基于AOP和RBAC擴(kuò)展模型的訪問控制系統(tǒng)的研究與設(shè)計(jì).pdf

1、目前，實(shí)際應(yīng)用的各種用戶認(rèn)證和授權(quán)管理系統(tǒng)普遍存在著業(yè)務(wù)邏輯與權(quán)限管理相耦合、缺乏動(dòng)態(tài)訪問控制能力以及管理不方便等問題。針對(duì)這些問題，本文研究了如何把基于角色的訪問控制模型和面向方面技術(shù)相結(jié)合來改進(jìn)權(quán)限控制。 基于角色的訪問控制(RBAC)是傳統(tǒng)的自主訪問控制和強(qiáng)制訪問控制的替代方案。在RBAC中，權(quán)限與角色相聯(lián)系，用戶被賦予合適的角色從而取得相應(yīng)權(quán)限，從而大大簡(jiǎn)化了權(quán)限管理。 但是傳統(tǒng)的基于角色的訪問控制模型卻缺乏動(dòng)態(tài)

2、的訪問控制能力，不能對(duì)擁有特定角色的用戶和對(duì)象實(shí)例進(jìn)行細(xì)粒度控制。為了彌補(bǔ)以上缺陷，本文提出了一個(gè)包含團(tuán)隊(duì)、任務(wù)的訪問控制模型(TT—RBAC)。 在TT—RBAC中，團(tuán)隊(duì)包含擁有特殊角色的用戶集和擁有完成特定任務(wù)的對(duì)象的角色集。團(tuán)隊(duì)任務(wù)決定指派給團(tuán)隊(duì)的最大權(quán)限，團(tuán)隊(duì)角色決定團(tuán)隊(duì)可執(zhí)行的最大權(quán)限，團(tuán)隊(duì)成員決定誰可以激活成員自身的角色和執(zhí)行團(tuán)隊(duì)任務(wù)。團(tuán)隊(duì)成員可以執(zhí)行由它可以激活的角色所決定的任務(wù)。所以，團(tuán)隊(duì)定義了一個(gè)小而特殊的RB

3、AC應(yīng)用區(qū)域，在這個(gè)區(qū)域中，既了保持RBAC模型可擴(kuò)展安全管理的優(yōu)勢(shì)，還可以靈活的激活個(gè)人用戶的權(quán)限和使用特殊對(duì)象實(shí)例。TT—RBAC模型克服了傳統(tǒng)RBAC模型的一些缺點(diǎn)，實(shí)現(xiàn)了對(duì)擁有特定角色的用戶和對(duì)象實(shí)例進(jìn)行細(xì)粒度控制。 面向方面的程序設(shè)計(jì)(AOP)用于分離系統(tǒng)中橫切多個(gè)組件的行為，并把這些行為抽取出來單獨(dú)實(shí)現(xiàn)。通過這種方式，不需要組件主動(dòng)校驗(yàn)當(dāng)前用戶的權(quán)限，校驗(yàn)功能在需要的時(shí)候被自動(dòng)觸發(fā)。這樣可以方便的把權(quán)限校驗(yàn)功能分散到