首页 RBAC

RBAC

举报
开通vip

RBAC 2005年第 22卷第 9期 微电子学与计算机 43 RBAC访问控制中间件的设计与实现 盘莉莉 1 (1桂林航天工业高等专科学校.广西 桂林 541004) 毛 习文 2 (2北京航空航天大学电子政务研究所 .北京 100083) 摘 要:研究对于应用系统资源的访问控制,设计和实现基于中间件技术的访问控制系统。首先说明了研究背景 。 在介绍了所需涉及的相关理论和技术之后,设计了一个实用的RBAC访问控制中间件 ,可以运行在多种软硬件平 台,方便地进行二次开发。 关键词:集成信息系统...

RBAC
2005年第 22卷第 9期 微电子学与计算机 43 RBAC访问控制中间件的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 与实现 盘莉莉 1 (1桂林航天工业高等专科学校.广西 桂林 541004) 毛 习文 2 (2北京航空航天大学电子政务研究所 .北京 100083) 摘 要:研究对于应用系统资源的访问控制,设计和实现基于中间件技术的访问控制系统。首先说明了研究背景 。 在介绍了所需涉及的相关理论和技术之后,设计了一个实用的RBAC访问控制中间件 ,可以运行在多种软硬件平 台,方便地进行二次开发。 关键词:集成信息系统,基于角色的访问控制,中间件,Web服务 中图法分类号:TP302.2 文献标识码:A 文章编号:1000-7180(2005)09—043—03 Researchment on Synchronous of Permission . Updating in RBAC System PAN Li—li .MAO Xi—wen (1 Guilin College of Aerospace Technology,Guilin 541004 China) (2 Institute of E-government,Beijing University of Aeronautics and Astronautics。Beijing 100083) Abstract: The paper do some research on how to design and implement middleware-based access control of application systems . Af- ter introducing the relevant theories and technique about access control and middleware,the paper design a RBAC access control middlewaxe,which can rUil Oil different hardware and operation systems. Key words:Integerated MIS,RBAC,Middleware,Webservice 1 引言 计算机技术的快速发展使得集成信息系统 日 趋复杂 :单机、C/S结构、B/S结构 、甚至网格结构的 软件体系共存:各种应用系统分散在不同地理位 置 ,建立在不同软硬件平台的计算机中.通过多种 多样的方式连接在一起.产生并维护着结构各异的 数据信息.并被存储在多个相关联或者并不相关联 的数据库系统中。本文把 RBAC访问控制功能模块 提高到中间件(RBAC Middleware)的高度 .对分布 式系统进行集中式的访问控制。中间件本身则可以 部署在分布式系统中不同的软硬件平台.对外提供 一 系列接口,实现中间件可重用性和高可靠 、可扩 展性的优点。这就简化了应用集成.在一定程度上 提高了整个系统的安全性。 2 访问控制系统总体结构 在集成系统中.访问控制方面的功能主要分为 三部分:授权管理中心、身份认证、权限判断。事实 上.我们把对应用系统的访问权限看作普通权限对 待.因此身份认证的一部分功能也是由权限判断功 能来实现的.就是说.二者调用的是相同的接 口 收稿 日期:2005—05—31 API。访问控制系统的总体结构如图 1所示。 图l 访问控制总体结构 授权管理中心是集成信息系统中的一个 比较 独立的子系统,它通过建立人员的权限数据库.完 成对其他各个子系统的访问控制。它的功能包括: 主体(用户、用户组)的维护(新建、删除、修改)、客 体(权限、角色)维护(新建、删除、修改)等。该系统 的操作用户范围仅限于系统管理员。 基本身份认证.其功能包括会话维护和权限的 计算。所有应用系统在调用访问控制系统提供的接 口之前。都需要首先经过身份认证。身份认证过程 对于 B/S结构的应用系统来说是一样的.对于所有 C/S结构的应用系统来说也各自完全一样。但是 C/S 和 B/S结构在实现时会略有不同。 维普资讯 http://www.cqvip.com 微电子学与计算机 2005年第 22卷第9期 每次用户在应用系统上重新登录,或者更换用 户.应用系统在访问控制系统上都需要重新经过身 份认证过程。 在 B/S结构中.整个身份认证过程包括四个接 口调用 这些调用的次序必须固定。依次为:得到会 话标识 Sessi0nID、将 SessionID使用应用系统 自身 密钥加密、把应用系统自身编号、加密后的Session. ID传给访问控制系统进行权限计算 、将成功登录的 用户标识传给访问控制系统。图 2是集成系统中的 访问控制系统体系结构。 图2访问控制系统体系结构 3 访问控制中间件的设计 3.1 中间件类设计 中间件包含如下四个基础类:用户类 User.用 户组类 UserGrouP.角色类 Role.权限类 Permission。 对每个类.我们只定义最基本的字段 ,包括:id(关键 字标识符),name(名称),description(~ ),当应用 层进行二次开发的时候.可以对其进行扩展。特别 是授权管理中心为了展示友好的操作界面.对用户 类、用户组类、权限类进行扩展是必不可少的。在开 发权限判断模块的时候.也需要对权限类进行扩 展 .比如可以将权限类 Permission扩展为两个类 FunRight(功能权限)和 DataRight(数据权限)。 3.2 原子操作 原子操作在 J2EE的分布式环境中以Servlet和 EJB技术实现.功能比较简单.大多数就是执行一个 SOL查询或者更新.然后返回结果。由于JAVA和 J2EE的跨硬件平台能力.底层操作具有很大的可移 植性。 原子操作可以根据功能划分为:基本维护操 作、批量维护操作 、合法性检验操作、查询操作 、事 务操作等类型 3.3 应用层接口 在上述底层原子操作的基础之上.实现了中间 件的一系列功能.包括:会话维护功能、用户和用户 组信息维护功能、权限和角色信息维护功能、分配 关系维护功能、查询功能。各组功能如下: (1)用 户和用 户组 信息 维护 功能 (UserAnd. GroupMaifltaince):实现对用户、用户组信息的添加、 删除、修改;例如: int addUser(String userID,String parentGroupID) //添加用户 (2)权限和角色信息维护功能(RightAndRole. Maintaince):实现对权限、角色信息的添加、删除、修 改 : (3)分 配关 系维 护 功能 (AssignRelationMain. taince):实现用户与用户组之间、角色与权限之间、 角色与用户之间、用户与权限之间、用户组与权限 之间、用户组与角色之间分配关系等的添加、删除、 修改: (4)查询功能(Query):查询某用户所属的组、某 用户是否有某权限的多种查询、关于当前用户的种 种信息、最近所报错误信息等:例如: String getCharaeRght fString userID)//获得用户 个性权限 String getRght(String rolelD)//获得角色权限 (5)判断功能(Judge):该功能提供给应用系统 开发人员 .在实现应用程序的身份认证和访问控制 功能时调用。其中包括 Web访问中的会话维护、用 户身份的查询、各种权限的判断.也包括是否拥有 应用系统访问权限的判断.以及其它辅助功能。 为了适应于多种应用层开发平台(J2EE、DNet、 VB、Delphi等).我们把所有的接口参数和返回值都 设计为基本的字符型和整型。一系列的返回值不用 集合、向量等传递.而将各元素用逗号连接成字符 串,如“permission1.penmission2”等 .便于应用层的 处理 4 系统实现 4.1 中间件服务器的选择 我们采用 BEA Weblogic 7.0作为中间件服务 器来部署面向对象的RBAC访问控制中间件 BEA WebLogie实施的J2EE平台 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 包括 Servlets、JSP、 EJB、JMS等。其容器提供了J2EE规范定义的生命 周期支持和服务.因此开发人员不必过多地关心交 易、安全、数据库连接和其他基本系统基础设施的 细节。Weblogic Server提供的高性能的Web服务 器用于管理静态 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 和动态 J2EE应用。该 Web服 务器应用了页面缓存、负载均衡、会话管理技术.提 供了高性能和高可靠性。最重要的.BEA WebLogic 为开发人员构建、展示和访问 WebService提供了完 善的性能.并且无需 XML、SOAP和WSDL方面的 专业知识。这使得我们可以在一个中间件服务器上 维普资讯 http://www.cqvip.com 2005年第 22卷第 9期 微电子学与计算机 45 部署全部功能 4.2 RBAC访问控制中间件的部署和调用 用户和用户组信息维护、权限和角色信息维 护、分配关系维护、查询等功能主要供授权管理中 心调用 .由于集成信息系统中一般只有一个授权管 理中心.所以这些功能不需要发布为 Web服务(尽 管包括 EJB组件在内的所有 JAVA类均可 以在 BEA Weblogic上发布为 Web服务):而权限判断功 能由于提供给多个应用系统调用.这些应用系统往 往用不同语言开发.运行在不同平台.因此权限判 断功能被发布成了Web服务 图3所示.中间件服务器提供的功能包括 Web. Service.因此.调用中间件的接El的既可以是 B/S系 统中Web服务器.也可以是 C/S应用程序客户端 ~ JSP /Servlet 。 == Ir~ 一 l l J ~ 中 陷 器 。 略 器 器 ● 访1口】控制中间件 _ s 应用程序 0 其它 『IfHJ件 图3中间件的部署 中间件的调用和运行情况如图4所示 客户端 程序如Servlet或者 Applet等首先通过调用对象远 程接口调用发起对中间件的调用 .随后支持 EJB运 行的事务、安全等运行环境服务被调用 ,然后中间 件的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 被调用并最终通过对象返回给调用的客 户端 图4中间件的调用和运行 图 5是 Web服务的调用和运行情况:图的左边 是Web服务的调用者.而右边是 Web服务的提供 者 Web客户端在这里是属于客户端.但一般情况 下它本身也是一个服务器.可以处于多层体系结构 中的第二层、第三层等等 右边提供Web服务,它必 定是一个支持http访问的Web服务器 我们的左边 包括两种类型:授权管理中心和权限判断功能 授 权管理中心是应用程序 .而权限判断逻辑是功能模 块。右边的Webservice来源包括JAVABean和 EJB: 左边发出SOAP请求,右边通过处理和运行,再处 图5 Webservice的调用和运行 理,把结果发回到左边。我们这里不需要 UDDI。 5 结束语 关于 RBAC模型的理论研究已经相当丰富.但 是实现的弹性很大 不同的实现直接体现为权限的 计算,如用户的权限可以从角色、直接所属用户组、 更上层用户组等继承 利用面向对象中间件的可配 置性 .使得 RBAC模型的实现以及策略的改变更加 容易.在一定程度上实现当策略改变时的零编程 我们考虑在局域网和 Intranet范围内将访问控 制中间件的功能发布为Web服务.作为应用开发中 调用的可选项(Optiona1)。应用程序无论是 CORBA、 DCOM还是 EJB都可以通过标准的协议 HTYP进行 统一的调用和操作 如何丰富 RBAC访问控制中间件的功能,是进 一 步研究的方向 参考文献 ⋯1 Ferraiolo,David,Richard Kuhn.Role—Based Access Con— tro1.Proceedings of 15th National Computer Security Con— ference.1992. [2】 赛迪网.中间件的分类.http://tech.ccidnet.com/pub/se— ries/s64.htm1. [3]3 Systinet:Intm to Web Services.http://www.webservices. org/index.php/ws/content/view/full/448 1. [4] 查义国,徐小岩.在 Web上实现基于角色的访问控制. 计算机研究与发展,2002,39(3):258 259. [5】 Ed Roman.Master Enterprise JavaBeans[M】.电子工业出 版社.2003. [6】 谷和启.关于 J2EE的中间件集成在企业应用的理论. http://tech.163.com/tm/0303 19/0303 19I 86800.htm1. [7】 IBM公司.Web Services for J2EE,Version 1.0. 盘莉莉 女,(1964一),研究生,讲师。研究方向为数据库技 术、面向对象技术。 毛习文 男,(1974一),硕士研究生。研究方向为计算机系统 的开发与应用。 维普资讯 http://www.cqvip.com
本文档为【RBAC】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_244800
暂无简介~
格式:pdf
大小:170KB
软件:PDF阅读器
页数:3
分类:工学
上传时间:2010-08-31
浏览量:26