基于ASP組件技術(shù)的WEB MIS權(quán)限系統(tǒng)的設計與實現(xiàn)

張軍強

（陜西財經(jīng)職業(yè)技術(shù)學院,咸陽,712000）

基于ASP組件技術(shù)的WEB MIS權(quán)限系統(tǒng)的設計與實現(xiàn)

張軍強

（陜西財經(jīng)職業(yè)技術(shù)學院,咸陽,712000）

網(wǎng)絡技術(shù)的迅速發(fā)展，隨之而來的安全問題也與日俱增。針對應用層身份認證和訪問控制安全問題。本文利用ASP組件技術(shù)，實現(xiàn)了角色權(quán)限組件和登錄組件，保證了具有不同角色的用戶能夠登錄不同的界面，加強了系統(tǒng)的安全管理，解決了系統(tǒng)安全問題。

網(wǎng)絡安全；權(quán)限；訪問控制；ASP組件

1 訪問控制

自主訪問控制是多用戶環(huán)境下最常用的一種訪問控制技術(shù),思想是根據(jù)訪問者和它所屬組的身份來控制對客體目標的授權(quán)訪問。強制訪問控制是為每個主體、客體分別定義安全屬性，主體能否對客體執(zhí)行特定的操作取決于二者之間的安全屬性的關系，是一種基于主體和客體的安全標記來實現(xiàn)的訪問控制策略。

自主和強制訪問控制缺陷是要將主體和客體直接綁定在一起，授權(quán)時需要對主體和客體同時定義訪問許可。當主體和客體的數(shù)量很大時，授權(quán)工作將非常困難。二十世紀九十年代以來，隨著對在線的多用戶、多系統(tǒng)的研究不斷深入以及對系統(tǒng)安全需求發(fā)展和網(wǎng)絡、分布式技術(shù)的快速發(fā)展的基礎上，角色的概念逐漸形成，產(chǎn)生以角色為中心的訪問控制模型，即基于角色的訪問控制RBAC。

2 角色權(quán)限管理模型設計

2.1 權(quán)限核心對象模型設計

根據(jù)RBAC模型的權(quán)限設計思想，建立權(quán)限管理系統(tǒng)的核心對象模型。對象模型中包含的基本元素主要有：用戶（Users）、角色（Role）、訪問模式（Access Mode）、控制對象(Control Object)和操作（Operator）等。

主要的關系有：分配角色權(quán)限PA（Permission Assignment）、分配用戶角色UA（Users Assignment）。

2.2 角色權(quán)限分配策略

角色權(quán)限管理圖1包含有權(quán)限的分配策略和權(quán)限的操作。在權(quán)限的操作過程中首先選取要操作的權(quán)限，如授權(quán)、修改、瀏覽等。然后判斷是實體權(quán)限還是功能權(quán)限，再把權(quán)限分配給角色。如果角色獲得的權(quán)限是功能權(quán)限則實現(xiàn)系統(tǒng)功能；如果是實體權(quán)限，則選擇實體對象。同時某用戶獲得該角色，對實體對象進行權(quán)限操作，直至權(quán)限管理完成。

安全訪問控制要識別和確認應用系統(tǒng)的用戶。為了防止對系統(tǒng)的任意訪問，該系統(tǒng)采用用戶名和密碼驗證登錄用戶的身份，以確定登錄用戶是否被允許訪問系統(tǒng)資源。用戶身份被確認后，進入系統(tǒng)，應用系統(tǒng)把從用戶表提取的用戶ID發(fā)送給角色管理模塊，角色管理模塊通過角色表獲得賦予用戶的角色。圖2是應用系統(tǒng)把系統(tǒng)管理員角色發(fā)送給權(quán)限模塊，權(quán)限模塊通過權(quán)限表使得擁有某角色的用戶獲得相應的權(quán)限，同時使得不同角色的用戶在相同的應用系統(tǒng)中獲得不同的操作權(quán)限，避免了越權(quán)操作。

圖2 角色授權(quán)

2.3 角色權(quán)限管理組件設計

組件方法可以實現(xiàn)角色權(quán)限在Web環(huán)境下權(quán)限的分布式管理，大大方便了權(quán)限的可擴展性，增大了權(quán)限管理的靈活性，使權(quán)限的管理適應不同的客戶端。角色權(quán)限管理模型作為核心。實現(xiàn)這種權(quán)限訪問控制，建立用于權(quán)限管理的幾個數(shù)據(jù)表，用以存放模塊信息、角色、授給角色的權(quán)限、用戶信息、授給用戶的權(quán)限和用戶的角色等。Permission表中存儲了系統(tǒng)具有的權(quán)限。

表1 Permission表

用戶與角色是雙向多對多的關系。角色主要包括角色ID、角色名稱等信息。表中設置角色互斥鍵，來避免角色分配、運行期間，用戶擁有責任互斥的角色。新角色的定義、修改和刪除均基于此數(shù)據(jù)表進行。

表2 Role表

表3 Role_Per表

角色權(quán)限表存放了所有角色的ID，角色名，角色權(quán)限這些基本信息。每個角色ID唯一確定了一種角色。每一種角色被分配相應的權(quán)限。該表把具體的許可對象與能夠操作它們的角色綁定在一起，是實現(xiàn)用戶權(quán)限定制的關鍵。該數(shù)據(jù)表的主鍵為Role_ID和Model_ID。角色與權(quán)限是雙向多對多的關系。

表4 User表

用戶表中存放了所有用戶的ID、用戶名、密碼、所屬角色這些基本信息，每個用戶的ID是唯一的，它唯一標識一個用戶。每一個使用本系統(tǒng)的用戶必須隸屬于某種角色。但用戶的角色并不唯一，可以隸屬于一種或多種角色。

表5 UserRole表

UserRole表將特定的用戶與角色關聯(lián)在一起，主鍵為User_ Name和Role_id。為用戶指定角色只需在該表中添加一條記錄即可；由于主鍵為User_Name和Role_id，所以允許一個用戶擁有多個角色，當多個角色的權(quán)限發(fā)生沖突時，取其并集。表2、3、4、5的相互關系如圖3所示。

圖3 權(quán)限控制E—R圖

3 安全組件的實現(xiàn)

3.1 權(quán)限管理組件的實現(xiàn)

采用ASP組件技術(shù)來實現(xiàn)權(quán)限管理組件，提高代碼的重用程度，大大簡化程序設計的復雜度，提高程序的設計效率，同時也有利于解決網(wǎng)絡信息系統(tǒng)的安全。

根據(jù)權(quán)限的設計，角色權(quán)限設置是系統(tǒng)權(quán)限管理的主要內(nèi)容，用戶通過它來完成各種權(quán)限的設置，設置的本質(zhì)就是對后臺角色權(quán)限表進行相關操作，如增加、刪除、修改等操作。

’OpenDB方法，打開數(shù)據(jù)庫，建立與SQL Server的連接，建立連接后就可以創(chuàng)建一個包含所有角色信息的記錄集。

……

Private Sub Add(Id As String, Name As String, Flag As String)

Dim NewConn As New ADODB.Connection

Dim NewRecordsetRole As New ADODB.Recordset

NewConn.Open "Provider=SQLOLEDB;DataSource=School;U serId=;Password="

NewRecordsetRole.Open "SELECT * FROM Role", NewConn, adOpenDynamic, adLockOptimistic

NewRecordsetRole.AddNew

NewRecordsetRole.Fields("Role_ID") = Id

NewRecordsetRole.Fields("Role_Name") = Name

NewRecordsetRole.Fields("flag") = flag

NewRecordsetRole.Update

End Sub

Private Sub Delete(Id As String)

Dim NewConn As New ADODB.Connection

Dim RecordsetDelete As New ADODB.Recordset

NewConn.Open "Provider=SQLOLEDB;DataSource=School;U serId=;Password="

NewConn.Execute "DELETE FROM Role WHERE Role_ID ='" & Id & "'", adCmdText + adExecuteNoRecords

End Sub

3.2 登錄組件的實現(xiàn)

登錄用戶通過所擁有的角色權(quán)限來判斷允許訪問的數(shù)據(jù)庫資源和系統(tǒng)資源。只要有安全考慮的網(wǎng)頁都可以調(diào)用登錄組件，查看用戶以前是否登錄過，系統(tǒng)會顯示對應的登錄表單或者直接打開受保護的頁面。輸入帳戶和密碼，系統(tǒng)負責驗證，操作包括到數(shù)據(jù)庫中選取符合條件的記錄，如果帳戶和密碼不存在，表示這個人沒有權(quán)利打開此網(wǎng)頁，系統(tǒng)將響應錯誤信息。若用戶有權(quán)利使用系統(tǒng)，系統(tǒng)會進行下一步操作，改變Session變量值、加載正確的網(wǎng)頁內(nèi)容等。若是一個合法的用戶，由于判斷是否通過認證的Session變量已設置為True，因而連接到下一個有安全考慮的網(wǎng)頁時不會再調(diào)用Student組件，也不會出現(xiàn)登錄界面。

登錄組件在VB6中測試編譯后，將產(chǎn)生.dll文件，并用regsvr32.exe將該組件注冊在系統(tǒng)數(shù)據(jù)庫（Registry）中。調(diào)用登錄組件，在ASP文件中加入以下代碼：

……

＜%

dim login

Set login = Server.CreateObject("student.login")

login.login nTryTimes

%＞

…… ＜!-跟受保護的網(wǎng)頁內(nèi)容-＞

Student.login是Student登錄組件的ProgID。ASP對COM組件的支持，使得它獲得了無限的可擴展性。ASP借助MTS進行自制COM組件的管理。

該系統(tǒng)已成功應用于學籍管理系統(tǒng)的設計和開發(fā)實踐。實踐應用表明，采用ASP組件技術(shù)實施的安全權(quán)限具有以下優(yōu)勢：權(quán)限分配直觀、容易理解，便于使用；擴展性好，支持權(quán)限多變的需求；重用性強。

[1] 常彥德.基于角色的訪問控制技術(shù)研究進展[J]計算機與現(xiàn)代化 2011 12.

[2] Dino Esposito等著 ASP數(shù)據(jù)訪問高級編程[M]程永敬 董啟雄等翻譯 機械工業(yè)出版社 2007.

[3] Sbelley powers著ASP組件開發(fā)指南（第二版）[M] 何健輝 張珞玲等翻譯 中國電力出版社

Design and implementation of WEB MIS system based on ASP component technology

Zhang Junqiang
(Shaanxi Vocational College of Finance and Economics,Xianyang,712000)

The rapid development of network technology,the problem of security is grow with each passing day.Aiming at the application layer authentication and access control security issues.In this paper,using ASP component technology,realizes the role permissions component and login component,ensure with different roles users can log on different interface,to strengthen the security management system,solves the problem of system security.

network security;permissions;access control;ASP component

圖1 角色權(quán)限管理

張軍強（1970-） 男，陜西富平，副教授，工學碩士學位，研究方向：計算機網(wǎng)絡及網(wǎng)絡安全