内容发布更新时间 : 2024/5/29 13:49:44星期一 下面是文章的全部内容请认真阅读。
龙源期刊网 http://www.qikan.com.cn
基于RBAC的出租车管理信息系统的设计
作者:李 岚 朱红高
来源:《电脑知识与技术·学术交流》2008年第29期
摘要:RBAC技术以角色为访问主体,将访问权限与角色相联系,通过给用户分配适合的角色,使角色成为访问控制的主体,可以提高管理的效率。设计了一个基于Web方式的出租车管理信息系统。介绍了基于RBAC的出租车管理信息系统的总体设计、数据库设计及实现。
关键词:RBAC;出租车管理信息系统;设计
中图分类号:TP315 文献标识码:A 文章编号:1009-3044(2008)29-0275-02 Design of Taxi Management Information System Based on RBAC LI Lan, ZHU Hong-gao
(Department of Computer Science & Technology,Hubei Polytechnic Institute,,Xiaogan 432000,China)
Abstract: RBAC takes the role as the access main body, relates access privilege and role, through assigning to the user the suitable role, makes the role become the main body of access control, enhances the management efficiently. In the paper, the Web-based Taxi management information system is designed. The architectural design, database designand implementation is introduced based on RBAC.
Key words: RBAC; taxi management information system; design 1 引言
随着网络技术的迅速发展和普及,网络安全及其相关问题越来越突出,访问控制是保证系统安全的重要措施之一。访问控制的作用就是对需要访问的主体(用户、进程等)进行身份验证,并限制访问主体对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用访问控制。这种访问不仅是拒绝非法用户访问,更主要的是限制合法用户对资源的访问。传统的访问控制技术有自主访问控制DAC和强制访问控制MAC,这两种方法直接对用户授予或取消权限,因而随着用户数量增加和系统层次复杂,对访问控制的管理变得复杂而且困难。基于角色的访问控制RBAC[1]引入了角色这一概念,使主体与客体通过角色发生关系,从
龙源期刊网 http://www.qikan.com.cn
而有效地克服DAC和MAC存在的不足,而且还可以减少授权管理的复杂性、降低管理开销,并为访问控制的管理提供一个比较好实现安全策略和环境。
2基于角色的访问控制
基于角色的访问控制(Role-Based Access Control.RBAC)概念早在20世纪70年代就随着多用户、多应用在线系统的出现而产生,但真正形成一套完整理论的则是由Sandhu[2]等人于1996年在IEEE上发表的文章——基于角色的访问控制模型,习惯上自然灾害为RBAC96模型。RBAC的核心思想是将访问权限与角色相联系,通过给用户分配适合的角色,让用户和访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的。根据用户在企业中的职权和责任来设定他们的角色,用户可以角色间进行转换,系统可以添加、删除角色,还可以对角色的权限进行添加、删除,这样通过应用RBAC可以将安全性放在一个接近组织结构的自然层面上进行管理。它的基本要素是用户(USERS)、角色(ROLES)、会话
(SESSIONS)和授权(PRMS)。授权就是将客体存取访问的权限在可靠的控制下联带角色所需要的操作一一提供给角色所代表的客户。用户、角色和权限的分配关系,称为用户分配(User Assignment)和权限分配(Permisson Assignment)。每个用户进入系统得到自己的控制的时候,就得到了一个会话,一个会话可以激活该用户全部角色的一个子集,用户可以获得全部被激活角色的所有授权。在RBAC系统中,每个角色至少具有一个授权,每个用户至少扮演一个角色。形式化表示如下[3]:
PA PRMS×ROLES,权限到角色分配的多对多的关系; UA USERS×ROLES,用户到角色分配的多对多的关系;
Session_Roles(s)= {r |ROLES(s,r)∈UA},会话s在角色集合上的映射; 其模型如图1所示。
图中阐明了用户分配和权限分配的关系。双向箭头象征一种多对多的关系(一个用户可以被分配给一个或多个角色,一个角色也可以被分配给一个或多个用户)。这种机制对权限到角色和用户到角色的分配提供了更强的灵活性和更细的可控粒度。而且,任何在访问资源控制灵活性上的提高都可以看作是对最小权限原则应用的一种加强。
3 应用实例
龙源期刊网 http://www.qikan.com.cn
城市交通是城市现代化的一个标志,而出租车行业是反映城市文明的一个窗口。对出租车进行规范化管理有着十分重要的意义。
出租车信息资源是大量信息资源的集合,包括车辆信息、车主信息、违章信息及事故信息、投诉处理等。主要用于运输管理部门对出租车进行规范化管理,是授权访问控制的核心。这些大量的信息资源的表现形式是多种多样的,它不仅仅是我们看到的以文件形式为主的文字材料,或者说是数字化的文字材料,而且还包括实物信息等。要实现信息资源有效管理和提供安全高效的服务,必须依赖日新月异的信息技术。信息技术的飞速发展,为运管部门对出租车的管理提供了有利的支持。
Web方式(B/S)是出租车信息管理建设的主要模式,该模式的特点主要是按照统一资源标志符(URI)这一国际标准,保证应用程序或者用户在Internet环境中,能够通过URI访问远程服务器上的各种资源,如文档、页面、图片等。按照Web的分层开发的模式特点,在逻辑上一般将应用功能分为三层:客户层、业务逻辑层、数据层。客户层主要为用户提供应用服务的图形界面;业务逻辑层位于客户层和数据层之间,主要完成数据请求、加工、结果返回以及动态网页生成等;数据层主要用来存储、管理、访问和更新数据以满足应用服务操作数据的请求。因此,从应用角度出发,将基于Web的信息系统访问控制分为两种:一是网络上Web服务器上的页面资源,主要由客户层与功能相关的服务器端脚本文件和系统文件组成;二是数据库存储的业务数据资源,不同的用户对不同的业务数据具有不同的操作权限。从技术层面角度出发,可以将页面资源文件和业务数据看作和权限相关联的信息资源实体,并通过角色对文件、数据的访问来实现Web信息系统资源的访问控制。 3.1 出租车管理系统基本框架
基于RBAC的网上出租车信息管理系统访问控制策略实现基本框架如图2所示,主要包括身份验证、权限管理控制模块设计、信息资源访问控制逻辑实现等。其中,访问控制主要包括两个部分,一是数据资源的访问,二是文件资源的访问。 3.2 权限管理
3.2.1 基于RBAC的访问权限身份验证
RBAC访问权限身份难流程如图3所示。用户访问系统时,首先进行身份验证,然后对通过难的用户进行访问权限的验证,对于验证成功的显示正确结果。用户登录时调用权限管理系统的用户鉴别服务,如果难成功,调用权限计算服务,并返回权限关系表。如以J2EE为例,当用户通过浏览器向服务器发出URL资源请求时,Web容器收集用户相关的鉴权信息(如用户名和口令),并通过系统相关的信息安全服务进行识别和判定。