ASP.NET基于UCON动态权限管理子系统的设计和开发设计与实现

摘要：信息安全是网络时代一个敏感的话题，它所涉及到的范围和领域是相当的广泛，访问权限管理就是其中的一个方面。访问权限管理是现今几乎所有的系统都会涉及到的一个问题，因为不论是一个大系统还是一个小系统都会涉及到用户对系统资源的访问，可是并不是所有的资源对所有的用户都是开放的，所以怎样最大限度的保护好系统资源的安全性就成了访问权限所要解决的问题。访问权限的研究已经是一个很老的话题了，目前最多的就是基于RBAC模型及基于角色的访问权限控制，但是本系统利用了UCON模型，面向使用的控制模型，它也算是RBAC的一个延伸和扩展，在访问时，对于访问的授权或者拒绝是根据主体或者客体的属性来进行的。在数据库上设计了用户数据库和权限管理数据库，用户数据库建立用户数据有关的表格，权限管理数据库建立授权数据、用户权限分配等有关表格。在功能实现方面以一个公司作为实体，对用户的权限进行分配。用户属于一个用户组，如果某用户不属于一个用户组则它就属于特殊用户。一个用户组拥有不同的角色，一个角色拥有多个权限，把权限分配给不同的角色，再把角色分配给用户组，用户在用户组中，通过这样的方法就能控制用户对系统资源的权限访问了。关键词：UCON信息安全访问权限管理授权C#.NET第一章 绪论1.1开发背景21世纪是信息的社会，是经济的时代。在这个时代里，信息与我们息息相关。信息技术在国名经济建设、社会发展、国防、科学研究、教育等领域的作用日益重要。随着计算机互联网的迅速发展和广泛的运用，它打破了传统的时间和空间的局限性，使得人们获取信息更快捷、更方便、更容易和更有效，大大地改变了人们的生活方式和工作方式，加速家了经济和社会的发展，提高了人们的工作水平和生活的质量。由于计算机互联网的国际化、社会化、开放化、个性化的特点，使得它在向人们提供信息共享、资源共享和技术共享的同时，也带来了不安全隐患。信息安全问题不解决的话，它不但威胁到国家的安全，阻碍电子政务、电子商务、网络银行、网络远程教育、网络远程诊断等的正常开展，而且也使得个人的隐私信息得不到保障。这是从大局来看，同时在当今这个网络经济时代，企业和机构都在通过Internet寻找新的商机和新的业务开展途径。与此同时，他们必须确保公开的信息资产的安全。随着客户、员工、合作伙伴和供应商的数量不断增加，企业和机构必须保护其敏感性信息不被竞争对手和黑客窃取，同时还要在全球范围内提供对其安全信息资源的访问。为发掘这些新机遇所带来的业务潜力，不论是组织还是用户都越来越多地涉入对日益分散的资源的访问，而这些访问对业务信息安全的威胁也越来越大。因此，进行访问控制管理的最终目的是加强信息有效、安全的使用，同时对不同的访问人员实施不同的访问许可，它是系统保密性、完整性、可用性和合法使用的基础。为了迎接这些挑战，那么实施一套行之有效的关于访问权限管理基础设施的解决方案是非常必要的。1.2系统开发意义可以说如今几乎所有的系统都会涉及到用户对系统资源的访问，那什么样的人对什么样的信息什么样的资源有哪些权利的访问这是一个问题，同时由谁来管理这些信息资源还有如此多的用户，这又是一个问题。所以我们不能设计一个系统的时候把不同的用户进行一一的分配权限，这样将是一个非常大的工程并且实现起来也将非常的麻烦。所以如果能将访问权限做成一个通用的系统模块，它能够嵌入到不同的系统中，同时它对不同的系统有扩展功能。这样就方便实用了。第四章 基于UCON的动态权限更新的实现4.1访问权限管理子系统的设计作为一个大型系统的一部分，子系统的设计应该从一个总体的模块慢慢向下细分的，总的方向是从上往下的。但是我们在设计过程中不得不考虑一些问题，例如系统的稳定性，系统应该具有一些在干扰下仍然正常运做的能力。还有系统的效率也是不容忽视的，影响系统的效率的因素很多，包括系统的硬件及其组织结构。当然最基本的一条是系统是否解决了用户希望解决的问题，能否根据用户输入的数据得到用户想要的数据。从来没有一个系统是十全十美的，而且用户也会有新的需求，我们制作这个系统时也要注意增强该系统的可扩展性以及可升级性，这样才能提高该系统的使用生命周期。系统的经济性系统的经济性是指系统收益与支出之比。系统的效率、服务的质量、可靠性、可变更性、经济性等指标是相互联系又彼此制约的，在一定程度上是相互矛盾的。然而从系统开发的角度来说，系统的可变性是首先要考虑的因素。无论在系统研制过程还是今后的运行阶段，它都有直接的影响。系统总体设计根据不同的问题就有不同的划分方法，我们只要确定这个系统所要实现的目标，弄清楚各个部分它们之间的关系。还有一个问题我们也不应该忘记，就是输入输出菜单应该保持清晰性，使得初次接触这个设备的人一目了然，也就是保持系统的易用性。4.1.1子系统总体设计目标本子系统就是为了控制用户权限而开发的，加强对用户管理的控制。总之要从系统的可扩展性，易用性，经济性，和性能找到一个平衡点。权限管理子系统实现系统的权限管理部分的功能，系统的权限管理子系统满足三种主要的功能。1．安全性。应有健壮的安全防范措施。防止非法用户进入系统，合法用户进入系统后只能执行授权的操作。特别是当用户请求访问同一个利益冲突类中不同公司数据时，能及时阻止用户的非法访问。2．实用性。系统必须保证实用，切实符合应用部门对系统安全的实际需求。针对不同级别、不同功能的部门能够分配不同的访问权限。3．易用性。要易于操作、易于使用，便于维护。经过上面的详细分析，我们基本可以确定这个子系统应该能实现的功能如上图4.1：新用户的注册。提供用户注册；用户权限的分配；管理员可以对用户权限进行分配；增加，修改权限和角色；可以对权限和角色进行扩展和修改满足不同系统对权限管理的要求。功能划分：系统功能模块主要有：组织机构定义、角色定义、权限定义、角色权限配置、受控对象定义、用户定义、用户委派、权限审查。组织机构定义：提供用户进行组织机构分配与设置的功能。机构是实现和执行各种策略的功能的集合，同一组织机构内部又按级别可分为一级部门（如总厂）、二级部门（如车间）等，并按级别建立全厂部门机构的树状结构图。每个组织机构下面又分别设有一定的岗位，定义组织机构的时候必须为其选择一定的岗位，系统可事先提供默认的几种岗位以供欲定义的组织机构进行选择，另外还应提供对岗位的增加、修改和删除等操作。岗位与用户组是一一对应的关系。用户定义组织机构可方便地进行角色管理，每个组织机构都有一定的角色，且通常情况下有一个缺省的角色值。角色定义：系统提供角色定义工具允许用户根据自己的需要（职权、职位以及分担的权利和责任）定义相应的角色。每个角色在系统中由一个唯一的角色编号来标识，同时必须保存用户所设置的机构信息。角色是用户权限的基础。将某一角色授予某一用户时，权限不能超越该角色权限，但可以小于该角色权限。角色充当用户行驶权限的中介。用户与角色之间以及角色与权限之间是两个多对多的关系。角色之间有相应继承的关系，当一个角色r1继承另一个角色r2时，r1就自动拥有了r2的访问权限(表示r1->r2)。角色继承关系自然的反映了一个组织内部权利和责任的关系，为方便权限管理提供了帮助。角色继承关系提供了对已有角色的扩充和分类的手段，使定义新的角色可以在已有角色的基础上进行，扩充就是通过增加父角色的权限去定义子角色，分类通过不同子角色继承同一父角色来体现。另外还允许多继承，即一个角色继承多个父角色，多继承体现对角色的综合能力。受控对象定义：提供用户对需要控制的对象进行定义的功能，只有事先定义好的对象才能受到系统的控制。对象是指系统中各种功能模块、单元、区域、界面元素（包括菜单、按钮等各种界面上能控制的控件）等，它们是主体能访问的各种对象。权限定义：主要是定义受控对象在不同情况下可被访问的方式，即受控对象的使用权限。权限的定义是基于受控对象的定义，只有在定义好系统受控对象的前提下，才能对受控的对象赋予一定的访问权限。定义权限就是定义对象访问控制和数据访问控制。可用一个三元组符号来表示对象访问权限P（o,t,p）,其中o 表示访问对象；t 表示访问方式；p 表示谓词。表示在谓词p为真时对受控对象o可以t方式进行访问。权限定义系统安全管理基础步骤之一，只有给各种对象定义好访问的权限，才能给角色配置权限，基于角色管理才能成为可能。角色权限配置：角色是一组访问权限的集合，一个用户可以是很多角色的成员，一个角色也可以有很多个权限，而一个权限也可以重复配置于多个角色。只有角色具有相应的权限后用户委派才能具有实际意义。用户定义：用户定义就是指对使用本系统的组织机构人员的定义。每个用户在系统中由一个唯一的用户编号标识。用户组定义：加入用户组概念的定义，主要是便于分散式权限管理。同一用户组中的用户具有相同的角色权限，当用户被加入到某一用户组时自动继承用户的所在用户组所拥有的角色权限。用户组与组织机构下的岗位是一一对应的关系，用户组是一群用户的组合。用户委派：用户委派主要是指为一定的用户组指派相应的角色权限。权限审查：在授权完成后可检查登录用户所拥有的能力表信息，审查给用户的权限是合适，如不合适可重新进行用户委派和收回部分权限的处理。目前系统只能以对用户组管理的模式对一个用户组内的用户可进行部分权限收回处理。4.2访问权限分配本文开发的系统是利用UCON模型实现用户权限管理。下面介绍访问权限管理子系统中的基本权限管理功能。访问权限：信息系统的访问权限管理一般是对数据库中数据对象（数据库表或字段项等）和其它资源进行保护。在本系统中，通过对系统执行功能的保护实现对系统数据对象及其它资源的保护。系统功能保护是从系统的语义角度出发，按照系统实际执行的功能决定用户的访问权限。这样，用户对系统各种资源的访问权限转化为一种对系统执行功能的访问权限。一旦系统开发完成后，系统的功能是确定的。各个功能需要访问的数据对象也是确定的。系统开发人员根据开发文档可以准确地定义系统所能实现的全部功能和这些功能需要访问的数据对象。为了考虑系统维护的需要，定义系统功能开发成一个独立的模块。系统开发人员在软件的整个生命周期中，可以动态地修改系统当前所能实现的全部功能。访问权限分配：访问权限管理采用基于角色的访问控制机制。按照所需执行的功能，划分为若干角色，每个角色可以执行一定的功能。系统根据部门、岗位、职责将用户划分为若干个不同的用户组，每个用户组担任一个或多个角色。用户组具有的访问权限是它担任的所有角色访问权限的并集。具体用户的访问权限是由他进入的用户组决定的。 全套毕业设计包含的内容如下：源程序+论文（15000字以上）+可执行程序+答辩稿+开题报告如需要请您和我们客服QQ联系