登录

  • 登录
  • 忘记密码?点击找回

注册

  • 获取手机验证码 60
  • 注册

找回密码

  • 获取手机验证码60
  • 找回
毕业论文网 > 文献综述 > 电子信息类 > 通信工程 > 正文

基于JSP的角色与权限管理系统的设计与实现文献综述

 2020-04-23 19:37:16  

1.目的及意义

1、目的及意义

1.1 研究目的及意义

随着信息化时代的到来,计算机、网络等技术迅猛发展,同时,由于资源共享程度的不断加强,网络早已成为人们日常生活中获取信息的必须途径,而Web也已经成为内容丰富的信息库和交互平台。随之而来便是信息系统安全问题及传统的Web服务模式已经不能满足动态网络需求的问题。

虽然我们身处信息共享的时代,但是对于企业或信息拥有者而言,在信息资源共享的同时也要阻止未经授权用户对敏感信息的访问。于是利用权限管理系统来解决这一问题成了很自然的想法。但在权限管理系统中,用户的灵活性与系统的安全性始终无法同时兼顾。本文将深入研究基于角色的访问控制模型,通过引入角色的概念,采用分层技术,实现用户与权限的逻辑分离,从而将权限分配到各个角色上,而不是单独的用户。以往对于较为庞大的系统,用户的添加或删除等操作相当复杂。当引入角色后,将用户与角色相连,再将角色与权限相连,由于每个系统所拥有的角色都是相对固定的,因此权限与角色的关系也较为固定,用户的删除或添加只相当于角色分组里的成员数量的变化,它具有减少授权管理的复杂性,降低管理的开销的优点。同时基于角色的访问控制模型也可灵活的支持企业的安全策略等。

早期的动态Web技术是CGI,它每产生一个新的请求时,都要在服务器上新增一个进程,当多个用户访问时,将消耗大量的Web服务器资源,大大降低了服务器的性能。而JSP是比较成熟的一种动态网页技术,依靠Java语言的稳定、安全、可移植性好的优点,成为大、中型网站开发的首选,目前广泛应用于电子商务和互联网领域。因此,本次设计决定采取JSP技术实现基于角色的权限控制系统。这样不仅可以实现跨平台、跨服务器运行,还能将页面显示和应用程序逻辑分离,简化Web交互应用程序的过程,快速进行开发和测试。

1.2 国内外研究现状

访问控制技术兴起于70年代,它能够确保信息系统的用户对系统资源的访问、存取都受安全策略的控制,尤其是对系统中敏感信息的访问存取的控制。自主访问(Discretionary Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)是比较传统的访问控制策略。

随着信息系统的不断庞大和日益复杂化,多元化,经典的DAC和MAC不能够满足日益增长的安全需求。1994年,David Ferraiolo和Richard Kuhn在《Role-Based Access Control》一文中首先给出了基于角色的访问控制概念,并且率先给出基于角色的访问控制模型框架和RBAC模型的形式化定义,指出RBAC模型实现的最小特权原则和职责分离原则。1996年,美国乔治梅森大学的R.Sandhu提出了著名的RBAC96模型,该模型完整地描述了RBAC基本框架,按照需要将传统的RBAC模型拆分成四种嵌套的模型并给出形式化定义,较大地提高了系统灵活性和可用性。1997年,他们更进一步提出一种分布式RBAC管理模型ARBAC97,该模型是用角色管理角色,用“角色范围”和“先决条件”的途径来授权管理角色来用于管理自身的模型。现今基于角色的访问控制研究都以这两个模型作为基础,随后的ARBAC99和ARBAC02更进一步完善了RBAC的管理功能。

2001年,Ferraiolo和Kuhn等人提出了一致的RBAC模型建议,即NIST RBAC,试图统一各个不同模型中的术语,并用伪码定义了所有RBAC的基本操作。在RBAC研究团体对RBAC模型进行了进一步的提炼后,美国国家信息技术标准委员会(ANSI/INCITS)于2004年2月将NIST RBAC定为美国国家标准(ANSI INCITS359-2004)。2006年1月,NIST发布了RBAC实现标准草案,草案具体定义了一个RBAC系统实现的各个方面,当然还有很多地方仍然需要完善。但是可以预见,该实现标准将会成为RBAC系统实现的工业规范化文档。美国NIST和George Mansion Univ.LIST实验室(Prof.Ravi.Sandhu)是目前国外RBAC主要研究机构。

剩余内容已隐藏,您需要先支付 10元 才能查看该篇文章全部内容!立即支付

企业微信

Copyright © 2010-2022 毕业论文网 站点地图