论文摘要：面向门户的角色访问控制机制的研究与应用

门户为群组间的协同工作提供了通用平台。基于门户的集成多应用环境工作方式对于访问控制的安全，尤其是对门户平台下整合的应用服务的授权访问提出了特殊的要求。基于角色的访问控制模型RBAC（Role-Based Access Control）是目前主流的访问控制模型，它比传统的自主访问控制DAC（Discretionary Access Control）和强制访问控制MAC（Mandatory Access Control）更优越，同时也提供了更高的灵活性和可扩展性。目前的RBAC模型在理论上和应用中仍存在着诸多问题，如用户和操作对象都被作为静态对象考虑、会话管理机制给管理员带来操作的复杂性、缺乏对权限和约束的进一步研究等；而面向门户的应用对访问控制有特殊的需求，主要体现在：门户平台下单点登录SSO（Single Sign On）身份认证机制与角色授权访问控制的统一、针对门户集成的Web服务实现信息的统一展示与个性化服务的结合、以及面向最终用户实际应用访问制定访问权限策略等。针对这些问题，本文提出了一个改进的角色访问控制模型，其实现机制能灵活而有效的保护门户资源，支持门户下统一身份认证与资源授权访问控制，对促进门户应用系统的发展具有现实意义。论文首先对RBAC访问控制技术与门户相关理论及其现有研究成果进行了分析与比较，在此基础上针对门户平台架构下的角色访问控制机制的特点，结合门户平台单点登录技术，构建了基于令牌的角色访问控制模型TRBAC（Token Role-Based Access Control），并给出了该模型的形式化描述，同时出于安全的需要，增加了对授权的约束，使角色能跨越门户平台下所有的应用，并在此基础上实现了面向门户的角色访问控制机制；然后在模型的应用中，设计并实现了访问控制授权管理模块，包括访问控制器、身份认证、角色权限管理配置以及基于LDAP目录的用户信息存储等；论文最后对采用该访问控制模型的门户应用系统进行了测试与分析，实验结果表明了该模型的安全性和可靠性，其实现机制为面向门户的集成多应用环境提供了有效的保护。