基于角色访问控制（RBAC）的Web应用

随着网络的迅速普及和网络应用日益深入社会生活各个层面，网络应用的安全性问题成为制约其发展的主要因素之一。访问控制是安全服务体系结构的重要组成部分，并且和身份认证，加密等其他要素紧密结合。访问控制就是对资源和服务使用的限制，决定主体是否对客体有权限进行某种操作。基于角色的访问控制(RBAC)是一种新兴的访问控制技术和理念，是将用户划分成与其职能和职位相符合的角色，根据角色赋予相应操作权限，以减少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境，是传统的自主访问控制和强制访问控制的升级和替代。RBAC的建模和实现技术是目前RBAC技术研究的热点和难点。本文在参考RBAC96模型和借鉴、发展NIST的RBAC／Web模型基础上，提出一种通用化的利用关系数据库表述用户、角色、权限，用户／角色分配，角色／权限分配，角色继承关系，以及动态约束信息，在Web服务器上构建带有RBAC功能的应用层的三层结构网络应用的方法。从数据库关系表中提取角色分配，角色继承，权限分配，动态约束等信息，创新性的利用访问控制掩码ACM和用户动态约束掩码UDCM，根据用户角色和动态约束规则合并和过滤用户请求的权限信息。权限信息附着于会话Session上对访问要求实现访问控制。并根据权限信息动态生成个性化的管理角色操作界面。结合运用MD5信息摘要散列算法，实现用户登录口令的有随机数加强的加密传输以防止窃听，并可进行数据库口令数据加密保存，系统的完成了访问控制，传输加密，数据库加密的整合。方案采用JSP，Servlet，Javascript，Oracle等技术设计了RBAC的实现架构，结合客户端脚本和服务器端应用开发，具有表述易懂，标准化程度高，便于扩展和变通，任务分配均匀，与操作系统平台无关等特性，对现有的其他RBAC实现方法如NIST RBAC／Web等是很好的完善和补充，对项目开发也具有较高指导和借鉴意义。