（计算机应用技术专业论文）投资监控系统的权限管理方案研究.pdf

浙江大学硕士学位论文摘要 摘要 投资监控系统是一个涉及经济利害的金融系统，所以系统对于用户的权限管 理有着相当严格的要求，同时，由于系统功能的繁杂和用户群的庞大，对系统的 权限管理以及日后的权限维护提出了更大的挑战。 本文研究的内容就是投资监控系统中权限管理模块的设计方案，通过利用 j a v a 的反射机制，提出一套将用户的权限管理建立在配置库之上的设计方案，使 得系统日后的权限维护完全可以通过修改配置文件来动态实施，并将系统的资源 和用户的权限进行分离。该方案基于s u n 公司的r b a c 权限管理策略，通过有效 运用a o p 的设计思想，将权限管理模块作为一个独立的前端控制器，并通过粗粒 度和细粒度两个方面来实施有效的用户权限管理，使得系统的权限维护简单，同 时又不失安全性和健壮性。 该投资监控系统是某国际知名资金托管公司的一个国际合作项目，由一个 5 - 7 人的团队负责开发。在开发过程中，作者承担了系统权限管理模块的设计工 作，并和其他团队成员一起对该模块进行开发，现在经过两年多的开发，系统已 经进入到了一种接近产品交付的阶段。 本文的主要贡献在于，r b a c 只是一种权限管理机制( 底层a p i 级别) ，与整个 系统的功能和模块设计( 系统架构) 处于两种完全不同的抽象级别，所以，本文专 注于提出一种权限管理模块的设计思想和方案，通过运用该设计方案，使得基于 r b a c 的权限管理能够和系统其他功能模块很好地集成和整合，在维护性，扩展性， 安全性，健壮性等方面有一个质的提高，特别是在复杂权限系统上的应用，因此 具有很大的实践意义。 关键字j 2 e e 框架，安全，权限管理，r b a c ，粗粒度，细粒度，投资监控系统 a b s t r a c t t h ei n v e s t m e n tc o m p l i a n c es y s t e mi saf i n a n c i a ls y s t e mw h i c hi sr e l a t e dt ot h e e c o n o m i ci n t e r e s t s oi th a sav e r ys t r i c td e m a n do nt h eu s e ra u t h o r i t i e s m a n a g e m e n t a tt h es a m et i m e ，i ta l s or a i s e sab i g g e rc h a l l e n g et ot h ea u t h o r i t i e s m a n a g e m e n ta n d t h ea u t h o r i t i e s ，m a i n t e n a n c ei nt h ef u r t u r eb e c a u s eo f t h ec o m p l i c a t e ds y s t e mf u n c t i o n s a n dt h eb i gu s e rg r o u p t h i st h e s i si sm a i n l yr e s e a r c h i n go nt h ea u t h o r i t i e s m a n a g e m e n tm e c h a n i s mf o r t h ei n v e s t m e n tc o m p l i a n c es y s t e m b yu s i n gt h ej a v ar e f l e c t i o nm e c h a n i s m ，w ew i l l r a i s ean e wr e s o l u a t i o no fh o wt od e s i g nt h eu s e ra u t h o r i t i e s m a n a g e m e n tm o d u l et h a t i sb a s e do nt h ec o n f i g u r a t i o nl i b r a r y t h e nt h es y s t e mr e s o u r c e sm a i n t e n a n c ei n t h e f u r t u r ec a nb ec a r r i e do u td y n a m i c a l l yb ym o d i f y i n gt h ea u t h o r i t i e sc o n f i g u r a t i o na n d i tw i l la l s oi s o l a t e st h es y s t e mr e s o u r e sa n dt h eu s e r s a u t h o r i t i e s t h i ss t r a t e g yi sb a s e d o nt h er b a ca u t h o r i t ym a n a g e m e n tp o l i c yw h i c hi sf r o mt h es u nm i c r o s y s t e m s ，l n e b yu s i n gt h ea o pd e s i g ni d e ae f f e c t i v e l y , w ew i l lm a k et h ea u t h o r i t i e sm a n a g e m e n t m o d u l e sa sa ni n d e p e n d e n tf r o n tc o n t r o l l e ra n dm a k et h ea u t h o r i t i e sm a i n t e n a n c e m u c he a s y , s a f ea n ds t r o n gt h r o u g ht h ee f f e c t i v ea c c e s sc o n t r o li nt h i c k 。g r a n u l a r i t y l e v e la n dt h i n - g r a n u l a r i t yl e v e l t h i si n v e s t m e n tc o m p l i a n c es y s t e mi sa ni n t e m a t i n a lc o o p e r a t i o np r o j e c to fa f a m o u sf u n dc u s t o d yc o m p a n y t h i sp r o j e c ti sb e i n gd e v e l o p e db yag r o u po ff i v et o s e v e np e o p l e d u r i n gt h ed e v e l o p m e n t , t h ea u t h o ru n d e r t a k e st h ed e s i g nw o r ko f t h e s y s t e ：ma u t h o r i t i e s m a n a g e m e n tm u d u l ea n da l s oj o i n st h ed e v e l o p m e n tw o r kw i t h o 恤e rt e 锄m e m b e r s n o w , a l t e rm o r et h a nt w oy e a r sd e v e l o p m e n t , t h es y s t e mh a s n e a r l yg o n ei n t ot h ep r o d u c t i o ns t a g e t h em a i nc o n t r i b u t i o no ft h i st h e s i si sa sf o l l o w i n g t h er b a cs t r a t e g yi so n l ya n a u t h o r i t ym a n a g e m e n tp o l i c y ( i na p il e v e l ) ，a n di t i sv e r yd i f f e r e n tf r o mt h em o d u l e d e s i g na n ds y s t e ma r c h i t e c t u r e ( i na r c h i t e c t u r el e v e l ) s ot h i st h e s i sf o c u s e so nt h i s i s s u ea n dr a i s e san e wd e s i g np o l i c yo na u t h o r i t ym a n a g e m e n tm o d u l e b yu s i n gt h i s d e s i g nm e c h a n i s m ，t h es y s t e mw i l li n t e g r a t et h ea u t h o r i t i e sm a n a g e m e n t m o d u l e ( b a s e d 浙江大学硕士学位论文 a b s t r a c t o nt h er b a cp o l i c y ) w i t ho t h e rf u n c t i o nm o d u l e sm o r ee a s i l y , a n dm a k eaq u a l i t y i m p r o v e m e n ti nt h em a i n t e n a n c e ，e x p a n s i b i l i t y , s a f e t y , s t u r d i n e s sa n d s oo n ，e s p e c i a l l y i nt h ea p p l i c a t i o nw i t ht h ec o m p l i c a t e da u t h o r i t ym a n a g e m e n t , s oi th a sv e r yb i g p r a c t i c a ls i g n i f i c a n c e k e y w o r d s ： j 2 e e f r a m e w o r k , s e c u r i t y , a u t h o r i t i e s m a n a g e m e n t , r b a c ， t h i c k g r a n u l a r i t y , t h i n - g r a n u l a r i t y , i n v e s t m e n tc o m p l i a n c es y s t e m i i i 浙江大学硕士学位论文图目录 图目录 图2 1 权限管理系统示意图5 图2 2a o p 中前端权限控制器。8 图2 3a o p 中前端权限控制器1 0 图2 4 基于角色的权限控制思想：l l 图2 5r b a c 基本思想1 3 图2 6r b a c 0 模型图1 4 图2 7w e b 安全配置1 6 图2 8 用户角色权限库的r e a l m 机制配置1 6 图2 9 编程型权限控制l7 图2 1 0h t t p 和表单认证配置1 8 图2 11 证书和摘要认证配置。1 8 图2 1 2m v c 权限控制流程1 9 图2 13m v c 权限配置2 0 图2 1 4s p r i n g s e c u r i t y 权限控制流程( 过滤器模式) 2 2 图2 15s p r i n g s e c u r i t y 权限控制b e a n 配置l 2 2 图2 1 6s p r i n g s e c u r i t y 权限控制b e a n 配置2 2 2 图2 17s p r i n g s e c u r i t y 权限控制b e a n 配置3 2 2 图2 18s p r i n g s e c u r i t y 权限控制b e a n 配置4 2 3 图2 19 基于u r l 的权限配置2 4 图2 2 0u r l f i l t e r 模式的权限控制器配置2 4 图2 2 1u r l f i l t e r 模式的权限控制器实现2 4 图2 2 2u r l f i l t e r 模式的权限控制器实现( 续) 2 5 图3 1 投资监控系统模块图2 8 图3 2 投资监控系统架构图2 9 图3 3 投资监控系统界面l 3 0 图3 4 投资监控系统界面2 3 0 图3 5 投资监控系统权限控制流程3 l 图3 6 投资监控系统登录控制流程3 2 图3 7 投资监控系统登录控制实现3 3 图3 8 投资监控系统登录控制类图3 4 图3 9 投资监控系统登录控制类关系图3 4 图3 1 0 投资监控系统登录控制序列图3 5 图3 1 1 投资监控系统登录控制算法实现3 5 图3 1 2 投资监控系统登录控制算法实现( 续) 3 6 图3 1 3a c t i o n 权限配置3 7 i u 浙江大学硕士学位论文 图目录 图3 1 4 粗粒度权限控制流程3 7 图3 1 5 编程型的细粒度权限控制一3 8 图3 1 6 细粒度权限控制流程一3 9 图3 1 7 细粒度业务接口4 0 图3 1 8 细粒度权限及其业务配置4 0 图3 1 9 细粒度权限及其业务调用4 l 图3 2 0 细粒度权限控制流程一4 l 图3 2 1 细粒度权限控制类图。4 2 图3 2 2 细粒度权限控制类关系图4 2 图3 2 3 细粒度权限配置( 相同角色重复配置) 4 3 图3 2 4 细粒度权限控制类关系总图4 4 图3 2 5a c t i o n 实现一4 5 图3 2 6a c t i o n f o r m 实现4 5 图3 2 7 a c t i o n 权限配置4 6 图3 2 8 业务层权限配置。4 6 图3 2 9 业务层类图( 权限涉及部分) 4 7 图4 1t o m c a th 丌p s 配置5 0 图4 2j c a p t c h a 示例5 0 i v 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得浙江大学或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者签名：辟之嘲 签字日期：口昭年月f 日 学位论文版权使用授权书 本学位论文作者完全了解浙江大学有权保留并向国家有关部门或机构 送交本论文的复印件和磁盘，允许论文被查阅和借阅。本人授权浙江大学可 以将学位论文的全部或部分内容编入有关数据库进行检索和传播，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 黜析岛。仇 签字日期：h 掰年多月厂日 签字日期：刖孑年名月6 日 浙江大学硕士学位论文第1 章绪论 1 1 背景 第一章绪论 当人类的财富积聚到一定程度之后，投资便不知不觉地进入了我们百姓的生 活，这不仅是市场为达到资源优化配置的自发引导，也是人类对财富渴求的一种 外在体现。基金，股票，期货，黄金，创投，债券，个人理财等等，时不时地冲 击着我们的生活。众所周知，有风险才会有收益，有收益自然会有风险，在经济 学上，风险和收益往往是正相关的关系。所以商业冒险或投机活动，往往具有不 确定的损益结局，风险活动若成功则会获得高利益，若失败则会遭受重大损失， 而每个人的风险爱好又截然不同，所以投资的风险控制就自然而然地成为了这一 经济领域的重中之重。 现在软件产业已经相当发达，计算机控制的广泛应用极大地改善了我们的生 活，而计算机应用和投资监控系统的整合自然会给我们带来生活，生产便利。当 我们把自己的财富交由某家基金公司管理，以期带来更多财富的同时，我们自然 希望基金管理公司不仅能够将我们的钱财投入到可以产生更多财富的领域，而且 也希望基金公司的投资方式能够和自己的风险爱好相匹配，这就是投资监控系统 得以广泛应用的经济基础一用户通过制定一系列与投资风险指数相匹配的规 则，通过计算机自动化处理这些规则，希望风险指数能够在自己希望的范围之内。 随着软件开发工业化程度的提升，计算机已经被广泛地应用到了投资监控领 域，以增强系统的自动和高效，并提高对风险的有效控制，这和传统意义上的监 控系统是类似的。 在投资监控系统中，我们往往会整合很多的用户，而每类用户往往具有不同 的功能和职责。在投资监控系统中，投资和金融领域的专家往往会制定一系列用 于控制风险的r u l e ，而每位投资经理会在各个时期，通过观察当前的经济形势， 做出对将来发展趋势的预测，从而对下属和自身的每笔投资做出判断和决策，最 1 浙江大学硕士学位论文第l 章绪论 后系统自动地通过将风险控制规则应用到每笔投资损益上，产生风险分析报表， 投资损益报表等分析结果，不仅能更好地协助投资经理对将来的经济趋势作出正 确的预测，同时，也是更重要的，能协助资产托管公司或银行机构对投资风险进 行监控和监督。 1 2 投资监控系统的权限管理 通过对投资监控系统的简单分析，我们不难发现，在这样一个庞大的涉及经 济利害的系统中，系统的安全将是至关重要的，如果某个用户能够轻易地修改某 项投资决策，那么它所带来的影响将是致命的，所以权限的有效管理自然是这类 系统维护和管理的一大难点。 首先，正如我们所分析的，投资监控系统的角色和用户是比较繁杂的，在这 样的一个系统中，不仅有普通的外部游民，有一定投资额的普通客户，和投入巨 额资金的高级客户，而且还有公司内部的投资专家，投资经理，投资顾问，以及 风险控制专家，最后还有公司内部用户，系统管理人员，维护人员以及银行等金 融机构的监控人员，等等。所以系统的用户群不仅庞大，而且相当复杂。每类用 户具有不同的权限级别，在系统的使用过程中，他们可能享有完全不同的功能， 也可能享有相同功能的程度不同，甚至可能彼此相互制约，相互影响。例如，当 某项风险控制规则对某些投资损益数据产生w a r n i n g 时，风险控制专家可以做出 分析，决策和评断，而投资经理可以添加备注以申明该w a r n i n g 是合理而且可以 接受的，但是当公司决策层对该w a r n i n g 做出决策后，所有的用户都不再享有修 改功能了，包括风险专家和投资经理，同时，每类可以查看该w a r n i n g 详情的用 户，所得到的w a r n i n g 数据也是不同的，这依赖于该用户的权限级别。 其次，投资监控系统中用户角色的变动是十分频繁的，这包括系统用户角色 和权限的改变，角色的增删以及权限的增删。例如，当某位普通投资客户的投资 金额或者该用户为公司带来的累积投资收益达到一定程度后，我们需要将其升级 为高级客户，相应地，我们需要升级该用户的权限。 2 浙江大学硕士学位论文第1 章绪论 最后，我们自然希望系统是容易维护的，当增加新的功能模块时，我们希望 新功能是容易集成的，并且不会破坏原有系统的架构，因为投资监控方往往希望 一个稳定而且庞大的投资监控系统能被使用十几年，甚至几十年( 减少投资) 。所 以，在系统中，如果每个功能和权限都是以组件的方式导入到系统中的话，那么 系统的维护自然会简单许多，因为权限和功能虽然复杂，但系统维护人员可以进 行随意映射和配置两者关系，同时角色的管理也会容易许多。 本文通过分析基于j 2 e eb s 结构的投资监控系统的权限管理功能，并借助于 各种角色管理技术和方案，提出了一种通过在系统架构中插入前端角色管理层， 并整合粗粒度和细粒度的权限控制，来有效管理用户权限的方案，这个方案的角 色管理是通过配置实现的，并且通过配置库将功能和角色进行整合，极大地提高 了系统的维护性，并在现实项目中得到了应用。 当然，无论投资监控系统是基于b s 结构的，还是c s 结构的，抑或是基于 非j 2 e e 技术的，该方案的设计思想都是能被有效应用的，通过集中管理系统角 色权限和增加抽象的角色管理层，使得系统的角色管理模块能够被有效的开发和 维护。 1 3 问题描述 正如上文提及，投资监控系统的用户管理模块是比较繁杂的，为了使得系统 中用户权限的配置和管理容易维护，本文通过运用j 2 e e 中的角色管理框架，隔 离业务逻辑和权限管理，以及整合现有的软件开发技术，如基于配置的开发，设 计模式和分层框裂1 9 1 等等，对这一问题进行了深入的分析和研究，以期得到一种 比较完美的权限管理方案。 1 4 论文的组织结构 文章共分7 章： 第一章：绪论：对文章研究的背景进行了介绍，并对涉及的权限管理问题进 浙江大学硕士学位论文第l 章绪论 行了描述。 第二章：角色管理技术及方案分析：对现有的角色管理方案和技术，特别是 基于j 2 e e 的具体权限管理策略进行介绍和分析，并对每个方案和框架的实现原 理以及优缺点进行剖析，从而系统地介绍现有角色管理方案的技术背景，并为下 面几章具体策略的提出提供技术背景和支持。 第三章：投资监控系统的角色管理方案设计：本章对自定义的角色管理方案 进行设计，通过提供方案架构图和流程图，从粗粒度和细粒度两个方向介绍了该 方案的权限管理思想，并通过提供配置库和接口定义，为方案将来的维护和扩充 提供基础，同时结合u m l 对权限管理方案的具体实现进行了介绍和分析，并通 过提供多种配置库实现策略，为系统的选择提供基础。最后提供了应用该权限管 理方案的结果示例。 第四章：投资监控系统的角色管理方案优化：本章结合h t t p s ，j c a p t c h a 以 及e h c a c h e 等技术从安全，性能等角度对系统进行优化，使得系统得到进一步完 善。 第五章：结论与展望：对论文的研究结果进行了自我总结和评价，进一步明 确了权限管理模块在当今复杂多角色投资监控系统中的重要性。同时在多平台的 整合和支持等方面提出了展望。 4 浙江大学硕士学位论文第2 章权限管理技术及方案分析 第二章权限管理技术及方案分析 2 1 系统的用户权限管理 2 1 1 权限管理的概念和特点 一个可用的系统往往具有很多功能，每个功能又分为很多层次，用户要访问 某项功能，系统必须赋予其相应的访问许可，这就是权限，而用户需要在这个系 统上做任何事都必需分配相应的系统权限，资源不同，权限也就不同。 权限是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可， 亦是可进行的行动和可使用的资源的集合。资源是项目中对用户开放的一切可用 实体，是系统内可以使用的所有不同元素，包括工具、内容、项目、页面等，例 如文件系统中的任何文件都是资源。行动包括对每项资源的操作，例如读、写、 编辑、删除、创建，建议等等。而权限则是这两者的结合体，用数学公式f 资源名， 操作) 表示，例如( 邮件列表，查看) ，( 项目，建议) ，( 版本控制，修改) 等等，其中 具体操作必须是资源和系统所允许的，在这三个实例中，资源分别是：邮件列表、 项目以及版本控制。 企业j k 簟 图2 。1 权限管理系统示意图 由此可见，一个系统权限数目的总和，是系统所有的资源及其所允许操作数 目的累积和，即 * t 旦八胪 浙江大学硕士学位论文第2 章权限管理技术及方案分析 ( 权限) = 资源1 上的操作数+ 资源2 上的操作数+ + 资源n 上的操作 数目 如果系统有m 项资源，而每项资源所允许的操作数n 相同的话，那么 ( 权限) = m n 同时，有时资源上的某种操作往往具有多个层次级别，不同权限的用户能享 受的程度是有区别的，例如信息察看的详细程度，所以这又会派生出很多权限级 别。 因此，对于一个具有大量资源的大型业务系统来说，系统所具有的并且需要 被分配和管理的权限的数目是相当巨大的，从而导致了系统繁杂的权限管理模 块。而对于一个涉及经济利害的业务系统来说，权限的管理与系统的安全和可用 性息息相关，从而导致了企业在业务系统权限管理模块上的巨大经济投入。 同时对于每个企业系统来说，演化和改变是很正常的，同时这些未来需求对 于系统的开发者来说往往是不可预测的，同样，权限管理功能的未来需求也具有 不确定性。例如，随着业务的进展和改变，企业往往会要求系统增加新的资源， 阻塞对处于特定状态的某项资源的特定操作，赋予某个用户新的权限或降低其权 限等级，细化某种资源的某项操作等等。所有这些需求都需要系统管理员的日常 维护，或者由软件公司在原有系统的基础上增加新的功能，从而，软件用户很希 望企业系统中的权限管理模块是简单，安全，可靠，且易维护的。 最后，企业对系统权限管理模块的设计往往还有附加要求。首先，权限管理 要直观，因为系统最终会由软件用户来维护，权限分配的直观和容易理解，自然 比较重要，同时权限管理必须简单，包括概念数量上的简单，意义上的简单，以 及功能上的简单。想用一个权限系统解决所有的权限问题是不现实的。 2 1 2 企业系统中的访问控制策略 在企业系统的信息安全策略中，访问控制策略是保证网络安全最重要的核心 策略之一。信息安全中的访问控制是一种保证信息资源不被非法授权使用的管理 方法，而访问控制策略中定义了如何对访问信息的行为进行验证、授权和记录。 6 浙江大学硕士学位论文第2 章权限管理技术及方案分析 现阶段的访问控制策略【2 1 】主要包括入网访问控制策略、操作权限控制策略、 目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、 锁定控制策略和防火墙控制策略等7 个方面的内容。而企业采取的访问控制策略， 通常有以下三种【2 i l ： 自主型访问控制方法，是指对某个客体具有拥有权( 或控制权) 的主体能 够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后 的任何时刻将这些权限回收。这种策略是保护计算机系统资源不被非法访 问的一种有效手段，但是，它有一个明显的缺点：这种控制是自主的，虽 然这种自主性为用户提供了很大的灵活性，但同时也带来了严重的安全问 题。目前在我国的大多数的信息系统中的访问控制模块中基本是借助于自 主型访问控制方法中的访问控制列表( a c l ) 。 强制型访问控制方法，是指系统根据主体被信任的程度和客体所包含的信 息的机密性或敏感程度来决定主体对客体的访问权，这种控制往往可以通 过给主、客体赋以安全标记来实现。它往往与自主访问控制结合使用，在 自主访问控制的基础上，施加一些更强的访问限制。一个主体只有通过了 自主与强制性访问控制检查后，才能访问某个客体。用户可以利用自主访 问控制来防范其它用户对自己客体的攻击，强制访问则提供了一个不可逾 越的、更强的安全保护层。这种策略常用于多层次安全级别的军事应用， 在普通的企业环境中比较少见。 基于角色的访问控制方法( r b a c ) ，是指通过在系统中定义一系列角色， 并给每个角色赋予相应的权限，在资源的访问控制中通过判断该用户是否 属于有权限访问该资源的角色来实现的，目前，它是公认的解决大型企业 的统一资源访问控制的有效方法，其显著的两大特征是：1 减小授权管理 的复杂性，降低管理开销。2 灵活地支持企业的安全策略，并对企业的变 化有很大的伸缩性。 因为本文主要是分析r b a c 策略，并设计和提供一种基于r b a c 的权限控制 方案，所以对前两种访问控制策略不再进行具体的深入。 7 浙江大学硕士学位论文第2 章权限管理技术及方案分析 2 1 3 整合a o p 思想的权限管理口1 a o p ，即a s p e c to r i e n t e dp r o g r a m m i n g ，是o o p 的延续，它提倡的是面向方 面编程的思想，也即a o p 关注的是企业系统中纵向的不同功能模块，而不是我 们常见的横向业务逻辑模块，具体来说，a o p 通过将访问系统业务功能的纵向流 程划分为功能独立的不同阶段，并在每个阶段插入独立的功能模块来进行设计和 实现【2 4 】。 在投资监控系统中，通常包含两种代码：一种是和业务系统有关的代码，即 具体的业务功能，另一种是和业务系统关系不大的代码，例如日志、权限、异常 处理、事务处理等。普通的程序设计常常会将这两种代码充斥在一起，使得系统 到处充满着相同或类似的代码，例如日志信息的输出和权限的判断，增加了实现 的复杂性，也不利于系统的维护。而a o p 则是希望分离这两种代码，即在系统 分为不同的切面，不在业务逻辑中实现与业务功能关系不大的代码，降低了两种 代码的耦合性，达到模块重用和易于维护的目的。 图2 2a o p 中前端权限控制器 不难发现，系统前端的访问控制模块将会拦截每个访问请求，在核实用户信 息和审核资源访问请求，用户才能进入具体的业务功能模块，这样系统的权限管 理得到了集中处理，并和业务功能模块进行了分离，维护和开发得到了简化。 8 西 天胪 浙江大学硕士学位论文第2 章权限管理技术及方案分析 2 1 4 权限管理对软件系统的意义 目前，以网络和互联网为核心的应用和服务得到了快速发展，从而为企业和 组织提供了无限的商业机会，让其客户，合作伙伴和员工方便快捷地访问所需信 息和功能，这提高了效率，移动性和协作性，并且显著降低了成本。但这项改革 也为黑客，心存不满的员工以及计算机犯罪分子的恶意行为，破解和攻击打开了 方便之门，现如今，企业和机构都面临着不断增长的内部和外部的安全威胁和漏 洞，但是很多企业并没有有任何简便的解决方案。 同时，在典型的软件开发周期中，业务功能得到了很大的关注和投入，而安 全措施被视为了附加措施，安全特性的应用通常被认为是部署阶段的收尾工作， 即便加入了权限管理的功能，也往往因为没有投入足够的时间和人力，因而没有 产生很好的设计方案，使得业务逻辑模块中充斥着i f ( u s e r i s u s e r i n r o l e ( a d m i n ) ) 类似的代码，对系统的维护提出了很大的挑战。 所有这些导致了设计阶段没有采取积极主动的安全策略川，而将安全视为了 事后诸葛亮，亡羊补牢，为时已晚，这样的设计使得系统在安全方面相当的脆弱， 在可用性和可靠性方面大打折扣。所以在系统开发的一开始就分析构建健壮的安 全策略是很有必要的，针对系统保护哪些应用，防范哪些人，在哪里保护应用， 为什么要保护四个方面进行深入的分析和研究，同时在安全设计中应用和改进已 有的安全方案和设计模式。对于设计经济利害和具有复杂用户权限管理功能的投 资监控系统来说，更应该事先在安全方面进行深入的研究，使得权限管理模块的 设计简单，明确，可靠。 9 浙江大学硕士学位论文 第2 章权限管理技术及方案分析 图2 3a o p 中前端权限控制器 2 2 基于角色的权限管理技术( r b a c ) 2 2 1r b a c 的概念 访问是一种利用计算机资源去做某件事情的的能力，访问控制是一种手段， 通过它，这种能力在某些情况下被允许或者受限制( 通常是通过物理上和基于系 统的控制) 。基于计算机的访问控制不仅可规定是“谁”或某个操作有权使用特 定系统资源，而且也能规定被允许的访问类型。这些控制方式可在计算机系统或 者外部设备中实现。 r b a c 2 2 ，即基于角色的访问控制( r o l eb a s e da c c e s sc o n t r 0 1 ) ，引入了r o l e 的概念，使r o l e 对应于某组权限组合，而用户可以属于一个，或一组r o l e ，目的 是为了隔离u s e r ( h o 动作主体，s u b j e c o 与p r i v i l e g e ( 权限，表示对r e s o u r c e 的一个 操作，即o p e r a t i o n + r e s o u r c e ) ，由此可见，r b a c 访问控制决策是基于角色的。 基于角色控制的基本思想 l o 浙江大学硕士学位论文第2 章权限管理技术及方案分析 图2 4 基于角色的权限控制思想 r o l e 作为一个用户( u s e r ) 与权限( p r i v i l e g e ) 的代理层，解耦了权限和用户的关 系，所有的授权应该给予r o l e 而不是直接给u s e r 或g r o u p 。p e r m i s s i o n 是权限 颗粒，由o p e r a t i o n 和r e s o u r c e 组成，表示对r e s o u r c e 的一个o p e r a t i o n 。 r o l e p e r m i s s i o n 是m a n y t o m a n y 的关系，这就是权限的核心。 一个用户可以成为很多角色的成员，一个角色同样可以赋予许多用户，所以 用户和角色是多对多的关系。类似地，一个角色可以有多个权限，同一个权限可 以被指派给多个角色。每次的用户登录会话把一个用户和可能的许多角色联系起 来，当一个用户在激发他或她所属角色的某些子集时，就建立了一个会话。用户 可用的权限是当前会话激发的所有角色权限的并集。每个会话和单个用户关联。 这个关联在会话的生命期间保持常数。一个用户在同一时间可以打开多个会话， 例如，在不同的工作站屏幕窗口各一个。每个会话可以有不同的活动角色。会话 的概念相当于传统的访问控制中主体( s u b j e c t ) 的标记。一个主体是一个访问控 制单位，一个用户在同一时间可以拥有多个不同活动权限的主体( 或会话) 。 当用户发出具体的访问请求时，系统首先对会话中的用户信息进行认证，随 后得到用户的角色集合和资源允许访问的角色集合，如果用户属于资源所允许的 角色，那么用户的访问请求将得到批准，否则访问非法，请求被拒绝。 2 2 2r b a c 模型 r b a c t 2 3 1 认为权限授权实际上是w h o 、w h a t 、h o w 的问题。在r b a c 模型 中，w h o 、w h a t 、h o w 构成了访问权限三元组，也就是”w h o 对w h a t ( w h i c h ) 进行 h o w 的操作”。 w h o ：权限的拥用者或主体( 如p r i n c i p a l 、u s e r 、g r o u p 、r o l e 、a c t o r 等等) 。 w h a t ：权限针对的对象或资源( r e s o u r c e 、c l a s s ) 。h o w ：具体的权限( p r i v i l e g e ， 正向授权与负向授权) 。o p e r a t o r ：操作。表明对w h a t 的h o w 操作。也就是p r i v i l e g e + r e s o u r c e 。r o l e ：角色，一定数量的权限的集合。权限分配的单位与载体，目的 是隔离u s e r 与p r i v i l e g e 的逻辑关系。g r o u p ：用户组，权限分配的单位与载体。 浙江大学硕士学位论文第2 章权限管理技术及方案分析 权限不考虑分配给特定的用户而给组。组可以包括组( 以实现权限的继承) ，也可 以包含用户，组内用户继承组的权限。u s e r 与g r o u p 是多对多的关系。g r o u p 可 以层次化，以满足不同层级权限控制的要求。 r b a c 的关注点在于r o l e 和u s e r , p e r m i s s i o n 的关系。称为u s e r a s s i g n m e n t ( u a ) 和p e r m i s s i o na s s i g n m e n t ( p a ) 关系的左右两边都是m a n y t o m a n y 关系，所以事实上，整个r b a c 都是基于关系的模型。 会话( s e s s i o n ) 在r b a c 中是比较隐晦的一个元素。标准上说：每个s e s s i o n 是一个映射，一个用户到多个r o l e 的映射。每个s e s s i o n 和单个的u s e r 关联，并 且每个u s e r 可以关联到一或多个s e s s i o n 在r b a c 系统中， u s e r 实际上是在扮演角色( r o l e ) ，可以用a c t o r 来取代 u s e r ，这个想法来自于b u s i n e s sm o d e l i n gw i t hu i v l l 一书a c t o r - r o l e 模式。考虑 到多人可以有相同权限，r b a c 引入了g r o u p 的概念。g r o u p 同样也看作是a c t o r 。 而u s e r 的概念就具象到一个人。这里的g r o u p 和g b a c ( g r o u p - b a s e da c c e s s c o n t r 0 1 ) 中的g r o u p ( 组) 不同。g b a c 多用于操作系统中。其中的g r o u p 直接 和权限相关联，实际上r b a c 也借鉴了一些g b a c 的概念。引入g r o u p 这个概 念，除了用来解决多人相同角色问题外，还用以解决组织机构的另一种授权问题： 例如，a 部门的新闻我希望所有的a 部门的人都能看。有了这样一个a 部门对应 的g r o u p ，就可直接授权给这个g r o u p 。 r o l e 作为一个用户( u s e r ) 与权限( p r i v i l e g e ) 的代理层，解耦了权限和用户的关 系，所有的授权应该给予r o l e 而不是直接给u s e r 或g r o u p 。r o l e - p r i v i l e g e 是 m a n y t o m a n y 的关系，这就是权限的核心。 1 2 浙江大学硕士学位论文第2 章权限管理技术及方案分析 ，一丐、 ，一。：p d l - 。 图2 5r b a c 基本思想 基于角色的访问控制方法( r b a c ) 的显著的两大特征是：1 由于角色权限 之间的变化比角色用户关系之间的变化相对要慢得多，减小了授权管理的复杂 性，降低管理开销。2 灵活地支持企业的安全策略，并对企业的变化有很大的伸 缩性。 2 2 3n i s tr b a c 建议标准 n i s t ( t h en a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ，美国国家标准与 技术研究院) 标准r b a c 模型由4 个部件模型组成，这4 个部件模型 2 2 1 分别是基 本模型r b a c 0 ( c o r er b a c ) 、角色分级模型r b a c l ( h i e r a r c h a lr b a c ) 、角色 限制模型r b a c 2 ( c o n s t r a i n tr b a c ) 和统一模型r b a c 3 ( c o m b i n e sr b a c ) 。 r b a c 0 定义了能构成一个r b a c 控制系统的最小的元素集合。在r b a c 之 中，包含用户u s e r s ( u s e r s ) 、角色r o l e s ( r o l e s ) 、目标o b j e c t s ( o b s ) 、操作 o p e r a t i o n s ( o p s ) 、许可权p e r m i s s i o n s ( p r m s ) 五个基本数据元素，权限被赋予角色， 而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的 权限。会话s e s s i o n s 是用户与激活的角色集合之间的映射。r b a c o 与传统访问控 浙江大学硕士学位论文第2 章权限管理技术及方案分析 制的