1、目的及意义

1.1 研究目的及意义

随着信息化时代的到来，计算机、网络等技术迅猛发展，同时，由于资源共享程度的不断加强，网络早已成为人们日常生活中获取信息的必须途径，而Web也已经成为内容丰富的信息库和交互平台。随之而来便是信息系统安全问题及传统的Web服务模式已经不能满足动态网络需求的问题。

虽然我们身处信息共享的时代，但是对于企业或信息拥有者而言，在信息资源共享的同时也要阻止未经授权用户对敏感信息的访问。于是利用权限管理系统来解决这一问题成了很自然的想法。但在权限管理系统中，用户的灵活性与系统的安全性始终无法同时兼顾。本文将深入研究基于角色的访问控制模型，通过引入角色的概念，采用分层技术，实现用户与权限的逻辑分离，从而将权限分配到各个角色上，而不是单独的用户。以往对于较为庞大的系统，用户的添加或删除等操作相当复杂。当引入角色后，将用户与角色相连，再将角色与权限相连，由于每个系统所拥有的角色都是相对固定的，因此权限与角色的关系也较为固定，用户的删除或添加只相当于角色分组里的成员数量的变化，它具有减少授权管理的复杂性，降低管理的开销的优点。同时基于角色的访问控制模型也可灵活的支持企业的安全策略等。

早期的动态Web技术是CGI，它每产生一个新的请求时，都要在服务器上新增一个进程，当多个用户访问时，将消耗大量的Web服务器资源，大大降低了服务器的性能。而JSP是比较成熟的一种动态网页技术，依靠Java语言的稳定、安全、可移植性好的优点，成为大、中型网站开发的首选，目前广泛应用于电子商务和互联网领域。因此，本次设计决定采取JSP技术实现基于角色的权限控制系统。这样不仅可以实现跨平台、跨服务器运行，还能将页面显示和应用程序逻辑分离，简化Web交互应用程序的过程，快速进行开发和测试。

1.2 国内外研究现状

访问控制技术兴起于70年代，它能够确保信息系统的用户对系统资源的访问、存取都受安全策略的控制，尤其是对系统中敏感信息的访问存取的控制。自主访问（Discretionary Access Control，DAC）和强制访问控制（Mandatory Access Control,MAC）是比较传统的访问控制策略。

随着信息系统的不断庞大和日益复杂化，多元化，经典的DAC和MAC不能够满足日益增长的安全需求。1994年，David Ferraiolo和Richard Kuhn在《Role-Based Access Control》一文中首先给出了基于角色的访问控制概念，并且率先给出基于角色的访问控制模型框架和RBAC模型的形式化定义，指出RBAC模型实现的最小特权原则和职责分离原则。1996年，美国乔治梅森大学的R.Sandhu提出了著名的RBAC96模型，该模型完整地描述了RBAC基本框架，按照需要将传统的RBAC模型拆分成四种嵌套的模型并给出形式化定义，较大地提高了系统灵活性和可用性。1997年，他们更进一步提出一种分布式RBAC管理模型ARBAC97，该模型是用角色管理角色，用“角色范围”和“先决条件”的途径来授权管理角色来用于管理自身的模型。现今基于角色的访问控制研究都以这两个模型作为基础，随后的ARBAC99和ARBAC02更进一步完善了RBAC的管理功能。

2001年，Ferraiolo和Kuhn等人提出了一致的RBAC模型建议，即NIST RBAC，试图统一各个不同模型中的术语，并用伪码定义了所有RBAC的基本操作。在RBAC研究团体对RBAC模型进行了进一步的提炼后，美国国家信息技术标准委员会（ANSI/INCITS）于2004年2月将NIST RBAC定为美国国家标准（ANSI INCITS359-2004）。2006年1月，NIST发布了RBAC实现标准草案，草案具体定义了一个RBAC系统实现的各个方面，当然还有很多地方仍然需要完善。但是可以预见，该实现标准将会成为RBAC系统实现的工业规范化文档。美国NIST和George Mansion Univ.LIST实验室（Prof.Ravi.Sandhu）是目前国外RBAC主要研究机构。