应用系统访问控制的研究与实现

应用系统访问控制的研究与实现

朱佃波[1]2008年在《Web信息系统中统一细粒度访问控制的研究》文中指出随着互联网技术的不断发展,绝大多数企事业单位为了更方便地管理和发布信息,已经开始构建或升级基于B/S模式的Web信息系统。由于B/S模式自身的特点,其对安全的访问控制能力较弱,所以,如何构建安全的Web信息系统已经成为当前的一个研究热点。而采用细粒度的访问控制能够在一定程度上提高Web信息系统的安全性以及访问控制的灵活性。文中首先分析了Web信息系统及其客体的一般结构,对NIST的RBAC模型在客体方面进行了相应扩展,给出了OHRBAC模型及其形式化描述;其次,设计并开发了细粒度访问控制中间件—OHRBAC4J,从MVC编程模式的角度详细阐述了其在视图层和控制器层的模块化实现;最后,通过某高校人事信息管理系统分析了OHRBAC4J中间件的具体应用,以及如何基于该中间件构建多Web信息系统的统一访问控制。细粒度访问控制中间件OHRBAC4J实现了Java Web信息系统中页面元素级和控制器层响应方法级的访问控制,与已有的方案相比具有更细的控制粒度和更高的执行效率,可以大大提高系统的安全性和访问控制的灵活性。而且,模块化的方法不但方便了系统的开发、测试、升级和维护,还提高了系统的整体性能和可移植性,具有较强的适用能力。同时,本文对RBAC模型在客体方面的扩展,对促进同类问题的研究具有一定的理论价值和借鉴意义。

王亮亮[2]2008年在《RBAC技术在管理系统中的研究与应用》文中研究指明访问控制技术在企业应用安全中具有重要的意义。然而,传统的访问控制模型却难以满足复杂的企业环境需求。90年代以来,RBAC(Role-Based AccessControl)模型理论得到了深入的研究并运用于现实系统,它实现了用户与访问权限的逻辑分离,借助于角色这个主体,用户通过角色访问资源,大大减少了授权管理的复杂性,而且还能为管理员提供一个比较好的管理环境。但是,当前企业人员流动大、组织结构复杂,由此导致权限分配不灵活、维护成本高等弊端,为了解决这些问题必须在系统开发的理论和实践技术上有所改进。因此,对现有的RBAC模型进行必要的改进和扩展具有重要的理论和实际意义。本文所做的主要工作体现在:1)首先介绍了叁种访问控制策略:强制访问控制(MAC)、自主访问控制(DAC)和基于角色的访问控制(RBAC)等叁种访问控制技术,重点介绍和分析了RBAC技术的概念和它的优缺点。2)结合目前企业的管理现状和RBAC基本模型所存在的不足提出了相应的解决方案,分别从以下叁点对RBAC基本模型进行扩展:一,引入了用户组的概念,对用户进行分组;二,引入对部门的授权,减少授权操作;叁,直接对用户赋予相应权限,为适应临时权限的分配。从而扩展出了一种新的访问控制模型,并对该模型的结构、原则、访问机制以及特点等进行了分析。3)为了系统的实现,本文还就系统开发中所运用的技术进行了展开,分别介绍了目前成熟的MVC模式、Struts和Hibernate框架,最后分析了Hibernate与Struts结合应用的体系结构。4)在实践上,本文通过运用扩展后的模型,以及结合Struts和Hibernate框架技术,开发了一套基于扩展RBAC模型的权限管理系统,最后以技术交流平台为分析实例,让此权限管理系统的扩展性得到了很好的体现。本文对扩展RBAC模型的分析、设计与实现表明,扩展后的基于角色的访问控制模型在大型企业信息管理系统的应用中,具有安全性高、访问控制更严格以及降低开发和维护成本等优点,有着良好的应用前景。

董文超[3]2010年在《VxWorks系统访问控制机制研究》文中认为随着我军信息化程度的不断提高,各种嵌入式武器平台越来越多地装备部队,大幅提高了我军的战斗力,VxWorks嵌入式操作系统以其精干、实时、高效的优越性在信息化武器装备中得到了广泛应用,但由于VxWorks系统本身缺乏安全防护机制,致使基于VxWorks的系统存在诸多安全漏洞,亦对其依托的军事信息系统或武器平台的整体安全构成了严重威胁。研究VxWorks系统的安全机制,增强VxWorks系统的安全性具有重要的军事意义。本文就VxWorks嵌入式系统的访问控制机制进行深入研究。围绕VxWorks武器系统安全需求,在分析BLP、Clark-Wilson、DTE模型的基础上,针对嵌入式系统访问控制机制特点和要求,设计了基于良构变换的多级安全策略模型(Well-formed Transformation_Multi-level Security Model,WT_MLSM)。该模型定义了系统主体的活动范围—域及客体的属性集—型,通过域和型的关系限定主体对客体的操作以保证系统的完整性,通过域内的多级安全规则保证了系统的机密性,通过定义角色来加强系统对用户的权限管理,通过定义良构变换防止合法用户对数据的非法操作。基于VxWorks系统任务调度和I/O系统特点,设计了嵌入式系统访问控制框架(Embedded Framework of Access Control, EFAC),作为WT_MLSM模型访问控制策略的具体实现方案;为提高系统效率,在框架中设计增加了访问请求过滤器,减轻了访问控制决策部件的工作负担;结合VxWorks系统的主体行为特点和应用环境,在决策部件中设计了策略加载引擎,实现了策略的动态加载。根据VxWorks系统的结构特点,确定了访问控制机制的嵌入部位,研究设计了访问控制配套辅助模块,对本文设计的基于WT_MLSM模型的访问控制机制进行了具体实现和应用。本文所提出的访问控制机制实现了嵌入式操作系统任务级的访问控制,为提高VxWorks系统的整体安全性提供了一种重要技术手段,是为满足嵌入式系统高安全性要求进行的有益探索。

廖毅[4]2010年在《涉密信息系统统一身份认证与访问控制的研究与实现》文中研究指明随着计算机网络的快速发展,资源的信息化管理和网络共享被广泛应用到各个领域之中,由于网络结构的复杂性、多个涉密应用系统并存、信息资源的保密性等,都不仅仅要求只对用户进行身份认证,而且也要对用户的访问权限进行严格的控制和审计。涉密信息系统统一身份认证与访问控制平台的设计与实现满足了在多个涉密应用系统并存的情况下,用户身份的认证、权限的集中管理、访问操作的审计以及单点登录的需要,解决了在实施发布多个涉密应用系统时的机构管理混乱、用户信息不一致和权限管理复杂等问题。本文所设计和实现的是一套涉密信息系统统一身份认证与访问控制平台。该平台采用数字证书技术、LDAP目录服务技术、SSL标准协议、RBAC角色授权模型和单点登录机制等,利用LDAP目录服务的分布特性,把分布在各个涉密应用系统中的用户和资源信息集中组织到逻辑目录树中,使得统一认证中心与各涉密应用系统之间的通信得到简化,并且该平台以接口重定向方式实现单点登录,将原来分散的用户集中管理;在授权管理方面,以角色为纽带将被授权的用户和操作权限对应起来,使用户对象与访问权限逻辑分离开,用户登录平台后能获得相应应用系统的访问授权;最终实现了以Web Service为服务接口,确保用户与应用授权信息的一致性和实时性,同时对访问操作进行集中审计。本文作者主要研究了基于数字证书的身份认证技术和RBAC访问控制模型,介绍了涉密信息系统统一身份认证与访问控制平台的总体设计、详细设计,并对统一认证模块和授权管理模块进行了具体设计与开发,实现了对用户信息的集中管理、统一身份认证和集中审计,可以为涉密应用系统的身份认证和访问控制设计与实现提供参考。

李章漾[5]2008年在《大型MIS系统安全框架研究与实践》文中研究指明管理信息系统(Management Information System)作为Web应用的典型代表,经历了从C/S架构到B/S架构的发展和完善过程。基于B/S的MIS系统,在便捷方面拥有传统C/S架构MIS系统不可比拟的优势,但同时也存在更多的安全隐患。随着Internet的不断发展,MIS系统在企事业单位中普及程度越来越高,用户对系统安全性能的需求也越来越高。目前,如何快速、高效地开发安全可靠的MIS系统,已成为业界讨论的热点之一。MIS系统安全架构涵盖了访问控制、应用服务稳定和数据服务稳定等多个方面,任何一个方面的疏漏都会给系统带来极大的安全隐患。本文作者在攻读研究生学位期间,先后参与了多个MIS系统的开发和维护工作。在本文中,作者结合项目实践,说明在使用Appfuse框架进行MIS系统开发过程中,如何构建系统安全框架,有效地解决上述安全隐患,提高系统安全性能。在访问控制上,作者没有简单套用Appfuse集成的Acegi框架,而是在吸收其主要思想的基础上,结合Appfuse框架自身认证机制,设计并实现了一套基于数据库的权限控制方案,弥补了传统RBAC控制方案和Acegi框架的不足,同时也具备很好的可移植性和可扩展性。在应用服务稳定保障上,负载均衡技术能够有效地提高系统性能,并保证应用系统不间断正常工作,目前流行的负载均衡技术多种多样,课题使用基于反向代理的负载均衡技术,用较低的成本投入,得到了较高的系统性能提升。Oracle提供的Rac集群方案能够很好地保障数据服务稳定运行,确保数据安全和完整。利用Oracle Rac,用户可以在低成本服务器组成的高可用性系统上部署应用,这也是本课题选用Oracle Rac作为系统集群方案的主要原因。

刘宏[6]2005年在《角色与任务相结合的访问控制技术研究与应用》文中研究说明本论文研究角色与任务相结合的访问控制技术及其在电子政务系统中的应用。访问控制作为国际化标准组织定义的五项标准安全服务之一,是实现信息系统安全的一项重要机制。然而,传统的访问控制技术——自主型访问控制和强制型访问控制,已远不能适应当代系统安全的需要,而基于角色的访问控制(Role-Based Access Control,简称RBAC)和基于任务的访问控制(Task-Based Access Control,简称TBAC)成为近年访问控制技术研究热点。 作者在参加宜宾商务局信息管理系统(以下简称“宜宾商务系统”)开发工作中,访问控制的设计采用了RBAC和TBAC相结合的基本思想,初步的实践表明:与仅采用RBAC或TBAC的控制方式相比,二者相结合的访问控制方式更能够充分发挥两种方式的优点,弥补各自的不足,是一种值得进一步探讨的访问控制技术。 本论文反映的研究工作及其贡献包括: 1.采用RBAC和TBAC相结合的思想,设计并实现了“宜宾商务局信息管理系统”的访问控制,使用实践表明访问控制在方便性、灵活性和安全性方面比传统方式更优。 2.进一步界定了RBAC中“角色”和TBAC中“任务”内涵。 3.对宏观的“角色”和“任务”进一步细化为树型结构的“角色类”、“角色子类”和“任务类”、“任务子类”等。 4.在传统方式远程访问中常采用CA与角色挂钩的方式,在宜宾商务系统设计中,笔者探索性地将CA功能仅限于身份认证,而与角色相分离,以便在RBAC和TBAC相结合的访问控制中使角色易于重用。 5.为将来进一步改善TBAC模型,建议: ①将授权处理过程状态细化,明确划分多个阶段; ②在授权规则的依赖关系中加入状态因素,使任务进程迁移更加清晰。

宋锴[7]2009年在《公安综合信息系统访问控制的研究与应用》文中研究表明随着Internet和信息化技术的发展,企业信息系统得到了更多的关注和应用。公安系统信息化的建设为公安各部门用户实现信息共享提供了快捷、方便的渠道。在信息化建设的道路上,信息系统的访问控制策略和机制是一个关键问题,特别对一些用户和信息资源数量巨大的信息系统。访问控制策略是避免信息系统内部信息被非法获取、修改、破坏和避免系统被未授权使用的重要手段之一。由于公安综合信息系统涉及到数据的保密性和敏感性,实现严格的安全访问控制是十分关键的。本文首先对几种目前比较传统的访问控制模型及其特点进行了简单的介绍,主要包括以下叁种:自主访问控制,强制访问控制和基于角色的访问控制。而其中又以基于角色的访问控制RBAC(Role-Base Access Control)应用最为广泛。其基本思想是通过角色来实现用户与权限之间的逻辑隔离,从而简化对访问控制的管理。但是,随着人们对数据安全性要求的提高,以及对访问控制灵活性的进一步提高,传统的访问控制模型逐渐显现出其诸多不足之处,并在许多实际应用中显现出了他们的局限性。人们迫切需要一种功能更为强大的访问控制模型,来达到实际应用中更加复杂的要求。随着密码学技术的不断发展,属性基密码系统的研究在近四年来受到了广泛的关注。它可以有效地解决访问控制中一直以来难解的问题,同时提供消息的私密性和访问控制的灵活性。本文结合属性基密码的特性,提出了一种全新的基于属性的访问控制模型,它是由一个在标准模型下选择树CPA安全的属性基加密方案改进而来。与传统的访问控制模型相比,它不仅使得密文资源能够被有效的利用,既增强了访问控制的灵活性,又增加了访问控制的模糊性,而且消息始终以密文形式存储也放宽了对服务器和访问存储器的安全限制。最后,对基于属性的访问控制模块进行了实现,并在公安综合系统中加以应用。其中基于属性的加密模块部分采用了C语言独立实现,因为C语言有着计算效率高的特点,而基于属性的加密模块又是该系统的底层核心算法,因此很有必要对其效率加以控制。另外单独实现也增强了该模块的可重用性。

郭军[8]2012年在《基于角色的访问控制分级授权管理的研究》文中进行了进一步梳理近年来,随着信息技术的不断的发展,信息安全已成为信息系统设计中一个非常重要的问题。访问控制作为信息安全体系的一部分,同时也是国际化标准组织定义的五项标准安全服务之一,随之成为国内外学者研究的热点。访问控制是指主体依据某些控制策略或权限,对客体或是资源进行的不同的授权访问。通过访问控制可以有效地防止非法用户对机密信息的访问,限制合法用户的非法操作,以及由于疏忽所造成的误操作对资源的破坏。本文介绍了几种主要的访问控制技术,包括自主访问控制、强制访问控制技术和基于角色的访问控制技术,分析了这些访问控制技术的优缺点,并重点研究了基于角色的访问控制技术。在对基于角色的访问控制技术进行深入研究后,给出了基于角色的访问控制分级授权管理模型。该模型在传统基于角色的访问控制模型的基础上引入了“管理单元”,管理单元本质上是一个管理对象的集合,每个管理单元都包含了对应的用户集、角色集、权限集和约束集。管理单元内采用RBAC层次模型,实现角色的管理和权限的分配。通过层次化的管理单元,实现对用户和权限的分级管理。分级授权管理模型能更好地反映系统访问控制需求策略,使得系统授权过程变得简单、直观;分级授权将原来系统管理员的管理操作分散化,平衡了系统中管理人员的操作量,同时还能抑制权限的滥用。最后,本文结合授权服务体系将分级授权RBAC进行了设计和实现,主要包括系统框架设计,访问控制模块设计,授权策略的描述和实现以及属性证书的管理。

安伟莲[9]2008年在《RBAC模型在J2EE平台下的实现与应用》文中提出在信息系统的设计与实现中权限控制是一个必不可少的部分。权限控制技术用于限制软件系统中的各种资源只能被授予拥有相应权限的用户访问,从而提高系统的安全性。目前,随着Internet技术的迅猛发展,B/S模式的开发已经占据主流,基于J2EE平台的系统也日益增多。本文研究了目前得到广泛应用的J2EE平台下的基于角色(RBAC)的访问控制技术。基于角色的访问控制系统,是将用户划分为与其职能和职位相符合的角色,根据角色赋予相应的操作权限,以减少授权管理的复杂性,降低管理开销并且提供一个较好的实现复杂安全策略的环境。本文总结了目前信息系统中所采用的不同权限控制方式,并分析了这些权限系统所存在的问题,同时就J2EE平台下的外籍教师信息管理系统的特殊需求进行分析,在RBAC基础上进行了扩展,提出了SF-RBAC(Simple and Flexible-RBAC)模型。这一模型在为用户分配角色时添加了限制条件,并引入了用户类型,提高了系统的安全性和灵活性,减少了权限分配的复杂性。此模型能轻易的应用到其它信息系统中,对现在信息系统中的权限管理有现实意义和借鉴意义。最后在外籍教师信息管理系统中对此模型进行设计并实现。

叶梁[10]2011年在《构件化信息系统访问控制技术研究与实现》文中研究说明访问控制(Access Control)是信息系统的重要组成部分,它负责按照用户的职责为其分配权限,使各用户对系统业务数据有着不同的访问权限和处理执行权限,在信息安全问题日益受到重视和强调统一访问控制管理的趋势下,通用、功能强、适应性好、易于维护和升级的访问控制子系统对于企业信息化建设具有重要意义。然而,传统的访问控制模型却难以满足复杂的企业环境需求,现有的RBAC(Role-Based Access Control)模型不能完全达到部分对动态访问控制管理有较高要求的应用系统的需要,因此,本文对现有RBAC96模型进行改进和扩展,以期能够满足信息系统对统一访问控制和动态访问控制管理的要求。本文首先以可复用、构件化系统建模的思想,采用顶层设计的方法设计企业信息系统架构,明确访问控制子系统在整个企业信息系统中的定位,要求访问控制子系统能够适应跨平台和B/S、C/S架构的统一访问控制管理需要,并进行系统的逻辑架构和物理架构模型设计。在分析RBAC96模型的基础上,本文提出可满足动态访问权限管理需要的基于状态S-RBAC模型,它可以在时间、执行顺序、执行用户和办理结果等方面对权限分配实行动态约束。在系统总体设计框架下,遵循系统构件化设计规范,设计、实现S-RBAC子系统的服务器端,保证其跨平台特性。客户端软件采用智能客户端开发技术实现,通过动态菜单和基于Windows消息过滤窗体控件访问控制管理技术的应用,达到有效管理及访问控制子系统与具体应用低耦合的功效。本文提出的S-RBAC模型及访问控制子系统应用实例经测试和实际运行检验,总体运行情况良好,达到预期的功能和效果,它满足跨平台、跨应用的信息系统统一访问控制管理需要,强壮、动态、细粒度的访问控制管理功能,可有效提高信息系统的质量和实施成功率。

参考文献:

[1]. Web信息系统中统一细粒度访问控制的研究[D]. 朱佃波. 苏州大学. 2008

[2]. RBAC技术在管理系统中的研究与应用[D]. 王亮亮. 武汉理工大学. 2008

[3]. VxWorks系统访问控制机制研究[D]. 董文超. 解放军信息工程大学. 2010

[4]. 涉密信息系统统一身份认证与访问控制的研究与实现[D]. 廖毅. 北京交通大学. 2010

[5]. 大型MIS系统安全框架研究与实践[D]. 李章漾. 北京邮电大学. 2008

[6]. 角色与任务相结合的访问控制技术研究与应用[D]. 刘宏. 西南交通大学. 2005

[7]. 公安综合信息系统访问控制的研究与应用[D]. 宋锴. 上海交通大学. 2009

[8]. 基于角色的访问控制分级授权管理的研究[D]. 郭军. 西安电子科技大学. 2012

[9]. RBAC模型在J2EE平台下的实现与应用[D]. 安伟莲. 北京邮电大学. 2008

[10]. 构件化信息系统访问控制技术研究与实现[D]. 叶梁. 福州大学. 2011

标签:;  ;  ;  ;  ;  ;  ;  

应用系统访问控制的研究与实现
下载Doc文档

猜你喜欢