向 军,翁建国,胡俊鹏
(湖北民族学院 信息工程学院,湖北 恩施 445000)
基于RBAC的恩施旅游网安全策略机制研究
向 军,翁建国,胡俊鹏
(湖北民族学院 信息工程学院,湖北 恩施 445000)
提出一种基于RBAC(Role-Based Access Control)分布式管理旅游网安全设计方案.采用多种安全技术保障旅游的安全,利用基于多种角色的分布式分层访问控制,建立基于角色的权限管理模型,采用加密存储技术加密系统数据.测试实验表明:基于角色的权限分布式管理旅游网安全性较好.
网络安全;角色访问控制;权限;旅游网
随着旅游业的高速发展,旅游网已成为最热门的话题.本文分析了基于角色访问控制(Role-Based Access Control,RBAC)[1-3]的工作原理,多种角色的分布式权限管理,访问控制,数据采用领先的加密存储[4-5]技术,在此基础上提出了基于RBAC的旅游网系统设计方案,LAMP(linux+apache+php+mysql)框架,整体架构采用了MVC设计模式开发了旅游网系统,通过系统平台让用户快速且更加详细准确的了解旅游信息,多种角色身份搭建整个系统,该系统处于编码测试阶段,在测试中取得了良好的应用价值,得到了用户的肯定.
1.1 用户、角色、权限的定义
1)用户定义:使用信息系统或者受到信息系统影响的“客户”-如收集、验证、录入、响应、存储、交换数据和信息,直接或间接使用系统资源者.
2)角色定义:角色由用户自选择定义,根据业务岗位不同可以定义多个角色,角色之间有相应继承的关系,当一个角色role1继承另一个角色role2时,role1就自动拥有role2的访问权限(表示role1→role2).本系统中角色分为系统管理员角色,旅行社管理角色R1,酒店管理角色R2,导游管理角色R3,景区管理角色R4,普通会员角色R5,娱乐场所管理角色R6.
3)权限定义:权限就是定义对象访问控制和数据访问控制,本系统中使用了操作权限和菜单权限[6]两类,其中操作权限是对每个动作(Action)的访问控制,菜单权限是对系统菜单(Menu)栏目的可视化界面访问控制,为了表述方便对权限用一个三元组符号来表示P(o,t,c),其中o 表示访问对象,t表示访问类型,c 表示条件.表示在条件c 为真时对于访问对象o 可进行t类型的访问,只有给各种对象定义好访问的权限,才能给角色配置权限, 基于角色管理才能成为可能.
图1 用户、角色、权限之间的关系Fig.1 Relationship among user,role,right
图2 系统需求分析Fig.2 System requirement analysis
1.2 用户、角色、权限之间的关系
基于角色访问控制模型主要涉及到三个概念和两层关系:三个概念为用户、角色和权限,两层关系为用户与角色之间的关系和权限与角色之间的关系,在角色是用户权限的基础,一个角色可以有一个或多种权限,一种权限可以属于一个或不同多个的角色,角色与权限之间是多对多的关系,一个角色可以有多个用户,每个用户可以属于一个或多个角色,用户与角色间的关系也是多对多的关系.RBAC模型根据用户在系统内所处的角色进行资源访问授权与控制,通过角色在用户与权限之间建立联系.用户、角色、权限之间的关系如图1所示.
1.3关键技术
基于RBAC角色的访问控制,运用角色的权限管理模型、支持多种角色的分布式管理.全面采用模板技术方式实现,模板采用业内比较流行的SmartTemplate内核[7].
2.1系统特点
全面严格的标准数据权限范围控制技术[8],支持多级授权体系;关键数据采用领先的加密存储技术;可扩展CA数字认证,可支持远程安全身份校验.访问控制采用基于角色的权限管理技术,自定义角色,安全性得到保障.全部操作页面符合标准WEB页面操作风格,标准Windows文件编辑风格,Windows标准风格帮助文件.在线可视化编辑器,模板编辑可视化.自定义标签、自定义栏目、自定义角色、自定义模板、自定义程序文件、自定义访问权限、等多种自定义选项设置,充分满足客户功能个性化调整.支持多种复合信息格式.标准功能装配接口,支持客户自定义功能装配.标准化产品安装过程,标准化功能装配设置,安装过程方便快捷.B/S结构产品.实现真正意义上的单点维护,全面升级.
2.2 系统功能
不同的人员对该旅游网的信息资源操作不尽相同,一般的游客只有浏览网站公开信息权限,普通会员不仅有浏览而且可以对相关攻略信息进行发布,修改和删除等操作.系统管理员不像以往的管理者,发布旅游线路(景区景点、酒店、新闻等)信息,查询旅游线路(景区景点、酒店、新闻等)信息,修改旅游线路(景区景点、酒店、新闻等)信息,删除旅游线路(景区景点、酒店、新闻等)信息,对整站资源的完全掌控,而是将自己的“权利”下发给其他管理者,如:旅行社角色管理员,酒店角色管理员,导游角色管理者,娱乐场所角色管理者等等,让他们作为管理者管理各自范围(具有相应合法且合理的权限)下的相关资源信息,系统管理员对他们的资源信息只做为审核操作,整站基于分布式分层管理,角色访问控制管理.让系统有条不紊的运行.系统需求分析如图2所示.
3.1权限分布式访问控制关系表
系统主要涉及到角色分布式访问控制管理关系分别如表1-4所示.
3.2角色控制模块的实现
角色分为系统管理员,旅行社、酒店、导游、景区、普通用户、娱乐7种角色类型,系统各个系统及功能模块概括如下:系统内核模块:用户管理系统、系统设置管理、模块管理系统、标签系统管理、数据安全管理;系统功能模块:线路管理模块、酒店管理模块、娱乐管理模块、餐饮管理模块、景点管理模块、新闻管理模块、广告管理模块、攻略管理模块、问答管理模块、点评管理模块、订单管理系统、静态生成管理、在线支付模块.角色访问控制模块模型如表5所示.
表1角色表
Tab.1 Web roles
字段名称字段类型字段描述备注roles_idint(11)角色ID主键且自增roles_roleidvarchar(50)角色编码roles_orderint(11)角色排序roles_namevarchar(20)角色名roles_visiablechar(1)是否审核
注:此表用于存储不同类别的角色信息.
表2菜单权限表
Tab.2 Web menu permission
字段名称字段类型字段描述备注permission_idint(11)菜单权限ID主键且自增roles_idint(11)角色ID外键modules_idint(11)模块ID外键permission_condingint(11)状态转化
注:此表用于存储系统中对应模块下是否具有菜单权限.
表3动作操作权限表
Tab.3 Web operation
字段名称字段类型字段描述备注operation_idint(11)操作权限ID主键且自增operation_namevarchar(50)操作名operation_valuevarchar(50)操作属性modules_categoryidvarchar(50)模块类型
注:此表用于存储系统中所有操作的操作的权限操作名.
表4菜单动作操作权限
Tab.4 Web menu permission operation
字段名称字段类型字段描述备注operation_idint(11)操作权限ID主键且自增roles_idint(11)角色ID外键operation_idint(11)操作权限ID外键permission_codingint(11)状态转化
注:此表用于存储系统中对应具有菜单权限下的动作权限信息.
表5 角色访问控制模块模型
3.3 案例
图3为本案例为酒店角色下的恩施怡和酒店用户:
图3 恩施怡和酒店用户Fig.3 Enshi Yihe hotel
本文在分析RBAC工作原理的基础上,重点讨论了RBAC在基于旅游网的应用系统设计.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销;而且能够灵活地支持应用系统的安全策略,并对应用系统的变化有很大的伸缩性;实现了权限明确的、高效的且具有良好扩展性旅游网信息权限分配系统.
[1] 吕晓琪,王磊,杨立东.基于RBAC模型的医疗信息权限分配系统研究与实现[J].大学学报,2011,30(1):48-52.
[2] 张祖平,王磊.基于多种模式的权限控制技术研究[J].计算机工程,2006,32(1):178-225.
[3] 毛碧波.角色访问控制[J].计算机科学,2003,30(2):121-124.
[4] 徐雁萍.数据加密技术的研究[C]//中国气象学会2008年年会第二届研究生年会分会场论文集,2008(11):151-158.
[5] 洪帆,付小青,胡伦骏. 数据库系统中一种更安全的加密机制[J].华中理工大学学报,2000(7):1-4.
[6] 吕振洪. 基于菜单资源的权限分配[J].计算机应用,2001,21(8):254-257.
[7] Sejong Oh,Seog Park.Task-Role-Based Access ControModel[J].Information Systems,2003,28(6):533-536.
[8] 叶锡君,许勇,吴国新.基于角色的访问控制在Web中的实现技术[J].计算机工程,2002 (1):167-169.
ResearchontheSecurityPolicyMechanisminEnshiTourismNetworkBasedonRBAC
XIANG Jun,WENG Jian-guo,HU Jun-peng
(School of Information and Engineering,Hubei University of Nationalities,Enshi 445000,China)
This paper presents a security policy mechanism in distributued travel network based on RBAC (Role-Based Access Control).And many kinds of security thechnolog proposals will be used to ensure the security of the travel network.The distributed hierarchica access control based on a variety of roles is used to create role-based rights management model, and the encryption storage technology is used to encrypt the system data.The simulation results show that the security of the travel network of role-based permissions distributed management is excellent.
network security;RBAC;rights;travel network
2013-07-27.
湖北省自然科学基金项目(2009CDB069);湖北省教育厅中青年项目(4105029);湖北民族学院大学生创新训练计划(2013Z042).
向军(1978- ),男(土家族),博士,副教授,主要从事移动计算、实时数据库的研究.
TP312
A
1008-8423(2013)03-0313-03