導航:首頁 > 研究方法 > 什麼訪問許可權控制方法便於數據許可權頻繁更改

什麼訪問許可權控制方法便於數據許可權頻繁更改

發布時間:2023-01-30 07:07:53

A. 哪種訪問控制技術方便訪問許可權的頻繁更改

不管哪種訪問,一般都是網站後台管理員修改的,這種後台基本都是技術員做出來的,好不好用,就看功能還有查找方便否

B. 如何在應用系統中實現數據許可權的控制功能

基於RBAC模型的許可權管理系統的設計和實現 0 引言 管理信息系統是一個復雜的人機交互系統,其中每個具體環節都可能受到安全威脅。構建強健的許可權管理系統,保證管理信息系統的安全性是十分重要的。許可權管理系統是管理信息系統中可代碼重用性最高的模塊之一。任何多用戶的系統都不可避免的涉及到相同的許可權需求,都需要解決實體鑒別、數據保密性、數據完整性、防抵賴和訪問控制等安全服務(據ISO7498-2)。例如,訪問控制服務要求系統根據操作者已經設定的操作許可權,控制操作者可以訪問哪些資源,以及確定對資源如何進行操作。 目前,許可權管理系統也是重復開發率最高的模塊之一。在企業中,不同的應用系統都擁有一套獨立的許可權管理系統。每套許可權管理系統只滿足自身系統的許可權管理需要,無論在數據存儲、許可權訪問和許可權控制機制等方面都可能不一樣,這種不一致性存在如下弊端: a.系統管理員需要維護多套許可權管理系統,重復勞動。 b.用戶管理、組織機構等數據重復維護,數據一致性、完整性得不到保證。 c.由於許可權管理系統的設計不同,概念解釋不同,採用的技術有差異,許可權管理系統之間的集成存在問題,實現單點登錄難度十分大,也給企業構建企業門戶帶來困難。 採用統一的安全管理設計思想,規范化設計和先進的技術架構體系,構建一個通用的、完善的、安全的、易於管理的、有良好的可移植性和擴展性的許可權管理系統,使得許可權管理系統真正成為許可權控制的核心,在維護系統安全方面發揮重要的作用,是十分必要的。 本文介紹一種基於角色的訪問控制RBAC(Role-Based policies Access Control)模型的許可權管理系統的設計和實現,系統採用基於J2EE架構技術實現。並以討論了應用系統如何進行許可權的訪問和控制。 1 採用J2EE架構設計 採用J2EE企業平台架構構建許可權管理系統。J2EE架構集成了先進的軟體體系架構思想,具有採用多層分布式應用模型、基於組件並能重用組件、統一完全模型和靈活的事務處理控制等特點。 系統邏輯上分為四層:客戶層、Web層、業務層和資源層。 a. 客戶層主要負責人機交互。可以使系統管理員通過Web瀏覽器訪問,也可以提供不同業務系統的API、Web Service調用。 b. Web層封裝了用來提供通過Web訪問本系統的客戶端的表示層邏輯的服務。 c. 業務層提供業務服務,包括業務數據和業務邏輯,集中了系統業務處理。主要的業務管理模塊包括組織機構管理、用戶管理、資源管理、許可權管理和訪問控制幾個部分。 d. 資源層主要負責數據的存儲、組織和管理等。資源層提供了兩種實現方式:大型關系型資料庫(如ORACLE)和LDAP(Light Directory Access Protocol,輕量級目錄訪問協議)目錄伺服器(如微軟的活動目錄)。 2 RBAC模型 訪問控制是針對越權使用資源的防禦措施。基本目標是為了限制訪問主體(用戶、進程、服務等)對訪問客體(文件、系統等)的訪問許可權,從而使計算機系統在合法范圍內使用;決定用戶能做什麼,也決定代表一定用戶利益的程序能做什麼[1]。 企業環境中的訪問控制策略一般有三種:自主型訪問控制方法、強制型訪問控制方法和基於角色的訪問控制方法(RBAC)。其中,自主式太弱,強制式太強,二者工作量大,不便於管理[1]。基於角色的訪問控制方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特徵是:1.減小授權管理的復雜性,降低管理開銷;2.靈活地支持企業的安全策略,並對企業的變化有很大的伸縮性。 NIST(The National Institute of Standards and Technology,美國國家標准與技術研究院)標准RBAC模型由4個部件模型組成,這4個部件模型分別是基本模型RBAC0(Core RBAC)、角色分級模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和統一模型RBAC3(Combines RBAC)[1]。 a. RBAC0定義了能構成一個RBAC控制系統的最小的元素集合。在RBAC之中,包含用戶users(USERS)、角色roles(ROLES)、目標objects(OBS)、操作operations(OPS)、許可權permissions(PRMS)五個基本數據元素,許可權被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的許可權。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統訪問控制的差別在於增加一層間接性帶來了靈活性,RBAC1、RBAC2、RBAC3都是先後在RBAC0上的擴展。 b. RBAC1引入角色間的繼承關系,角色間的繼承關系可分為一般繼承關系和受限繼承關系。一般繼承關系僅要求角色繼承關系是一個絕對偏序關系,允許角色間的多繼承。而受限繼承關系則進一步要求角色繼承關系是一個樹結構。 c. RBAC2模型中添加了責任分離關系。RBAC2的約束規定了許可權被賦予角色時,或角色被賦予用戶時,以及當用戶在某一時刻激活一個角色時所應遵循的強制性規則。責任分離包括靜態責任分離和動態責任分離。約束與用戶-角色-許可權關系一起決定了RBAC2模型中用戶的訪問許可。 d. RBAC3包含了RBAC1和RBAC2,既提供了角色間的繼承關系,又提供了責任分離關系。 3核心對象模型設計 根據RBAC模型的許可權設計思想,建立許可權管理系統的核心對象模型。 對象模型中包含的基本元素主要有:用戶(Users)、用戶組(Group)、角色(Role)、目標(Objects)、訪問模式(Access Mode)、操作(Operator)。主要的關系有:分配角色許可權PA(Permission Assignment)、分配用戶角色UA(Users Assignmen描述如下: a .控制對象:是系統所要保護的資源(Resource),可以被訪問的對象。資源的定義需要注意以下兩個問題: 1.資源具有層次關系和包含關系。例如,網頁是資源,網頁上的按鈕、文本框等對象也是資源,是網頁節點的子節點,如可以訪問按鈕,則必須能夠訪問頁面。 2.這里提及的資源概念是指資源的類別(Resource Class),不是某個特定資源的實例(Resource Instance)。資源的類別和資源的實例的區分,以及資源的粒度的細分,有利於確定許可權管理系統和應用系統之間的管理邊界,許可權管理系統需要對於資源的類別進行許可權管理,而應用系統需要對特定資源的實例進行許可權管理。兩者的區分主要是基於以下兩點考慮: 一方面,資源實例的許可權常具有資源的相關性。即根據資源實例和訪問資源的主體之間的關聯關系,才可能進行資源的實例許可權判斷。 例如,在管理信息系統中,需要按照營業區域劃分不同部門的客戶,A區和B區都具有修改客戶資料這一受控的資源,這里「客戶檔案資料」是屬於資源的類別的范疇。如果規定A區只能修改A區管理的客戶資料,就必須要區分出資料的歸屬,這里的資源是屬於資源實例的范疇。客戶檔案(資源)本身應該有其使用者的信息(客戶資料可能就含有營業區域這一屬性),才能區分特定資源的實例操作,可以修改屬於自己管轄的信息內容。 另一方面,資源的實例許可權常具有相當大的業務邏輯相關性。對不同的業務邏輯,常常意味著完全不同的許可權判定原則和策略。 b.許可權:對受保護的資源操作的訪問許可(Access Permission),是綁定在特定的資源實例上的。對應地,訪問策略(Access Strategy)和資源類別相關,不同的資源類別可能採用不同的訪問模式(Access Mode)。例如,頁面具有能打開、不能打開的訪問模式,按鈕具有可用、不可用的訪問模式,文本編輯框具有可編輯、不可編輯的訪問模式。同一資源的訪問策略可能存在排斥和包含關系。例如,某個數據集的可修改訪問模式就包含了可查詢訪問模式。 c.用戶:是許可權的擁有者或主體。用戶和許可權實現分離,通過授權管理進行綁定。 d.用戶組:一組用戶的集合。在業務邏輯的判斷中,可以實現基於個人身份或組的身份進行判斷。系統弱化了用戶組的概念,主要實現用戶(個人的身份)的方式。 e.角色:許可權分配的單位與載體。角色通過繼承關系支持分級的許可權實現。例如,科長角色同時具有科長角色、科內不同業務人員角色。 f.操作:完成資源的類別和訪問策略之間的綁定。 g.分配角色許可權PA:實現操作和角色之間的關聯關系映射。 h.分配用戶角色UA:實現用戶和角色之間的關聯關系映射。 該對象模型最終將訪問控制模型轉化為訪問矩陣形式。訪問矩陣中的行對應於用戶,列對應於操作,每個矩陣元素規定了相應的角色,對應於相應的目標被准予的訪問許可、實施行為。按訪問矩陣中的行看,是訪問能力表CL(Access Capabilities)的內容;按訪問矩陣中的列看,是訪問控製表ACL(Access Control Lists)的內容。 4 許可權訪問機制 許可權管理系統端:提供集中管理許可權的服務,負責提供用戶的鑒別、用戶信息、組織結構信息,以及許可權關系表的計算。 系統根據用戶,角色、操作、訪問策略和控制對象之間的關聯關系,同時考慮許可權的正負向授予,計算出用戶的最小許可權。在業務邏輯層採用Session Bean實現此服務,也可以發布成Web Service。採用代理Proxy模式,集中控制來自應用系統的所要訪問的許可權計算服務,並返回許可權關系表,即二元組{ObjectId,OperatorId}。 應用系統端:可以通過訪問能力表CL和訪問控製表ACL兩種可選的訪問方式訪問許可權管理系統。 以基於J2EE框架的應用系統為例,說明訪問過程: a.首先採用基於表單的驗證,利用Servlet方式集中處理登錄請求[2]。考慮到需要鑒別的實體是用戶,採用基於ACL訪問方式。用戶登錄時調用許可權管理系統的用戶鑒別服務,如果驗證成功,調用許可權計算服務,並返回許可權關系表,以HashMap的方式存放到登錄用戶的全局Session中;如果沒有全局的Session或者過期,則被導向到登錄頁面,重新獲取許可權。 b.直接URL資源採用基於CL訪問方式進行的訪問控制。如果用戶直接輸入URL地址訪問頁面,有兩種方法控制訪問:1.通過許可權標簽讀取CL進行控制;2.採取Filter模式,進行許可權控制,如果沒有許可權,則重定向到登錄頁面。 5 許可權控制機制 許可權所要控制的資源類別是根據應用系統的需要而定義的,具有的語義和控制規則也是應用系統提供的,對於許可權管理系統來說是透明的,許可權將不同應用系統的資源和操作統一對待。應用系統調用許可權管理系統所獲得的許可權關系表,也是需要應用系統來解釋的。按此設計,許可權管理系統的通用性較強,許可權的控制機制則由應用系統負責處理。 由於應用系統的許可權控制與特定的技術環境有關,以基於J2EE架構的應用系統為例來說明,系統主要的展示組件是JSP頁面,採用標記庫和許可權控制組件共同來實現。 a. 許可權標識:利用標簽來標識不同級別資源,頁面許可權標簽將標識頁面對象。 b. 許可權注冊:遍歷JSP頁面上的許可權控制標簽,讀取JSP的控制許可權。通過許可權注冊組件將JSP頁面上的許可權控制對象以及規則注冊到許可權管理信息系統中。 c. 許可權控制:應用系統用戶登錄系統時,從許可權管理系統獲得許可權關系表之後,一方面,許可權標簽控制頁面展示;另一方面,利用許可權控制組件在業務邏輯中進行相應的許可權控制,尤其是和業務邏輯緊密聯系的控制對象實例的許可權控制。 6 許可權存儲機制 許可權管理系統採用了兩種可選的存儲機制:LDAP(Lightweight Directory Access Protocol)目錄服務資料庫和關系型資料庫。存儲用戶信息、組織結構、角色、操作、訪問模式等信息。 其中,目錄服務系統基於LDAP標准,具有廣泛的數據整合和共享能力。元目錄(Meta-Directory)功能允許快速、簡潔的與企業現存基礎結構進行集成,解決基於傳統RDBMS等用戶資料庫與LDAP用戶資料庫的同步問題。 7 結語 本文論述了一種基於RBAC模型的許可權管理系統的實現技術方案。該許可權管理系統已成功應用於系統的設計和開發實踐,與應用系統具有很好的集成。實踐表明,採用基於RBAC模型的許可權具有以下優勢:許可權分配直觀、容易理解,便於使用;擴展性好,支持崗位、許可權多變的需求;分級許可權適合分層的組織結構形式;重用性強。

閱讀全文

與什麼訪問許可權控制方法便於數據許可權頻繁更改相關的資料

熱點內容
水準計算方法定義 瀏覽:203
如何排肺毒最有效的方法 瀏覽:480
跨欄跑過欄技術實踐教學方法 瀏覽:473
怎麼殺老甲魚最有效方法 瀏覽:672
怎樣快速通便拉得又多土方法 瀏覽:84
藍凈靈的使用方法 瀏覽:335
廣東pvc木飾面安裝方法 瀏覽:183
公司管理方法叫什麼 瀏覽:14
鑒別紅薯最好的方法 瀏覽:877
4g手機電話轉移在哪裡設置方法 瀏覽:428
禁食水的正確使用方法 瀏覽:436
水泥膨脹劑的使用方法 瀏覽:465
怎麼教股票開盤方法 瀏覽:674
582減198簡便方法 瀏覽:432
問題要有解決方法的名言 瀏覽:545
剩米飯和豆皮怎麼做好吃簡單方法 瀏覽:179
口才訓練16種方法 瀏覽:653
帶圓弧角正方形的周長尺寸計算方法 瀏覽:286
環境空氣中乙酸乙酯的檢測方法 瀏覽:105
兒童跳高鍛煉方法視頻 瀏覽:741