企业级应用软件中访问控制技术研究及实现

企业级应用软件中访问控制技术研究及实现

谢东文[1]2004年在《企业级应用软件中访问控制技术研究及实现》文中研究说明随着企业信息化程度的提高,信息安全成为企业必须重视的问题。企业级大型应用软件系统的权限管理功能不完善将极大威胁企业的信息安全。访问控制是权限管理的重要组成部分,它在信息系统中用来确保只有授权人员才能访问敏感信息。对访问控制技术和系统实现进行研究具有非常重要的理论和实用价值。本文首先介绍了应用软件系统权限管理所包含的各种功能。接着描述了访问控制的几种主要模型,并结合企业对访问控制的需求,分析了这些模型的不足之处。同时,还论述了访问控制目前在设计和系统实现上存在的问题。并介绍了基于策略的访问控制模型(PBAC),该模型是本文后续研究的基础。本文介绍了PBAC模型的概念和组成结构,并结合基于组件的应用软件开发特点,提出PBAC模型的一种实现框架,它有助于实现应用软件的细粒度访问控制。论文介绍了在该框架下描述访问控制规则及策略的方法。同时,为了帮助企业快速制定满足需求的策略,本文还对访问控制规则进行了分类。为了帮助企业明确访问控制需求,并将需求转化为PBAC模型框架下的访问控制策略,本文对访问控制的设计方法进行研究,总结出一套基于UML的设计流程,使软件的访问控制设计与业务逻辑设计同步进行,能够有效的避免产生安全漏洞。论文还给出了设计实例。本文在研究访问控制技术的基础上进行软件实现,提出了一个基于JMX(Java管理扩展)的访问控制平台,该平台能将企业制定的安全策略转化为程序代码,使采用该平台的应用软件系统能迅速实现基于策略的细粒度访问控制。论文详细描述了该平台的架构和模块实现,并对不同应用场景下该平台与企业软件系统的集成问题进行讨论。为了使采用该平台的软件系统运行效率更高,本文还对组件管理的有关内容进行了深入研究。最后,本文介绍了在某大型项目管理软件中实施访问控制平台的情况。

张惠[2]2008年在《J2EE架构下基于角色访问控制的研究及应用》文中研究表明Sun公司顺应网络技术和Internet的迅速发展需求,提出的J2EE规范已成为企业级开发的工业标准。在Java语言走进企业级应用领域的同时,系统安全问题也受到了越来越多的关注。访问控制作为系统安全体系结构中的一个重要组成部分,是解决安全问题的关键之一。其中,基于角色的访问控制RBAC(Role-Based Access Control)为管理大量的资源访问权限提供了一种动态灵活的策略而在企业级开发中得到普遍应用。J2EE作为目前流行的企业级开发平台,虽然其访问控制机制主要也是基于角色的,但由于其机制本身所存在的缺陷,并不能良好地体现出RBAC的应用优势。对此,本文首先对RBAC模型及J2EE访问控制机制进行了深入的分析:RBAC模型借助于角色实体,实现了用户与访问权限的逻辑分离,大大减少了授权管理的复杂性,易于实现动态复杂的访问控制策略;J2EE标准中的访问控制机制作为一个基于角色的安全机制,通过认证和授权,保障应用的访问安全,其中,JAAS(Java Authentication and Authorization Service)作为可扩展的认证授权框架,是J2EE当前版本中访问控制的重要技术。然后,本文进一步分析比较了J2EE访问控制机制同标准RBAC模型访问控制策略间的差异,并结合企业级应用的特征,指出了J2EE访问控制机制中所存在的问题:对角色间继承约束关系以及角色权限动态管理的不支持等。在此基础之上,本文提出了符合J2EE安全标准的角色访问控制系统原型,并利用JAAS等技术在J2EE环境下实现了该系统。系统的实现独立于具体应用,在J2EE访问控制机制基础之上,通过实现标准RBAC模型,弥补了J2EE访问控制机制中的一些不足。该系统易于实现复杂安全策略,具有良好的扩展性、可移植性和通用性。本文还通过系统的成功应用,验证了其在企业级应用访问控制方面的有效性和实用性。论文工作对J2EE架构下访问控制技术的应用研究提供了有益的参考。

姜俊萍[3]2010年在《基于RBAC模型的通用权限管理组件的设计与实现》文中进行了进一步梳理随着计算机技术和互联网的快速发展和日益成熟,企业规模地不断扩大,用户可访问的数据资源日趋复杂,各类企业级的应用系统都面临着对企业资源进行有效安全管理的难题。目前国内在对访问控制技术的应用开发方面相对滞后,企业级应用系统中访问控制模块也存在很多的问题及缺陷,如:授权方式复杂,权限操作不灵活,缺乏通用性,权限访问控制粒度较单一等。因此,构建一个通用的用户权限管理组件,以满足日趋复杂的安全访问控制需求,已经成为企业应用系统安全访问控制领域内一项重要任务。首先分析了现有企业应用系统的特点及在访问控制和安全管理中的不足之处,明确了通用权限管理组件的功能定位、功能性需求和非功能性需求。在此基础上,基于角色的访问控制技术,研究分析了通用权限管理组件的总体结构,对系统进行建模,对数据结构进行了设计与实现。最后,将通用权限管理组件应用于报表统计应用系统中,以此验证通用权限管理组件的可用性和正确性。

杨柳[4]2009年在《信息系统中的访问控制技术研究》文中进行了进一步梳理在信息系统开发设计过程中,安全性能被放在了重要的位置,成为信息系统生存的关键,构建企业级信息系统的安全体系己成为一个重要的研究领域。访问控制作为系统安全体系结构中的一个重要组成部分,是解决安全问题的关键技术之一。其中,基于角色的访问控制RBAC(Role-Based Access Control)为管理大量的资源访问提供了一种动态灵活的方式,在企业级开发中得到普遍应用。J2EE作为目前流行的企业级开发平台,其访问控制机制主要是基于角色的,体现了RBAC的一些应用优势。论文研究访问控制技术及其在信息系统安全体系中的应用,主要完成了如下工作:研究了目前信息安全领域的发展现状,分析了信息系统的安全需求,并对其中的安全问题进行了深入分析,研究了主要的安全技术,包括数据加密、入侵检测、身份认证、访问控制等。重点分析了信息系统中的安全访问控制技术。对访问控制技术进行了深入研究,论文首先从访问控制的基本元素、核心手段、基本原理和访问控制模型入手,对访问控制技术做了基本介绍,并对常用的访问控制相关技术做出了分析。然后,对RBAC模型及J2EE访问控制机制进行了深入的分析:RBAC模型借助于角色实体,实现了用户与访问权限的逻辑分离,大大减少了授权管理的复杂性,易于实现动态复杂的访问控制策略;J2EE标准中的访问控制机制作为一个基于角色的安全机制,通过认证和授权,保障应用的访问安全。在此基础之上,结合J2EE中的常用技术:Servlet组件技术、JSP组件技术、JavaBean和EJB,对系统开发模式、体系结构设计、数据库设计做出了具体分析和论证。验证了其在企业级应用访问控制方面的有效性和实用性。最后,本文进一步分析比较了J2EE访问控制机制同标准RBAC模型访问控制策略间的差异,并结合企业级应用的特征,指出了J2EE访问控制机制中所存在的问题:对角色间继承约束关系以及角色权限动态管理的不支持等。论文工作对J2EE平台技术下基于角色的访问控制技术的应用研究提供了有益的参考。

韩鹿[5]2011年在《移动核心网安全技术研究及在河南移动智能网中的应用》文中指出随着移动通信的快速发展及各种移动增值业务的广泛应用,移动通信中的安全问题变得日益严重。由于移动用户之间的信息传递是通过无线信道进行的,所以它比其他有线网络更容易遭受各种类型的攻击。同时,移动核心网也发生了改变,经历了四个阶段的演进,新一代移动核心网是一种以工P骨干网为承载,逐步扁平化的网络,这种结构在为用户的使用带来方便的同时,也引入了多种安全威胁。移动通信网一些核心设备承担了非常关键的服务,这些设备的业务连续运作和灾难生存能力直接影响到国计民生,用于集中提供增值业务的移动智能网IN(Intelligent Network)就是其中的关键网络之一,移动智能网的可靠性是运营商必须考虑的问题。本文基于分析2G移动通信网络的网络系统、信令网络、业务类型和容灾安全的新特点,分析宽带移动网络面临的安全威胁与安全需求。在移动核心网的发展中,也采用了一些安全措施保护网络和用户信息,并对这些技术进行了详细的研究,主要通过叁个方面:容灾备份技术、访问控制技术、IP网络层安全技术。论文结合河南省移动智能网备份系统的实际,介绍了容灾备份系统的组网和实现方式,并详细说明11期备份扩容工程。在扩容工程中,河南移动智能网的容灾备份机制得到了增强。同时,详细描述了访问控制技术在智能网侧是如何实现的。通过现网技术的实现方案,使得河南移动智能网的安全性进一步增强。

俞书舟[6]2016年在《面向SaaS的访问控制组件的设计与实现》文中提出SaaS是一种基于IInternet的软件服务模式。在SaaS模式中,用户数据由服务供应商统一存放和管理,因此需要有效的面向资源和数据的访问控制机制以确保用户数据的独立性和安全性。本文研究了面向SaaS的访问控制模型,并将SaaS服务中的访问控制功能从具体的业务逻辑中抽离出来,实现了一个可以通过HTTP协议提供服务的访问控制组件,在提高了 SaaS服务中访问控制可靠性的同时,也大大增强了访问控制模块的可复用性和灵活性。具体而言,本文的工作内容主要包括以下叁个方面:面向SaaS的访问控制模型的提出。传统的RBAC模型应用于SaaS服务时,无法满足SaaS服务中多层次的访问控制需求,同时也缺乏更加细粒度的数据权限。本文提出的SRBAC模型在传统的访问控制模型之上进行了扩展和优化,实现了访问控制的分层管理和差异化定制。同时,模型也对权限进行了数据规则上的扩充,满足了 SaaS租户对数据安全性的需求。访问控制组件的方案设计与实现。基于本文提出的面向SaaS的访问控制模型,对访问控制组件的需求进行了分析,随后设计了组件的总体架构和功能结构,并对具体的功能模块实现方案进行了阐述。最后实现了以REST模式提供Web服务的访问控制组件。访问控制组件的应用与验证。本文详细说明了访问控制组件的应用方法,并将组件应用到某SaaS平台的多个服务中,分别从租户访问控制和平台访问控制两个角度,验证了组件的有效性和可靠性。

韩伟力[7]2003年在《分布式环境下的约束访问控制技术研究》文中研究指明访问控制技术是分布式系统中一项关键的安全技术。它在保证合法活动者(包括用户和软代理)访问合理资源的前提下,可以有效限制系统活动者对关键资源的访问,防止非法活动者的侵入和合法活动者的不慎操作造成对安全计算机系统的破坏。论文在AVIDM、ZD-PDM、DocMan、eMES、基于ASP的网络化制造集成服务与系统等项目的支持下,以企业应用环境作为典型的分布式环境研究柔性访问控制技术,来满足现代企业信息系统中对访问控制提出的需求。 第一部分,阐述访问控制技术的起源及发展,并非形式化定义了访问控制。在综述当前国内外对访问控制技术的研究并分析当前访问控制技术所面临挑战(有效性、易用性、动态性、分布性、实时性、兼容性等)的基础之上,指出当前研究者对访问控制技术研究的不足。 第二部分,以本体描述语言—Ontolingua为建模语言,建立面向访问控制的企业信息模型(OBEIMAC)。这个模型由基本本体类、上下文本体类、组织本体类、资源本体类和过程本体类组成。这为访问控制模型需要处理的敏感信息提供了一个明确的模型,从而提高了柔性访问控制模型研究的针对性。 第叁部分,以本体描述语言—Ontolingua和知识描述语言—KIF为建模语言,完整地描述基于本体论的约束访问控制模型。给出一个形式化的约束访问控制模型,来弥补现有访问控制技术中对约束研究的不足。采用Ontolingua描述操作、权限和角色的约束类型,并用KIF描述叁者内部及其之间的约束传递关系。这些传递关系极大地方便了约束的管理,并为部分开放分布式环境下的授权提供支持。 第四部分,提出约束访问控制模型中的约束不一致问题可以通过规则定义和逻辑推理来检测、避免和处理的概念。首先分析不一致发生的原因,并采用KIF语句描述常见的冲突规则;在这些规则的基础上,使用规则推理实现约束不一致的检测方法,为此我们给出每种约束类型的约束不一致检测算法,并给出系统约束不一致全面扫描算法,和系统约束定义制导的约束不一致扫描算法,并讨论约束不一致检测的可配置扩展框架;最后我们讨论约束不一致的避免方法和约束不一致的处理方法,给出一些冲突解决规则。 第五部分,讨论部分开放分布式环境下的访问控制技术及其解决。首先对部分开放分布式环境进行描述,随后介绍开放分布式环境下的信任管理技术;接着讨论约束支持下的部分开放分布式环境下的授权。为了保证系统安全策略的实现并提供离线授权的支持,论文提出两段式授权的授权模式;最后介绍一个典型的部分开放分布式环境—网络化制造环境,结合我们正在开展的基于ASP的网络化制造项目,指出它们在实现企业敏感信息的访问控制遇到的问题及其相应的解决方法。 第六部分,讨论访问控制模型的实现问题。首先我们简要地叙述现有访问控制技术研究领域对访问控制模型实现的研究成果。并采用Sandhu等提出的OM-AM方法给出OBCAC的OM-AM框架。接下来采用J2EE技术作为实现约束访问控制模型的底层技术,给出实现访问控制服务的基于J2EE的约束访问控制五层体系结构:用户界面层、表示逻辑层、业务逻辑层、基础设施服务层和数据层。随后细化业务逻辑层,给出其功能模型;作为访问控制服务最重要的功能—访问检查服务,研究J2EE框架下的叁种调用模式,并分析它们各自的特点。随后分析并解决访问控制服务实现中的一些关键问题:特权用户及其限制、响应速度、 浙江大学博士学位论文集成和认证问题。最后介绍访问控制服务的应用和几个实现系统中的访问控制技术。 第七部分,总结全文并指出在分布式环境下对访问控制技术仍需研究的儿个方向。

卢军涛[8]2007年在《基于叁层实现结构的管理信息系统研究与应用》文中提出随着信息技术和Internet技术的发展以及市场竞争的加剧,我国各型企业纷纷建立起自己的管理信息系统,基于B/S结构的Web应用程序开发技术成为企业构建管理信息系统的一个研究热点。 本文的研究是以某国防单位管理信息系统为设计背景而展开的。利用现有的Web技术实现Struts框架、Spring框架和Hibernate框架的整合来设计实现企业级应用,并研究解决系统中所存在的安全性问题。 本文首先介绍管理信息系统的概念以及传统管理信息系统开发的不足,基于现有技术的发展背景,提出了一种基于叁层B/S结构的管理信息系统模型。 其次,研究了企业级应用开发平台技术J2EE,分析J2EE的四层模型和体系结构。对基于J2EE的开源框架Struts、Spring和Hibernate进行了深入研究。然后,对某国防单位管理信息系统进行了分析设计。提出了利用Struts、Spring和Hibernate的叁层整合框架实现方案,运用Struts框架实现系统的表示层;运用Spring框架实现系统的业务逻辑层;运用Hibernate框架实现系统的持久层,并把这种叁层整合框架技术运用于信息系统的实现中。该整合框架层次结构清晰、耦合度低、简化了开发工作,使开发人员专注于系统的业务逻辑功能,实现了Web应用系统的高效开发。 最后,研究了现有的安全技术和机制,将访问控制、身份认证及识别、加密技术以及数据在Internet上的安全传输技术引入了本系统。 作为系统的实验验证结果,文中给出了部分运行界面;附录部分给出了系统中运用java语言编写的部分程序代码。

姜娟[9]2006年在《访问控制技术在PDM系统中的研究与应用》文中研究表明当前,利用计算机网络组成的开放式的、多平台的、相互协作的、能及时灵活响应客户需求变化的网络化制造系统正成为发展趋势,制造企业的设计制造数据都要在上述系统中存储、发送、接收、融合、再生,这个过程涉及到大量需要保密的企业数据信息,因此保证系统的信息安全是产品数据管理系统应用的基本前提。本文结合PDM系统对保证信息安全的关键技术之一——访问控制技术进行了研究,并基于访问控制技术在PDM开发中得到实现。 本文通过分析产品数据管理系统复杂特性对信息安全的特殊需求,提出了相应的访问控制策略,并在此基础上给出了系统的访问控制框架。在介绍访问控制相关理论特别是关于RBAC的理论基础上,针对RBAC模型、自身的管理模式等方面作了分析和讨论。同时,论文以企业应用环境作为典型的分布式环境研究访问控制技术,实现了用户管理和权限管理,采用具有层次关系的角色控制,将角色划分为叁个层次,重点分析与讨论了用户和角色间的分配关系,从用户角度出发,按照部门职位把用户划分为不同的项目组,从而适用于实际企业的用户管理。通过在Web服务器上构建数据库应用组件层,从数据库关系表中提取角色分配,角色继承,权限分配,动态约束等信息,根据用户角色和动态约束规则合并和过滤用户请求的权限信息,实现动态权限管理。最后,在实践基础上介绍了经实现的RBAC模块的运行实例。

吴勤勤[10]2015年在《基于Java EE的应用业务系统权限管理研究与应用》文中指出计算机网络及通信技术的高速发展推动了企事业单位应用业务系统的蓬勃发展。权限管理是保障应用业务系统安全的核心机制。访问控制模型为实现权限管理提供了科学的理论依据。RBAC模型是学术界在访问控制领域研究的热点,当它应用于业务逻辑复杂、组织机构庞大、用户角色数量众多的应用业务系统时,暴露出了管理效率低、授权复杂、权限泄漏等诸多不容忽视的问题。本论文针对RBAC模型在应用业务系统的权限管理机制中表现的不足,研究了经典的访问控制模型,特别是RBAC模型及扩展模型。分析了应用业务系统访问控制机制的内在特征,引入了树型结构和约束域的概念,提出了适用于应用业务系统权限管理的树型结构的ARBAC模型,并设计了相应的访问控制体系结构。设计并实现了B/S架构下基于树型结构的ARBAC模型的应用业务系统的权限管理系统。通过对权限管理系统的测试和分析,验证了树型结构的ARBAC模型的正确性、安全性和便捷性。本文主要研究内容及创新点如下:(1)研究并提出了树型结构的RBAC模型。在实际的应用场景中,繁多的角色不便于管理,复杂的继承关系给应用业务系统带来了安全隐患。树型结构的RBAC模型用岗位代替传统的角色,将岗位作为结点引入树型组织机构中,岗位间为扁平化关系。该模型使岗位层次清晰、授权简单、直观理解性好,极大的降低了权限管理的难度,消除了角色继承引入的安全隐患。(2)在树型结构的RBAC模型的基础上,提出了适用于应用业务系统权限管理的树型结构的ARBAC模型,实现了用岗位管理岗位的机制。它完善了ARBAC02模型中“组织机构”的概念,从整体上规定了管理员的管理范围。管理员在树型结构中的位置确定了管理员可管理的组织机构、岗位、用户及管理员间的树型关系,从而简化了管理员对约束域的管理。(3)分析并设计了基于安全IP域的静态口令和动态口令结合的身份认证机制。该机制保留了静态口令的便捷性,又引入了动态口令的安全性,既简单又安全。(4)设计并实现了Java EE架构下基于树型结构的ARBAC模型的权限管理系统。该系统包括了访问控制执行、访问控制决策、访问控制策略制定等模块。在具体实现中,采用了上述身份认证机制,并结合了SHA-256加密算法、HTTPS加密通信、密码复杂度检查、密码定期更新等安全机制,进一步保障了系统的安全。评测结果表明本论文设计并实现的权限管理基本达到了预期的目标。本论文提出了适用于业务逻辑复杂、组织机构庞大、用户角色数量众多的应用业务系统的树型结构的ARBAC模型,设计了该模型的访问控制体系结构,采用了优秀的S2SH开源集成框架实现了基于Java EE的应用业务系统的权限管理。通过评测验证了改进模型、访问控制体系结构、基于树型结构的ARBAC模型的权限管理的正确性、有效性和直观性。

参考文献:

[1]. 企业级应用软件中访问控制技术研究及实现[D]. 谢东文. 清华大学. 2004

[2]. J2EE架构下基于角色访问控制的研究及应用[D]. 张惠. 武汉理工大学. 2008

[3]. 基于RBAC模型的通用权限管理组件的设计与实现[D]. 姜俊萍. 复旦大学. 2010

[4]. 信息系统中的访问控制技术研究[D]. 杨柳. 重庆大学. 2009

[5]. 移动核心网安全技术研究及在河南移动智能网中的应用[D]. 韩鹿. 北京邮电大学. 2011

[6]. 面向SaaS的访问控制组件的设计与实现[D]. 俞书舟. 北京邮电大学. 2016

[7]. 分布式环境下的约束访问控制技术研究[D]. 韩伟力. 浙江大学. 2003

[8]. 基于叁层实现结构的管理信息系统研究与应用[D]. 卢军涛. 西北工业大学. 2007

[9]. 访问控制技术在PDM系统中的研究与应用[D]. 姜娟. 广西大学. 2006

[10]. 基于Java EE的应用业务系统权限管理研究与应用[D]. 吴勤勤. 北京邮电大学. 2015

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

企业级应用软件中访问控制技术研究及实现
下载Doc文档

猜你喜欢