯混亂的問題。在企業(yè)商務(wù) Web系統(tǒng)中利用 RBAC 模 型，可以簡便、科學(xué)、清晰地進行訪問控制，從而在一定程度上提高了整個 Web 系統(tǒng)的安全性。例如如果是年齡，就得限定必須是數(shù)字，大小必須限定在一個范圍之間，比如說 18120之間。 （ 3） MD5 加密技術(shù) MD5 的全稱是 MessageDigest Algorithm 5，當(dāng)用戶登錄的時候，系統(tǒng)把用戶輸入的密碼計算成 MD5 值，然后再去和保存在文件系統(tǒng)中的 MD5 值進行比較，進而確定輸入的密碼是否正確。而圖片、文件一般是不能自動備份，需要手工操作，所以我們必須要定期手工對網(wǎng)站的圖片、文件進行備份操作。 自主訪問控制，允許把訪問控制權(quán)的授予和取消留給個體用戶來判斷。對于這些組織，公司或代理機構(gòu)是事實上的系統(tǒng)客體和處理他們的程序的擁有者。強制訪問控制（ MAC）的主要特征是對所有主體及其所控制的客體（例如：進程、文件、段、設(shè)備）實施強制訪問控制。 強制訪問控制一般與自主訪問控制結(jié)合使用，并且實施一些附加的、更強的訪問限制。在這樣的環(huán)境下，安全目標(biāo)支持產(chǎn)生于現(xiàn)有法律、道德規(guī)范、規(guī)章、或一般慣例的高端組織策略。定義角色的過程應(yīng)該基于對組織運轉(zhuǎn)的徹底分析，應(yīng)該包括來自一個組織中更廣范圍用戶的輸入。 RBAC 訪問控制模型實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，減少了授權(quán)管理的復(fù)雜性，降低了管理開銷和管理的復(fù)雜度。 從目前的應(yīng)用現(xiàn)狀來看，以 MVC 為架構(gòu)而建成的 WEB 網(wǎng)站特別是商務(wù)網(wǎng)站的數(shù)量較為龐大，而由于其自身的管理特性，對安全措施的要求也越來越高，這就要求我們找到一種更為有效的權(quán)限管理方法去適應(yīng)網(wǎng)站對訪問控制技術(shù)的要求。 圖 21 系統(tǒng)功能模塊圖 部門管理模塊：針對公司內(nèi)部的所 有的部門進行管理，用戶可以方便地添加部門、修改部門信息、刪除某一部門和查詢某一部門的信息。 信息查看模塊：針對公司員工設(shè)計的功能模塊，通過該模塊員工可以方便的查看自己的基本信息，工資信息以及所負(fù)責(zé)的工程項目信息。 在上述的商務(wù)系統(tǒng)中，在安全性上一般會有如下的要求： 能夠很好的實現(xiàn)訪問控制。公司中存在著一些決定企業(yè)利益的信息，這些信息只能由公司的管理人員來查看和管理，任何非法的侵入都有可能造成不良的后果。 業(yè)務(wù)邏輯層（ Business Layer）：運行在 J2EE Web 容器中，完成系統(tǒng)的業(yè)務(wù)需求，為 Web 層提供所需的業(yè)務(wù)方法，由 JavaBean 構(gòu)成系統(tǒng)的 Business Objects（ BO），并使用 DAO 模式把數(shù)據(jù)訪問封裝起來，以供在其他應(yīng)用層中統(tǒng)一調(diào)用。此外，系統(tǒng)是由Java 來開發(fā)實現(xiàn)的， Java 的跨平臺特性實現(xiàn)了系統(tǒng)的可移植性。 圖 23 RBAC 模型 核心 RBAC 模型的組成部分是： Users：用戶集 {u1， u2， u3?? ， un}； Roles：角色集 {r1， r2， r3，?? ， rn}； OPS：操作集 {op1， op2， op3，??， opn} OBJ：客體集 {obj1， obj2， obj3，??， objn} P= OPS X 0BJ：權(quán)限集是不同客體上不同操作的描述 {pl， p2， p3， .? ， pn} 12 R olesU sersUA *? ：用戶 — 角色分配關(guān)系：多對多； Assignedusers： ，角色與用戶的映射，將一個角色與一組用戶相映射； ：權(quán)限 角色分配關(guān)系，多對多； Assigned privileges ： ，角色與權(quán)限的映射，將一個角色與一組權(quán)限相映射； Session ：會話集 {s1， s2， s3，??， sn } User_sessions ： ，用戶與會話的映射，將一個用戶與一個會話相映射； Session_roles ： ，會話與角色的映射，將一個會話與一組角色相映射； Avail_session_privilege ： ，在一次會話中一個用戶允許的權(quán)限； 用戶：不僅指人，也可以指機器，網(wǎng)絡(luò)或智能代理。權(quán)限是與客體緊密相關(guān)的，不同的系統(tǒng)，其權(quán)限規(guī)定是不同的，既可以指網(wǎng)絡(luò)的應(yīng)用，如對某個子網(wǎng)的訪問權(quán)限，也可以指對數(shù)據(jù)庫的表單等的訪問。 RBAC 模型在 MVC 網(wǎng)站中的應(yīng)用 由需求分析可知，需要為企業(yè)內(nèi)部網(wǎng)管理系統(tǒng)設(shè)計一個用戶權(quán)限管理的功能模塊，從而達到對用戶權(quán)限進行管理的目的。 通過以下幾個步驟，可以將 RBAC 模型應(yīng)用在 MVC 網(wǎng)站中。 （ 2）建立權(quán)限節(jié)點的概念。角色與節(jié)點對應(yīng)好之后，也就意味著角色與某一個或某一組功能操作菜單建立了關(guān)聯(lián)。具有了某些權(quán)限，也就意味著擁有了某些功能（對系統(tǒng)的操作和管理）。在用戶甲和乙登陸系統(tǒng)后，就會看到自己所具有的功能菜單，其他用戶的功能菜單是非可見的，從而實現(xiàn)了訪問控制。良好的設(shè)計不但能減少因數(shù)據(jù)保存不當(dāng)造成的對系統(tǒng)的損害，而且能顯著地提高系統(tǒng)的性能。有鑒于此，我們在系統(tǒng)中采用了數(shù)據(jù)庫方式作為本系統(tǒng)數(shù)據(jù)存儲方案。如表 32 所示。如表 34所示。如表 36所示。如表 38所示 。如表 310 所示。系統(tǒng)功能添加的實現(xiàn)過程可以描述為： 圖 31 系統(tǒng)功能模塊實現(xiàn)的流程圖 從圖 31可以看出，用戶在試圖添加一個系統(tǒng)功能時，應(yīng)該首先填寫表單，填寫好表單后，點擊表單的提交按鈕之后，會觸發(fā)一個請求事件（ Action），該瀏覽器 ActionForm 類 Action 類 提交表單 封裝表單數(shù)據(jù) 調(diào)用 查找 JavaBean 轉(zhuǎn)向 數(shù)據(jù)庫 18 事件由頁面的表單指定。在相應(yīng)的 JavaBean 中，完成與數(shù)據(jù)庫的交互，實現(xiàn)對數(shù)據(jù)的添加。,39。,39。,39。 + )； try { Statement insert_stmt = (,READ_ONLY)； (sql)； b = true； ()； } catch (SQLException e) { ()； } return b； } ?? //其他業(yè)務(wù)函數(shù) } 系統(tǒng)權(quán)限模塊的實現(xiàn) 為了方便的進行權(quán)限的設(shè)置和角色的管理，借助 SWT Designer（ Eclipse的一個插件，專門用來有界面的 Java 應(yīng)用程序）開發(fā)了一個專門用于管理權(quán)限節(jié)點和系統(tǒng)角色的應(yīng)用程序。 用來實現(xiàn)這一功能的 Java 類是 ，具體實現(xiàn)代碼如下。 + yhid[i] + 39。 + jsid + 39。 /** * 獲得用戶的權(quán)限樹 */ public ArrayList getUserTree(String userId) { ArrayList array = new ArrayList()； String sql = select p_jdb.* from (select * from ( select * 27 from p_yhjsb where yhid=39。 29 第四章 系統(tǒng)測試 系統(tǒng)測試 測試環(huán)境 測試環(huán)境下使用的操作系統(tǒng)是 Windows XP(SP2 )， cpu 為 P4 ，內(nèi)存256 兆。 測試方案 為了驗證 RBAC 模型在具體系統(tǒng)中的訪問控制效果，進行了如