向 軍，翁建國(guó)，胡俊鵬

(湖北民族學(xué)院 信息工程學(xué)院,湖北 恩施 445000)

基于RBAC的恩施旅游網(wǎng)安全策略機(jī)制研究

向 軍，翁建國(guó)，胡俊鵬

(湖北民族學(xué)院 信息工程學(xué)院,湖北 恩施 445000)

提出一種基于RBAC(Role-Based Access Control)分布式管理旅游網(wǎng)安全設(shè)計(jì)方案.采用多種安全技術(shù)保障旅游的安全，利用基于多種角色的分布式分層訪問控制，建立基于角色的權(quán)限管理模型，采用加密存儲(chǔ)技術(shù)加密系統(tǒng)數(shù)據(jù).測(cè)試實(shí)驗(yàn)表明：基于角色的權(quán)限分布式管理旅游網(wǎng)安全性較好.

網(wǎng)絡(luò)安全;角色訪問控制;權(quán)限;旅游網(wǎng)

隨著旅游業(yè)的高速發(fā)展，旅游網(wǎng)已成為最熱門的話題.本文分析了基于角色訪問控制(Role-Based Access Control,RBAC)[1-3]的工作原理，多種角色的分布式權(quán)限管理，訪問控制，數(shù)據(jù)采用領(lǐng)先的加密存儲(chǔ)[4-5]技術(shù)，在此基礎(chǔ)上提出了基于RBAC的旅游網(wǎng)系統(tǒng)設(shè)計(jì)方案，LAMP(linux+apache+php+mysql)框架，整體架構(gòu)采用了MVC設(shè)計(jì)模式開發(fā)了旅游網(wǎng)系統(tǒng)，通過系統(tǒng)平臺(tái)讓用戶快速且更加詳細(xì)準(zhǔn)確的了解旅游信息，多種角色身份搭建整個(gè)系統(tǒng)，該系統(tǒng)處于編碼測(cè)試階段，在測(cè)試中取得了良好的應(yīng)用價(jià)值，得到了用戶的肯定.

1 基于角色的訪問控制(RBAC)工作原理

1.1 用戶、角色、權(quán)限的定義

1)用戶定義：使用信息系統(tǒng)或者受到信息系統(tǒng)影響的“客戶”-如收集、驗(yàn)證、錄入、響應(yīng)、存儲(chǔ)、交換數(shù)據(jù)和信息，直接或間接使用系統(tǒng)資源者.

2)角色定義：角色由用戶自選擇定義，根據(jù)業(yè)務(wù)崗位不同可以定義多個(gè)角色，角色之間有相應(yīng)繼承的關(guān)系，當(dāng)一個(gè)角色role1繼承另一個(gè)角色role2時(shí)，role1就自動(dòng)擁有role2的訪問權(quán)限(表示role1→role2).本系統(tǒng)中角色分為系統(tǒng)管理員角色，旅行社管理角色R1，酒店管理角色R2，導(dǎo)游管理角色R3，景區(qū)管理角色R4，普通會(huì)員角色R5，娛樂場(chǎng)所管理角色R6.

3)權(quán)限定義：權(quán)限就是定義對(duì)象訪問控制和數(shù)據(jù)訪問控制，本系統(tǒng)中使用了操作權(quán)限和菜單權(quán)限[6]兩類，其中操作權(quán)限是對(duì)每個(gè)動(dòng)作(Action)的訪問控制，菜單權(quán)限是對(duì)系統(tǒng)菜單(Menu)欄目的可視化界面訪問控制，為了表述方便對(duì)權(quán)限用一個(gè)三元組符號(hào)來表示P(o，t，c)，其中o 表示訪問對(duì)象，t表示訪問類型，c 表示條件.表示在條件c 為真時(shí)對(duì)于訪問對(duì)象o 可進(jìn)行t類型的訪問，只有給各種對(duì)象定義好訪問的權(quán)限，才能給角色配置權(quán)限， 基于角色管理才能成為可能.

圖1 用戶、角色、權(quán)限之間的關(guān)系Fig.1 Relationship among user,role,right

圖2 系統(tǒng)需求分析Fig.2 System requirement analysis

1.2 用戶、角色、權(quán)限之間的關(guān)系

基于角色訪問控制模型主要涉及到三個(gè)概念和兩層關(guān)系：三個(gè)概念為用戶、角色和權(quán)限，兩層關(guān)系為用戶與角色之間的關(guān)系和權(quán)限與角色之間的關(guān)系，在角色是用戶權(quán)限的基礎(chǔ)，一個(gè)角色可以有一個(gè)或多種權(quán)限，一種權(quán)限可以屬于一個(gè)或不同多個(gè)的角色，角色與權(quán)限之間是多對(duì)多的關(guān)系，一個(gè)角色可以有多個(gè)用戶，每個(gè)用戶可以屬于一個(gè)或多個(gè)角色，用戶與角色間的關(guān)系也是多對(duì)多的關(guān)系.RBAC模型根據(jù)用戶在系統(tǒng)內(nèi)所處的角色進(jìn)行資源訪問授權(quán)與控制，通過角色在用戶與權(quán)限之間建立聯(lián)系.用戶、角色、權(quán)限之間的關(guān)系如圖1所示.

1.3關(guān)鍵技術(shù)

基于RBAC角色的訪問控制，運(yùn)用角色的權(quán)限管理模型、支持多種角色的分布式管理.全面采用模板技術(shù)方式實(shí)現(xiàn)，模板采用業(yè)內(nèi)比較流行的SmartTemplate內(nèi)核[7].

2 旅游網(wǎng)的系統(tǒng)分析

2.1系統(tǒng)特點(diǎn)

全面嚴(yán)格的標(biāo)準(zhǔn)數(shù)據(jù)權(quán)限范圍控制技術(shù)[8]，支持多級(jí)授權(quán)體系；關(guān)鍵數(shù)據(jù)采用領(lǐng)先的加密存儲(chǔ)技術(shù)；可擴(kuò)展CA數(shù)字認(rèn)證，可支持遠(yuǎn)程安全身份校驗(yàn).訪問控制采用基于角色的權(quán)限管理技術(shù)，自定義角色，安全性得到保障.全部操作頁(yè)面符合標(biāo)準(zhǔn)WEB頁(yè)面操作風(fēng)格，標(biāo)準(zhǔn)Windows文件編輯風(fēng)格，Windows標(biāo)準(zhǔn)風(fēng)格幫助文件.在線可視化編輯器，模板編輯可視化.自定義標(biāo)簽、自定義欄目、自定義角色、自定義模板、自定義程序文件、自定義訪問權(quán)限、等多種自定義選項(xiàng)設(shè)置，充分滿足客戶功能個(gè)性化調(diào)整.支持多種復(fù)合信息格式.標(biāo)準(zhǔn)功能裝配接口，支持客戶自定義功能裝配.標(biāo)準(zhǔn)化產(chǎn)品安裝過程，標(biāo)準(zhǔn)化功能裝配設(shè)置，安裝過程方便快捷.B/S結(jié)構(gòu)產(chǎn)品.實(shí)現(xiàn)真正意義上的單點(diǎn)維護(hù)，全面升級(jí).

2.2 系統(tǒng)功能

不同的人員對(duì)該旅游網(wǎng)的信息資源操作不盡相同，一般的游客只有瀏覽網(wǎng)站公開信息權(quán)限，普通會(huì)員不僅有瀏覽而且可以對(duì)相關(guān)攻略信息進(jìn)行發(fā)布，修改和刪除等操作.系統(tǒng)管理員不像以往的管理者，發(fā)布旅游線路(景區(qū)景點(diǎn)、酒店、新聞等)信息，查詢旅游線路(景區(qū)景點(diǎn)、酒店、新聞等)信息，修改旅游線路(景區(qū)景點(diǎn)、酒店、新聞等)信息，刪除旅游線路(景區(qū)景點(diǎn)、酒店、新聞等)信息，對(duì)整站資源的完全掌控，而是將自己的“權(quán)利”下發(fā)給其他管理者，如：旅行社角色管理員，酒店角色管理員，導(dǎo)游角色管理者，娛樂場(chǎng)所角色管理者等等，讓他們作為管理者管理各自范圍(具有相應(yīng)合法且合理的權(quán)限)下的相關(guān)資源信息，系統(tǒng)管理員對(duì)他們的資源信息只做為審核操作，整站基于分布式分層管理，角色訪問控制管理.讓系統(tǒng)有條不紊的運(yùn)行.系統(tǒng)需求分析如圖2所示.

3 基于角色訪問控制設(shè)計(jì)與實(shí)現(xiàn)

3.1權(quán)限分布式訪問控制關(guān)系表

系統(tǒng)主要涉及到角色分布式訪問控制管理關(guān)系分別如表1-4所示.

3.2角色控制模塊的實(shí)現(xiàn)

角色分為系統(tǒng)管理員，旅行社、酒店、導(dǎo)游、景區(qū)、普通用戶、娛樂7種角色類型，系統(tǒng)各個(gè)系統(tǒng)及功能模塊概括如下：系統(tǒng)內(nèi)核模塊：用戶管理系統(tǒng)、系統(tǒng)設(shè)置管理、模塊管理系統(tǒng)、標(biāo)簽系統(tǒng)管理、數(shù)據(jù)安全管理；系統(tǒng)功能模塊：線路管理模塊、酒店管理模塊、娛樂管理模塊、餐飲管理模塊、景點(diǎn)管理模塊、新聞管理模塊、廣告管理模塊、攻略管理模塊、問答管理模塊、點(diǎn)評(píng)管理模塊、訂單管理系統(tǒng)、靜態(tài)生成管理、在線支付模塊.角色訪問控制模塊模型如表5所示.

表1角色表

Tab.1 Web roles

字段名稱字段類型字段描述備注roles_idint(11)角色I(xiàn)D主鍵且自增roles_roleidvarchar(50)角色編碼roles_orderint(11)角色排序roles_namevarchar(20)角色名roles_visiablechar(1)是否審核

注：此表用于存儲(chǔ)不同類別的角色信息.

表2菜單權(quán)限表

Tab.2 Web menu permission

字段名稱字段類型字段描述備注permission_idint(11)菜單權(quán)限ID主鍵且自增roles_idint(11)角色I(xiàn)D外鍵modules_idint(11)模塊ID外鍵permission_condingint(11)狀態(tài)轉(zhuǎn)化

注：此表用于存儲(chǔ)系統(tǒng)中對(duì)應(yīng)模塊下是否具有菜單權(quán)限.

表3動(dòng)作操作權(quán)限表

Tab.3 Web operation

字段名稱字段類型字段描述備注operation_idint(11)操作權(quán)限ID主鍵且自增operation_namevarchar(50)操作名operation_valuevarchar(50)操作屬性modules_categoryidvarchar(50)模塊類型

注：此表用于存儲(chǔ)系統(tǒng)中所有操作的操作的權(quán)限操作名.

表4菜單動(dòng)作操作權(quán)限

Tab.4 Web menu permission operation

字段名稱字段類型字段描述備注operation_idint(11)操作權(quán)限ID主鍵且自增roles_idint(11)角色I(xiàn)D外鍵operation_idint(11)操作權(quán)限ID外鍵permission_codingint(11)狀態(tài)轉(zhuǎn)化

注：此表用于存儲(chǔ)系統(tǒng)中對(duì)應(yīng)具有菜單權(quán)限下的動(dòng)作權(quán)限信息.

表5 角色訪問控制模塊模型

3.3 案例

圖3為本案例為酒店角色下的恩施怡和酒店用戶:

圖3 恩施怡和酒店用戶Fig.3 Enshi Yihe hotel

4 結(jié)語(yǔ)

本文在分析RBAC工作原理的基礎(chǔ)上，重點(diǎn)討論了RBAC在基于旅游網(wǎng)的應(yīng)用系統(tǒng)設(shè)計(jì).由于角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對(duì)要慢得多，減小了授權(quán)管理的復(fù)雜性，降低管理開銷；而且能夠靈活地支持應(yīng)用系統(tǒng)的安全策略，并對(duì)應(yīng)用系統(tǒng)的變化有很大的伸縮性；實(shí)現(xiàn)了權(quán)限明確的、高效的且具有良好擴(kuò)展性旅游網(wǎng)信息權(quán)限分配系統(tǒng).

[1] 呂曉琪，王磊，楊立東.基于RBAC模型的醫(yī)療信息權(quán)限分配系統(tǒng)研究與實(shí)現(xiàn)[J].大學(xué)學(xué)報(bào),2011,30(1)：48-52.

[2] 張祖平,王磊.基于多種模式的權(quán)限控制技術(shù)研究[J].計(jì)算機(jī)工程，2006，32(1)：178-225.

[3] 毛碧波.角色訪問控制[J].計(jì)算機(jī)科學(xué),2003,30(2):121-124.

[4] 徐雁萍.數(shù)據(jù)加密技術(shù)的研究[C]//中國(guó)氣象學(xué)會(huì)2008年年會(huì)第二屆研究生年會(huì)分會(huì)場(chǎng)論文集,2008(11)：151-158.

[5] 洪帆,付小青,胡倫駿. 數(shù)據(jù)庫(kù)系統(tǒng)中一種更安全的加密機(jī)制[J].華中理工大學(xué)學(xué)報(bào),2000(7)：1-4.

[6] 呂振洪. 基于菜單資源的權(quán)限分配[J].計(jì)算機(jī)應(yīng)用,2001,21(8)：254-257.

[7] Sejong Oh，Seog Park.Task-Role-Based Access ControModel[J].Information Systems,2003,28(6):533-536.

[8] 葉錫君,許勇,吳國(guó)新.基于角色的訪問控制在Web中的實(shí)現(xiàn)技術(shù)[J].計(jì)算機(jī)工程,2002 (1)：167-169.

ResearchontheSecurityPolicyMechanisminEnshiTourismNetworkBasedonRBAC

XIANG Jun，WENG Jian-guo,HU Jun-peng

(School of Information and Engineering,Hubei University of Nationalities,Enshi 445000,China)

This paper presents a security policy mechanism in distributued travel network based on RBAC (Role-Based Access Control).And many kinds of security thechnolog proposals will be used to ensure the security of the travel network.The distributed hierarchica access control based on a variety of roles is used to create role-based rights management model, and the encryption storage technology is used to encrypt the system data.The simulation results show that the security of the travel network of role-based permissions distributed management is excellent.

network security;RBAC;rights;travel network

2013-07-27.

湖北省自然科學(xué)基金項(xiàng)目(2009CDB069);湖北省教育廳中青年項(xiàng)目(4105029);湖北民族學(xué)院大學(xué)生創(chuàng)新訓(xùn)練計(jì)劃(2013Z042).

向軍(1978- )，男(土家族)，博士，副教授，主要從事移動(dòng)計(jì)算、實(shí)時(shí)數(shù)據(jù)庫(kù)的研究.

TP312

A

1008-8423(2013)03-0313-03