【正文】 素之一，因?yàn)檫@涉及到網(wǎng)站的建設(shè)者、網(wǎng)站用戶的諸多安全問題，如果不處理好，可能會(huì)給系統(tǒng)的使用者和管理者帶來嚴(yán)重問題。通過使用 RBAC 模型，可以避免在系統(tǒng)中書寫負(fù)責(zé)的控制邏輯來進(jìn)行訪問控制。通過在系統(tǒng)中使用 RBAC 模型，可以 很好的解決如下的問題： 權(quán)限管理混亂的問題。對(duì)頁面的空 間約束可以分成分網(wǎng)段、分樓層、分房間、分 IP 地址等不同層次的控制。周期時(shí)間約束是指對(duì)那些功能和數(shù)據(jù)周期性開放的頁面進(jìn)行訪問控制。 頁面是 Web 應(yīng)用系統(tǒng)中最重要的元素，控制頁面訪問是整個(gè)系統(tǒng)安全的重要條件。如對(duì) Web 頁面多維度和細(xì)粒度控制，對(duì)角色、功能、節(jié)點(diǎn)的靜態(tài)限制和對(duì)角色的動(dòng)態(tài)限制。職責(zé)分離的概念包括：多路共享資源，用功能分解命名互相區(qū)分的權(quán)限集，對(duì)用戶進(jìn)行強(qiáng)制分類，允許層次性的分解權(quán)限。實(shí)現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項(xiàng)工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。 活躍角色集（ ARS）：一個(gè)對(duì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集被稱為活動(dòng)角色集， ARS 決定了本次會(huì)話的許可集。相對(duì)于靜態(tài)的角色授權(quán)來說，角色激活是一種動(dòng)態(tài)的過程，提供了相當(dāng)?shù)撵`活性。權(quán)限指派指角色按其職責(zé)范圍與一組操作權(quán)限相關(guān)聯(lián)。 用戶指派（ User Assignment）：用戶與角色之間的關(guān)系是多對(duì)多的關(guān)系。對(duì)應(yīng)于組織中某一特定的職能崗位，代表特定的任務(wù)范疇。 在 RBAC 中，涉及到的基本概念如下： 用戶 （ User）：系統(tǒng)的使用者。 Ravi Sandhu 和 他領(lǐng)導(dǎo)的位于 Gee Mason 大學(xué)的信息安全技術(shù)實(shí)驗(yàn)室（ LIST）于 1996 年提出了著名的 RBAC96 模型，將傳統(tǒng)的 RBAC 模型根據(jù)不同需要拆分成四種嵌套的模型并給出形式化定義，極大的提高了系統(tǒng)靈活性和可用性。 RBAC 模型概述 RBAC原理簡介 1992 年，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（ NIST）的 David Ferraiolo 和 Rick Kuhn 在綜合了大量的實(shí)際研究之后，率先提出基于角色的訪問控制模型框架，并給出了 RBAC 模型的一種形式化定義。在該模塊中，可以為系統(tǒng)設(shè)定不同的用戶，分配不同的權(quán)限。 縱觀現(xiàn)在的 Web 系統(tǒng)，大都存在這樣的問題：功能雖強(qiáng)大，但是卻存在很多 3 的安全隱患。 基于 MVC 模式建設(shè) Web 站點(diǎn)系統(tǒng)，可以提高代碼的重用性；可以提高代碼的可維護(hù)性；可以提高編寫程序的效率。因?yàn)?模型是獨(dú)立于視圖的，所以可以把一個(gè)模型獨(dú)立地移植到新的平臺(tái)工作。 MVC 作為構(gòu)建網(wǎng)站系統(tǒng)的主流設(shè)計(jì)模式，有其自身的特點(diǎn)和優(yōu)勢(shì)，具體表現(xiàn)在： （ 1）可以為一個(gè)模型在運(yùn)行時(shí)同時(shí)建立和使用多個(gè)視圖。通過 Inter 或 Intra，企業(yè)的管理變得更加方便；企業(yè)的信息發(fā)布變得更加便捷；企業(yè)的市場(chǎng)開拓變得更加簡便。 關(guān)鍵詞 ： MVC、 RBAC、訪問控制、角色、權(quán)限。 1 基于 MVC架構(gòu)的網(wǎng)站 RBAC 訪問控制框架設(shè)計(jì)與實(shí)現(xiàn) 畢業(yè)設(shè)計(jì)論文 2 摘 要 一個(gè)實(shí)際的商務(wù)網(wǎng)站系統(tǒng)除了需要關(guān)注于功能需求之外，還需要考慮很多非功能性需求，安全性就是其中一個(gè)非常重要的方面。并將其用于某一具體的商務(wù)系統(tǒng)中，給出了實(shí)現(xiàn)過程。 2 第一章 課題背景 MVC 概述 由于 Inter 的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展，大部分的企業(yè)或單位都擁有了自己的 Web 站點(diǎn)。 現(xiàn)在用來建立 Web 站點(diǎn)的工具和編程語言主要有 ASP、 PHP 和 JSP，使用的設(shè)計(jì)模式是 MVC。 （ 3） 模型的可移植性?？梢曰诖四Ｐ徒?yīng)用程序框架，不僅僅是用在設(shè)計(jì)界面的設(shè)計(jì)中。通過訪問控制，一方面只有 合法的用戶才可以安全、正確的使用系統(tǒng)，非法的用戶是無法登陸系統(tǒng)進(jìn)行操作；的；另一方面合法的用戶登錄系統(tǒng)之后，由于用戶的類型不同，就會(huì)存在不用的用戶在訪問系統(tǒng)時(shí)具有不同的權(quán)限，比如一個(gè)企業(yè)或公司的經(jīng)理往往會(huì)比企業(yè)或公司的員工具有更多的權(quán)限和功能，相應(yīng)的用戶登錄系統(tǒng)之后，他們只能行使系統(tǒng)準(zhǔn)許他們的權(quán)限。此外，現(xiàn)在大部分 Web 系統(tǒng)中都缺少一個(gè)良好的訪問控制模塊。只有在保證了安全性的前提下，功能的完整性和操作的簡便性才變得有意義。 1995 年他們以一種更直觀的方式對(duì)該模型進(jìn)行了描述。絕大多數(shù)基于角色的訪問控制研究都以這兩個(gè)模型作為出發(fā)點(diǎn)。權(quán)限分配的單位與載體，目的是隔離用戶與權(quán)限的邏輯關(guān)系。在應(yīng)用中，許可受到特定應(yīng)用 4 邏輯的限制。 權(quán)限指派（ Permission Assignment）：角色與權(quán)限之間的關(guān)系也是多對(duì)多的關(guān)系。用戶訪問的時(shí)候?qū)嶋H具有的角色只包含激活后的 角色，未激活的角色在訪問中不起作用。用戶與會(huì)話是一對(duì)多關(guān)系，一個(gè)用戶可同時(shí)打開多個(gè)會(huì)話。 最小權(quán)限原則（ the Least Privilege Rule） 所謂最小權(quán)限原則是指：用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所需的權(quán)限。 職責(zé)分離（ Separation of Duty） 對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作。 為更真實(shí)的描述現(xiàn)實(shí)， RBAC 模型還有許多的控制機(jī)制。模型中有了這些限制才更完整、更真實(shí)地反應(yīng)現(xiàn)實(shí)，從而使實(shí)際模型細(xì)化的過程更加平滑，現(xiàn)實(shí)和計(jì)算機(jī)實(shí)現(xiàn)策略達(dá)到較好的融合。一般時(shí)間約束是指從 一個(gè)時(shí)間點(diǎn)持續(xù)到另一時(shí)間點(diǎn)之間可以訪問某個(gè)頁面，例如，企業(yè)商務(wù)系統(tǒng)中的商品招標(biāo)頁面，它在某一指定時(shí)間段內(nèi)開放，對(duì)這種約束可以在用戶訪問網(wǎng)頁的時(shí)候判斷訪問時(shí)間是否在允許范圍內(nèi)。一般系統(tǒng)的高層用戶都有一個(gè)固定的 IP 段，就可以對(duì)那些重要的頁面設(shè)置允許訪問的 IP 范圍來達(dá)到對(duì)關(guān)鍵資源的保護(hù)。 通過了解 RBAC模型的原理和 RBAC模型中對(duì)訪問控制的支持，我們可以看出，RBAC 模型可以很好的應(yīng)用于已有或?qū)⒁_發(fā)的企業(yè)商務(wù) Web 系統(tǒng)中。 控制邏輯混亂的問題。在企業(yè)商務(wù) Web系統(tǒng)中利用 RBAC 模 型，可以簡便、科學(xué)、清晰地進(jìn)行訪問控制，從而在一定程度上提高了整個(gè) Web 系統(tǒng)的安全性。例如如果是年齡，就得限定必須是數(shù)字，大小必須限定在一個(gè)范圍之間，比如說 18120之間。 （ 3） MD5 加密技術(shù) MD5 的全稱是 MessageDigest Algorithm 5，當(dāng)用戶登錄的時(shí)候，系統(tǒng)把用戶輸入的密碼計(jì)算成 MD5 值，然后再去和保存在文件系統(tǒng)中的 MD5 值進(jìn)行比較，進(jìn)而確定輸入的密碼是否正確。而圖片、文件一般是不能自動(dòng)備份，需要手工操作，所以我們必須要定期手工對(duì)網(wǎng)站的圖片、文件進(jìn)行備份操作。 自主訪問控制，允許把訪問控制權(quán)的授予和取消留給個(gè)體用戶來判斷。對(duì)于這些組織，公司或代理機(jī)構(gòu)是事實(shí)上的系統(tǒng)客體和處理他們的程序的擁有者。強(qiáng)制訪問控制（ MAC）的主要特征是對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。 強(qiáng)制訪問控制一般與自主訪問控制結(jié)合使用，并且實(shí)施一些附加的、更強(qiáng)的訪問限制。在這樣的環(huán)境下，安全目標(biāo)支持產(chǎn)生于現(xiàn)有法律、道德規(guī)范、規(guī)章、或一般慣例的高端組織策略。定義角色的過程應(yīng)該基于對(duì)組織運(yùn)轉(zhuǎn)的徹底分析，應(yīng)該包括來自一個(gè)組織中更廣范圍用戶的輸入。 RBAC 訪問控制模型實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，減少了授權(quán)管理的復(fù)雜性，降低了管理開銷和管理的復(fù)雜度。 從目前的應(yīng)用現(xiàn)狀來看，以 MVC 為架構(gòu)而建成的 WEB 網(wǎng)站特別是商務(wù)網(wǎng)站的數(shù)量較為龐大，而由于其自身的管理特性，對(duì)安全措施的要求也越來越高，這就要求我們找到一種更為有效的權(quán)限管理方法去適應(yīng)網(wǎng)站對(duì)訪問控制技術(shù)的要求。 圖 21 系統(tǒng)功能模塊圖 部門管理模塊：針對(duì)公司內(nèi)部的所 有的部門進(jìn)行管理，用戶可以方便地添加部門、修改部門信息、刪除某一部門和查詢某一部門的信息。 信息查看模塊：針對(duì)公司員工設(shè)計(jì)的功能模塊，通過該模塊員工可以方便的查看自己的基本信息，工資信息以及所負(fù)責(zé)的工程項(xiàng)目信息。 在上述的商務(wù)系統(tǒng)中，在安全性上一般會(huì)有如下的要求： 能夠很好的實(shí)現(xiàn)訪問控制。公司中存在著一些決定企業(yè)利益的信息，這些信息只能由公司的管理人員來查看和管理，任何非法的侵入都有可能造成不良的后果。 業(yè)務(wù)邏輯層（ Business Layer）：運(yùn)行在 J2EE Web 容器中，完成系統(tǒng)的業(yè)務(wù)需求，為 Web 層提供所需的業(yè)務(wù)方法，由 JavaBean 構(gòu)成系統(tǒng)的 Business Objects（ BO），并使用 DAO 模式把數(shù)據(jù)訪問封裝起來，以供在其他應(yīng)用層中統(tǒng)一調(diào)用。此外，系統(tǒng)是由Java 來開發(fā)實(shí)現(xiàn)的， Java 的跨平臺(tái)特性實(shí)現(xiàn)了系統(tǒng)的可移植性。 圖 23 RBAC 模型 核心 RBAC 模型的組成部分是： Users：用戶集 {u1， u2， u3?? ， un}； Roles：角色集 {r1， r2， r3，?? ， rn}； OPS：操作集 {op1， op2， op3，??， opn} OBJ：客體集 {obj1， obj2， obj3，??， objn} P= OPS X 0BJ：權(quán)限集是不同客體上不同操作的描述 {pl， p2， p3， .? ， pn} 12 R olesU sersUA *? ：用戶 — 角色分配關(guān)系：多對(duì)多； Assignedusers： ，角色與用戶的映射，將一個(gè)角色與一組用戶相映射； ：權(quán)限 角色分配關(guān)系，多對(duì)多； Assigned privileges ： ，角色與權(quán)限的映射，將一個(gè)角色與一組權(quán)限相映射； Session ：會(huì)話集 {s1， s2， s3，??， sn } User_sessions ： ，用戶與會(huì)話的映射，將一個(gè)用戶與一個(gè)會(huì)話相映射； Session_roles ： ，會(huì)話與角色的映射，將一個(gè)會(huì)話與一組角色相映射； Avail_session_privilege ： ，在一次會(huì)話中一個(gè)用戶允許的權(quán)限； 用戶：不僅指人，也可以指機(jī)器，網(wǎng)絡(luò)或智能代理。權(quán)限是與客體緊密相關(guān)的，不同的系統(tǒng)，其權(quán)限規(guī)定是不同的，既可以指網(wǎng)絡(luò)的應(yīng)用，如對(duì)某個(gè)子網(wǎng)的訪問權(quán)限，也可以指對(duì)數(shù)據(jù)庫的表單等的訪問。 RBAC 模型在 MVC 網(wǎng)站中的應(yīng)用 由需求分析可知，需要為企業(yè)內(nèi)部網(wǎng)管理系統(tǒng)設(shè)計(jì)一個(gè)用戶權(quán)限管理的功能模塊，從而達(dá)到對(duì)用戶權(quán)限進(jìn)行管理的目的。 通過以下幾個(gè)步驟，可以將 RBAC 模型應(yīng)用在 MVC 網(wǎng)站中。 （ 2）建立權(quán)限節(jié)點(diǎn)的概念。角色與節(jié)點(diǎn)對(duì)應(yīng)好之后，也就意味著角色與某一個(gè)或某一組功能操作菜單建立了關(guān)聯(lián)。具有了某些權(quán)限，也就意味著擁有了某些功能（對(duì)系統(tǒng)的操作和管理）。在用戶甲和乙登陸系統(tǒng)后，就會(huì)看到自己所具有的功能菜單，其他用戶的功能菜單是非可見的，從而實(shí)現(xiàn)了訪問控制。良好的設(shè)計(jì)不但能減少因數(shù)據(jù)保存不當(dāng)造成的對(duì)系統(tǒng)的損害，而且能顯著地提高系統(tǒng)的性能。有鑒于此，我們?cè)谙到y(tǒng)中采用了數(shù)據(jù)庫方式作為本系統(tǒng)數(shù)據(jù)存儲(chǔ)方案。如表 32 所示。如表 34所示。如表 36所示。如表 38所示 。如表 310 所示。系統(tǒng)功能添加的實(shí)現(xiàn)過程可以描述為： 圖 31 系統(tǒng)功能模塊實(shí)現(xiàn)的流程圖 從圖 31可以看出，用戶在試圖添加一個(gè)系統(tǒng)功能時(shí)，應(yīng)該首先填寫表單，填寫好表單后，點(diǎn)擊表單的提交按鈕之后，會(huì)觸發(fā)一個(gè)請(qǐng)求事件（ Action），該瀏覽器 ActionForm 類 Action 類 提交表單 封裝表單數(shù)據(jù) 調(diào)用 查找 JavaBean 轉(zhuǎn)向 數(shù)據(jù)庫 18 事件由頁面的表單指定。在相應(yīng)的 JavaBean 中，完成與數(shù)據(jù)庫的交互，實(shí)現(xiàn)對(duì)數(shù)據(jù)的添加。,39。,39。,39。 + )； try { Statement insert_stmt = (,READ_ONLY)； (sql)； b = true； ()； } catch (SQLException e) { ()； } return b； } ?? //其他業(yè)務(wù)函數(shù) } 系統(tǒng)權(quán)限模塊的實(shí)現(xiàn) 為了方便的進(jìn)行權(quán)限的設(shè)置和角色的管理，借助 SWT Designer（ Eclipse的一個(gè)插件，專門用來有界面的 Java 應(yīng)用程序）開發(fā)了一個(gè)專門用于管理權(quán)限節(jié)點(diǎn)和系統(tǒng)角色的應(yīng)用程序。 用來實(shí)現(xiàn)這一功能的 Java 類是 ，具體實(shí)現(xiàn)代碼如下。 + yhid[i] + 39。 + jsid + 39。 /** * 獲得用戶的權(quán)限樹 */ public ArrayList getUserTree(String userId) { ArrayList array = new ArrayList()； String sql = select p_jdb.* from (select * from ( select * 27 from p_yhjsb where yhid=39。 29 第四章 系統(tǒng)測(cè)試 系統(tǒng)測(cè)試 測(cè)試環(huán)境 測(cè)試環(huán)境下使用的操作系統(tǒng)是 Windows XP(SP2 )， cpu 為 P4 ，內(nèi)存256 兆。 測(cè)試方案 為了驗(yàn)證 RBAC 模型在具體系統(tǒng)中的訪問控制效果，進(jìn)行了如