javashow — Tue, 26 Aug 2008 08:03:00 GMT

安全��理�pȝ��核心思想是在��Z��角色控制思想的基��上提取改�q�而来的，本文讲述的功能模型能较好�K�鹤�(zh��n)�_��品开发�h员提出的�pȝ��讉K��控制需求�?/blockquote>
引言�Q�Introduction�Q?/span>

1.1. 关键词定义（Definitions�Q?/span>

有关定义说明如下�Q?/p>
安全��理�Q?/strong>计算机技术安全管理的范围很广�Q�可以包括网�l�安全性、数据安全性、操作系�l�安全性以及应用程序安全性等。很多方面的安全性管理大都已�l�有成熟的��品了�Q�我们只需�Ҏ(gu��)��自己需要有选择性的使用��可辑ֈ�自己的目的了。本文中有关��x��?安全��理"一词均只针�Ҏ(gu��)��公司推出的应用中有关对象与数据而言范围有限�?

��M��Q?/strong>卛_��以象应用�pȝ��发出应用��h��M��实体�Q�包括各�U�用戗��其它与本系�l�有接口的应用程序、非法入侵者。系�l�必��d��有识别主体的能力�Q�接口实际上也是��q��L��记的�Q�故主要问题是校验用戯��n份的合法性，�pȝ��应徏立用户鉴别机构以验证用户�w�䆾�?

用户�Q?/strong>用户��是一个可以独立访问计��机�pȝ��中的数据或者用数据表示的其它资源的��M��Q�我们用USERS表示一个用户集合。用户在一般情况下是指人�?

权限�Q?/strong>权限是对计算机系�l�中的数据或者用数据表示的其它资源进行访问的许可。我们用PERMISSION表示一个权限集合。可分�ؓ对象讉K��控制和数据访问控制两�U��?

对象讉K��控制�Q?/strong>用一个二元组来表�C�：�Q�控制对象，讉K��c�d��Q�。其中的控制对象表示�pȝ��中一切需要进行访问控制的资源。我们将引入一套完整的资源表示�Ҏ(gu��)��来对�pȝ��中出现的各类资源�q�行定义和引用（详见后述�Q�。访问类型是指对于相应的受控对象的访问控�Ӟ��如：��d��、修攏V��删除等�{��?

数据讉K��控制�Q?/strong>如果不对数据讉K��加以控制�Q�系�l�的安全性是得不��C��证的�Q�容易发生数据泄密事件。所以在权限中必��d��对象可访问的数据�q�行按不同的�{��l�予加密保护。我们同��L��一个二元组来表�C�：�Q�控制对象，谓词�Q��?

权限最�l�可以组合成如下形式�Q?/strong>�Q�控制对象，讉K��c�d��Q�谓词）�?

角色�Q?/strong>角色是指一个组�l�或��d��中的工作或位�|�，它代表了一�U�资根{��权利和责�Q。我们用ROLES表示一个角色集合�?

用户委派�Q?/strong>用户委派是USERS与ROLES之间的一个二元关�p�，我们用（u,r�Q�来表示用户u被委�z�了一个角色r�?

权限配置�Q?/strong>权限配置是ROLES与PERMISSION之间的一个二元关�p�，我们用（r,p�Q�来表示角色r拥有一个权限p�?

回页�?/strong>

需求分�?/span>

�Ҏ(gu��)��我们在本行业多年�U�篏下来的经验，参考了其它同行的成功经验整合了先进的思想�Q�我们有能力为我们自��q��应用�pȝ��开发一套功能完善而且又灵�z�L��便的安全��理�pȝ��。��开发�h员从权限��理重复力_��的负担中解放出来,专心致力于应用程序的功能上的开发�?通过攉��公司从事MIS��目开发经验丰富的软�g工程师对在各�U�情况下的对应系�l�的安性提出的需求做��Z��如下的�ȝ��?/p>
本系�l�在安全��理斚w��要考虑如下几个斚w��问题�?/p>
2.1. 角色与用�?/span>

需求：
角色��q��?�q�个用户与下一行的"用户"应该不是同一个定�?"客户"好像合适一�?不错�Q�此处的用户��是有些偏于指向我们合同意义的客�?但是我认��Z��下面定义�?用户"不存在什么本质上的区�?因�ؓ客户最�l�也是以在系�l�中登记的用戯��n份来使用本系�l�，用户所能完成的功能也就是客��L��需求。两者之间的�l�微区别读者可自己通过上下文加区分)自行定义�Q�根据业务岗位不同可以定义多个角艌Ӏ?

��d��pȝ��Q�首先需要向�pȝ��甌��注册�Q�同一个用户只能在�pȝ��中登��C��ơ�?/p>
用户是登录系�l�的楔子�Q�角色是用户权限的基��。用户可以扮演多个角艌Ӏ?/p>
��某一角色授予某一用户�Ӟ��权限不能��越该角色权限，但可以小于该角色权限�?/p>
用户口��o与数据库讉K��口��o加密

分析说明

每个用户在系�l�中�׃��个唯的USERID标识�?
用户通过�pȝ��d��界面��d��pȝ��,�pȝ��通过加密��法验证用户�w�䆾和判断用��h��否已�l�登录系�l�。如果登录成功通知Application preference service和安全管理系�l�保存用��L��录信息�?
角色��q��h��据自��q��设想的组�l�机构进行添加设�|�，提供一个专门的模块用来讄��l�织机构�Q�用户通过�l�织机构(定义?部门机构�q�是后面提到�?机构是实现和执行各种�{�略的功能的集合")方便地进行角色管理。例如：用户可以通过部门机构来进行角色的��理�Q�部门采用编号分层的方式,�~�号的每两位��Z��个层�ơ。例如一�U�部门编号�ؓ两位�Q�二�U�部门编号�ؓ四位依此�c�L��下去直到��全厂部门机构徏立树状结构图。这�c�L��据仅为方便用��L��理角色而存在，在系�l�的其他斚w��不存在�Q何意义�?
每个角色在系�l�中也是�׃��个唯一角色�~�号来标识，同时必须保存用户所讄��的机构信息，一般来说每个角色只需要保存自己所在机构的代码卛_��?

2.2. 菜单控制

需�?/strong>
此菜单乃�pȝ��业务功能菜单。由业务功能模块列表和用戯��单定制共同组成。每个用户可以拥有自��q��菜单�Q�也可以直接采用角色�~�省菜单�Q�当用户同时充当多个角色�q�且权限重复�Ӟ��重复的权限仅一�ơ有效）

分析说明

��Z��方便用户�q�行权限�l�织��理�Q�需要在�pȝ��中徏立一张业务功能模块列表，在用��L��面上表示为树状分层结构�?
业务功能模块以用户定制菜单来体现�Q�仍焉��用编号分层方式，�~�号的每两位��Z��个层�ơ。�ƈ标明一个层�ơ是子菜单还是业务模块，子菜单只有一�U�可否被讉K��的权限设�|�，业务模块权限��q��l�管理员或授权用戯��行设�|�。对每个业务模块讄��它的对象控制、记录增删改控制和记录集控制。当用户拥有对业务模块的某一权限�Ӟ��必需对处于它上��的子菜单有可被访问的权限。删除某一个��子菜单时��提�C�用户他的下�U�菜单与功能模块都将被删除掉�?
当用户同时充当多个角色�ƈ且权限重复时�Q�重复的权限仅一�ơ有效，用户拥有他充当的所有角色的权限的�ƈ集�?
用户与角色拥有的�pȝ��权限查询时以业务功能模块列表的树状结构显�C�出来�?

2.3. 对象控制

需�?/strong>
对象是指应用�pȝ��H�口中的可视对象�Q�如菜单��V��按钮、下拉列表框、数据编辑控件及数据�~�辑控�g的字�D늭�。对象控刉��过角色与用��h��权来实现�?

对象控制包括对对象属性的控制可对数据�~�辑控�g中的数据记录的维护权限：

对象属性：使能/��止、可�?屏蔽
记录�l�护�Q�增加、删除、修改的�l�合

分析说明

��每个业务模块可�q�行属性设�|�的对象��q��序员事先讑֮�或由售后技术支持工�E�师指导用户加入�?
在系�l�管理员或授权用戯��行设�|�业务模块的每种权限�Ӟ��讄��用户在拥有该业务模块�q�种权限时的对象属性。没有设�|�属性的对象在保存对象信息的时候，用户权限信息中不被保存�?

2.4. 记录集控�?/span>

需�?/strong>
记录集的控制是通过条�g讄��来实玎ͼ�因此�Q�需要控制记录集的数据库表需要设�|�专门的记录集筛选字�D�，而筛选条件由用户�Ҏ(gu��)��岗位自进定义�Q�徏立过滤表�Q�统一��理�?

分析说明

在对用户讄��业务模块权限�Ӟ��同时在过滤表中设�|�本模块的数据编辑控件的数据�{�选条�Ӟ��{�选条件是�l�成SQL语句的WHERE条�g子句�q��当前讉K��的模块根据筛选条件对数据�~�辑控�g的SQL语句�q�行重组�Q��ƈ��索数据�?
当存在需要从数据库中多个表取数据的情冉|��Q�过滤表中存在多条记录，每一条记录记录一个数据编辑控件取数的�{�选条件�?
SQL语句的WHERE子句的生成与校验可以通过的SQL语法分析服务�Q�利用对象所提供的函数分析SQL语句�Q�截取WHERE条�g子句�Q�校验新�l�合的SQL语句的合法性�?

2.5. 权限分布��理

需�?/strong>
上述提到的权限管理内容应该满��x��可集中管理，也可分散��理的目标�?

分析说明

权限��理��q��l�管理员集中��理�Q�系�l�管理员工作负担�q�大�Q�难�Ҏ(gu��)��有岗位的分工有全面和具体的了解，�Ҏ(gu��)��限作出标准细致的划分�Q�对于大型的��理�pȝ��适合于把一部分讄��权限的交�׃��些比较高�U�的用户来进行，有利于各岗位�l�致协调的工作。这��是权限的分散管理�?
要实现权限的分散��理�Q�就��d��授权模块�q�行一些授权管理，�q�要求整个系�l�的授权安全��理工作要做到细��_��不要出现权限的漏�z��一些高�U�用��h��有过大的权限�?

回页�?/strong>

�Ҏ(gu��)��设计

3.1. 安全保护�{�略

从上面各斚w��的需求分析来看，我们需要一套既行之有效�Q�又方便灉|��的安全管理方案。要采用各种控制机构和密码保护技术。安全保护策略是设计安全可靠�pȝ��的准则，通常涉及下列几个斚w��Q?/p>

区分安全�{�略与安全机构�?

�{�略是信息安全性的高��指导�Q�策略出自对用户要求�Q�设备环境、机构规则、法律约束等斚w��的详�l�研�I�。策略重要性在于指��g��用。而机构是实现和执行各�U�策略的功能的集合。完善的机构是实施正��安全策略的物质基础。故一般要求机构能实现不同的策略，以便�{�略变动时无需要更换安全机构�?/p>

安全�{�略�Q?/strong>企业信息��理�pȝ��是一个大型的分布式数据资源管理系�l�，它包括信息量巨大以及不同�E�度的信息敏感度�Q�各�U�有讉K��需求的用户�Q��得其安全��理非常复杂。基于角色的�pȝ��安全控制模型是目前国际上��行的先�q�的安全��理控制�Ҏ(gu��)��。我们的安全��理�pȝ��也根据自�w�的需要有选择性的吸收光��分思想。其特点是通过分配和取消角色来完成用户权限的授予和取消�Q��ƈ且提供了角色分配规则和操作检查规则。安全管理�h员根据需要定义各�U�角�Ԍ��q�设�|�合适的讉K��权限�Q�而用��h��据其责�Q和资历再被指�z��ؓ不同的角艌Ӏ�这��P��整个讉K��控制�q�程��分成两个部分，卌��问权限与角色相关联，角色再与用户兌��Q�从而实��C��用户与访问权限的逻辑分离�Q�如下图所�C�，角色可以看成是一个表达访问控控制�{�略的语义结构，它可以表�C�承担特定工作的资格�?

�׃��实现了用户与讉K��权限的逻辑分离�Q�基于角色的�{�略极大的方便了权限��理。例如，如果一个用��L��职位发生变化�Q�只要将用户当前的角色去掉，加入代表新职务或��C�Q务的角色卛_��。研�I�表明，角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，�q�且委派用户到角色不需要很多技术，可以��p��政管理�h员来执行�Q�而配�|�权限到角色的工作比较复杂，需要一定的技术，可以�׃��门的技术�h员来承担�Q�但是不�l�他们委�z��L��权限�Q�这与现实中情况正好一致。除了方便权限管理之外，��Z��角色的访问控制方法还可以很好的地描述角色层次关系�Q�实现最��权限原则和职责分离的原则�?

安全保护机构�Q?/strong>本系�l�的安全保护机构基本上是于上面的安全�{�略�怺�适应的，�pȝ��保护的��M��l�构�C�意如下�Q?

保护机构应负责阻止一切物理破坏和用户可能的操作破坏，后者归�l��ؓ��M��可用何种方式讉K��哪些对象。主体、访问类型、对象是我们要讨论的保护机构主要成分

安全��理的职责：安全��理有集中管理与分散��理两种。前者意指一切权利都��p��责系�l�安全工作的专职人员或小�l�组掌握�Q�他(�?军_��用户的访问权利，控制�pȝ��安全一切方面。后者是指不同的��理员控制着�pȝ��安全的不同方面，��理�pȝ��的不同部分，军_��不同用户的访问权利，甚至允许对象所有者�{让访问对象的权利�Q�集中管理，安全可靠但不灉|��Q�分散管理则应考虑避免漏洞和协调一致的问题。本�pȝ��因是针对大的集团企业��理的��品权限分配比较复杂，故采用了集中��理与分散管理相�l�合的�Ş式�?
讉K��控制�{�略�?/strong>它提供决定用戯��问权利的依据。其中最重要的一个普遍的原则�?需者方知策�?(the need-to-know)。也��是��_��只有一个工作需要的�Q�才是他应该知道的。它从原则上限制了用户不必要的访问权利，从而堵截了许多破坏与泄露数据信息的途经。按照这一原则授予用户的权利，是用戯��完成工作的最��权利集合，故也�U�C��?最��特权策�?�?
信息��动控制�?/strong>只限制用��L��讉K��权利而不考虑数据��动是极其危险的。例如，在考勤时各部门的主��只能�ؓ自己部门的职员考勤�Q��h事部可以提取全部数据�Q�因此在提取数据时一定要加以限制。控制数据流动以防止无权用户在数据流动后获得讉K��权利�?
密码变换�?/strong>对于非常机密数据可变换�ؓ密码存贮�Q��得不知道密码的入侵者无法破译所得到的数据密码。密码变换能防止泄密�Q�但不能保护数据信息不被破坏�?
软硬�l�合保护�?/strong>�q�是安全保护的基本策略，许多��保护功能是软�g难以实现的，有些即��能实玎ͼ�效率也不高�?
对安全遭到破坏的响应�?/strong>各种保护机构都有可能遭到破坏�Q�因此系�l�必��d��订检��破坏手�D�与处置措施�?

3.2. 安全��理机构分析

3.2.1. 功能框架�C�意�?/strong>

内部��M��功能框架�?/strong>

外调用的功能框架�C�意�?/strong>

3.2.2. 主要功能�l��g的职�?/strong>
3.2.2.1. 对象定义工具与权限定义工�?/strong>

对象定义工具�?/strong>
对象是指�pȝ��中各�U�功能模块、数据、界面元素（包括菜单、按钮等各种界面上能控制的控�Ӟ��{�，它们是主体能讉K��的各�U�对象。由于对象的机密�E�度不等�Q�受到的保护�E�度亦有差别。系�l�中的对象均��q��序员通过�pȝ��提供的对象定义工具事先定义好�pȝ��要控制的对象。系�l�也只能控制�q�些事先已定义好的对象，因此�Q�对象定义是整个�pȝ��的核心步骤直接媄响后面的各个安全控制环节。徏议由开发程序员�q�行初始化配�|�。对象定义的包括如下几步�Q?

功能模块定义�Q�系�l�中除部分公用的界面、公用功能模块外�Q�其它均��Z��务功能模块是用户完成各自不同的业务功能的主要��途径�Q�也是我们安全管理要保护的重点对象，所以我们必��d��业务功能模块定义。有定义的功能模块对象我们就有可能组�l�权限根据用户需要完成的工作配置用户业务功能菜单�Q�这也符�?最��特权策�?�?
界面元素控制�Q�除了功能菜单要受到控制外，如要控制功能模块的界面元素其功能模块界面元素也需定义�Q�大部分界面元素均包含有相关的业务功能操作，所以对相应操作的界面元素是�q�行定义是有必要的�?
数据信息控制�Q�业务功能模块的大部分界面元素是昄��和操作数据内容的基础�Q�也是用户对��d��数据和操作数据的主要途径�Q��ؓ了数据信息的安全有必要对�q�界面元素的操作数据予以采取安全保密措施。这��需要对�q�些界面元素定义相关的数据约束条件�?

对象定义(��程) ��程囑֦��?/strong>

权限定义工具�?/strong>
在定义好�pȝ��对象的前提下�Q�定义对象的在不同情�늚�的访问类型，希望对象在不同情况下��h��不同的访问类型，�q�就需要定义对象的权限。定义权限就是是定义对象讉K��控制和数据访问控制。�ؓ了表�q�方便我们对权限用一个三元组�W�号来表�C�P�Q�o,t,p�Q?其中o 表示讉K��对象�Q�t 表示讉K��c�d��Q�p 表示谓词。表�C�在谓词p为真时对于对象o可进行t�c�d��的访问。权限定义系�l�安全管理基��步骤之一�Q�只有给各种对象定义好访问的权限�Q�才能给角色配置权限�Q�基于角色管理才能成为可能。系�l�提供定义权限工��P��L��序员�Ҏ(gu��)��实际需求定义对象的权限�?
定义权限的流�E�图如下�Q?/strong>

3.2.2.2. 角色定义与权限配�|?/strong>

角色定义�?/strong>
��Z��角色的访问控制方法的思想��是把对用户的授权分成两部䆾�Q�用角色来充当用戯��驶权限的中介。这��P��用户与角色之间以及角色与权限之间��Ş成了两个多对多的关系。系�l�提供角色定义工具允许用��h��据自��q��需要（职权、职位以及分担的权利和责任）定义相应的角艌Ӏ�角色之间有相应�l�承的关�p�，当一个角色r1�l�承另一个角色r2�Ӟ��r1��p��动拥有了r2的访问权�?表示r1->r2)。角色��承关�p�自然的反映了一个组�l�内部权利和责�Q的关�p�，为方便权限管理提供了帮助。角色��承关�p�L��供了对已有角色的扩充和分�cȝ��手段�Q��定义新的角色可以在已有角色的基础上进行，扩充��是通过增加父角色的权限��d��义子角色�Q�分�c�通过不同子角色��承同一父角色来体现。另外还允许多��承，即一个角色��承多个父角色�Q�多�l�承体现对角色的�l�合能力�?
角色定义�C�流�E�图如下�Q?/strong>

权限配置�?/strong>
角色是一�l�访问权限的集合�Q�一个用户可以是很多角色的成员，一个角色也可以有很多个权限�Q�而一个权限也可以重复配置于多个角艌Ӏ�权限配�|�工作是�l�织角色的权限的工作步骤之一�Q�只有角色具有相应的权限后用户委�z�才能具有实际意义�?
权限配置��程囑֦�下：

3.2.2.3. 用户、用��L��定义

用户定义�?/strong>
�pȝ��的最�l��用者是用户�Q�因此必��d��立用��L��鉴别机构�Q�登记用��L��w�䆾信息。在�pȝ��中定义可��d��的用��h��作系�l�是�pȝ��安全��理所必须步骤�Q�也是�h与系�l�的接口�?
用户�l�定义�?/strong>
��Z��本系�l�适用于分散式权限��理�Q�加入了用户�l�的概念�Q�是指一��用��L��集合。方便权限管理用��L��也可以委�z�角�Ԍ��当用戯��加入用户�l�时自动对用��L��所在用��L��拥有的角色进行了委派。�ؓ了便于分散式权限��理�pȝ��同时�q�支持对部分�l�的权限�q�行下发方式处理�Q�授权特定的用户对用��L��的用��h��限进行管理�?

3.2.2.4. 权限审查
在授权完成后可检查登录用��h��的拥有的能力表信息，审查�l�用��L��权限是合适，如不合适可重新�q�行用户委派和收回部分权限的处理。目前系�l�只能以对用��L��理的模式对一个用��L��内的用户可进行部分权限收回处理�?

3.2.2.5. 用户鉴别机构
安全保护的首要问题是鉴别用户�w�䆾。目前有三种�Ҏ(gu��)��可用�Q�第一、利用用��L��物理特征�Q�声波、指�U�V��相貌、签名）。这在理论是最可靠的，但由于物理特征可能随旉��变化且记录尚�Ơ成熟等原因�Q��该方法未能广泛应用。第二、利用用��L��有的证�g�Q�如�w�䆾证、机器可��d��先考片�Q�其�~�点是证件可能被别�h复制或冒用。第三、利用用��L��道的某�g能证明其�w�䆾的约定（如口令）。这是当前较为常用的�Ҏ(gu��)��。本�pȝ��采用�W�三�U�方法�?

用户名称标识其它情况

CHENDA GOOD … …

… … … … … …

如上表所�C�是用户鉴别机构保存的一张登记有每个用户名称、标识和有关情况的表�Q�表中的用户名通常是公开的，标识则是保密的，当用戯��讉K��pȝ��Ӟ��首先把自已的名�U�和标识登记到系�l�中�Q�即出示证�g�Q�。这时用户鉴别系�l�机构检查用��L��标识是否与用表中的标识一��_��是则认�ؓ用户�w�䆾己得到证实，否则认�ؓ是假冒，�pȝ��拒�l�用戯��求执行的操作。口令是最常用的一�U�标识，通常��p��q�字母、数字组合而成。系�l�只允许用户�q�箋两次或三�ơ登记口令，如果都不对则要等待一�D�较长的旉��才成重新登记�Q�这�U��g长时间的�Ҏ(gu��)��能够有效的防止冒名者猜��口令的可能�?

3.2.2.6. 讉K��控制机构
杜绝对系�l�非法访问主要方法是讉K��控制。用��L��l�的讉K��规则可以用访问规则表�C�，�Ҏ(gu��)��安全�{�略用访问规则给0用户授权。访问控制就是要处理怎样表达和核对访问规则的问题。从形式上来��_��一条访问规则可以写成四元组的�Ş�?u,o,t,p)可前已有权限表示形式重新表示为（u,P�Q�。系�l�的讉K��控制分�ؓ模块�U�控制和界面元素�U�控制�?

存贮和检查访问规则是讉K��控制机构��解决的部问题。本�pȝ��虑�q�行速度�Ҏ(gu��)��pȝ��中角艌Ӏ�权限配�|�、用户委�z��关系动态地的组成一张用戯��力表保存在系�l�中�Ҏ(gu��)��上述配置信息改变��q��l�动态生成和保存。能力表�Q�也�U�C-表）是存贮和核对讉K��规则的一�U�有效�Ş式。能力表是面向主体的�Q�用以说明主体能寚w��个访问对象执行何�U�操作。能力表的基本�Ş式如下：

Si J (oi1,ti1,pi1) ……….. (oij,tij,pij)

其中Si表示�W�I个主体；j为Si可访问的数据对象的个敎ͼ�(oi1,ti1,pi1)��问权限。全部主体的能力表的集合即�ؓ�pȝ��的全部访问规则。当某个讉K��h��需�q�行生效��查时�Q�则按访问请求的��M��扑ֈ�能力表逐项核对以决定其是否有效�?

安全��理控制核心

安全��理控制核心是系�l�安全管理的核心控制部分�Q�它在系�l�中控制整个�pȝ��的安全控制工作，由它军_��pȝ��是否启动安全��理�Q�在什么情况下调用讉K��控制机构�Q�根据情�늼�写访问规则，如何��已有的讉K��规则应用于控�Ӟ��存贮讉K��规则�?/p>

回页�?/strong>

�pȝ��评�h(hu��n)

4.1. �pȝ��特点�Q�自评）

安全��理�pȝ��核心思想是在��Z��角色控制思想的基��上提取改�q�而来的，上述功能模型能较�?#339;鹤�?zh��n)�_房_⑷嗽��岢龅南低撤梦士刂菩枨蟆�Q�治鋈��u拢_/p>

实现了系�l�开发过�E�中的职责分��，�pȝ��的安全管理部分被作�ؓ整个�pȝ��的核心控刉��分，单独的被分离出来制定一些整个系�l�通用的安全准则。程序员在开发时不要�q�多的考虑�E�序安全性的问题只需要遵�pȝ��的安全准则即可，而是把主要精力花费在�pȝ��的业务功能上�?
有效的利用系�l�已有的资源减少�pȝ��的冗余，使系�l�的条理更加清楚。对已有功能模块只需讄��不同的特征参数和对各�U�界面元素实施不同的讉K��c�d��控制�Q�就能��生不同控制效果不需�E�序员再�q�行�~�写�E�序的工作�?
��Z��角色对用��L��q�行讉K��控制�Q�对一�l�用��h��对单个用戯��行访问控制更加合理，用户�l�代表了��h��相近工作性质的一�l�用��L��集合�Q�可以委�z�֮�成用��L��工作的角色以控制用户�l�的权限范围�Q�当然我们也可以把角色看成是我们�pȝ��中一个特定用��L��Q�。同时支持角色的�l�承和多�l�承。通过改变用户的当前角色集��可以改变用��L��权限�Q�而改变某�U�角色所含的权限时又可以改变一�l�用��L��权限�Q�基于这�U�访问控制方式有3个方面的作用�Q�（1�Q�简化了权限��理�Q�避免直接在用户和数据之间进行授权和取消。研�I�表明，用户所��h��的权限易于发生改变，而某�U�角色所对应的权限更加稳定；�Q?�Q�有利于合理划分职责�Q�用户只有其所应具有权限，�q�样可以避免��权行�ؓ�Q�有关用��L��的关�p�L��q�正是对此的支持�Q�（c�Q�防止权力滥用，敏感的工作分配给若干个不同的用户完成�Q�需要合作的操作序列不能由单个用户完成�?
支持动态地改变用户的权限：安全��理考虑了访问权限不是静态，而是动态的情况。所有对象的权限均用三元�l�来表示P�Q�o,t,p�Q�主体在�pȝ��中的讉K��规则用四元组来表�C�（s,o,t,p�Q�。当产品�pȝ��使用工作��时�Q�可通过产品�q�_��与安全管理控制核心的接口�Q�重��Cؓ�~�写讉K��规则�Q�动态修改主体能力表。动态分配用户完成当前工作流环节所需的权限�?
权限的相互关联：各种权限不是互相独立而是�怺�兌��的，而且权限可以有感知其它用用户操作�Q�这可以描述有关协同权限。功能例如在�l�数据编辑控件授权只��L��限时�Q�收回用户对数据插入和删除权限，该权限允许感知其它用��L��操作�Q�诸如某用户改变了数据等�{��?
提供方便的授�?取消机制和检查机�Ӟ��只要�q�行��单的赋值操作即可完成授权，同时��p��色分配规则和��M��讉K��规则控制则指导模型式的应用�?
用户之间的授权关�p�：依据角色指派关系�Q�运行系�l�中的用戯��w�可以对角色�q�行��理�Q�这提供了又一�U�动态改变用��h��限的手段。通常�Q�角色指�z��权力都在�pȝ��中具有管理责�ȝ��用户手中�?

关于作�?/span>

郝斌�Q�北京辰冲公叔R��长办事处软�g工程师。目前�QIMIS��目�l�理�Q�主要从事企业信息管理系�l�和电子商务�pȝ��的开发工作，主要研究兴趣是java�~�程、java企业应用解决�l�合,EJB/JMS/JAVAMAIL�{�。�?zh��n)�可以通过电子邮�g hb_email@371.net跟他联系�?/p>

javashow 2008-08-26 16:03 发表评论

用户名称	标识	其它情况
CHENDA	GOOD	… …
… …	… …	… …


		郝斌�Q�北京辰冲公叔R��长办事处软�g工程师。目前�QIMIS��目�l�理�Q�主要从事企业信息管理系�l�和电子商务�pȝ��的开发工作，主要研究兴趣是java�~�程、java企业应用解决�l�合,EJB/JMS/JAVAMAIL�{�。�?zh��n)�可以通过电子邮�g hb_email@371.net跟他联系�?/p>

内衣办公室在线,国产欧美久久一区二区三区,日韩欧美国产一区二区三区