權限管理技術在Mashup構建中的研究與應用

摘要:Mashup技術提供了一種從多個提供者那里獲取信息服務的方式，這種應用的特點就是方便動態信息共享和分析，從而為客戶端用戶提供一個更整體體化和快捷的經歷，然而，底層瀏覽器技術的安全模型是不能夠充分的處理新的信任和安全問題。該文借助RBAC模型的理念，并把該理念應用在校園網Mashup中，從而為學生用戶提供了更多的方便。

關鍵詞:Mashup;RBAC;Google地圖

中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2010)02-321-03

Research and Application of the Privilege Management Technology in the Process of Mashup Construction

HU Wen-jiang， WEI Xiao-dong， GAO Yong-bing， WU Ji-lei

(School of Information Engineering， Inner Mongolia University of Science Technology， Baotou 014010， China)

Abstract: Mashups provide exciting new ways to aggregate information services from multiple providers， The hallmark ofthese applications is to facilitate dynamic information sharing and analysis， thereby creating a more integratedandconvenient experience for end-users. However， the security model of the underlying browser technology is quite inadequate to deal with the new trust and security issues. This paper takes advantage of the RBAC model concepts， and to apply the concept in the campus network Mashupso as to provide students more convenient.

Key words: Mashup; RBAC; Google maps

Mashup作為一種交互式的Web應用程序，是Web2. 0的特征之一，其能夠從Web上各種離散的數據源中獲取數據，并集成這些數據從而構建出新的應用，在構建一個Mashup的時候，用戶就會訪問互聯網上的數據源或API服務，此時，我們就會考慮用戶有沒有權限去訪問，或者是一些非法用戶獲得了資源權限，影響了Mashup的正常構建，降低了Mashup構建的安全性。權限管理技術是Web應用項目中比較關鍵的環節，因為瀏覽器是每一臺計算機都已具備的，如果不建立權限管理系統，那么一個“非法用戶”可以輕而易舉通過瀏覽器訪問Web應用項目中的所有功能。近幾年來，基于角色的訪問控制模型RBAC(Role Based Access Control)，在權限管理領域成為一個新的研究熱點。越來越多的信息管理系統采用了RBAC進行權限的管理，它把系統用戶根據其所擁有的執行功能和安全策略分成不同的角色，然后對每個角色分配對應的權限，再通過對每個用戶指定不同的角色，來實現對用戶權限的管理控制。本文利用了RBAC模型的理念，應用在具體的校園網Mashup中，極大的提高了Mashup構建的安全性。

1 Mashup技術簡介

Mashup是目前流行于網絡上一個詞語，它源于對流行音樂的描述，指的是從兩首不同的歌曲(通常屬于不同的流派)中混合演唱和樂器的音軌而構成的一首新歌。類似的，基于Web的新型應用程序Mashup也是內容的一種創新組合，在此內容不僅指數據也可以是服務，并且這些數據和服務往往來自于不同的數據源。根據programmableWeb的定義，“Mashup網站是一個Web頁面或應用程序，從兩個或以上的外部在線資源連接數據。外部資源極可能是其他的Web站點并且站點上的數據被Mashup開發人員使用不同的方法獲得，這些方法包括但又不僅僅局限于APIs，XML數據源(XML Feeds)和屏幕抓取”[1] Mashup通常整合來自于異構數據源的數據，比如數據庫，搜索引擎，或者是當地的文件。在一個框架內把這些數據封裝轉化成為一個特定來源的和自描述的XML結構方便統一的數據存儲，比較典型的有，由此產生的XML結構描述一組對象，比如人，產品，出版物，或者地址。對象通過一組具有一個或者多個價值的屬性所呈現[2]

目前常見的Mashup的應用研究主要集中在以下幾種類型:

1.1 地圖Mashup

在這個階段的信息技術中，人們搜集大量有關事物和行為的數據，二者都常常具有位置注釋信息。所有這些包含位置數據的不同數據集均可利用地圖通過令人驚奇的圖形化方式呈現出來。Mashup 蓬勃發展的一種主要動力就是 Google 公開了自己的 Google Maps API。這仿佛打開了一道大門，讓 Web 開發人員(包括愛好者、修補程序開發人員和其他一些人)可以在地圖中包含所有類型的數據(從原子彈災難到波士頓的 CowParade 奶牛都可以)。為了不落于人后，Microsoft(Virtual Earth)、Yahoo(Yahoo Maps)和 AOL(MapQuest)也很快相繼公開了自己的 API。

1.2 視頻和圖像Mashup

圖像主機和社交網絡站點(例如 Flickr 使用自己的 API 來共享圖像)的興起導致出現了很多有趣的Mashup。由于內容提供者擁有與其保存的圖像相關的元數據(例如誰拍的照片，照片的內容是什么，在何時何地拍攝的等等)，Mashup 的設計者可以將這些照片和其他與元數據相關的信息放到一起。例如，Mashup 可以對歌曲或詩詞進行分析，從而將相關照片拼接在一起，或者基于相同的照片元數據(標題、時間戳或其他元數據)顯示社交網絡圖。另外一個例子可能以一個 Web 站點(例如 CNN 之類的新聞站點)作為輸入，并在新聞中通過照片匹配而將照片中的內容以文字的形式呈現出來。

1.3 搜索和購物Mashup

搜索和購物 Mashup 在 Mashup 這個術語出現之前就已經存在很長時間了。在 Web API 出現之前，有相當多的購物工具，例如 BizRate、PriceGrabber、MySimon 和 Google 的 Froogle，都使用了 B2B 技術或屏幕抓取的方式來累計相關的價格數據。為了促進 Mashup 和其他有趣的 Web 應用程序的發展，諸如 eBay 和 Amazon 之類的消費網站已經為通過編程訪問自己的內容而發布了自己的 API。

1.4 新聞Mashup

新聞源(例如紐約時報、BBC 或路透社)已從 2002 年起使用 RSS 和 Atom 之類的聯合技術來發布各個主題的新聞提要。以聯合技術為基礎的 Mashup 可以聚集一名用戶的提要，并將其通過 Web 呈現出來，創建個性化的報紙，從而滿足讀者獨特的興趣。Diggdot.us 正是這樣的一個例子，它合并了 Digg.com、Slashdot.org 和 Del.icio.us 上與技術有關的內容[3]。

根據Mashup 構建的技術特點，可將Mashup構建中各技術的運用分為以下三個層次。

1) 數據層:包含各Mashup集成的數據對象，包括有外部數據源、內部數據源以及Web頁面等。通過數據獲取技術，如RSS， Atom[3]及屏幕抓取技術等實現數據獲取。

2) 集成層:主要在Mashup集成的一般步驟，即數據提取、解析、翻譯打包以及組合的流程指導下，在系統開發平臺如Eclip se、Visual Studio等，以及網站平臺如Google的GME、Microsoft 的Popfly 等基礎上，實現Mashup系統的開發。

3) 展示層:主要是利用一些頁面展示技術，實現數據展示，如AJAX等[4]。

此外， 在Mashup技術中，數據整理被認為是繁瑣而費時的， 因為它涉及數據檢測的差異， 完成轉化并整合這些信息，最后應用這些轉化整合成數據集[5]。

2 RBAC技術簡介

RBAC的概念由Ferraiolo和Kuhn于1992年提出，是目前流行的先進的安全管理控制方法。所謂角色(role)是指擁有一定權限和責任的某一特定職位。基于角色的訪問控制在用戶和資源之間加入了角色，把對資源的使用權賦予角色，然后讓用戶屬于某一角色，從而使用戶具有角色的權限。這樣，整個訪問控制過程就分成兩個部分，即訪問權限與角色相關聯，角色再與用戶關聯，從而實現了用戶與訪問權限的邏輯分離。

下面給出適合于ERP系統的RBAC模型的形式化描述，

訪問權限:表示允許對數據進行的各項操作，記作P。

角色:指一個組織或任務中的工作或崗位，記作r，角色的全集記作R。

權限配置:角色集R和訪問權限集P之間的二元關系，假定RP:R×P是一個權限配置集合，那么(r，p)∈RP表示角色r擁有一個訪問權限p。

用戶:可以獨立訪問系統中的數據的主體，記作u，用戶的全集記作U。

角色指派:用戶集U和角色集R之間的一個二元關系，假定UR∈U×R是一個角色指派關系的集合，那么(U，R)∈UR表示用戶u被指派了一個角色r。

用戶權限集:指用戶通過被指派的角色所間接擁有的對數據集D的訪問權限的集合，是用戶集U和訪問權限集P之間的一個二元關系。假定UP∈U×P是一個用戶權限集，那么(U，P)∈UP表示用戶u擁有一個訪問權限p。保證用戶權限集UP的正確性，是訪問權限管理的最終目的。RBAC基本模型如圖1所示[6]。

3 校園網Mashup構建過程中權限管理技術的應用

一個校園網站就是一個學校網上的門戶，在招生就業過程中將起到舉足輕重的作用。在招生過程中，許多有意愿報考的考生因為費用和路途的問題，可能優先采用網上了解的方式去考察自己將要報考的學校。目前來講，許多學校的網站內容對學校的介紹主要是簡介以及少量的介紹性圖片，學生想要充分的了解一個學校是比較困難的，因此，針對以上介紹的Mashup 應用，校園網站可以Mashup相應的地圖和交通信息進來，這樣學生能夠更清楚的了解學校的位置，周圍的交通情況和住宿情況，在新生報到過程中，也可以為初次來到這個城市的學生提供更多的便利[7]。通過以上分析的RBAC模型的理念，我們開發了一個校園網Mashup，通過管理員給合法的用戶分配訪問權限，使廣大考生可以方便的了解學校的具體信息。

當學生點擊學院招生網時如圖2所示，會彈出驗證對話框，如圖3所示。

只有注冊為學校的合法用戶，并且得到管理員分配給的訪問權限，考生才可以看到學校具體的信息，這樣可以有效的防止校外非法用戶進入到學校系統，破壞校園網Mashup，避免給學校和考生帶來不必要的麻煩。當合法用戶登錄后，才可以進入到內蒙古科技大學內部網站，查看如圖所示的校園網Mashup，幫助考生更好的了解學校的位置、到達學校的公交車路線以及學校周圍住宿情況，從而方面新生報考。構建好的校園網Mashup如圖4所示。

校園網Mashup系統架構如圖5所示。

校園網Mashup系統工作流程

第1步: 學生用戶提交請求，通過頁面提交表單到Mashup Web服務器。

第2步: Mashup Web服務器處理請求，分別向Google地圖數據庫和學院招生信息數據庫發出HTTP請求。

第3步: Google地圖數據庫和學院招生信息數據庫分別響應XML 的格式的結果給Mashup Web服務器。

第4步: Mashup Web 服務器把這2 個XML 混合到一個XML 文檔中，并且使用XSLT將這個文檔轉化為一段XHTML 代碼，然后把這段XHTML代碼插入到此網頁中。

第5步: 服務器再次呈現這個網頁，但僅包含了2 個結果內容。

權限管理技術之后應用在校園網Mashup構建中，能夠極大提高構建的安全性，方便學生用戶的使用。

4 結束語

該文利用了RBAC模型的理念，并把它應用在校園網Mashup中，保證了學生用戶能夠安全方便的查看學校信息，方便了報考工作，更為重要的是有效的防止了校外非法用戶訪問校園網Mashup，提高了校園網Mashup構建的安全性，為招生學校和考生提供了極大的安全保障，并將在更多的校園網Mashup中得到應用。

參考文獻:

[1] 鄒崢嶸，龍岳紅.地圖Mashup的研究與實現[D].長沙:中南大學，2008.

[2] DuaneMerrill.Mashups:Web應用程序新成員[R].2006.

[3] Andreas Thor，David Aumueller，Erhard Rahm.Data Integration Support for Mashups[J]，2008.

[4] 汪名森，王強.Mashup系統構建研究[J].現代圖書情報技術，2009(5):34-35.

[5] Rattapoom Tuchinda，Pedro Szekely，Craig A.Knoblock. Building Mashups By Example[J]，2008.

[6] 李仲，楊宗凱，劉威.一種基于RBAC的實現動態權限管理的方法[J].計算機技術與發展，2006，16(10):2-3.

[7] 張天俊.Mashup 技術在校園網站中的應用[J].電腦知識與技術，2009，5(24):2.