【毕业学位论文】（Word原稿）基于角色访问控制（RBAC）的教材库存信息平台的设计与实现-软件工程

硕士学位论文 （专业学位） 姓 名： 学 号： 所在院系：软件学院 职业类别：工程硕士 专业领域：软件工程 指导教师： 副指导教师： 二一四年三月 基于 角色访问控制（ 教材库存信息平台的设计与实现 A in 2010 基于 人力资源管理系统的设计与实现 陈世军 同济大学 2014 F 基于角色访问控制（教材库存信息平台的设计与实现 同济大学 学位论文版权使用授权书 本人完全了解同济大学关于收集、保存、使用学位论文的规定，同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名： 年 月 日 同济大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任由本人承担。 学位论文作者签名： 年 月 日 同济大学 硕士学位论文 摘要 I 摘要 百年大计，教育为本。而教材是知识的基本载体，是开展教育的必备工具。随着现代教育的发展，种类繁多、数量庞大的教材的库存管理已经成为各类教学机构必须面对和解决的问题。 本文作者作为一名在校学生，和形形色色的各类教材已经打了多年的交道。很偶然的原因而结识了学校的教材管理员，言谈之中深切的体会到教材库存管理的复杂以及管理员所付出的巨大精力 。这触动了作者设计开发教材库存信息平台的神经。 结合在校所学的计算机相关知识，本着理论指导实践，学以致用的原则，严格遵循软件工程的开发流程完成了本系统的开发。通过可行性调研分析，以及与相关教材库管理员的多次深入交流，获取了第一手的系统需求。经过需求整理、概要设计、详细设计、代码开发、系统测试和维护等一系列开发流程，最终形成了教材库存信息平台这样一套软件系统。这其中安全管理系统采用了基于角色访问控制（ 概念来实现，较好的满足了用户访问控制的需求。 本文首先介绍了研究的背景，介绍了 论的相关情 况；其次介绍了系统设计开发所涉及的各项技术；紧接着，较为详细的列举和分析了系统需要实现的各项功能以及所涉及的各项模型和框架；在系统设计章节，首先是系统的总体设计，然后对各个模块的设计做了介绍；系统实现是衔接理论构思和实际应用的关键一步，本着不重复发明轮子的原则，在本章节用到了很多的编程技术和开源框架，特别是安全管理模块，实现了基于 角色访问控制，这对于提高系统的健壮性和缩短开发周期提供了很大的帮助；系统测试对于保证系统的正确性和稳定性也是必不可少的一环。在这些工作的基础上对全文的工作进行了总结并展望 了该系统未来的发展应用前景。 关键词 ： 安全，角色，权限，教材库存 ， I is is of is an of a of of an of In as a of of to to s of a of of in in to of of of as of a of a of is a to of of in a to in of of is a in of of in a of to a of II is an on of on of of 同济大学 硕士学位论文 目录 1 目录 第 1 章 绪论 . 1 究背景 . 1 言 . 1 期的访问控制模型 . 2 于角色的访问控制模型 . 3 发展 . 5 于任务的访问控制模型 . 5 于属性的访问控制模型 . 5 特点分析 . 6 文主要从事的工作 . 7 文的内容组织 . 7 第 2 章 相关技术介绍 . 8 及的技术概述 . 8 . 8 况 . 8 点 . 8 . 10 . 11 . 11 . 12 况 . 13 况 . 13 况 . 14 . 14 况 . 14 点 . 14 . 15 . 15 . 15 第 3 章 需求分析 . 17 统功能陈述 . 17 统性能及访问需求 . 22 统用户结构 . 22 统总体框架 . 23 同济大学 硕士学位论文 基于角色访问控制（ 教材库存信息平台的设计与实现 2 章小结 . 23 第 4 章 系统设计 . 24 统总体设计 . 24 统技术层次 . 24 统的总体架构 . 24 统的应用和开发环境 . 25 划分 . 26 面设计 . 26 据库设计 . 27 全管理模块设计 . 27 户管理相关表设计 . 28 户登录时序图 . 30 学任务管理模块设计 . 30 材申报管理模块设计 . 32 材入库管理模块设计 . 34 材出库管理模块设计 . 36 材查询统计模块设计 . 38 置数据管理模块设计 . 39 章小结 . 39 第 5 章 系统实现与测试 . 40 统实现 . 40 端页面实现 . 40 台处理逻辑实现 . 46 据库实现 . 51 统测试 . 55 统测试环境 . 55 统的部署结构 . 56 统测试用例的设计 . 57 统测试的执行与结果分析 . 57 章小结 . 59 第 6 章 总结与展望 . 60 结 . 60 望 . 61 致谢 . 62 参考文献 . 63 个人简历、在读期间发表的学术论文与研究成 果 . 65 第 1 章 绪论 1 第 1章 绪论 究背 景 言 教材是各级学校（幼儿园，小学，初中，高中，大学以及研究院所）的重要管理对象。对高校来说，因为院系较多且每个院系都有不同的专业，所以教材管理的复杂度就更大。而教材管理的复杂之处关键在存和取，教材库存信息平台就是为解决教材的存取问题而提出的。该平台充分考虑到教材使用的场景，采用信息化技术来实现的。 考虑到教材的相关使用对象非常多，教材库存信息平台中的安全管理问题就比较突出。为充分满足各种使用者的使用要求和系统的安全控制，使用基于角色的访问控制（ 实现教材库存信息平台的安全管理 模块 。 访问控制技术是信息系统安全的核心技术之一。 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法。它是针对越权使用系统资源的防御措施，通过显式地访问受保护资源，防止非法用户的入侵或因为合法用户的不慎操作所造成的破坏，从而保证系统资源受控地、合法地使用。 访问控制模型是从访问控制技术的角度出发，定义了主体、客体及主体对客体的访问规则，从抽象的层次来描述访问控制约束的概念性框架，建立安全模型以适应各种各样的实现方式和应用环境。建立规范的访问控制模型是实现严格访问控制约束的基础。 访问控制 技术兴起于 20 世纪 70 年代，最初是为了解决大型主机上共享数据授权访问的管理问题。经过四十多年的蓬勃发展，访问控制技术应用领域逐渐扩大，具有代表性的模型不断涌现，如： 早期的自主访问控制模型（ 强制访问控制模型（ 中期的基于角色的访问控制模型； “域”概念的引入推动了基于任务的访问控制模型、基于 服务 /团队和 域的访问控制模型 等的出现； 与时空相关的访问控制模型； 云计算等新型计算模式的出现还促进了 基于属性 的访问控制模型 的发同济大学 硕士学位论文 基于角色访问控制（ 教材库存信息平台的设计与实现 2 展 。 本文旨在归纳总结现有的研究成果，介绍并对比典型访问控制模型的实现方式及优缺点，并分析以后的发展趋势。 期的访问控制模型 早期的访问控制模型主要是自主访问控制模型和强制访问控制模型两种，两种模型的特点对比如下 1： 表 1期访问控制模型的特点对比 自主访问控制模型（ 强制访问控制模型（ 提出时间 20 世纪 70 年代初期 20 世纪 80 年代中期 提出背景 在分时系统中， 针对当时多用户计算机系统的数据保护而提出 美国政府和军方基于对信息机密性的要求以及防止木马攻击而提出 基本思想 通过建立主客体关联表，主要是访问控制列表 （ 形式建立主体和客体的关联性 依据主体和客体安全属性的级别来决定主体是否拥有对客体的访问权限 内涵描述 其自主性主要体现在系统中的主体可将其拥有的权限授权给其他主体而不需要经过系统安全员的允许。从实现形式上来看，主要有基于主体和基于客体两种。一方面是以主体为核心进行管理，记录每个主体能够访问的客体及可采取的操作，根据记录内容的不同，又分为三种：1）权能表，定义代表某种操作的安全标识，主体只有具有了安全标识才能对客体进行相应的访问； 2）前缀表，包括主体能够访问的客体名及可采取的操作； 3）口令，每个 客体有一个口令，主体访问客体时首先向系统提供该客体的口令。 在强制访问控制机制下，系统内的每个用户或主体被赋予一个安全属性来表示能够访问客体的敏感程度。同样系统内的每个客体也被赋予一个安全属性。以反映其本身的敏感程度、系统通过比较主体和客体相应的安全属性的级别来决定是否授予一个主体对客体的访问请求、安全属性由系统策略管理员分配。具有强制性，用户或用户进程不能改变自身或其它主；客体的安全属性。 两个关键规则是不向上读和不向下写。即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是禁止的。 第 1 章 绪论 3 应用场景 很少应用于大型系统 用于多层次安全级别军事软件系统 优点 灵活，易于系统实现 具有较高的安全性，可以通过信息的单向流动来防止信息的泄漏；由于用户不能改变自身或其他主客体的安全属性，可以防止用户滥用职权 缺点 资源管理比较分散，主体间的关系不能在系统中直观的体现出来，最为严重的是主体可以自主地将权限授予其他主体，这可能造成权限传递的失控。易遭到木马攻击，从而导致信息的泄露。如果主 /客体数量过于庞大，型将带来极大开销 灵活性较低，权限不能动态变化，授权管理较为困难，对用户恶意泄漏信息无 能为力，实现起来工作量较大 于角色的访问控制模型 型会 将权限直接分配给主体 ，而这会 造成管理困难 。为了解决这个问题，而把 “角色”的概念 引入了访问控制模型中 ，即 角色 （ ，就是用户在 系统中 可 执行的 操作 和资源的二元组的集合。角色 实际是一个中介概念，通过把角色引入 用户和权限就不再有直接的联系。每个 用户与一个或多个角色相关联， 而每个 角色 又 与一个或多个权限相关联。这样权限就直接指派给角色而不是指派给用户。 角色 删除 或创建 可根据实际需要来确定， 用户权限的授予和 撤销 通过分配或 删除 角色 来完成 。 这样就 实现了用户与权限的逻辑分离 ， 简化了授权过程 2。 基于角色访问控制 （ 20 世纪 90 年代提出 的， 国国家标准与技术研究院） 对 研究较为深入，其提出的 标准 型由 4 个 子 模型组成 ，因为这一组模型是在 1996 年提出的，一般也称为 型 ，这 4 个 子 模型 介绍如下 3。 1） 基本模型 义了系统所需的最小需求 ， 能构成一个 制系统的最小的元素集合。在 中 ， 包含 静态元素和动态元素两组不同的元素。 静态元素包括 用户 色 标 作 硕士学位论文 基于角色访问控制（ 教材库存信息平台的设计与实现 4 和 许可权 个基本数据元素 。 权限被赋予角色 ， 而不是用户 。 当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。 动态元素是指 会话 是用户与激活的角色集合之间的映射。 传统访问控制的 最大 差别 就 在于 创造性的引 入了角色的概念，通过 增加 一个中间层（角色层）而 带来了 巨大的 灵活性， 于 行 扩展 的 。 2） 角色分级模型 扩展在于 引入 了 角色间的 “ 继承关系 ”。 角色间的继承关系 包括 一般继承关系和受限继承关系 两种 。 一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。受限继承关系则进一步要求角色继承关系是一个树结构。 3） 角色限制模型 扩展在于 基础上添加了 “ 约束 ”的概念 ， 添加了 “ 责任分离关系 ” 。 约束规定了权限被赋予角色时 ， 或角色被赋予用户时 ， 以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。约束与用户 权限关系一起决定了 型中用户的访问许可。 4） 统一模型 含了 基于 传递 性 ， 包含了 时 提供了角色间的继承关系 和 责任分离关系。 这四个子模型的关系如 图 1示： R B A C 3R B A C 1 R B A C 2R B A C 0引 入 了 角 色 概 念添 加 了 约 束 概 念引 入 了 角 色 间的 继 承 关 系图 1个子模型 的关系 展 到 现在 已经非常成熟并已应用在 作系统， 据库等 许多大型系统中 4,5。 总的来说 ， 型的优点是通过引入“角色”的概念，实现了用户和权限的逻辑分离 ， 从而大大简化了授权管理 ， 实用性强 ； 其缺点是由于一个用户可以同时激活多个角色 ， 约束颗粒较 大易造成用户权限过大带来的安全隐患 ， 可扩展性不强 ， 难以适用于分布式系统中。 第 1 章 绪论 5 发展 于任务的访问控制模型 以最小权限、职责分离、数据抽象为目标的 以用户与角色间映射经常变化而角色与权限映射相对不动为依据而构建的，基于角色的安全模型给实际的授权管理带来便利。但 一个中性的模型，并没有给出如何保护系统的机密性和完整性 6,7。 基于任务的访问控制模型实现了在每一个具体的任务中保持机密性和完整性的局部一致。 任务的定义为：分派给某一组 织或个人作为其部分职责，并按一定流程完 成的工作。任务符合安全需求，任务执行后不会对信息系统的机密性、完整性构成破坏。任务实例是指任务的一次具体完成过程，同一任务可以有不同的实例，任务实例是可信的，意味着该实例所属任务符合安全需求，并且任务所对应可执行程序的完整性没有遭到破坏。 基于任务的访问控制模型的理论假设 8： (1)任务的输入是合法的，并符合安全需求； (2)系统只要允许该任务的实例启动，就意味着该实例是可信的，不会破坏系统的机密性和完整性，也不再限制该任务实例的行为。基于此，任务的属性至少应包括：任务名，是否符合安全需求的标志，操作，输 入和输出。 在流程固定的生产系统中，各个任务之间并不是孤立的，而是存在以下四种相互依赖关系 9： (1)外部依赖：某一任务完成一段时间以后，另一任务才能启动。(2)顺序依赖：某一任务的启动依赖于另一任务是否成功完成。 (3)同步依赖：两个或多个任务必须同步执行。 (4)互斥依赖：两个或多个任务必须互斥执行。 总的来说 ， 优点是引入了任务的概念 ， 可表示任务状态的变化 ， 是主动访问控制模型 ， 可主动授权 , 该模型可以将信息的机密性、完整性有机地结合在一起，在单个任务中达到局部的和谐 。 其缺点是任务和角色未分离 ， 不 支持被动访问和角色层次。 于 属性的访问控制模型 基于属性的访问控制模型（ 根据参与决策的相关实体的属性来进行授权决策的。 的基本元素包括请求者，被访问资源，访问方法和条件，属性概念将访问控制中对所有元素的描述统一起来，同时摆脱了基于身份的限制。 同济大学 硕士学位论文 基于角色访问控制（ 教材库存信息平台的设计与实现 6 否允许一个主体访问资源是根据请求者，被访问资源以及当前上下文环境的相关属性来决定的。这使得 有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能 10,11。 1） 基于信任的访问控制（ 型 其 基本思想是承认开放系统中安全信息的不完整性，提出系统的安全决策需要附加的安全信息。对信任内容和信任程度进行划分，并从信任的主观性入手给出信任的数学模型用于信任评估 12。 基于信任的访问控制，基于信任管理的感性信任模型，是将访问请求方的信誉度作为衡量是否授权的标准的访问控制技术，是一种比较新的访问控制技术。 2） 基于行为的访问控制（ 型 虽然上述部分模型中已考虑了与访问控制相关的时态因素和位置因素，但都没有对移动计算下角色所处环境；各种客观因素组成的环境要素（如场所物理位置、网络位置、逻辑位置 、硬件平台、软件平台等）对访问控制的影响进行详细分析，故上述模型无法支持开放网络环境下的移动计算 13。 综合角色、时态状态和环境状态等相关安全信息， 2008 年 提出了基于行为的访问控制模型 模型继承了传统访问控制中角色和角色控制的理念，综合考虑了时态和环境约束，而且支持移动计算中接入用户、接入位置、接入的具体业务以及接入平台随机和不可预知的特点，具有更为广泛的应用范围。该模型能够更加有效地解决网络环境下支持移动计算的信息系统中的访问控制问题，但是行为中角色、时态、环境三者之间的约束关系和 管理策略问题还有待进一步研究。 特 点分析 总结 起来， 问控制理论具有以下几个主要特点 14： 用户和权限分离，访问权限与角色相关联。用户所分配的角色决定了用户拥有的权限。 角色继承。不同角色之间可建立父子关系来实现互相重叠的权限和资源组合。 用角色继承的概念，如角色 2 继承角色 1（可称角色 1 为父角色，角色 2 为子角色）管理员在定义角色 2（子角色）时就可以只设定不同于角色 1（父角色）的属性及访问权限，避免了重复定义。 最小权限原则，即用户所拥有的权限不能超过其操作时所需的权限。分清用 户的工作职责，确定完成该工作的最小权限集，然后把用户限制在这个权限集合的范围之内是实现最小特权原则的基本步骤。分配角色就确定了其工作职 第 1 章 绪论 7 责，而角色所能完成的事务包含了其完成工作所需的最小权限。用户要访问信息首先必须具有相应的角色，用户无法绕过角色直接访问信息。 职责分离。一般职责分离有两种方式：静态和动态。 总体来说，基于角色的访问控制是一种方便、安全、高效的访问控制机制。 文主要从事的工作 在论文工作期间，主要从事以下几个方面的工作： 查找大量资料，学习访问控制的含义以及基于角色访问控制模型及其他相关访问 控制模型的含义。 通过和学校教材库管理人员、教材申报人员和教材领用人员交流、沟通，获取需求，归纳整理教材库存信息平台的业务规则。 查找各种访问控制模型的特点和不足，反复比较，最终确定采用基于角色的访问控制模型。 确定教材库存信息平台使用的软件技术及软件架构。 确定整个系统的数据模型设计和数据库设计。 软件系统的编码、测试、实施以及维护。 文的内容组织 第一章简要介绍本文的研究背景 ， 访问控制的定义 ， 基于角色访问控制模型的发展现状 ， 主要内容和组织结构。 第二章主要介绍了 基于角色访问控制（ 教材库存信 息平台的需求分析、设计和开发过程中所涉及的相关技术，主要包括 相关技术 。 第三章首先介绍了教材库存信息平台的功能 陈述、系统功能及访问需求、系统用户结构和 总体 框架 设，并在该部分介绍了系统数据库的 数据模型 设计。 第四章 首先 介绍了教材库存信息平台的系统 的总体设计，具体包括系统技术层次、总体架构、应用开发环境等 ， 接着描述了 各个模块的详细设计及相关技术的实现要点。 第五章介绍了教材库存信息平台的 系统实现，具体包括实现和测试两部分 。 在论文的最后对全 文做了总结，指出了本文的主要贡献，并展望了未来的工作。 同济大学 硕士学位论文 基于角色访问控制（ 教材库存信息平台的设计与实现 8 第 2章 相关 技术 介绍 涉及的技术概述 综合考虑 基于角色访问控制（ 教材库存信息平台 的各项需求、本人所掌握的软件开发技能以及系统的开发部署成本，最终决定 采用 为该系统的基础开发语言，系统整体采用 B/S 架构 。整个系统的设计、开发过程中 涉及以下相关技术 面简要介绍下这些技术。 况 公认的对 程语言的解释是： 程语言是个简单、面向对象、分布式、解释性、健壮、安全与系统无关、可移植、高性能、多线程和动态的语言。 一种可以撰写跨平台应用软件的面向对象的程序设计语言，开发于20 世纪 90 年代初 。 纯面向对象的程序设计语言， 继承了 C+ 语言面向对象技术的核心，并 舍弃了 C +语言中 广为诟病的不足。 同于一般的编译执行计算机语言和解释执行计算机语言。它首先将源代码编译成二进制字节码（ ，然后依赖各种不同平台上的虚拟机来解释执行字节码，从而实现了“一次编译、到处执行”的跨 平台特性 15。 点 简单 言的简单包括两个方面：一方面是学习简单， 言的语法与 +语言很接近， 使得 于 学习和使用 ； 另一方面 是使用简单， +中很少使用的、很难理解的、令人迷惑的那些特性，如操作符重载、多继承、自动的强制类型转换。 尤其值得称赞的是 言不使用指针，并提供了自动的废料收集，使得程序员不必为内存管理而担忧。 面向对象 第 2 章 相关技术介绍 9 言提供类、接口和继承等原语，为了简单起见，只支持类之间的单继承，但支持接口之间的多继承，并 支持类与接口之间的实现机制（关键字为 言全面支持动态绑定，而 C+ 语言只对虚函数使用动态绑定。总之， 言是纯 面向对象程序设计语言。 分布式 言支持 用的开发，在基本的 用编程接口中有一个网络应用编程接口（ 它提供了用于网络应用编程的类库，包括 。 远程方法激活 ） 机制也是开发分布式应用的重要手段。 健壮 强类型机制、 异常处理、废料的自动收集等是 序健壮性的重要保证。 安全检查机制使得 具健壮性。 安全 常被用在网络环境中，为此， 供了一个安全机制以防恶意代码的攻击。除了 言具有的许多安全特性以外， 通过网络下载的类具有一个安全防范机制（类 如分配不同的名字空间以防替代本地的同名类、字节代码检查，并提供安全管理机制（类 用设置安全哨兵。 体系结构中立 序（后缀为 文件）在 台上被编译为体系结构中立的字节码格式（后缀为 文件） ， 然后可以在实现这个 台的任何系统中运行。这种途径适合于异构的网络环境和软件的分发。 可移植 这种可移植性来源于体系结构中立性，另外， 严格规定了各个基本数据类型的长度。 统本身也具有很强的可移植性， 译器是用 现的， 运行环境是用 实现的。 高性能 与那些解释型的高级脚本语言相比， 确是高性能的。事实上， 编译器技术的发展越 来越接近于 C+。 多线程 在 言中，线程是一种特殊的对象，它必须由 或其子（孙）类来创建。通常有两种方法来创建线程：其一，使用型构为 构造子将一个实现了 口的对象包装成一个线程，其二，从 法，使用该子类创建的对象即为线程。值得注意的是已经实现了 口，因此，任何一个线程均有它的 法，同济大学 硕士学位论文 基于角色访问控制（ 教材库存信息平台的设计与实现 10 而 法中包含了线程所要运行的代码。线程的活动由一组方法来控制。 程的同时执行，并提供多线程之间的同步机制（关键字为 言的优良特性使得 用具有无比的健壮性和可靠性