开题报告基于细粒度RBAC模型的权限管理的设计.docx

1、开题报告基于细粒度RBAC模型的权限管理的设计开题报告-基于细粒度RBAC模型的权限管理的设计毕业设计(论文) 开题报告题目名称: 基于细粒度RBAC模型的权限管理的设计 院系名称:计算机学院 班 级:计科111 学 号: 学生姓名: 指导教师: 2015年 3月 一、立论依据 课题来源及研究的目的和意义 随着信息技术的不断发展,Web应用软件的种类和数量的不断增加,已经渗入到社会的各个应用领域,用户访问控制显现出了其突出的地位。用户访问控制可以有效地管理所有系统信息访问请求,并根据系统的安全作出是否允许用户进行访问的判断。它能够保障有效地授权用户访问系统信息,避免非法用户访问系统信息。传统的

2、访问控制是以用户为基本对象来授予权限 , 这使得大型系统中的授权管理变得更复杂化 , 并且容易出错。当前在信息系统开发中更应该关注基于角色的访问控制(RBAC), RBAC的最大优点在于它能够灵活表达和实现组织的安全策略，使管理员从访问控制底层的具体实现中脱离出来。 在基于角色的访问控制模型中 , 用户和权限之间引入了角色的概念 , 使得用户和权限不直接建立关系，而是将用户与权限逻辑分离，极大地方便了权限的管理。由于企业单位具有大量的用户信息和复杂的组织结构 , 使得RBAC访问控制模型不能简单直接地应用到系统中，必须灵活使用。 二、文献综述 课题研究领域的发展现状及其应用前景 1. 课题的国

3、内外研究现状 关于权限管理，国内外的学者们进行了大量的研究，理论不断成熟。在应用实践上，研究者也根据自己的系统安全系统的需要，开发和实现了不少权限管理系统。 基于角色的访问控制(RBAC)首先出现在1992年David Ferraiolo和Richard Kuhn发表的Role-Based Access Control一文中。在此之后，陆续有许多学者在国际期刊以及研讨会中，发表相关文章。1996年，美国乔治梅森大学的R.sandhu发表的经典文献Role-Based Access Control Models，提出了著名的RBAC96模型，这一模型将传统的RBAC模型根据不同的需要拆分成四种嵌

4、套的模型并给出形式化定义，极大的提高了系统灵活性和可用性，因此成为RBAC模型发展的基础。接下来，1997年，他进一步提出RBAC96的分布式管理模型ARBAC97模型。 Betino等人提出了Temporal-RBAC模型，该模型在访问控制框架中引入了时间(time)参数，在角色分配时引入时间的限制，支持权限之间的临时以来关系。Joshi,Bertino等人又对Temporal-RBAC模型进行了扩充，踢出了Generalized Temporal RBAC模型，进一步把时间的限制应用到了角色的层次，职责分离等方面。Vovinton在其论文中，引入了环境角色的概念，提出了位置(locatio

5、n)和系统状态(system status)参数。Moyer和Abamad提出了了Generalized RBAC模型，引入了主题角色(subject roles)、客体角色(object roles)和环境角色(environment roles)，进一步细化了访问权限的粒度。Kumar等人总结了前人的工作，提出了context-sensitive RBAC model，该模型使得传统的RBAC模型更加合适于复杂安全策略的应用，对于一个操作，首先要考虑其上下文环境。Al-Kahtani针对基于规则的RBAC模型，进行了详细规范的描述，对传统RBAC进行了全面的扩展，为用户-角色的自动分配提供

6、较为权威的参考。虽然该领域有不少相关学者提出过很多各种模型，但是都会遵循一套标准。目前，国际上最常用的RBAC标准是2001年5月由NIST所发表的RBAC建议标准，该标准完整的定义了RBAC的基本模型和应用功能。 在参考和吸收国外关于权限相关理论模型的基础上，国内许多学者提出基于角色与组织的访问控制模型，简化权限分配(organized RBAC，ORBAC)，将组织结构与角色配合使用来减少角色数量，简化权限分配。此外，根据各自软件应用系统的实际需要，国内的一些研究所和大学也已经开始了研究并开发了一些权限管理系统，取得了一些成果如清华大学的谢剑、朱志明、郝刚等开发了一种基于角色的通用化权限管

7、理系统，该系统针对焊接应用软件的特点，适合与软件开发过程中用户权限管理功能的实现，并且方便软件使用过程中的设置与修改。中国科学院软件研究所的丁仲和左春提出了一个适用于各个领域的RBAC权限控制的面向对象框架。此框架提供了可重用的权限管理的实现，将通用的权限管理放在框架内实现，而领域紧密相关的易变的权限规则作为框架的扩展，从而提高了软件的复用度。迄今，RBAC研究已应用于PMI、CORBA、CSCW等体系构架中，并在电子商务、大型信息系统红也得到了广泛应用。它是目前应用最广、效果良好的访问控制策略与模型。 Usage Control(UCON)model 将成为下一代访问控制模型的研究方向。目前

8、国外已经对此开始了广泛而深入的研究工作，然而国内在这方面的研究相对落后。这有待于得到国内信息安全领域，尤其是访问控制研究者的关切和研究。 总体来说，当前研究的热点集中于对传统RBAC模型的扩展，人们不仅试图从模型上改进用户-角色的分配机制，也试图改进用户-角色的分配机制。从而，可以灵活的完成两级授权过程，减轻系统管理员的工作量，降低企业的成本。 三、研究内容和数据库技术 功能需求及设计框架 本系统研究的主要是基于细粒度RBAC模型的权限管理，因此主要是对用户的权限进行控制，主要有用户、角色和权限三个表，其他的表例新闻表、论坛的几个表等等。 1. 系统实现 本系统主要采用B/S 体系结构模型。把

9、整个系统分为五层，即表示层，控制层、业务层和数据库持久层及域模块层，以帮助开发人员在短期内搭建结构清晰、可复用性好、维护方便的Web应用程序。其中使用Struts作为系统的整体基础架构，负责MVC的分离，在Struts框架的模型部分，控制业务跳转，利用Hibernate框架对持久层提供支持，Spring做管理，管理struts和hibernate。具体做法是:用面向对象的分析方法根据需求提出一些模型，将这些模型实现为基本的Java对象，然后编写基本的DAO(Data Access Objects)接口，并给出Hibernate的DAO实现，采用Hibernate架构实现的DAO类来实现Java

10、类与数据库之间的转换和访问，最后由Spring做管理，管理struts和hibernate。 图3.1 三层框架的原理 图3.2 SSH框架实现MVC 2. 普通用户 对普通用户来说只能在前台浏览信息，当后台管理员添加或修改内容时可以见到部门和新闻信息的变化。 3. 管理者 管理员也即超级管理员，此类用户所拥有的权限如下: 1 对身份验证通过的用户进行添加，并且分配相应的权限 2 对用户进行添加 3 对用户进行删除 4 对用户信息进行修改(当用户忘记密码后，持有效证件对密码进行初始化) 4 对部门进行添加 5 对已存在的部门进行修改 8 对已存在的部门进行删除 9 查询全部部门 10 对角色进

11、行添加 11 对角色进行修改 12 查询全部角色 13 对角色进行授权 14 初始化一个超级管理员和一些权限信息 15 添加一些新闻信息 16 查询全部新闻信息 17 修改新闻信息 18 删除一些新闻信息 其他管理者是超级管理员添加的一些角色，此用户只能由管理员进行授权，如对该用户的部门、权限进行设置。 4. 模块 模块主要包括部门模块、角色模块、用户模块、论坛模块、个人模块、新闻模块和浏览模块这七大模块，用户模块主要实现了用户登录、增加用户、修改用户的信息、删除用户的信息、查询全部用户和初始化用户的密码;角色模块有以下几个功能:新建角色、修改角色、查询角色和删除角色，对角色授予权限;个人模块

12、暂时只包括个人密码修改，而论坛模块包括两大部分:论坛和论坛管理，论坛中可以回复帖子，可以置精华贴等功能，而论坛管理中可以管理论坛的数据;新闻模块主要实现了对新闻信息的维护;浏览模块主要是查看部门和新闻添加数据后的浏览，为实现功能做一些说明 5. 数据库的维护 Hibernate是一种实现对象和关系映射的框架。它对JDBC进行了轻量级的对象封装，使得java抑程序员可以使用面向对象编程思维来操作关系数据库据库。在多层结构的应用中，业务层和数据库层之间存在一个持久层， 它负责应用到数据库的数据存储，数据的检索和更新。持久层的实现技术包括JDBC、实体Beans 以及Hibernate等，这些实现技

13、术各有特点。但是JDBC中数据访问对象和SQL语句直接绑定在一起 降低了可维护性，且不支持继承和多态。EJB不支持继承和多态而且还需要额外的EJB容器。相比之 下Hibernate则是一个非常好的选择，目前的应用系统大多使用关系数据库，在做设计和开发时又是面 向对象的方式，这时就可以选用Hibernate来实现对 象、关系之间的映射和数据的持久化。而且Hibernate拥有一种功能非常强大的查询语言即HQL，这种 语言与SQL非常相似，便于掌握。更重要的是，即HQL 完全是面向对象的，查询的是持久对象，而不是数 据库记录，3可以用它来支持多态、继承等。 6. 数据库的并发处理 数据库是一个多用

14、户使用的共享资源， 当多个用户并发地存取数据时， 在数据库中就会产生多个事务同时存取同一数据的情况。并发操作带来了数据的不一致性主要有三种: 丢失修改、不可重复读、读脏数据。并发控制保证了事务的一致性、原子性、隔离性、持续性。加锁则是实现数据库并发控制的一个非常重要的技术。 7. 数据库的安全性 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。计算机系统都有这个问题，在数据库系统中大量数据集中存放，为许多用户共享，使安全问题更为突出。Mysql 安全同样也包括Windows 安全性、服务器安全性、数据库安全性等。比较常见的安全问题大致有客户端链接的权限、数据传输过程

15、中的安全等， 所以在使用Mysql 个服务器安全的同时，需要密切注意一下几个方面:(1)浏览器的客户端安全(2)数据在传输过程中的数据安全(3)需要在数据库服务器上实现适当的授权机制来保证安全。 8. 拟采取的研究方法、研究手段及技术路线、实验方案等 1. 拟解决的问题 本课题重点是关于数据库的连接和操作，以及不同角色的权限管理和处理过程中严格的流程问题，需要解决的问题有: (1)、数据库与网页之间的交互安全问题 (2)、页面的合理布局和简单易用 (3)、作为管理员的适当权限分配问题，保证权限最低、谁申请谁使用等权限问题。 (4)、数据库的快速访问的问题。 (5)、数据库的安全访问问题。 (6

16、)、科研管理系统的流程问题。 2. 拟采用的研究手段 (1)、科研项目综合管理系统是一个典型的基于WEB的科研项目管理平台，系统以Eclipse作为开发工具，开发语言使用Java，数据库使用高性能的数据库 Mysql 。Java 编程语言是个简单、面向对象、分布式、解释性、健壮、安全与系统无关、可移植、高性能、多线程和动态的语言。以往要编写大量基础代码才能设计出来的系统，现在用Java语言来进行设计，完全是简单、快速、安全的一个集合。同时该系统使用SSH三层框架技术(Model、View和Control)，通过控制将视图和业务分开，实现了解耦操作，有利于系统的维护:当需要增加功能的时候只需要修

17、改部分的配置文件就可以很方便的实现。同时三层框架也是大部分企业使用的一个框架，具有流行的特点。 (2)、使用B/S的优点 a) 投入成本比较。B/S结构软件一般只有初期一次性投入成本。对于集团来讲，有利于软件项目控制和避免IT黑洞，而C/S结构的软件则不同，随着应用范围的扩大，投资会连绵不绝。 b) 硬件投资保护比较。在对已有硬件投资的保护方面，两种结构也是完全不同的。当应用范围扩大，系统负载上升时，C/S结构软件的一般解决方案是购买更高级的中央服务器，原服务器放弃不用，这是由于C/S软件的两层结构造成的，这类软件的服务器程序必须部署在一台计算机上;而B/S结构(如e通管理系列)则不同，随着服

18、务器负载的增加，可以平滑地增加服务器的个数并建立集群服务器系统，然后在各个服务器之间做负载均衡。有效地保护了原有硬件投资。 c) 企业快速扩张支持上的比较。对于成长中的企业，快速扩张是它的显著特点。例如迪信通公司，每年都有新的配送中心成立，每月都有新的门店开张。应用软件的快速部署，是企业快速扩张的必要保障。对于C/S结构的软件来讲，由于必须同时安装服务器和客户端、建设机房、招聘专业管理人员等，所以无法适应企业快速扩张的特点。而B/S结构软件，只需一次安装，以后只需设立账号、培训即可。 d) 其次，随着软件应用的扩张，对系统维护人才的需求有可能成为企业快速扩张的制约瓶颈。如果企业开店上百家，对计

19、算机专业人才的需求就将是企业面临的巨大挑战之一。 四、研究基础 所需实验手段、研究条件和实验条件 1(所需软件: (1)windows 系统 (2)Mysql数据库 (3)Eclipse 2(所需硬件: (1)PC机.(开发) 五、项目进度 第1-2周: 进行开题报告、译文、文献综述等环节的完善工作延续上学期的工作，在教师指导下，学生继续对开题报告、译文、文献综述等环节进行完善 第3周: 提交各类文档(译文、文献综述、开题报告、毕业实习报告)按照学院要求的格式，撰写并提交各类文档 第4-10周: 系统设计 第7周左右:毕业设计中期检查 第11-13周:撰写毕业设计论文，完善系统 第14周: 系

20、统验收，提交论文 第15周: 毕业设计答辩、毕业设计修改、复答辩 六、参考文献 1周文峰, 尤军考, 何基香. 基于 RBAC 模型的权限管理系统设计与实现J. 微计算机信息, 2006, 22(3-5): 35-36. 2Sandhu R S, Coyne E J, Feinstein H L, et al. Role-based Access Control ModelsJ. IEEE Computer, 1996, 29(2): 38-47. 3Epstein P, Sandhu R. Towards A UML Based Approach to Role EngineeringC/P

21、roceedings of the 4th ACM Workshop on Role-based Access Control. S. l.: AVM Press, 1999-10: 28-29。 4赵洋.基于Struts+Hibernate和Spring的J2EE架构研究.现代电子技术J.2009年.第2期 5孙长明.基于Hibernate+Spring+Struts的Web应用开发框架.推广与应用J.2007年.第16卷第2期 6(美)沃尔斯，(美)布雷登巴赫, 毕庆红 等译.Spring in ActionM.美国: 人民邮电出版社.2008年10月:20页200页 7Gavin King. Hibernate in Action M. 澳大利:亚机械工业出版社.2009年5月