基于RBAC的恩施旅游网安全策略机制研究

向 军，翁建国，胡俊鹏

(湖北民族学院 信息工程学院,湖北 恩施 445000)

基于RBAC的恩施旅游网安全策略机制研究

向 军，翁建国，胡俊鹏

(湖北民族学院 信息工程学院,湖北 恩施 445000)

提出一种基于RBAC(Role-Based Access Control)分布式管理旅游网安全设计方案.采用多种安全技术保障旅游的安全，利用基于多种角色的分布式分层访问控制，建立基于角色的权限管理模型，采用加密存储技术加密系统数据.测试实验表明：基于角色的权限分布式管理旅游网安全性较好.

网络安全;角色访问控制;权限;旅游网

随着旅游业的高速发展，旅游网已成为最热门的话题.本文分析了基于角色访问控制(Role-Based Access Control,RBAC)[1-3]的工作原理，多种角色的分布式权限管理，访问控制，数据采用领先的加密存储[4-5]技术，在此基础上提出了基于RBAC的旅游网系统设计方案，LAMP(linux+apache+php+mysql)框架，整体架构采用了MVC设计模式开发了旅游网系统，通过系统平台让用户快速且更加详细准确的了解旅游信息，多种角色身份搭建整个系统，该系统处于编码测试阶段，在测试中取得了良好的应用价值，得到了用户的肯定.

1 基于角色的访问控制(RBAC)工作原理

1.1 用户、角色、权限的定义

1)用户定义：使用信息系统或者受到信息系统影响的“客户”-如收集、验证、录入、响应、存储、交换数据和信息，直接或间接使用系统资源者.

2)角色定义：角色由用户自选择定义，根据业务岗位不同可以定义多个角色，角色之间有相应继承的关系，当一个角色role1继承另一个角色role2时，role1就自动拥有role2的访问权限(表示role1→role2).本系统中角色分为系统管理员角色，旅行社管理角色R1，酒店管理角色R2，导游管理角色R3，景区管理角色R4，普通会员角色R5，娱乐场所管理角色R6.

3)权限定义：权限就是定义对象访问控制和数据访问控制，本系统中使用了操作权限和菜单权限[6]两类，其中操作权限是对每个动作(Action)的访问控制，菜单权限是对系统菜单(Menu)栏目的可视化界面访问控制，为了表述方便对权限用一个三元组符号来表示P(o，t，c)，其中o 表示访问对象，t表示访问类型，c 表示条件.表示在条件c 为真时对于访问对象o 可进行t类型的访问，只有给各种对象定义好访问的权限，才能给角色配置权限， 基于角色管理才能成为可能.

图1 用户、角色、权限之间的关系Fig.1 Relationship among user,role,right

图2 系统需求分析Fig.2 System requirement analysis

1.2 用户、角色、权限之间的关系

基于角色访问控制模型主要涉及到三个概念和两层关系：三个概念为用户、角色和权限，两层关系为用户与角色之间的关系和权限与角色之间的关系，在角色是用户权限的基础，一个角色可以有一个或多种权限，一种权限可以属于一个或不同多个的角色，角色与权限之间是多对多的关系，一个角色可以有多个用户，每个用户可以属于一个或多个角色，用户与角色间的关系也是多对多的关系.RBAC模型根据用户在系统内所处的角色进行资源访问授权与控制，通过角色在用户与权限之间建立联系.用户、角色、权限之间的关系如图1所示.

1.3关键技术

基于RBAC角色的访问控制，运用角色的权限管理模型、支持多种角色的分布式管理.全面采用模板技术方式实现，模板采用业内比较流行的SmartTemplate内核[7].

2 旅游网的系统分析

2.1系统特点

全面严格的标准数据权限范围控制技术[8]，支持多级授权体系；关键数据采用领先的加密存储技术；可扩展CA数字认证，可支持远程安全身份校验.访问控制采用基于角色的权限管理技术，自定义角色，安全性得到保障.全部操作页面符合标准WEB页面操作风格，标准Windows文件编辑风格，Windows标准风格帮助文件.在线可视化编辑器，模板编辑可视化.自定义标签、自定义栏目、自定义角色、自定义模板、自定义程序文件、自定义访问权限、等多种自定义选项设置，充分满足客户功能个性化调整.支持多种复合信息格式.标准功能装配接口，支持客户自定义功能装配.标准化产品安装过程，标准化功能装配设置，安装过程方便快捷.B/S结构产品.实现真正意义上的单点维护，全面升级.

2.2 系统功能

不同的人员对该旅游网的信息资源操作不尽相同，一般的游客只有浏览网站公开信息权限，普通会员不仅有浏览而且可以对相关攻略信息进行发布，修改和删除等操作.系统管理员不像以往的管理者，发布旅游线路(景区景点、酒店、新闻等)信息，查询旅游线路(景区景点、酒店、新闻等)信息，修改旅游线路(景区景点、酒店、新闻等)信息，删除旅游线路(景区景点、酒店、新闻等)信息，对整站资源的完全掌控，而是将自己的“权利”下发给其他管理者，如：旅行社角色管理员，酒店角色管理员，导游角色管理者，娱乐场所角色管理者等等，让他们作为管理者管理各自范围(具有相应合法且合理的权限)下的相关资源信息，系统管理员对他们的资源信息只做为审核操作，整站基于分布式分层管理，角色访问控制管理.让系统有条不紊的运行.系统需求分析如图2所示.

3 基于角色访问控制设计与实现

3.1权限分布式访问控制关系表

系统主要涉及到角色分布式访问控制管理关系分别如表1-4所示.

3.2角色控制模块的实现

角色分为系统管理员，旅行社、酒店、导游、景区、普通用户、娱乐7种角色类型，系统各个系统及功能模块概括如下：系统内核模块：用户管理系统、系统设置管理、模块管理系统、标签系统管理、数据安全管理；系统功能模块：线路管理模块、酒店管理模块、娱乐管理模块、餐饮管理模块、景点管理模块、新闻管理模块、广告管理模块、攻略管理模块、问答管理模块、点评管理模块、订单管理系统、静态生成管理、在线支付模块.角色访问控制模块模型如表5所示.

表1角色表

Tab.1 Web roles

字段名称字段类型字段描述备注roles_idint(11)角色ID主键且自增roles_roleidvarchar(50)角色编码roles_orderint(11)角色排序roles_namevarchar(20)角色名roles_visiablechar(1)是否审核

注：此表用于存储不同类别的角色信息.

表2菜单权限表

Tab.2 Web menu permission

字段名称字段类型字段描述备注permission_idint(11)菜单权限ID主键且自增roles_idint(11)角色ID外键modules_idint(11)模块ID外键permission_condingint(11)状态转化

注：此表用于存储系统中对应模块下是否具有菜单权限.

表3动作操作权限表

Tab.3 Web operation

字段名称字段类型字段描述备注operation_idint(11)操作权限ID主键且自增operation_namevarchar(50)操作名operation_valuevarchar(50)操作属性modules_categoryidvarchar(50)模块类型

注：此表用于存储系统中所有操作的操作的权限操作名.

表4菜单动作操作权限

Tab.4 Web menu permission operation

字段名称字段类型字段描述备注operation_idint(11)操作权限ID主键且自增roles_idint(11)角色ID外键operation_idint(11)操作权限ID外键permission_codingint(11)状态转化

注：此表用于存储系统中对应具有菜单权限下的动作权限信息.

表5 角色访问控制模块模型

3.3 案例

图3为本案例为酒店角色下的恩施怡和酒店用户:

图3 恩施怡和酒店用户Fig.3 Enshi Yihe hotel

4 结语

本文在分析RBAC工作原理的基础上，重点讨论了RBAC在基于旅游网的应用系统设计.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，减小了授权管理的复杂性，降低管理开销；而且能够灵活地支持应用系统的安全策略，并对应用系统的变化有很大的伸缩性；实现了权限明确的、高效的且具有良好扩展性旅游网信息权限分配系统.

[1] 吕晓琪，王磊，杨立东.基于RBAC模型的医疗信息权限分配系统研究与实现[J].大学学报,2011,30(1)：48-52.

[2] 张祖平,王磊.基于多种模式的权限控制技术研究[J].计算机工程，2006，32(1)：178-225.

[3] 毛碧波.角色访问控制[J].计算机科学,2003,30(2):121-124.

[4] 徐雁萍.数据加密技术的研究[C]//中国气象学会2008年年会第二届研究生年会分会场论文集,2008(11)：151-158.

[5] 洪帆,付小青,胡伦骏. 数据库系统中一种更安全的加密机制[J].华中理工大学学报,2000(7)：1-4.

[6] 吕振洪. 基于菜单资源的权限分配[J].计算机应用,2001,21(8)：254-257.

[7] Sejong Oh，Seog Park.Task-Role-Based Access ControModel[J].Information Systems,2003,28(6):533-536.

[8] 叶锡君,许勇,吴国新.基于角色的访问控制在Web中的实现技术[J].计算机工程,2002 (1)：167-169.

ResearchontheSecurityPolicyMechanisminEnshiTourismNetworkBasedonRBAC

XIANG Jun，WENG Jian-guo,HU Jun-peng

(School of Information and Engineering,Hubei University of Nationalities,Enshi 445000,China)

This paper presents a security policy mechanism in distributued travel network based on RBAC (Role-Based Access Control).And many kinds of security thechnolog proposals will be used to ensure the security of the travel network.The distributed hierarchica access control based on a variety of roles is used to create role-based rights management model, and the encryption storage technology is used to encrypt the system data.The simulation results show that the security of the travel network of role-based permissions distributed management is excellent.

network security;RBAC;rights;travel network

2013-07-27.

湖北省自然科学基金项目(2009CDB069);湖北省教育厅中青年项目(4105029);湖北民族学院大学生创新训练计划(2013Z042).

向军(1978- )，男(土家族)，博士，副教授，主要从事移动计算、实时数据库的研究.

TP312

A

1008-8423(2013)03-0313-03