【導(dǎo)讀】立進(jìn)行研究所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本論文不。究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。的法律責(zé)任由本人承擔(dān)。保存論文和匯編本學(xué)位論文。

　　

【正文】 行一般性的數(shù)據(jù)權(quán)限配置；能根據(jù)業(yè)務(wù)功能和操作類(lèi)型進(jìn)行數(shù)據(jù)權(quán)限的控制 ；能否實(shí)現(xiàn)常見(jiàn)業(yè)務(wù)的處理， 例如支持一人多崗單用戶(hù)處理業(yè)務(wù)； 支持輪崗制度下用戶(hù)權(quán)限的 移交 ； 用戶(hù)可以指定自己 的代理人進(jìn)行代理操作； 批量授予用戶(hù)同一角色 ； 能實(shí)現(xiàn)權(quán)限分層管理以及權(quán)限繼承等復(fù)雜的數(shù)據(jù)權(quán)限管理功能 。 2. 系統(tǒng)可以擴(kuò)展 ， 預(yù)留權(quán)限等 接 口，便于信息系統(tǒng)增加業(yè)務(wù)功能調(diào)用。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 6 統(tǒng)一用戶(hù)管理系統(tǒng) 單點(diǎn)登錄 用戶(hù)管理 機(jī)構(gòu)管理 角色管理 授權(quán)管理 用戶(hù)認(rèn)證 委托管理 系統(tǒng)管理 第三方應(yīng)用系統(tǒng)集成 OA 系統(tǒng) 新建系統(tǒng) 人事系統(tǒng) 其他系統(tǒng) CA 認(rèn)證 LDAP WEB服務(wù)器 用戶(hù) 管理員 R D B M S 外部應(yīng)用 IP 策略 口令 ( M D 5 ) 監(jiān)控審計(jì) 用戶(hù)信息 系統(tǒng)信息 圖 21 基于角色分級(jí)授權(quán)管理安全體系 圖示 從部署的內(nèi)外結(jié)構(gòu)上 要求能夠依次對(duì)系統(tǒng)安全進(jìn)行控制 。 能夠限制登陸著的來(lái)源，可以識(shí)別登陸著的合法性，可以依據(jù) 其賦予的權(quán)限進(jìn)行業(yè)務(wù)操作，能夠?qū)I(yè)務(wù)操作進(jìn)行監(jiān)控、審計(jì)。 概要設(shè)計(jì) 本項(xiàng)目將根據(jù) GB/T － 1995（信息處 理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型―安全體系結(jié)構(gòu)）、 ISO17799(信息技術(shù)－信息安全管理業(yè)務(wù)規(guī)范 )、 RBAC[4]（ Role Based Access Control）、 SAML（ Security Assertion Markup Language ）等國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求提供中央安全管理服務(wù)器： 中央安全管理服務(wù)器將面向業(yè)務(wù)系統(tǒng)提供加密、完整性、實(shí)體鑒別（ SSO，單點(diǎn)登錄）、訪(fǎng)問(wèn)控制 [5]等安全服務(wù)。其運(yùn)行機(jī)制如下圖所示： 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 7 S OA 應(yīng)用 外部 代理人 客戶(hù) 合作伙伴 內(nèi)部 信息部門(mén) 員工 S OA 應(yīng)用 審計(jì) 訪(fǎng)問(wèn)控制 實(shí)體鑒別 策略與流程 目錄服務(wù) 實(shí)體身份服務(wù) 監(jiān)控 應(yīng)用程序 E R P CRM 大型主機(jī) OS 系統(tǒng)與目錄服務(wù) HR 目錄服務(wù)器 I d e n t it y M a n a g e m e n t S e r v ice 圖 22 運(yùn)行機(jī)制圖 安 全管理環(huán)境產(chǎn)品采用統(tǒng)一機(jī)制實(shí)現(xiàn)單點(diǎn)登錄、身份認(rèn)證、用戶(hù)管理、權(quán)限管理、系統(tǒng)監(jiān)控等安全控制，并提供包括 PKI/CA 數(shù)字簽名等多憑證的支持。在系統(tǒng)監(jiān)控方面則提供對(duì)服務(wù)中間件、操作系統(tǒng)、數(shù)據(jù)庫(kù)等監(jiān)控對(duì)象的多視角監(jiān)控和報(bào)表、 WEB 視圖全方位的展現(xiàn)形式。 企業(yè)安全層次模型如下所示： 應(yīng)用系統(tǒng) 驗(yàn)證 授權(quán) 完整性 審計(jì) 系統(tǒng) /網(wǎng)絡(luò)管理 圖 23 企業(yè)安全層次模型圖 驗(yàn)證包括單向驗(yàn)證和雙向驗(yàn)證。用戶(hù)驗(yàn)證系統(tǒng)時(shí)，信息有可能被截取 。 解決方法：數(shù)字證書(shū)。 支持基于傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)的認(rèn)證、基于 LDAP 的身份認(rèn)證，支持單點(diǎn)登錄 （ SSO） 。 授權(quán)層驗(yàn)證證實(shí)了正確的用戶(hù)登錄到系統(tǒng)， 承擔(dān)著使用安全性策略調(diào)整指定的用戶(hù)可以訪(fǎng)問(wèn)系統(tǒng)中的 哪 些資源 ， 能實(shí)現(xiàn)統(tǒng)一權(quán)限管理 。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 8 完整性是企業(yè)系統(tǒng)中保證數(shù)據(jù)不被沒(méi)有修改權(quán)限的人修改。解決方法：數(shù)字簽名 、電子印章 。 審計(jì)可以 捕獲安全性相關(guān)事件記錄的操作 。 目的：審計(jì)對(duì)預(yù) 防和追究非法操作至關(guān)重要； 審計(jì)可以發(fā)現(xiàn)系統(tǒng)中可能存在的問(wèn)題 ； 審計(jì)可以防止授權(quán)用戶(hù)越級(jí)操作 ，具有防抵賴(lài)功能 。 授權(quán)數(shù)據(jù)庫(kù) 安全管理員 引用監(jiān)視器 用戶(hù) 鑒別 訪(fǎng)問(wèn)控制 審計(jì) 訪(fǎng)問(wèn)目標(biāo) 圖 24 審計(jì)模式 設(shè)計(jì)原則 1. 分權(quán)制衡原則。安全管理采取分權(quán)制衡的原則，避免 操作權(quán)利過(guò)分集中，否則一旦出現(xiàn)問(wèn)題就將全線(xiàn)崩潰。 2. 最小特權(quán)原則。對(duì)信息、信息系統(tǒng)的訪(fǎng)問(wèn)采用最小特權(quán)原則。任何實(shí)體（用戶(hù)、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該主體需要完成其被指定任務(wù)所必須的特權(quán)，不應(yīng)享有任何多余特權(quán)。 3. 失效保護(hù)原則。系統(tǒng)運(yùn)行錯(cuò)誤或故障時(shí)必須拒絕非授權(quán)訪(fǎng)問(wèn)，阻斷非授權(quán)人員進(jìn)入內(nèi)部系統(tǒng)，直至必要時(shí)以犧牲使用為代價(jià)確保安全。 4. 職責(zé)分離原則。職責(zé)分離是降低意外或故意濫用系統(tǒng)風(fēng)險(xiǎn)的一種方法。為減小未經(jīng)授權(quán)的修改或?yàn)E用信息或服務(wù)的機(jī)會(huì)，對(duì)特定職責(zé)或責(zé)任領(lǐng)域的管理和執(zhí)行功能實(shí)施分離。有條件的組織或機(jī)構(gòu)，應(yīng)執(zhí) 行專(zhuān)職專(zhuān)責(zé)。如職責(zé)分離比較困難，應(yīng)附加其他的控制措施，如行為監(jiān)視，審計(jì)跟蹤和管理監(jiān)督。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 9 5. 審計(jì)獨(dú)立原則。審計(jì)獨(dú)立，才能保證公正。 6. 控制社會(huì)影響原則。非涉密信息的完整性、可用性對(duì)社會(huì)具有相當(dāng)重大的影響，同樣應(yīng)針對(duì)其風(fēng)險(xiǎn)程度予以保護(hù)。 主要 功能 主要包括 登陸 限制 、 身份驗(yàn)證 、 權(quán)限管理、系統(tǒng) 審計(jì) 等 4部分 ： 權(quán)限管理 身份驗(yàn)證 系統(tǒng)審計(jì) 登陸限制 安全管理體系 圖 25 安全管理體系結(jié)構(gòu) 圖 1. 登陸 限制 ： 為了保證用戶(hù)帳號(hào)的安全， 限制 IP策略。 只有 IP沒(méi)有限制的用戶(hù)，通過(guò)正確的登錄口令才可登陸。其中 IP策略分為系統(tǒng)級(jí) IP策略和用戶(hù)級(jí) IP策略，系統(tǒng)級(jí) IP策略是一個(gè)全局的 IP策略，對(duì)所有的用戶(hù)有效。用戶(hù)級(jí) IP策略是作用在單個(gè)用戶(hù)上的，是一個(gè)個(gè)性化的策略。對(duì)與不符合 IP策略的請(qǐng)求，即使用戶(hù)名密碼正確系統(tǒng)也不允許該用戶(hù)登錄。 采用登陸用戶(hù)及 密碼匹配 的方式，對(duì) 通過(guò) IP策略放行的用戶(hù)，進(jìn)行登陸限制，用戶(hù)不符或者密碼不符者不能登陸。 2. 身份驗(yàn)證 ： 用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)的 類(lèi) 圖 及時(shí)序圖 ： 圖 26 用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)的 類(lèi) 圖 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 10 : 用戶(hù)登錄入口模塊 身份認(rèn)證模塊 權(quán)限控制模塊 業(yè)務(wù)模塊1 ：訪(fǎng)問(wèn)系統(tǒng)2 ：提交身份憑證3 ：驗(yàn)證用戶(hù)身份4 ：關(guān)聯(lián)用戶(hù)對(duì)應(yīng)的權(quán)限5 ：登錄系統(tǒng) 圖 27 用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)的 時(shí)序 圖 登錄入口模塊：是用戶(hù)訪(fǎng)問(wèn)系統(tǒng)的初始入口，用來(lái)控制對(duì)用戶(hù)登錄界面的轉(zhuǎn)向。用戶(hù)通過(guò) 登錄界面提交身份憑證。 例：用戶(hù)名和密碼登錄方式時(shí)，登錄界面就是一個(gè)提示輸入用戶(hù)名和密碼的表單界面； 采用證書(shū) 登錄時(shí)，該登錄界面就是一個(gè)能自動(dòng)獲取用戶(hù)數(shù)字證書(shū)的頁(yè)面，在瀏覽器上沒(méi)有任何頁(yè)面展現(xiàn)。 身份認(rèn)證模塊：對(duì)用戶(hù)提交的身份憑證進(jìn)行驗(yàn)證，驗(yàn)證合法后，構(gòu)建系統(tǒng)用戶(hù)信息。 權(quán)限控制模塊：關(guān)聯(lián)用戶(hù)對(duì)應(yīng)的系統(tǒng)權(quán)限，不同的用戶(hù)在系統(tǒng)中有不同的訪(fǎng)問(wèn)權(quán)限。 業(yè)務(wù)模塊：進(jìn)行實(shí)際的業(yè)務(wù)處理。 3. 權(quán)限管理： 角色就是組織結(jié)構(gòu)環(huán)境中具有某些關(guān)聯(lián)語(yǔ)義的職責(zé)功能，這些功能和用戶(hù)的權(quán)限和職責(zé)有關(guān)，而用戶(hù)是分配給角色的。在權(quán)限管理模型中，角 色只與功能權(quán)限關(guān)聯(lián)。角色之間可以繼承， 或者說(shuō) 角色分級(jí)，角色 A繼承了角色 B， A就有了 B的功能權(quán)限。角色之間可以建立靜態(tài)約束，即如果角色 A和 B具有利益沖突而不能山 東 大 學(xué) 碩 士 學(xué) 位 論 文 11 同時(shí)分配給同一個(gè)用戶(hù)的話(huà)，可以通過(guò)定義不相容角色集來(lái)設(shè)置角色之間的互斥關(guān)系。角色隸屬于法人，每個(gè)法人都有自己的單獨(dú)角色集，為了減輕集團(tuán)用戶(hù)的安全管理負(fù)擔(dān)，管理員可以通過(guò)定義角色模板，將模板中的角色應(yīng)用到下屬子公司，以實(shí)現(xiàn)角色的自動(dòng)復(fù)制。 角色對(duì)應(yīng)的 權(quán)限 ，分為功能資源權(quán)限和數(shù)據(jù)資源權(quán)限。 功能資源管理 又 分為三級(jí)管理，第一級(jí)就是模塊，第二級(jí)是功能，第三級(jí)是操作 ， 即 要分配給角色的操作。 例如“工作流”是模塊級(jí)，“工作流”模塊中的“表單管理”是功能級(jí)，“表單管理”具體的 增、刪、改、查等屬于操作級(jí)。 除了功能資源，還定義數(shù)據(jù)資源，數(shù)據(jù)資源直接分配給用戶(hù)，在 “ 定義用戶(hù) ”的數(shù)據(jù)權(quán)限標(biāo)簽中進(jìn)行管理。數(shù)據(jù)資源類(lèi)型既包括組織結(jié)構(gòu)組建中的組織類(lèi)型，也可以動(dòng)態(tài)的增加數(shù)據(jù)資源類(lèi)型。 4. 系統(tǒng) 審計(jì) ： 系統(tǒng)審計(jì) 包括 三大部分 ： 在線(xiàn)用戶(hù)：該服務(wù)提供實(shí)時(shí)的在線(xiàn)用戶(hù)監(jiān)控功能，管理員可以隨時(shí)監(jiān)控系統(tǒng)的使用情況，并可在緊急情況下終止用戶(hù)會(huì)話(huà)。 用戶(hù)在線(xiàn)歷史紀(jì)錄：用戶(hù)在線(xiàn)歷史記錄提供追蹤用戶(hù)歷史使用系統(tǒng) 記錄的功能。管理員可根據(jù)認(rèn)證記錄追蹤用戶(hù)在登錄系統(tǒng)過(guò)程中的所做的具體操作記錄。 安全日志： 系統(tǒng)對(duì)于用戶(hù)在使用系統(tǒng)期間的關(guān)鍵操作進(jìn)行 記錄，管理員可以根據(jù)需要實(shí)時(shí)查看 安全日志 ，監(jiān)控系統(tǒng)資源的使用情況，以防范和化解系統(tǒng)安全風(fēng)險(xiǎn)。 本章小結(jié) 本章分析了作為 應(yīng)用支撐平臺(tái)在安全管理體系方面的主要需求：實(shí)體鑒別、訪(fǎng)問(wèn)控制、防抵賴(lài)、加密、完整性，并給出了主要模塊的概要設(shè)計(jì)。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 12 第 3 章 IP 策略的 設(shè)計(jì)與實(shí)現(xiàn) 設(shè)計(jì)思路 系統(tǒng)級(jí) IP 策略 1. 在 中增加一個(gè)控制是否啟用系統(tǒng)級(jí) IP 策略的開(kāi)關(guān)。 2. 增加一個(gè)配置文件 WEBINF\classes\ 用來(lái)記錄允許和禁止的 IP 地址。該配置文件的格式如下： ?xml version= encoding=UTF8? root allow group start/start end/end /group group start.*/start end0/end /group group start/start end0/end /group /allow root unallow group start/start end/end /group group start.*/start end0/end /group 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 13 group start/start end0/end /group /unallow /root 該配置文件的 schema格式為： ?xml version= encoding=UTF8? xs:schema xmlns:xs= elementFormDefault=qualified xs:element name=root xs:plexType xs:sequence xs:element name=allow maxOccurs=unbounded minOccurs=0 /xs:element xs:element name=unallow maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=allow xs:plexType xs:sequence xs:element name=group maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=unallow xs:plexType xs:sequence xs:element name=group maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=group xs:plexType xs:sequence xs:element name=start maxOccurs=unbounded 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 14 minOccurs=0 /xs:element xs:element name=end maxOccurs=unbounded minOccurs=0 /xs:element /xs:sequence /xs:plexType /xs:element xs:element name=start type=xs:string/xs:element xs:element name=end type=xs:strin