1. 研究目的与意义（文献综述）

1.1 研究目的及意义

信息技术飞速发展的同时，伴随着的安全问题也日益突出，一个多用户的商业系统，不仅需要满足相应的功能，还需要满足足够的安全性。因为企业的业务平台的服务器上存储着大量的商务机密和个人资料，商务机密直接关系到企业的经济利益，个人资料直接关系到个人的隐私问题。特别是政府网站，作为信息公开的平台，它的安全就更显得重要了，连接到互联网的服务器就不可避免的要受到来自世界各地的各种威胁。有时我们的服务器被入侵、主页文件被替换、机密文件被盗走，除了来自外部的威胁外，内部人员的不法访问与攻击也是不可忽视的。对于这些攻击与威胁，当然有很多防御的方法，如防火墙、入侵检测系统、打补丁等。

广义的讲，所有的计算机安全都与访问控制有关，rfc2828定义计算机安全如下：用来实现和保证计算机系统的安全服务措施，特别是保证访问控制服务的措施。因此，访问控制的研究对于实现信息安全有着至关重要的作用。访问控制是指对主体访问客体的能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存取数据的过程（存取控制）。在访问控制中，主体必须控制客体的访问活动，它是访问的发起者，通常为进程、程序或用户。客体则是指对其访问必须进行控制的资源，客体一般包括各种资源，如文件、设备、信号量等。

2. 研究的基本内容与方案

综合本次设计要求以及各种访问控制系统的特点，本次设计会以基于角色的访问控制方法（rbac）为模型，采用b/s架构，利用springmvc hibernate spring框架搭建系统，以eclipse为平台，用以实现用户登录、权限管理、用户管理和个人信息管理等功能。系统共有用户管理和权限管理以及角色管理三个模块，具有用户、角色、权限、模块四个实体。一个用户可以具有多个角色，多个用户也可以属于同一个角色，一个模块可以有多个功能，一个功能可以属于多个模块；一个角色对应多个模块的多个功能，可以有多个权限，多个角色也可以拥有统一权限。

图2.1 访问控制系统模型图

3. 研究计划与安排

第1－3周：查阅相关文献资料，明确研究内容，了解研究所需理论基础。确定方案，完成开题报告。

第4－5周：熟悉掌握基本理论，完成英文资料的翻译，熟悉开发环境。

第6－9周：编程实现各算法，并进行仿真调试。

4. 参考文献（12篇以上）

[1] 普继光.基于角色的访问控制系统的设计与应用[d].2004(12):6-31

[2] 杨萍.基于角色的授权访问控制系统设计与实现[d].2007(06):2-10

[3] 李晓媛.j2ee平台下基于角色的访问控制系统的分析与实现[d].2006(01):30-48