基于角色访问控制(RBAC)的Web应用

被引:0
作者
吴限
机构
[1] 大连理工大学
关键词
RBAC; MD5; 访问控制; 掩码; JSP; Javascript; 数据库;
D O I
暂无
年度学位
2002
学位类型
硕士
导师
摘要
随着网络的迅速普及和网络应用日益深入社会生活各个层面,网络应用的安全性问题成为制约其发展的主要因素之一。访问控制是安全服务体系结构的重要组成部分,并且和身份认证,加密等其他要素紧密结合。访问控制就是对资源和服务使用的限制,决定主体是否对客体有权限进行某种操作。基于角色的访问控制(RBAC)是一种新兴的访问控制技术和理念,是将用户划分成与其职能和职位相符合的角色,根据角色赋予相应操作权限,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境,是传统的自主访问控制和强制访问控制的升级和替代。RBAC的建模和实现技术是目前RBAC技术研究的热点和难点。本文在参考RBAC96模型和借鉴、发展NIST的RBAC/Web模型基础上,提出一种通用化的利用关系数据库表述用户、角色、权限,用户/角色分配,角色/权限分配,角色继承关系,以及动态约束信息,在Web服务器上构建带有RBAC功能的应用层的三层结构网络应用的方法。从数据库关系表中提取角色分配,角色继承,权限分配,动态约束等信息,创新性的利用访问控制掩码ACM和用户动态约束掩码UDCM,根据用户角色和动态约束规则合并和过滤用户请求的权限信息。权限信息附着于会话Session上对访问要求实现访问控制。并根据权限信息动态生成个性化的管理角色操作界面。结合运用MD5信息摘要散列算法,实现用户登录口令的有随机数加强的加密传输以防止窃听,并可进行数据库口令数据加密保存,系统的完成了访问控制,传输加密,数据库加密的整合。方案采用JSP,Servlet,Javascript,Oracle等技术设计了RBAC的实现架构,结合客户端脚本和服务器端应用开发,具有表述易懂,标准化程度高,便于扩展和变通,任务分配均匀,与操作系统平台无关等特性,对现有的其他RBAC实现方法如NIST RBAC/Web等是很好的完善和补充,对项目开发也具有较高指导和借鉴意义。
引用
收藏
页数:69
共 21 条
[1]
单向散列函数的原理、实现和在密码学中的应用 [J].
辛运帏 ;
廖大春 ;
卢桂章 .
计算机应用研究, 2002, (02) :25-27
[2]
基于角色的访问控制在Web中的实现技术 [J].
叶锡君 ;
许勇 ;
吴国新 .
计算机工程, 2002, (01) :168-170
[3]
基于角色的细粒度访问控制系统的研究与实现 [J].
杨亚平 ;
李伟琴 ;
刘怀宇 .
北京航空航天大学学报, 2001, (02) :178-181
[4]
基于角色的CIPS动态功能授权系统的设计与实现 [J].
吴煲宁 ;
孙志挥 ;
不详 .
计算机工程与应用 , 2001, (02) :124-125+129
[5]
多层客户/服务器结构下的网络计算技术 [J].
王倓 ;
徐重阳 ;
蔷薇 ;
刘卫忠 .
华中理工大学学报, 2000, (11) :23-24
[6]
基于角色的访问控制技术及应用 [J].
李孟珂 ;
余祥宣 .
计算机应用研究, 2000, (10) :44-47
[7]
基于角色的存取控制及其实现 [J].
施景超 ;
孙维祥 ;
许满武 .
计算机应用研究, 2000, (06) :13-15
[8]
基于角色的访问控制系统 [J].
李伟琴 ;
杨亚平 .
电子工程师, 2000, (02)
[9]
互联网络的信息安全与数据加密 [J].
刘广良 .
电脑与信息技术, 1999, (06) :58-61
[10]
基于角色的访问控制模型分析 [J].
何海云 ;
张春 ;
赵战生 .
计算机工程, 1999, (08) :39-41+44