Net平台下基于角色的访问控制系统的设计与实现.docx

Framework开发平台,采用自定义属性、类型及反射等技术,通过对不同应用系统的资源ID生成、访问方式,以及资源树访问接口的定义,给出一套简洁、实用的基于角色的用户权限管理系统的通用平台设计方案。关键词权限管理;角色;反射;自定义属性计算机技术安全管理的范围很广,可以包括网络安全性、数据安全性、操作系统安全性以及应用程序安全性等。对一个多用户商用应用系统而言,系统的安全访问控制是必须的,系统不仅要满足功能性需求,还要满足安全性需求。系统的安全访问控制一般是通过用户认证和用户权限管理来实现。权限管理可简单表述为:判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。各类应用系统的整个体系结构上要设计一个安全可靠、配置灵活、易扩展的安全控制模块,它主要有两部分内容:用户认证和用户权限管理。目前大致有三种安全模型:访问矩阵、基于角色的访问控制(RBAC-esscontrol)模型和多级模型。其中基于角色的访问控制模型得到了日益广泛的应用。1基于角色的用户权限管理系统(RBAC)基本理论[1][2] RBAC是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是:一是减小授权管理的复杂性,降低管理开销;二是灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。资源是应用系统中被管理、控制的对象,资源是权限管理的最小单位,资源的抽象要结合实际的需要确定粒度大小。权限是对具体资源的访问许可。权限和资源密不可分,在这里,权限可以用一个二元组来表示(R,A),其中,R表示资源,A表示访问方式。角色是指一个组织或任务中的工作或位置,它代表了一种资格、权利和责任。用户就是一个可以独立访问应用系统中的资源的主体。用户在一般情况下是指应用系的使用者。RBAC中只对角色分配资源的访问权限,从另一个角度说,角色是权限的某种组合。用户可以具有一个或多个角色,但不能直接对用户分配权限。角色的权限相对稳定,而用户容易变化,RBAC通过角色实现用户与权限的分离,增加了权限分配和管理的方便性和灵活性。以上是RBAC的基本概念,Framework平台,给出一套简洁、实用的RBAC权限管理系统的设计方案。Framework新特性的应用[2] (Type)信息 ,它有与每一种数据类型相对应的派生类。通过运行时获取Type派生类的实例,可能获取相应数据类型的所有信息。(Attribute) 传统编程语言如C++,都提供了关键字(如public、private等)。这些关键字提供有关类成员的附加信息,还通过描述类成员对其他类的可访问性来进一步定义类成员的行为。由于编译器被显式设计为识别预定义关键字,编程者无法创建自己的关键字。Framework中,monLanguageLibrary)允许编程者添加类似关键字的描述性声明(称为属性)来批注编程元素,如类型、字段、方法和属性等。,用来存储特定的描述信息。3通用RBAC权限管理系统的设计各个通常的应用软件系统中,除了需进行安全访问控制的资源各不相同外,其它如用户及角色的管理,角色的权限分配等基本相同,如果能对不同应用系统的资源抽象出相同的描述和访问接口,自然就能实现一套通用的权