文档介绍:¨墼仆浇ú几昙企研究牛蚍犯,辉教馑々扎私杯川£☆史抛食删’刊、厕‘拄符;簂
中文摘要访问控制是信息安全保障机制的核心内容,是实现数据保密性和完本文首先介绍了访问控制的现状,随之总结自主访问控制和强制访问控制两种传统访问控制方法的不足,然后研究分析基于角色的访问控制技术。通过分配和取消角色来完成用户权限的授予和取消,实现了用户与访问权限的逻辑分离,极大的方便了权限管理。本文围绕权限管理组件的设计及实现,首先分析权限管理的需求,接着设计一跨平台、可复用性高、可维护性好、授权灵活的权限管理组件,然后在框架下开发实现。持久层用凰卸允源的访问用数据访问对象来抽象和封装,这样就将底层数据访问逻辑与业务逻辑分离开:业务层中使用声明式事务管理优化数据操作、提高组件的效率;且提供服务定位器供外部应用程序使用。最后用一个具体的应用项目来进一步验证该组件的有效性和可复用性。关键词:、权限管理、组件、、整性机制的主要手段。作者:赵国辉指导老师:孙涌救限管理组件诅:框架下的设计与实现
.,琒琀,甌,珹篟珹,.瑃,’瓼瑆,琱,’,甐—!猙——猘.’
第一章绪论信息技术渗透到各行各业,加速了社会向信息社会发展。各种信息系统给人们的生活、工作带来了便利的同时,信息安全问题也接踵而至。而且信息安全触及的不仅仅是个人和企业利益,在更高层面,它还涉及政府和国家的安全。为此,国际标准化组织洳剂思扑慊畔⑾低郴チ曜忌杓票曜标准【”。该标准定义了五大类安全服务:身份认证服务、访问控制服务、数据保密性服务、数据完整性服务、不可否认服务。研究背景访问控制作为信息系统安全的重要功能构件,其主要目的是对抗涉及计算机或通信系统非授权操作的威胁。这些威胁可以被细分为非授权使用、泄露、修改、破坏和拒绝服务等。信息系统中所有可控制的资源均可抽象为客体或对象。对客体实施操作的实体称为主体魈宥钥吞逅凳┑牟僮餍枰授权。这些授权对于主体可以表示为访问权限,而对于客体则可表示为访问模式,访问权限是访问模式的一个子集。访问控制用于限定主体在信息系统内对客体所允许执行的操作。于是用户在通过了鉴别之后,还要通过访问控制,才能在信息系统内执行特定的操作。访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用。访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。研究现状当今最著名的美国计算机安全标准是可信计算机系统评估标准F渲幸桓瞿谌菥是要阻止未被授权而测览机密信息。娑肆礁龇梦士刂评嘈停自主访问控珼和强制访问控制,救耀管理组件垂:稚架下的设计与实现
自主访问控制【渴侵溉绻骋恢魈迨悄骋豢吞宓挠涤姓撸敲此谁有权访问这个客体以及以什么样的权限访问,可以完全随意设置。自主访问控制中,用户可以针对被保护对象制定自己的保护策略:.每个主体拥有一个用户名并属于一个组或具有一个角色。.每个客体都拥有一个限定主体对其访问权限的访问控制列表,.每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制。由于自主访问控制通过访问控制列表来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业和政府的安全需要,以及单级军事应用。大多数系统仅基于自主访问控制机制来实现访问控制,如主流操作系统低,防火墙自主访问控制的的缺点是:信息比较容易扩散、不易管理。譬如:甲把关于文件姆梦矢掣遥薹ǹ刂埔沂欠癜颜庵秩ㄏ薷掣渌耍另外,自主访问控制无法抵御特洛伊木马的攻击,特洛伊木马是嵌入在合法应用程序中的一段以窃取或破坏信息为目的的恶意代码,在自主访问控制系中,一旦带有特洛伊木马的应用程序被激活,系统无法辨别出哪些是用户所需的正常操作,哪些操作是特洛伊木马在起作用,解决办法就是通过强加一些不可逾越的访问限制。因此,又提出了一种更强有力的访问控制手段,即强制访问控制。.恐品梦士刂强制访问控制‘通过无法回避的存取控制来防止各种直接和间接的攻击。在强制访问控制中,系统给主体和客体分配了不同的安全属性,这些属性在组织的安全策略没有改变之前是不可能被轻易改变的。。。第一营绪论投限管理组件往框梨下的设计与实现
现如今人们在∩咸岢龌诮巧ǖ姆梦士刂,权限管理组件存框架下的设计与实现——在中,在用户和访问权限湟虢巧通过对主体和客体安全属性匹配的比较来确定是否允许访问继续进行。用户以及代表用户的程序/进程等都不能以任何方式修改自身或任何客体的安全属性。显然用户无权将任何数据资源,哪怕是属于自己的数据资源的访问权“赠送”给其他用户,因此就不能简单的分配