信息系統(tǒng)中的訪問控制技術研究.pdf

1、在信息系統(tǒng)開發(fā)設計過程中，安全性能被放在了重要的位置，成為信息系統(tǒng)生存的關鍵，構(gòu)建企業(yè)級信息系統(tǒng)的安全體系己成為一個重要的研究領域。訪問控制作為系統(tǒng)安全體系結(jié)構(gòu)中的一個重要組成部分，是解決安全問題的關鍵技術之一。其中，基于角色的訪問控制RBAC(Role-Based Access Control)為管理大量的資源訪問提供了一種動態(tài)靈活的方式，在企業(yè)級開發(fā)中得到普遍應用。J2EE作為目前流行的企業(yè)級開發(fā)平臺，其訪問控制機制主要是基于角色的

2、，體現(xiàn)了RBAC的一些應用優(yōu)勢。論文研究訪問控制技術及其在信息系統(tǒng)安全體系中的應用，主要完成了如下工作：
　　 研究了目前信息安全領域的發(fā)展現(xiàn)狀，分析了信息系統(tǒng)的安全需求，并對其中的安全問題進行了深入分析，研究了主要的安全技術，包括數(shù)據(jù)加密、入侵檢測、身份認證、訪問控制等。重點分析了信息系統(tǒng)中的安全訪問控制技術。
　　 對訪問控制技術進行了深入研究，論文首先從訪問控制的基本元素、核心手段、基本原理和訪問控制模型入手，對訪

3、問控制技術做了基本介紹，并對常用的訪問控制相關技術做出了分析。然后，對RBAC模型及J2EE訪問控制機制進行了深入的分析：RBAC模型借助于角色實體，實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，大大減少了授權(quán)管理的復雜性，易于實現(xiàn)動態(tài)復雜的訪問控制策略；J2EE標準中的訪問控制機制作為一個基于角色的安全機制，通過認證和授權(quán)，保障應用的訪問安全。
　　 在此基礎之上，結(jié)合J2EE中的常用技術：Servlet組件技術、JSP組件技術、JavaB

4、ean和EJB，對系統(tǒng)開發(fā)模式、體系結(jié)構(gòu)設計、數(shù)據(jù)庫設計做出了具體分析和論證。驗證了其在企業(yè)級應用訪問控制方面的有效性和實用性。
　　 最后，本文進一步分析比較了J2EE訪問控制機制同標準RBAC模型訪問控制策略間的差異，并結(jié)合企業(yè)級應用的特征，指出了J2EE訪問控制機制中所存在的問題：對角色間繼承約束關系以及角色權(quán)限動態(tài)管理的不支持等。
　　 本文工作對J2EE平臺技術下基于角色的訪問控制技術的應用研究提供了有益的參考