摘 要

权限管理系统是一个十分普遍的系统，由于用户数量的急剧增长，传统的权限管理系统早已不适用。目前基于角色的访问研究已经成熟，但是研究方向都是对其基础模型做进一步的扩展，例如在角色和用户之间再增加一个用户组或其他功能以实现更方便的管理。但实际上，一个中小型的权限管理系统不需要十分繁杂的模型。通常一个系统的角色不会有很大变动，在一个部门中身担两个甚至多个角色的人更是少之又少。因此，本次研究的工作内容主要是对基于角色的模型进行深入学习了解，对其进行简化改造，在实现权限系统的基本功能，确保系统具有基于角色访问的一系列优势的同时，达到节省开发时间以及减少不必要的精力投入的目的。经过查阅资料发现，一般的设计都是利用增加一个数据表格将多对多关系转化为多对一的关系，相对于以前的传统的控制方法使用了额外的数据表，占用了更多的数据库资源。本文则是巧妙的利用数据库设计，不需要通过增加数据表格就可以实现权限和角色之间多对多的关系。本次设计主要使用了JSP技术，同时用EasyUI实现前端页面的设计，用Servlet将前端数据传到后台实现交互，从而完成了一个简便系统的快速开发。它利用更少的资源满足了大部分的权限系统的要求并可以作为其他应用的子系统，减少无效的重复开发。

关键词：JSP；权限管理；角色；访问控制

Abstract

Authority management system is a very common system.As the number of users increases,traditional authority management system has been inapplicable.While the current research on role-based access control has matured.However,the direction of research is to expand on the basic RBAC model.For example,add a user group or other function between the role and the user for more convenient management.But actually,a small or medium privilege system does not actually need an overly complex model.Usually the role of a system does not change much,and there are even fewer people who have two or more roles in a department.Therefore,the main content of this study is to study the role-based model deeply,to simplify the model.And it can achieve the purpose of saving development time and reducing unnecessary effort,while satisfying the basic requirements of the privilege system and ensuring that the system has a series of advantages of the role-based access control.After consulting data,I found that the general design is to use a data table to convert many-to-many relationships into a many-to-one.They use additional tables and consume more databases resources than the previous traditional control methods.This article uses database design cleverly,without the need to increase the data table to achieve a many-to-many relationship between permissions and roles.This design mainly uses JSP technology,at the same time,it uses EasyUI to realize the design of the front-end page,and uses Servlet to transfer the front-end data to the background for interaction, finally completes the rapid development of a simple system.It uses fewer resources to meet the requirements of most of the privilege systems and can serve as a subsystem for other applications, reducing inefficient repeated development.

Key Words：JSP; authority management; role; access control

目 录

第1章 绪论 1

1.1 研究背景和意义 1

1.2 国内外研究现状 2

1.3 本文的章节安排 3

1.4 论文的组织结构 3

1.5 系统开发环境及主要技术 4

1.5.1 JSP系统开发环境 5

第2章 访问控制技术 6

2.1 传统访问控制策略 6

2.1.1 自主访问控制 6

2.1.2 强制访问控制 7

2.2 基于角色的访问控制 7

2.2.1 核心RABC原理 8

第3章 权限管理系统的设计与实现 10

3.1 系统需求分析 10

3.2 系统框架设计 10

3.3 数据库的设计 12

3.4 登录模块和主界面的设计与实现 15

3.4.1 登录模块的设计与实现 15

3.4.2 主界面的设计与实现 16

3.5 用户管理模块的设计与实现 17

3.6 角色管理模块的设计与实现 19

3.7 权限管理模块的设计与实现 21

第4章 总结和展望 22

4.1 论文工作总结 22

4.2 展望 22

参考文献 24

致 谢 26

第1章 绪论

现今，人们大多数选择利用计算机来控制和管理大批量的敏感信息和关键技术。但随着计算机以及互联网应用的快速普及，大型的网络应用系统以及数据系统中有关数据资源管理的复杂程度快速增加的问题也接踵而至。与此同时，怎样确保数据的安全和完整也成为了网络安全关注的重点问题。对此，ISO（国际标准化组织）（ISO 7498-2）关于安全服务总共定义了五个相关层次，而访问控制就是其中之一，也是最重要的一部分^[1]。

1.1 研究背景和意义

随着人们逐渐踏入信息化时代，资源共享程度不断加强，网络早已成为人们平时生活中获取信息的必须途径，而Web也成为了必不可少的信息库和交互平台。但信息系统安全问题也日益严重，而且传统的Web服务已经没有能力为动态网络提供足够的需求 。

虽然我们身处信息共享的时代，对于企业或信息拥有者而言，在享受信息共享带来的便利的同时也要拦截非法用户对敏感信息的访问。于是利用权限管理系统来解决这一问题成了很自然的想法。但是几近全部的权限管理系统都要涉及到访问控制的概念。访问控制通过限制对敏感资源的访问，以防没有得到授权的用户或已授权用户的错误操作对系统产生危害。因此所有用户只允许在自己拥有的权限范围内访问系统资源或对其进行一定的操作，而不能超出自身能力。但在普通的权限管理系统中，用户的灵活性与系统的安全问题始终无法同时得到保证，并且对于较为庞大的系统，用户的添加或删除等操作相当复杂。

1992年后涌现出了一种新的访问控制策略——基于角色的访问控制（RBAC）。它引入角色这一名词，采用分层技术，将权限分配到各个角色上，而不是单独的用户。由于每个系统所拥有的角色种类基本上没有过多变化，因此权限与角色的关系也就相对固定，用户的添加或删除操作只相当于角色分组里成员数量的变化，所以它可以将大型系统里授权过程的复杂程度大大降低，同时基于角色的访问控制模型具有灵活的支持企业的安全策略等优点。

初期的动态Web技术是CGI，它每产生一个新的访问时，服务器上都会新增一个应用进程，当多个用户同时对某一个应用进行访问时，将损耗大量Web服务器资源，从而使其性能大大降低。而JSP是一个成熟的动态网页技术，凭借Java一系列的优点，成为程序员开发大、中型网站的首选脚本语言，目前它已被广泛应用于电子商务和互联网等领域。

因此，本次设计决定采取JSP技术实现一个简化的基于角色的权限控制系统。这样不仅可以实现跨平台、跨服务器运行，还能将前端的页面显示和系统应用的逻辑相分离，简化Web程序实现的过程，快速进行开发。

1.2 国内外研究现状

访问控制技术兴起于70年代，它能够使用户对系统资源的访问、存取操作都在安全策略的控制下进行，尤其是对系统中的关键信息的操作。由于科技的发展，信息系统逐渐扩张并朝着复杂及多样化方向发展，传统的自主访问策略（DAC）和强制访问策略（MAC）早已不能解决系统存在的安全问题^[2]。但是在他它们之后出现的基于角色的访问控制（RBAC）可以有效地防止MAC、DAC中存在的缺点出现，它可以减低管理员授权管理操作的复杂程度，削减开销，还可以提供一个相对好的环境来执行安全策略。

RBAC的概念初次出现在1992年，是由David Ferraiolo和Richard Kuhn一起提出的。他们在《Role-Based Access Control》一文中首次展示了RBAC模型框架以及它的形式化定义^[3]。四年后，R.Sandhu接着提出了一个十分有名的模型——RBAC96^[4]。之后，一种分布式的管理模型——ARBAC97问世^[5]，该模型是利用角色管理角色。现在，这两种模型已经成为RBAC模型钻研的根本。随后ARBAC99和ARBAC02模型相继问世，它们的问世使RBAC的管理能力更为完善。

在RBAC模型漫长的发展过程中，很多来自不同国家的研究学者都以RBAC96模型为基础针对周围遇到的不同问题研究出了侧重点不同的模型。例如，Al-Lahtani和Sandhu一起研究出了基于规则的RBAC模型（Rule-Based RBAC）^[6]，顾名思义，该模型在本来的模型上加入了另一个元素——规则（rule）；Bertino等人则研究出了Temporal-RBAC模型^[7]；之后，Joshi，Bertino等人又进一步扩充了Temporal-RBAC模型，于是Grneralized Temporal RBAC模型问世^[8]。

以上是毕业论文大纲或资料介绍，该课题完整毕业论文、开题报告、任务书、程序设计、图纸设计等资料请添加微信获取，微信号：bysjorg。

相关图片展示：