儲(chǔ)晨曦，王純，李煒

（1 北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100876；2 東信北郵信息技術(shù)有限公司，北京 100191）

基于LAMP架構(gòu)的Web權(quán)限控制組件的設(shè)計(jì)與實(shí)現(xiàn)*

儲(chǔ)晨曦1，2，王純1，2，李煒1，2

（1 北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100876；2 東信北郵信息技術(shù)有限公司，北京 100191）

設(shè)計(jì)并實(shí)現(xiàn)了一種LAMP(Linux、Apache、MySQL、PHP)架構(gòu)下的權(quán)限控制組件，該組件采用基于角色的訪問控制模型（RBAC），實(shí)現(xiàn)Web應(yīng)用的權(quán)限認(rèn)證控制。權(quán)限控制組件主要包含權(quán)限管理模塊、角色管理模塊和權(quán)限認(rèn)證模塊3個(gè)主要部分，其中權(quán)限認(rèn)證模塊是整個(gè)組件的核心，其將權(quán)限細(xì)分為操作權(quán)限和資源權(quán)限的方式不僅很好的避免了權(quán)限表急劇膨脹的問題，而且使得授權(quán)流程更加簡(jiǎn)單和高效。

RBAC；權(quán)限認(rèn)證；權(quán)限管理；角色管理；LAMP

1 引言

21世紀(jì)隨著互聯(lián)網(wǎng)和信息技術(shù)的不斷發(fā)展，產(chǎn)生了一系列的Internet應(yīng)用，用戶可訪問的數(shù)據(jù)資源的結(jié)構(gòu)日益復(fù)雜，資源規(guī)模日益增大，各類Web系統(tǒng)都面臨著對(duì)數(shù)據(jù)資源進(jìn)行有效安全管理的難題，在充分共享資源的同時(shí)更要求受保護(hù)資源不受侵犯，這就要求系統(tǒng)必須能夠進(jìn)行權(quán)限的管理和控制[1]。訪問控制作為網(wǎng)絡(luò)安全防范的和保護(hù)的核心策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，傳統(tǒng)應(yīng)用系統(tǒng)通過用戶名加密碼的方式來實(shí)現(xiàn)訪問控制的策略，由于其沒有資源的概念，擴(kuò)展性和通用性弱，管理效率低下等缺點(diǎn)，在現(xiàn)今的大型系統(tǒng)中越來越難以勝任?；谫Y源的訪問控制在大型的Web系統(tǒng)的設(shè)計(jì)與開發(fā)中占有越來越重要的地位，作為系統(tǒng)底層的技術(shù)支撐，訪問控制需要滿足不同主體對(duì)不同資源客體的訪問權(quán)限控制，現(xiàn)如今大多數(shù)的Web應(yīng)用是基于LAMP(Linux、Apache、MySQL、PHP)架構(gòu)，在該架構(gòu)下的權(quán)限控制組件越來越成為現(xiàn)實(shí)的需要。

2 基礎(chǔ)模型

訪問控制就是保障信息資源的安全，它是一種通過某些途徑控制或者限制訪問能力及其訪問范圍的方法。訪問控制是為了限制訪問主體對(duì)訪問客體(需要保護(hù)的資源)的訪問權(quán)限，基本的訪問控制策略有自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)[2]。

強(qiáng)制訪問控制用于將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，以保證每個(gè)用戶只能訪問到那些被標(biāo)明可以由他訪問的信息的一種訪問約束機(jī)制。通俗的來說，在強(qiáng)制訪問控制下，用戶（或其他主體）與文件（或其他客體）都被標(biāo)記了固定的安全屬性（如安全級(jí)、訪問權(quán)限等），在每次訪問發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性以便確定一個(gè)用戶是否有權(quán)訪問該資源。由于強(qiáng)制訪問需要為每一條資源添加權(quán)限標(biāo)簽，數(shù)據(jù)冗余十分巨大，對(duì)于大量數(shù)據(jù)的管理也會(huì)比較復(fù)雜。

基于角色的權(quán)限訪問控制 (Role Based Access Control，RBAC) 策略[3]采用權(quán)限和角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到權(quán)限的方式極大的簡(jiǎn)化了權(quán)限的管理，如圖1所示。

圖1 RBAC模型圖

在RBAC模型中，Who、What、How構(gòu)成了訪問權(quán)限三元組，也就是“Who對(duì)What(Which)進(jìn)行How的操作”。

* Who：權(quán)限的擁用者或主體（如Principal、 User、Group、Role、Actor等等）。

* What：權(quán)限針對(duì)的對(duì)象或資源（Resource、Class）。

* How：具體的權(quán)限（Privilege，正向授權(quán)與負(fù)向授權(quán))[4]。

433 Auricular point sticking for adverse effects related to chemotherapy: an update

* Operator：操作。表明對(duì)What的How操作。也就是Privilege+Resource。

* Role：角色，一定數(shù)量的權(quán)限的集合。權(quán)限分配的單位與載體，目的是隔離User與Privilege的邏輯關(guān)系。

* Group：用戶組，權(quán)限分配的單位與載體。權(quán)限不考慮分配給特定的用戶而給組。組可以包括組(以實(shí)現(xiàn)權(quán)限的繼承)，也可以包含用戶，組內(nèi)用戶繼承組的權(quán)限。User與Group是多對(duì)多的關(guān)系。Group可以層次化，以滿足不同層級(jí)權(quán)限控制的要求[5]。

基于RBAC模型易用和高效的授權(quán)方式、簡(jiǎn)便和高效的授權(quán)模型維護(hù)等優(yōu)點(diǎn)本文選取RBAC模型作為主要的實(shí)現(xiàn)模型。

3 權(quán)限控制組件的設(shè)計(jì)

3.1 設(shè)計(jì)思路

現(xiàn)如今的Web應(yīng)用中資源的數(shù)量和類型都成爆炸式增長(zhǎng)，如何統(tǒng)一管理和控制這些不同類型資源的訪問成為Web應(yīng)用開發(fā)中的一個(gè)重要話題，另外現(xiàn)如今Web應(yīng)用對(duì)用戶群體進(jìn)行了細(xì)分，這就要求不同用戶主體對(duì)不同的資源享有不同的操作權(quán)限，因此Web應(yīng)用必須具備一個(gè)基于不同用戶角色的權(quán)限管理組件作為底層支撐，如圖2所示。

權(quán)限控制組件必須能夠針對(duì)不同的用戶主體進(jìn)行細(xì)分，并能夠針對(duì)不同的用戶主體群配置不同的操作權(quán)限集合，在資源層面能夠?qū)崿F(xiàn)針對(duì)不同用戶主體對(duì)不同資源的訪問控制，本文就是在此需求的基礎(chǔ)上實(shí)現(xiàn)一個(gè)擴(kuò)展性高、可移植性強(qiáng)、配置性高的訪問控制組件來實(shí)現(xiàn)對(duì)用戶訪問請(qǐng)求的權(quán)限管理和控制。

圖2 應(yīng)用權(quán)限控制組件結(jié)構(gòu)圖

3.2 功能模塊設(shè)計(jì)

如圖3所示，訪問控制組件主要包括3個(gè)主要的模塊：權(quán)限管理模塊、角色管理模塊和權(quán)限驗(yàn)證模塊。權(quán)限管理模塊主要是針對(duì)權(quán)限進(jìn)行相應(yīng)的添加、刪除、授予等操作，其中權(quán)限授予主要是賦予不同的角色授予不同的操作權(quán)限，除此之外權(quán)限授予還包括資源范圍的指定；角色管理模塊主要是針對(duì)角色進(jìn)行添加、刪除、授予等操作，其中角色授予是為不同的用戶賦予不同的角色，以此角色為關(guān)聯(lián)來賦予不同的用戶主體相應(yīng)的操作權(quán)限；權(quán)限驗(yàn)證模塊則是驗(yàn)證用戶主體對(duì)于資源客體的操作請(qǐng)求是否具備相應(yīng)的權(quán)限。

圖3 訪問控制組件功能模塊圖

3.3 權(quán)限控制流程設(shè)計(jì)

在基于角色的權(quán)限控制模型的基礎(chǔ)之上本文將權(quán)限控制中的權(quán)限分為兩個(gè)方面：基于內(nèi)容的權(quán)限和基于操作的權(quán)限。在針對(duì)資源內(nèi)容的操作上，例如對(duì)某一資源客體的刪除、增添、更新等，由兩方面共同決定，只有在用戶主體同時(shí)擁有該內(nèi)容權(quán)限和操作權(quán)限，方可對(duì)其進(jìn)行操作。而不針對(duì)資源客體的操作，例如統(tǒng)計(jì)管理、組管理等僅由操作權(quán)限決定即可。在標(biāo)準(zhǔn)的RABC上對(duì)基于內(nèi)容的權(quán)限和基于操作的權(quán)限做笛卡爾積[6]， 即為每一個(gè)欄目對(duì)應(yīng)的操作構(gòu)成一項(xiàng)權(quán)限，這樣的好處是權(quán)限的粒度足夠小，但是會(huì)使得權(quán)限的數(shù)量隨著資源客體的增加而急劇膨脹，當(dāng)資源客體過多的時(shí)候會(huì)使得權(quán)限繁雜并且權(quán)限的管理變得混亂，所以我們采取內(nèi)容和操作分開的處理方式，雖然在粒度上稍顯粗放，當(dāng)時(shí)很好的避免了權(quán)限表急劇膨脹的問題?；谝陨戏治鰴?quán)限認(rèn)證的基本流程如圖4所示。

圖4 權(quán)限控制流程圖

（1）為了簡(jiǎn)化權(quán)限認(rèn)證的流程引入了超級(jí)用戶角色的概念，當(dāng)發(fā)現(xiàn)請(qǐng)求用戶主體屬于超級(jí)用戶直接認(rèn)證通過。

（2）用戶主體的請(qǐng)求為對(duì)某一資源的操作時(shí)，在驗(yàn)證用戶所屬角色是否具有操作權(quán)限的基礎(chǔ)上，需要進(jìn)一步判定該資源是否在用戶所轄資源范圍內(nèi)才能認(rèn)證通過。

（3）對(duì)于認(rèn)證結(jié)果的處理上，由于Web應(yīng)用除了了一般的頁面請(qǐng)求，還存在Ajax請(qǐng)求，權(quán)限控制組件為了提供統(tǒng)一結(jié)果集采用了狀態(tài)碼的方式返回認(rèn)證結(jié)果。

4 權(quán)限控制組件的實(shí)現(xiàn)

該權(quán)限控制組件的數(shù)據(jù)表ER圖如圖5所示。根據(jù)ER圖，該組件的實(shí)現(xiàn)分為如下兩部分。

圖5 數(shù)據(jù)表ER圖

4.1 操作權(quán)限認(rèn)證的實(shí)現(xiàn)

針對(duì)用戶的請(qǐng)求，提取其具體操作(如增、刪、改、查等)，從用戶表(user)獲取用戶的角色，并從角色-操作權(quán)限表(user2column)中查詢角色的相關(guān)權(quán)限，如果角色的權(quán)限集包含該操作則認(rèn)證通過。

4.2 資源權(quán)限認(rèn)證的實(shí)現(xiàn)

當(dāng)操作權(quán)限認(rèn)證通過以后，查詢用戶所轄資源范圍，具體流程如下：

（1）獲取請(qǐng)求資源所屬的資源目錄(column)。

（2）查詢用戶-資源目錄映射表(user2column)，如找到映射關(guān)系則驗(yàn)證通過，否則進(jìn)入第3步。

（3）獲取該資源目錄的父目錄，并回到第2步。如父級(jí)目錄為空，則認(rèn)證失敗。

5 結(jié)束語

本文設(shè)計(jì)并實(shí)現(xiàn)了一種LAMP架構(gòu)下的權(quán)限控制組件，力圖為權(quán)限認(rèn)證提供統(tǒng)一化的解決方案。使用該組件只需要通過簡(jiǎn)單的配置便可實(shí)現(xiàn)大多數(shù)Web應(yīng)用對(duì)于權(quán)限認(rèn)證控制方面的需要，使得開發(fā)者可以投入更多的精力專注于業(yè)務(wù)邏輯的處理，加快了開發(fā)效率。

[1] Ni P， Liao J X， Wang C， Ren K Y. Web information recommendation based on user behaviors[A]. CSIE2009[C]. Los Angeles， USA， March 31-April 2， 2009， 426-430.

[2] Sandhu R， Coyne E J， Feinstein H L， et al. Role-based access control models[J]. IEEE Computer， 1996， 29(2).

[3] BARKLEY J F， CINCOTTA A V， FERRAIOLO D F， et al. Role based access control for the World Wide Web[A]. NIST/NCSC， Proc 20th NIST-NCSC National Information Systems Security Conference[C]. USA：NIST/ NCSC， 1997.

[4] 吳波，王晶. 基于基本RBAC模型的權(quán)限管理框架的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用系統(tǒng)，2011， 20(4)：50-54.

[5] 宋善德，劉偉. 基于任務(wù)-角色的訪問控制模型[J]. 計(jì)算機(jī)工程與科學(xué)，2005，27 (6)：4-9.

[6] 葉錫君，許勇，吳國(guó)新. 基于角色訪問控制在Web中的實(shí)現(xiàn)技術(shù)[J]. 計(jì)算機(jī)工程，2002，28（1）：167-169.

Design and implementation of Web privilege control component based on LAMP

CHU Chen-xi1,2, WANG Chun1,2, LI Wei1,2
(1 State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2 EBUPT Information Technology Co. Ltd., Beijing 100191, China)

This paper designs and realizes an privilege control component based on LAMP (Linux、Apache、MySQL、PHP), which uses Role-Based Access Control (RBAC)model, to realize the privilege authentication control of Web applications. The component includes privilege management module, role management module and privilege authentication module, and the core of the entire component is the privilege authentication module, which devide the privilege into operation privilege and resource privilege. It is not only a good way to avoid the rapid expansion of the permissions table, but also makes the authentication process more simple and eff i cient.

RBAC; privilege authentication; privilege management; role management; LAMP

TN929.5

A

1008-5599（2012）09-0082-04

2012-08-28

國(guó)家自然科學(xué)基金（No. 61072057，61101119，61121001，60902051）；長(zhǎng)江學(xué)者和創(chuàng)新團(tuán)隊(duì)發(fā)展計(jì)劃資助（No. IRT1049）；國(guó)家科技重大專項(xiàng)（No. 2011ZX03002-001-01，移動(dòng)互聯(lián)網(wǎng)總體架構(gòu)研究）。