基于AOP和RBAC擴展模型的訪問控制系統(tǒng)的研究與設(shè)計.pdf

1、目前，實際應(yīng)用的各種用戶認證和授權(quán)管理系統(tǒng)普遍存在著業(yè)務(wù)邏輯與權(quán)限管理相耦合、缺乏動態(tài)訪問控制能力以及管理不方便等問題。針對這些問題，本文研究了如何把基于角色的訪問控制模型和面向方面技術(shù)相結(jié)合來改進權(quán)限控制。 基于角色的訪問控制(RBAC)是傳統(tǒng)的自主訪問控制和強制訪問控制的替代方案。在RBAC中，權(quán)限與角色相聯(lián)系，用戶被賦予合適的角色從而取得相應(yīng)權(quán)限，從而大大簡化了權(quán)限管理。 但是傳統(tǒng)的基于角色的訪問控制模型卻缺乏動態(tài)

2、的訪問控制能力，不能對擁有特定角色的用戶和對象實例進行細粒度控制。為了彌補以上缺陷，本文提出了一個包含團隊、任務(wù)的訪問控制模型(TT—RBAC)。 在TT—RBAC中，團隊包含擁有特殊角色的用戶集和擁有完成特定任務(wù)的對象的角色集。團隊任務(wù)決定指派給團隊的最大權(quán)限，團隊角色決定團隊可執(zhí)行的最大權(quán)限，團隊成員決定誰可以激活成員自身的角色和執(zhí)行團隊任務(wù)。團隊成員可以執(zhí)行由它可以激活的角色所決定的任務(wù)。所以，團隊定義了一個小而特殊的RB

3、AC應(yīng)用區(qū)域，在這個區(qū)域中，既了保持RBAC模型可擴展安全管理的優(yōu)勢，還可以靈活的激活個人用戶的權(quán)限和使用特殊對象實例。TT—RBAC模型克服了傳統(tǒng)RBAC模型的一些缺點，實現(xiàn)了對擁有特定角色的用戶和對象實例進行細粒度控制。 面向方面的程序設(shè)計(AOP)用于分離系統(tǒng)中橫切多個組件的行為，并把這些行為抽取出來單獨實現(xiàn)。通過這種方式，不需要組件主動校驗當前用戶的權(quán)限，校驗功能在需要的時候被自動觸發(fā)。這樣可以方便的把權(quán)限校驗功能分散到