張軍強(qiáng)

（陜西財(cái)經(jīng)職業(yè)技術(shù)學(xué)院,咸陽(yáng),712000）

基于ASP組件技術(shù)的WEB MIS權(quán)限系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

張軍強(qiáng)

（陜西財(cái)經(jīng)職業(yè)技術(shù)學(xué)院,咸陽(yáng),712000）

網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，隨之而來(lái)的安全問(wèn)題也與日俱增。針對(duì)應(yīng)用層身份認(rèn)證和訪問(wèn)控制安全問(wèn)題。本文利用ASP組件技術(shù)，實(shí)現(xiàn)了角色權(quán)限組件和登錄組件，保證了具有不同角色的用戶能夠登錄不同的界面，加強(qiáng)了系統(tǒng)的安全管理，解決了系統(tǒng)安全問(wèn)題。

網(wǎng)絡(luò)安全；權(quán)限；訪問(wèn)控制；ASP組件

1 訪問(wèn)控制

自主訪問(wèn)控制是多用戶環(huán)境下最常用的一種訪問(wèn)控制技術(shù),思想是根據(jù)訪問(wèn)者和它所屬組的身份來(lái)控制對(duì)客體目標(biāo)的授權(quán)訪問(wèn)。強(qiáng)制訪問(wèn)控制是為每個(gè)主體、客體分別定義安全屬性，主體能否對(duì)客體執(zhí)行特定的操作取決于二者之間的安全屬性的關(guān)系，是一種基于主體和客體的安全標(biāo)記來(lái)實(shí)現(xiàn)的訪問(wèn)控制策略。

自主和強(qiáng)制訪問(wèn)控制缺陷是要將主體和客體直接綁定在一起，授權(quán)時(shí)需要對(duì)主體和客體同時(shí)定義訪問(wèn)許可。當(dāng)主體和客體的數(shù)量很大時(shí)，授權(quán)工作將非常困難。二十世紀(jì)九十年代以來(lái)，隨著對(duì)在線的多用戶、多系統(tǒng)的研究不斷深入以及對(duì)系統(tǒng)安全需求發(fā)展和網(wǎng)絡(luò)、分布式技術(shù)的快速發(fā)展的基礎(chǔ)上，角色的概念逐漸形成，產(chǎn)生以角色為中心的訪問(wèn)控制模型，即基于角色的訪問(wèn)控制RBAC。

2 角色權(quán)限管理模型設(shè)計(jì)

2.1 權(quán)限核心對(duì)象模型設(shè)計(jì)

根據(jù)RBAC模型的權(quán)限設(shè)計(jì)思想，建立權(quán)限管理系統(tǒng)的核心對(duì)象模型。對(duì)象模型中包含的基本元素主要有：用戶（Users）、角色（Role）、訪問(wèn)模式（Access Mode）、控制對(duì)象(Control Object)和操作（Operator）等。

主要的關(guān)系有：分配角色權(quán)限PA（Permission Assignment）、分配用戶角色UA（Users Assignment）。

2.2 角色權(quán)限分配策略

角色權(quán)限管理圖1包含有權(quán)限的分配策略和權(quán)限的操作。在權(quán)限的操作過(guò)程中首先選取要操作的權(quán)限，如授權(quán)、修改、瀏覽等。然后判斷是實(shí)體權(quán)限還是功能權(quán)限，再把權(quán)限分配給角色。如果角色獲得的權(quán)限是功能權(quán)限則實(shí)現(xiàn)系統(tǒng)功能；如果是實(shí)體權(quán)限，則選擇實(shí)體對(duì)象。同時(shí)某用戶獲得該角色，對(duì)實(shí)體對(duì)象進(jìn)行權(quán)限操作，直至權(quán)限管理完成。

安全訪問(wèn)控制要識(shí)別和確認(rèn)應(yīng)用系統(tǒng)的用戶。為了防止對(duì)系統(tǒng)的任意訪問(wèn)，該系統(tǒng)采用用戶名和密碼驗(yàn)證登錄用戶的身份，以確定登錄用戶是否被允許訪問(wèn)系統(tǒng)資源。用戶身份被確認(rèn)后，進(jìn)入系統(tǒng)，應(yīng)用系統(tǒng)把從用戶表提取的用戶ID發(fā)送給角色管理模塊，角色管理模塊通過(guò)角色表獲得賦予用戶的角色。圖2是應(yīng)用系統(tǒng)把系統(tǒng)管理員角色發(fā)送給權(quán)限模塊，權(quán)限模塊通過(guò)權(quán)限表使得擁有某角色的用戶獲得相應(yīng)的權(quán)限，同時(shí)使得不同角色的用戶在相同的應(yīng)用系統(tǒng)中獲得不同的操作權(quán)限，避免了越權(quán)操作。

圖2 角色授權(quán)

2.3 角色權(quán)限管理組件設(shè)計(jì)

組件方法可以實(shí)現(xiàn)角色權(quán)限在Web環(huán)境下權(quán)限的分布式管理，大大方便了權(quán)限的可擴(kuò)展性，增大了權(quán)限管理的靈活性，使權(quán)限的管理適應(yīng)不同的客戶端。角色權(quán)限管理模型作為核心。實(shí)現(xiàn)這種權(quán)限訪問(wèn)控制，建立用于權(quán)限管理的幾個(gè)數(shù)據(jù)表，用以存放模塊信息、角色、授給角色的權(quán)限、用戶信息、授給用戶的權(quán)限和用戶的角色等。Permission表中存儲(chǔ)了系統(tǒng)具有的權(quán)限。

表1 Permission表

用戶與角色是雙向多對(duì)多的關(guān)系。角色主要包括角色I(xiàn)D、角色名稱等信息。表中設(shè)置角色互斥鍵，來(lái)避免角色分配、運(yùn)行期間，用戶擁有責(zé)任互斥的角色。新角色的定義、修改和刪除均基于此數(shù)據(jù)表進(jìn)行。

表2 Role表

表3 Role_Per表

角色權(quán)限表存放了所有角色的ID，角色名，角色權(quán)限這些基本信息。每個(gè)角色I(xiàn)D唯一確定了一種角色。每一種角色被分配相應(yīng)的權(quán)限。該表把具體的許可對(duì)象與能夠操作它們的角色綁定在一起，是實(shí)現(xiàn)用戶權(quán)限定制的關(guān)鍵。該數(shù)據(jù)表的主鍵為Role_ID和Model_ID。角色與權(quán)限是雙向多對(duì)多的關(guān)系。

表4 User表

用戶表中存放了所有用戶的ID、用戶名、密碼、所屬角色這些基本信息，每個(gè)用戶的ID是唯一的，它唯一標(biāo)識(shí)一個(gè)用戶。每一個(gè)使用本系統(tǒng)的用戶必須隸屬于某種角色。但用戶的角色并不唯一，可以隸屬于一種或多種角色。

表5 UserRole表

UserRole表將特定的用戶與角色關(guān)聯(lián)在一起，主鍵為User_ Name和Role_id。為用戶指定角色只需在該表中添加一條記錄即可；由于主鍵為User_Name和Role_id，所以允許一個(gè)用戶擁有多個(gè)角色，當(dāng)多個(gè)角色的權(quán)限發(fā)生沖突時(shí)，取其并集。表2、3、4、5的相互關(guān)系如圖3所示。

圖3 權(quán)限控制E—R圖

3 安全組件的實(shí)現(xiàn)

3.1 權(quán)限管理組件的實(shí)現(xiàn)

采用ASP組件技術(shù)來(lái)實(shí)現(xiàn)權(quán)限管理組件，提高代碼的重用程度，大大簡(jiǎn)化程序設(shè)計(jì)的復(fù)雜度，提高程序的設(shè)計(jì)效率，同時(shí)也有利于解決網(wǎng)絡(luò)信息系統(tǒng)的安全。

根據(jù)權(quán)限的設(shè)計(jì)，角色權(quán)限設(shè)置是系統(tǒng)權(quán)限管理的主要內(nèi)容，用戶通過(guò)它來(lái)完成各種權(quán)限的設(shè)置，設(shè)置的本質(zhì)就是對(duì)后臺(tái)角色權(quán)限表進(jìn)行相關(guān)操作，如增加、刪除、修改等操作。

’OpenDB方法，打開(kāi)數(shù)據(jù)庫(kù)，建立與SQL Server的連接，建立連接后就可以創(chuàng)建一個(gè)包含所有角色信息的記錄集。

……

Private Sub Add(Id As String, Name As String, Flag As String)

Dim NewConn As New ADODB.Connection

Dim NewRecordsetRole As New ADODB.Recordset

NewConn.Open "Provider=SQLOLEDB;DataSource=School;U serId=;Password="

NewRecordsetRole.Open "SELECT * FROM Role", NewConn, adOpenDynamic, adLockOptimistic

NewRecordsetRole.AddNew

NewRecordsetRole.Fields("Role_ID") = Id

NewRecordsetRole.Fields("Role_Name") = Name

NewRecordsetRole.Fields("flag") = flag

NewRecordsetRole.Update

End Sub

Private Sub Delete(Id As String)

Dim NewConn As New ADODB.Connection

Dim RecordsetDelete As New ADODB.Recordset

NewConn.Open "Provider=SQLOLEDB;DataSource=School;U serId=;Password="

NewConn.Execute "DELETE FROM Role WHERE Role_ID ='" & Id & "'", adCmdText + adExecuteNoRecords

End Sub

3.2 登錄組件的實(shí)現(xiàn)

登錄用戶通過(guò)所擁有的角色權(quán)限來(lái)判斷允許訪問(wèn)的數(shù)據(jù)庫(kù)資源和系統(tǒng)資源。只要有安全考慮的網(wǎng)頁(yè)都可以調(diào)用登錄組件，查看用戶以前是否登錄過(guò)，系統(tǒng)會(huì)顯示對(duì)應(yīng)的登錄表單或者直接打開(kāi)受保護(hù)的頁(yè)面。輸入帳戶和密碼，系統(tǒng)負(fù)責(zé)驗(yàn)證，操作包括到數(shù)據(jù)庫(kù)中選取符合條件的記錄，如果帳戶和密碼不存在，表示這個(gè)人沒(méi)有權(quán)利打開(kāi)此網(wǎng)頁(yè)，系統(tǒng)將響應(yīng)錯(cuò)誤信息。若用戶有權(quán)利使用系統(tǒng)，系統(tǒng)會(huì)進(jìn)行下一步操作，改變Session變量值、加載正確的網(wǎng)頁(yè)內(nèi)容等。若是一個(gè)合法的用戶，由于判斷是否通過(guò)認(rèn)證的Session變量已設(shè)置為True，因而連接到下一個(gè)有安全考慮的網(wǎng)頁(yè)時(shí)不會(huì)再調(diào)用Student組件，也不會(huì)出現(xiàn)登錄界面。

登錄組件在VB6中測(cè)試編譯后，將產(chǎn)生.dll文件，并用regsvr32.exe將該組件注冊(cè)在系統(tǒng)數(shù)據(jù)庫(kù)（Registry）中。調(diào)用登錄組件，在ASP文件中加入以下代碼：

……

＜%

dim login

Set login = Server.CreateObject("student.login")

login.login nTryTimes

%＞

…… ＜!-跟受保護(hù)的網(wǎng)頁(yè)內(nèi)容-＞

Student.login是Student登錄組件的ProgID。ASP對(duì)COM組件的支持，使得它獲得了無(wú)限的可擴(kuò)展性。ASP借助MTS進(jìn)行自制COM組件的管理。

該系統(tǒng)已成功應(yīng)用于學(xué)籍管理系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)實(shí)踐。實(shí)踐應(yīng)用表明，采用ASP組件技術(shù)實(shí)施的安全權(quán)限具有以下優(yōu)勢(shì)：權(quán)限分配直觀、容易理解，便于使用；擴(kuò)展性好，支持權(quán)限多變的需求；重用性強(qiáng)。

[1] 常彥德.基于角色的訪問(wèn)控制技術(shù)研究進(jìn)展[J]計(jì)算機(jī)與現(xiàn)代化 2011 12.

[2] Dino Esposito等著 ASP數(shù)據(jù)訪問(wèn)高級(jí)編程[M]程永敬 董啟雄等翻譯 機(jī)械工業(yè)出版社 2007.

[3] Sbelley powers著ASP組件開(kāi)發(fā)指南（第二版）[M] 何健輝 張珞玲等翻譯 中國(guó)電力出版社

Design and implementation of WEB MIS system based on ASP component technology

Zhang Junqiang
(Shaanxi Vocational College of Finance and Economics,Xianyang,712000)

The rapid development of network technology,the problem of security is grow with each passing day.Aiming at the application layer authentication and access control security issues.In this paper,using ASP component technology,realizes the role permissions component and login component,ensure with different roles users can log on different interface,to strengthen the security management system,solves the problem of system security.

network security;permissions;access control;ASP component

圖1 角色權(quán)限管理

張軍強(qiáng)（1970-） 男，陜西富平，副教授，工學(xué)碩士學(xué)位，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全