毕业设计（论文）-基于细粒度RBAC模型的权限管理的设计.doc

毕业设计（论文） 题目名称：基于细粒度 RBAC 模型的权限管理的设 计 院系名称：计算机学院 班 级：计科 111 学 号： 学生姓名： 指导教师： 2015 年 6 月 基于细粒度 RBAC 模型的权限管理的 设计 The design of fine-grained permissions management based on RBAC model 院系名称：计算机学院 班 级：计科 111 学 2015 年 6 月 论文编号：201100814115 摘摘 要要 伴随着信息化的发展，信息管理系统己经应用到社会的各个方面尤其是对于拥 有大量信息数据的组织与企业其作用尤为突出。但是随着工作内容的增加，信息量 和相关人员都会增加，导致安全系统的维护变得越来越困难。另外，作为信息转输的 最主要媒介，网络本身包含有太多的不安全因素。这样就使得信息漏失或被其他人利 用。所以构建健全的权限管理系统，保证信息系统的安全性是十分重要的，因此便产 生访问控制技术。 本文首先阐述 RBAC 模型的运行原理以及当前较为常用的 RBAC 模型。在此基础 之上，介绍了办公自动化系统中权限管理模块的架构设计，其中主要包括部门管理模 块、权限管理模块、角色管理模块、用户管理模块、新闻模块、浏览模块，同时基于 这些模块，本文给出了具体设计。 本系统采用了 SSH 框架和 jquery、css 和 mysql 等技术，实现了本系统的对用户的 权限控制的需求，系统经过测试，运行稳定。 关键词关键词：RBAC；安全性；权限管理 全套设计加扣 3012250582 V Abstract Meanwhile, information management systems have been applied in various aspects within the society, especially for the enterprises with huge amount of information. However, the expanding work content leads to the increase of the information, which makes it more difficult to maintain the system. Also, the internet, as main media of data transportation, contains lots of insecurity issues. Hence, constructing a strong management system is quiet important for the operation of the whole enterprise. This paper expounds the operation principle of the RBAC model and the current commonly used RBAC model. On this basis, the paper introduced the office automation system authorization management module in architecture design, which mainly include department management module, rights management module, the role management module, user management module, and based on these modules, this paper gives the detailed design. The system uses the SSH framework and jQuery, CSS and MySQL technology, the system of the users authority to control the needs of the system after testing, running stable. Key Words: RBAC; security; permission management ; access control 目录目录 摘 要.I ABSTRACT .II 目录.III 第 1 章 绪论.1 1.1 课题来源.1 1.2 研究领域的发展现状和发展前景.1 1.2.1 国内外发展现状.1 1.2.2RBAC 的发展前景.2 1.3 研究内容.3 1.3.1 RBAC 权限管理.3 1.3.2 界面设计.3 1.3.3 系统录入.3 1.3.4 基于细粒度的 RBAC 权限管理系统页面展示.3 1.4 论文组织与结构.3 1.4.1 论文组织.3 1.4.2 论文结构.4 第 2 章 系统需求分析.5 2.1 开发背景.5 2.2 开发目的 .5 2.3 业务范围.5 2.4 术语说明.6 2.5 开发环境与软硬件需求.6 2.5.1 软件约束.6 2.5.2 环境约束.7 2.6 功能性需求.7 2.7 非功能性需求.7 2.7.1 性能需求.7 2.7.2 可扩展性.7 2.7.3 可用性.8 VII 2.7.4 安全性.8 3.7.5 易用性.8 3.7.6 界面要求.8 3.8 小结.8 第 3 章 管理模块研究和 SSH2 介绍.9 3.1 模块研究.9 3.1.1 管理员模块研究.9 3.2 基于 OA 系统的权限管理管理系统技术支持.9 3.2.1 JSP 技术支持.9 3.2.2 SSH 框架支持.9 3.2.3 数据库连接池.12 3.3 小结.13 第 4 章 系统设计与实现.14 4.1 项目总体设计.14 4.1.1 SSH 总体框架实现图.14 4.1.2 系统管理的的整体功能结构图.15 4.2 数据库设计.15 4.2.1 系统用户信息的数据表设计.15 4.2.2 概念模型设计.16 4.2.2 逻辑模型设计.16 4.2.2 超级管理员的设计.18 4.3 UI 设计与实现.19 4.2.1 主界面.19 4.4 几个模块的具体实现.19 4.4.1 用户模块实现.19 4.4.2 部门模块和角色模块的实现.21 4.4.3 论坛模块和个人模块的实现.22 4.4.3 新闻和其他模块的实现.24 4.5 小结.24 第 5 章 系统测试.25 5.1 不同浏览器兼容性测试.25 5.2 系统功能测试.25 5.2.1 登录模块测试.25 5.2.1 用户模块测试.27 5.2.2 角色模块测试.29 5.2.3 论坛模块测试.30 5.2.4 其他模块测试.31 5.3 小结.31 第 6 章 总结与展望.32 6.1 总结.32 6.2 发展与展望.32 参考文献.33 致谢.34 附录.35 附录 A：主要源程序.35 李自远：基于细粒度 RBAC 模型的权限管理的设计 9 第 1 章 绪论 1.1 课题来源 随着信息技术的不断发展，Web 应用软件的种类和数量的不断增加，已经 渗入到社会的各个应用领域，用户访问控制显现出了其突出的地位。用户访问 控制可以有效地管理所有系统信息访问请求，并根据系统的安全做出是否允许 用户进行访问的判断。它能够保障有效地授权用户访问系统信息，避免非法用 户访问系统信息。传统的访问控制是以用户为基本对象来授予权限，这使得大 型系统中的授权管理变得更复杂化，并且容易出错。当前在信息系统开发中更 应该关注基于角色的访问控制(RBAC)，RBAC 的最大优点在于它能够灵活表达 和实现组织的安全策略，使管理员从访问控制底层的具体实现中脱离出来。 1.2 研究领域的发展现状和发展前景 1.2.1 国内外发展现状 关于权限管理，国内外的学者们进行了大量的研究，理论不断成熟。在应 用实践上，研究者也根据自己的系统安全系统的需要，开发和实现了不少权限 管理系统。 基于角色的访问控制（RBAC）首先出现在 1992 年 David Ferraiolo 和 Richard Kuhn 发表的Role-Based Access Control这篇文章中；在此之后，陆 续有许多学者在国际期刊以及研讨会中，发表相关方面的文章。1996 年，美国 乔治梅森大学的 R.sandhu 发表的经典论文Role-Based Access Control Models ， 提出了著名的 RBAC96 模型，这一模型将传统的 RBAC 模型根据不同的需要拆 分成四种嵌套的模型并给出形式化定义，极大的提高了系统灵活性和可用性， 因此成为 RBAC 模型发展的基础；接下来，1997 年，他进一步提出 RBAC96 的分布式管理模型 ARBAC97 模型。 Betino 等人提出了 Temporal-RBAC 模型，这个模型在访问控制框架中引 入了时间（time）参数，在角色分配时引入时间的限制，支持权限之间的临时 以来关系；Joshi,Bertino 等人又对 Temporal-RBAC 模型进行了扩充，踢出了 Generalized Temporal RBAC 模型，进一步把时间的限制应用到了角色的层次， 职责分离等方面。Vovinton 在其论文中，引入了环境角色的概念，提出了位置 （location）和系统状态（system status）参数。Moyer 和 Abamad 提出了了 Generalized RBAC 模型，引入了主题角色（subject roles） 、客体角色（object 中原工学院计算机学院毕业（设计）论文 roles）和环境角色（environment roles） ，进一步细化了访问权限的粒度。Kumar 等人总结了前人的工作，提出了 context-sensitive RBAC model，该模型使得传 统的 RBAC 模型更加合适于复杂安全策略的应用，对于一个操作，首先要考虑 其上下文环境。Al-Kahtani 针对基于规则的 RBAC 模型，进行了详细规范的描 述，对传统 RBAC 进行了全面的扩展，为用户-角色的自动分配提供较为权威的 参考；虽然该领域有不少相关学者提出过很多各种模型，但是都会遵循一套标 准；目前，国际上最常用的 RBAC 标准是 2001 年 5 月由 NIST 所发表的 RBAC 建议标准这篇文章，这个标准比较完整的定义了 RBAC 的基本模型和应用功能。 在参考和吸收国外关于权限相关理论模型的基础上，国内许多学者提出基 于角色与组织的访问控制模型，简化权限分配（organized RBAC，ORBAC） ， 将组织结构与角色配合使用来减少角色数量和简化权限分配；此外，根据各自 软件应用系统的实际需要，国内的一些研究所和大学也已经开始了研究并开发 了一些各自的权限管理系统，取得了一些显著的成果如清华大学的谢剑、朱志 明、郝刚等开发了一种基于角色的通用化权限管理系统，该系统针对焊接应用 软件的特点，适合与软件开发过程中用户权限管理功能的实现，并且方便软件 使用过程中的设置与修改；中国科学院软件研究所的丁仲和左春提出了一个适 用于各个领域的 RBAC 权限控制的面向对象框架，此框架提供了可重用的权限 管理的实现，将通用的权限管理放在框架内实现，而领域紧密相关的易变的权 限规则作为框架的扩展，从而提高了软件的复用度。迄今，RBAC 研究已应用 于 PMI、CORBA、CSCW 等体系构架中，并在电子商务、大型信息系统红也得 到了广泛应用。它是目前应用最广、效果良好的访问控制策略与模型。 Usage Control（UCON）model 将成为下一代访问控制模型的研究方向； 目前国外已经对此开始了广泛而深入的研究工作，但是国内在这方面的研究相 对落后。这有待于得到国内信息安全领域，尤其是访问控制研究者的关切和研 究，我们这方面的研究任重而道远。 总体来说，当前研究的热点集中于对传统 RBAC 模型的扩展，人们不仅试 图从模型上改进用户-角色的分配机制，也试图改进用户-角色的分配机制。从 而，可以灵活、快速的完成两级授权过程，减轻系统管理员的工作负荷量，降 低企业的成本。 1.2.2 RBAC 的发展前景 近年来，伴随着以技术创新为主要方向的经济发展时时刻刻影响世界格局 李自远：基于细粒度 RBAC 模型的权限管理的设计 11 和全球竞争的变化，企业单位、事业单位不断创造富有创新力的新技术来使得 自己立于不败之地。在这种形式之下，RBAC 也逐渐显出重要性，RBAC 权限管理 可以灵活的完成两级授权过程，减轻系统管理员的工作量，降低企业的成本。 1.3 研究内容 1.3.1 RBAC 权限管理 主要用户模块、部门模块、权限模块、个人模块、新闻模块和论坛模块等, 这是此次毕业设计的主要模块，用户管理模块主要是对用户的管理和对用户的 角色的分配，部门模块是对部门的管理，角色模块是对角色的管理和对角色分 配权限，论坛模块是对论坛的发表帖子和对论坛的管理，个人模块是对登录当 用户的密码修改。 1.3.2 界面设计 对于界面设计，本系统采用JSP来显示内容，结合CSS来美化页面的设计和 显示，同时也结合JavaScript来保证页面交互的及时性和真确性。界面设计本着 易于交互的原则，从而实现界面美观大方，易读和易用这些特性。 1.3.3 系统录入 RBAC权限管理系统录入，以下是说明。 主要是系统用户录入，主要由管理者录入，自己不能自由注册。这保证了 系统的顺利运行，并且去除了无关的、无效的身份的肆意破坏，从而有保证系 统的稳定和为管理者节约时间。 1.3.4 基于细粒度的 RBAC 权限管理系统页面展示 RBAC权限管理系统的展示，通过JSP（Java Server Pages）结合OGNL表达 式（Object-Graph Navigation Language） 、EL表达式（Expression Language）和 CSS来显示系统的各个部分，达到页面实用、简单、可审视的目标。 1.4 论文组织与结构 1.4.1 论文组织 论文第一章介绍了办公自动化系统的开启背景与设计初衷，概要的讲解了 中原工学院计算机学院毕业（设计）论文 国内外基于细粒度的RBAC权限管理系统发展的状况，并且对系统做了大致的 讲解；第二章主要是对RBAC基本思想的描述；第三章主要对系统做了详细需 求分析；第四章从理论研究、方案设计和开发等角度进行了技术研究，并得出 了本论文的设计与开发方案；第五章具体描述了系统设计与实现，对系统的实 现方案行了说明；第六章对系统的测试进行描述；第七章主要总结本次毕业设 计，对系统的发展前景进行展望。最后感谢母校和指导教师对本人的悉心指导。 1.4.2 论文结构 第一章是绪论部分，主要通过课题来源，研究背景与国内外技术发展概况， 研究内容几个方面来向大致的介绍基于办公自动化系统权限管理设计 第二章是 RBAC 基础的介绍部分，分为访问控制综述、RBAC 控制模型、 RBAC 版本和 RBAC 特点四个部分。 第三章是系统需求分析部分，分为项目描述，约束及假定，功能性需求， 非功能性需求四个方面。 第四章是后台模块研究和技术支持模块，介绍角色模块、权限模块、用户 模块、个人模块和论坛模块的主要功能。 通过对比分析，确定系统的主要使用技术和框架技术，然后对所用到的技 术做研究分析。 第五章是系统设计与实现本分，本章节主要介绍系统总体框架、系统管理 流程，同时介绍 UI 的实现，深入剖析角色模块、权限模块、用户模块、个人模 块和论坛模块。 第六章是系统测试部分，系统测试分为兼容性测试和功能测试两部分，分 别对在 OA 系统上的基于 RBAC 权限管理统在不同浏览器间的兼容性以及对系 统部分功能模块进行测试。 第七章是总结和展望部分，通过本次毕业设计所做的项目，分别从项目设 计、项目实现、项目贡献三方面对项目进行总结。展望部分主要描述系统设计 和实现的不足，有待完善的地方。最后结合本次系统开发的经验，给自己做一 个肯定。 李自远：基于细粒度 RBAC 模型的权限管理的设计 13 第 2 章 系统需求分析 2.1 开发背景 本论文研究对象是基于 OA 系统的 RBAC 模型的权限管理的设计与实现。 在我们开发软件过程中，经常会需要开发一个后台管理程序，用于管理我 们开发的前台软件，当你开发的软件越来越多的时候，你的管理后台也会越来 越多，这时如果有一个统一的管理后台来进来管理，尤其用统一的授权来分配 设置系统的操作权限是保障系统安全操作和代码复用快速实施的基础内容。 权限是应用系统不可缺少的部分，每个系统都有自己的权限管理，有的系 统权限设计的比较细，有的设计的比较“粗糙” 。每个系统对权限的要求也不同， 基于这些情形我们把权限做成一个公用的模块，采用角色来进行权限的授权， 每个用户可以属于多个角色，该模块将能和各类具体的业务应用系统进行集成， 以达到系统权限统一配置和快速实施的目的。 权限管理系统使人和计算机充分发挥各自的特长，组织一个和谐、有效的 系统，为现代化管理带来便捷。在现代化管理中，计算机管理信息系统已经成 为企业管理不可缺少的帮手，它的广泛应用已经成为管理现代化的重要标志。 在企业管理现代化中，组织、方法、控制的现代化离不开管理手段的现代化。 随着科学技术的发展，尤其是信息技术和通讯技术的发展，使计算机和网络逐 渐应用于现代管理之中。面对越来越多的信息资源和越来越复杂的企业内外部 环境，企业有必要建立高效、实用的管理信息系统，为企业管理决策和控制提 供保障，这是实现管理现代化的必然趋势。管理信息系统在管理现代化中起着 举足重轻的作用。它不仅是实现管理现代化的有效途径，同时，也促进了企业 管理走向现代化的进程。 2.2 开发目的 完成用户模块、个人模块、部门模块、新闻模块、论坛模块和角色模块的 中原工学院计算机学院毕业（设计）论文 开发，为权限管理提供一个参考，减轻后台系统管理员的工作量，从而提高工 作效率。 2.3 业务范围 该系统应用程序模块主要包括用户模块、个人模块、部门模块、新闻模块、 论坛模块和角色模块，而且初始化一个超级管理员，超级管理员拥有以下权限： 1. 对身份验证通过的用户进行添加，并且分配相应的权限 2. 对用户进行添加 3. 对用户进行删除 4. 对用户信息进行修改（当用户忘记密码后，持有效证件对密码进行初始 化） 5. 对部门进行添加 6. 对已存在的部门进行修改 7. 对已存在的部门进行删除 8. 查询全部部门 9. 对角色进行添加 10. 对角色进行修改 11. 查询全部角色 12. 对角色进行授权 13. 初始化一个超级管理员和一些权限信息 14. 添加一些新闻信息 15. 查询全部新闻信息 16. 修改新闻信息 17. 删除一些新闻信息 2.4 术语说明 本系统相关缩写、术语解释如表 3.1 所示。 表 3.1 专业术语表 缩写、术语解 释 RBAC基于角色的权限的访问控制 JSP Java Service Pages ELExpression Language OGNLObject-Graph Navigation Language 超级管理员拥有一切权限的用户 李自远：基于细粒度 RBAC 模型的权限管理的设计 15 2.5 开发环境与软硬件需求 2.5.1 软件约束 OA 系统采用 J2EE（Java 2 Platform Enterprise Edition）平台企业版技术进 行开发。 开发及运行的软件环境为：MyEclipse 10 ，Tomcat7.X，JDK 7.0 本系统开发所需的操作系统：Windows 7 或 Windows 8 本系统开发的集成开发环境：MyEclipse 10 2.5.2 环境约束 Windows7 32 位或 64 位/ Windows8 32 位或 64 位/ Windows XP 32 位操作系 统。运行内存至少 1G，硬盘存储容量至少在 20G。浏览器可以是：IE8.0 以上， Firefox 20 以上，Google 25 以上。 2.6 功能性需求 1.用户模块 本模块的需求可以描述为超级管理员对用户进行管理，操作包括增、删、 改和查，还有对用户进行角色授权，一个用户可以拥有多个角色。 2.部门模块 本模块的需求可以描述为对部门进行增删改查，部门又分为顶级部门和下 属部门，都在一个表内。 3.角色模块 本模块的需求可以描述为管理员对角色进行管理，包括增删改查，对某个 已存在的角色进行授权和修改。 4.论坛模块 本模块的需求可以描述管理员对论坛进行管理和发帖等功能，是一个完整 的论坛功能。 5.个人模块 主要是对已登录用户的密码进行修改，其他的功能待完善。 中原工学院计算机学院毕业（设计）论文 2.7 非功能性需求 2.7.1 性能需求 系统处理操作响应时间不超过 10 秒。 2.7.2 可扩展性 新增功能需要进行一整套的设计，包括页面设计、后台代码的设计，但是 底层设计已经做好，具有十分强的可扩展性。 修改、删除功能引起的工作量十分小，完全符合系统可扩展性要求。 2.7.3 可用性 系统要保证在 Windows XP/7/8 操作系统上使用，并且必须是运行内存在 1GB，硬盘容量在 20GB 以上的计算机上使用，系统上必须配置的浏览器是 IE8 以上，最好是 Firefox 和 Google 浏览器。 2.7.4 安全性 针对系统在操作期间出现的异常，系统在设计时候已经经过处理，运行的 异常不会对系统造成影响，而对于致命性异常（也即错误）系统会停止运行。 该系统严格按照谁申请谁使用，最小放权的标准进行角色权限管理，保证 系统的使用安全。 2.7.5 易用性 系统使用者也就是有权限登录该系统的用户，都能根据说明和清晰的导航 方便的使用系统。 该系统能保证一个对计算机应用不熟练的用户，根据自己的角色，方便的 使用系统。 2.7.6 界面要求 系统的界面采用 JSP 和 CSS、JavaScript 等多项技术，主要通过三者来保证 界面的美观性、实用性、及时性、易操作性。 2.8 小结 本章节主要对关于 RBAC 权限管理系统进行描述，针对项目所需要的开发 环境进行说明，同时对系统的功能性要求和非功能性要求进行概述。 李自远：基于细粒度 RBAC 模型的权限管理的设计 17 第 3 章 管理模块研究和 SSH2 介绍 3.1 模块研究 3.1.1 管理员模块研究 根据开发需要，初步研究确定超级管理员的功能需求如下： 1. 管理用户的信息 2. 对用户进行角色授权 3. 对于角色进行管理 4. 对角色授予权限 5. 修改个人密码 6. 对部门进行管理 3.2 基于 OA 系统的权限管理管理系统技术支持 基于OA系统的权限管理管理系统的后台模块设计，不仅需要有页面技术的 支持，还需要有强大的框架支持。以下就简单介绍以下该系统主要的技术支持。 3.2.1 JSP 技术支持 JSP（全称Java Server Pages）技术是以JAVA语言作为脚本语言的，它是在 最常用的HTML文件中插入JAVA程序片段和JSP标记(Tag)来组成的。凡是用 JSP开发的Web应用程序都是跨平台的，不但能在最常见的Windows系统上运行， 而且也能在Linux系统上运行。JSP与后台交互的相当流畅，它既可以访问JAVA 的函数库，也有自己对应的标签库，例如EL（Expression Language）表达式， 该表达式的目标就是：为了使JSP写起来更加简单。因此使用JSP方便了开发人 员的开发，加快了项目的开发进度，同时也有一次开发，处处运行的优点。 3.2.2 SSH 框架支持 1. Struts支持 Struts 2是Struts 1的升级版本，Struts 2是在 Struts1和WebWork技术的基础 上进行了整合和改进而来的。Struts 2全新的体系结构与Struts 1的体系结构差别 中原工学院计算机学院毕业（设计）论文 很大，Struts 2是以WebWork为核心，采用拦截器的运行机制来处理用户的请求， 这种设计也使得业务逻辑控制器能够与Servlet API完全脱离开5。 Struts2是实 现MVC（Model-View-Control）基础，Struts相当于控制器，仅仅从用户接收请 求，然后将View和Model匹配在一起，共同完成用户的请求，Struts也相当于分 发器，选择怎样的模型，选择怎样的视图，完成用户什么样的请求。Struts的配 置文件struts.xml就是将具体的请求，通过匹配分发到一定的Action，然后根据 Action的返回值，该配置文件再选取给用户哪个视图(也就是JSP页面)6。 2. Hibernate支持 Hibernate是一个开放源代码的ORM（对象关系映射）框架，该框架对 JDBC进行了轻量级的对象封装，使得Java程序员可以根据自己的意愿来使用对 象编程思维来操纵数据库，开创了操作数据库不需要再写复杂SQL的新篇章。 Hibernate可以应用在任何使用JDBC的场景下，不但可以在Java的客户端程序使 用，也可以在Servlet/JSP的Web应用中使用，最重要的一点是Hibernate可以完成 数据持久化的重任7。 Hibernate的核心接口一共有6个,它们分别为: Session、SessionFactory、Transaction、Query、Criteria和Configuration。以上6个 核心接口在任何项目开发中都要用到，在该系统中也同样用到。在程序中，除 了HQL语句之外，有时候处于需要，写最原始的SQL语句不可避免，在这种情 况下，这几个接口的使用体现得完美。举个简单的例子来说，比如通过某一表 的Id主键来删除，除了用delete(Object obj)之外，还可以使用如下的方法： protected Session getSession() return sessionFactory.getCurrentSession(); public void save(T entity) getSession().save(entity); public void update(T entity) getSession().update(entity); public void delete(Long id) 李自远：基于细粒度 RBAC 模型的权限管理的设计 19 Object obj = getSession().get(clazz, id); getSession().delete(obj); public T getById(Long id) if (id = null) return null; return (T) getSession().get(clazz, id); public List getByIds(Long ids) if (ids = null | ids.length = 0) return Collections.EMPTY_LIST; return getSession().createQuery( FROM + clazz.getSimpleName() + WHERE id IN(:ids)/ .setParameterList(ids, ids)/ .list(); 上述的方法直接而且明显的用到了Hibernate的 Session、Transaction、Query、SessionFactory接口。 3. Spring支持 Spring是一个轻量级的控制反转(IOC)和面向切面(AOP)的容器框架,它是在 J2EE的基础上构建起来的。但是相对于J2EE而言，Spring框架具有容易维护、 分层清晰、开发速度和运行速度快、代码少、支持最新的ORM和AOP等优点， 除此之外Spring还有如下优点：面向接口编程，而不是针对特定类编写程序8。 Spring将使用接口的复杂度大大降低；编写的代码易于测试。在设计上Spring框 架也非常重视简单性和一致性，简单明了的配置文档风格，各个组件实现一致 性，小到一个包名、一个类名等都提现一种统一的风格。下面着重讲解Spring 的几个模块，这几个模块在该系统中时时刻刻使用，如图3.1所示。 中原工学院计算机学院毕业（设计）论文 图 3.1 Spring 七大模块图 1.核心容器 核心容器是 Spring 框架基础的部分，它提供了依赖注入 （Dependenc