畢業(yè)設(shè)計（論文）-開放網(wǎng)絡(luò)環(huán)境的新人增強的動態(tài)授權(quán)機制研究

4-題目：開放網(wǎng)絡(luò)環(huán)境的信任增強的動態(tài)授權(quán)機制研究專業(yè)：計算機科學(xué)與技術(shù)學(xué)生姓名：班級學(xué)號：指導(dǎo)教師：指導(dǎo)單位：南京郵電大學(xué)計算機科學(xué)與技術(shù)系摘要在信息技術(shù)高速發(fā)展的當(dāng)今社會，隨著互聯(lián)網(wǎng)的飛速發(fā)展，各種信息管理系統(tǒng)如雨后春筍般地不斷涌現(xiàn)，為了維護(hù)信息管理系統(tǒng)的安全及網(wǎng)絡(luò)安全，權(quán)限管理訪問控制系統(tǒng)扮演著舉足輕重的角色。構(gòu)建強健的權(quán)限管理訪問控制系統(tǒng)，保證管理信息系統(tǒng)的安全性是十分重要的，權(quán)限管理訪問控制系統(tǒng)是管理信息系統(tǒng)中可代碼重用性最高的模塊之一。但幾乎每個單位都有自己的權(quán)限管理系統(tǒng)，都要在這方面投入相當(dāng)?shù)娜肆?、財力，為此我們有了?gòu)建統(tǒng)一的、通用的權(quán)限管理訪問控制模型并賦予實踐的念頭。本文首先分析已有的基于角色的RBAC四種模型，RBAC0、RBACl、RBAC2、RBAC3的現(xiàn)狀及實施問題；總結(jié)其優(yōu)缺點，研究了DTMGAC模型，并從需求分析、模型架構(gòu)、模實施方法等方面對模型進(jìn)行了詳細(xì)闡述，并給出了模型實施圖；文中還對模型的設(shè)計從設(shè)計任務(wù)、設(shè)計約定、對象設(shè)計、數(shù)據(jù)庫設(shè)計、功能設(shè)計、測試設(shè)計等方面進(jìn)行了詳細(xì)闡述；最后還對模型實施、關(guān)鍵算法、進(jìn)行了概括闡述，對本系統(tǒng)的特點及使用前景進(jìn)行了概括總結(jié)。關(guān)鍵詞：RBAC；DTMGAC；權(quán)限；訪問控制；角色ABSTRACTInthecurrentsocietywithinformationtechnologybeingdevelopedrapidly，withthefastprogressofInternet，bigamountofdifferentkindsofinformationmanagementsystemskeepemerging．Intheareaofassuringthesafetyoftheinformationmanagementsystemsandthenetwork，RBAC(R01e—basedaccesscontr01)systemplaysanimportantrole．It’scriticaltoconstructarobustpermissionmanagementaccesscontr01systemtomakesurethesafetyofthemanagementinformationsystemsecurity．Inthemeantime，permissionmanagementsystemisoneofthemoduleswhichcodecouldbereusedtothebestdegree．However，thecurrentsituationisthatalmosteveryunithasitsownpermissionmanagementsystemandinvestconsiderablehumanandfinancialresourcestoit．Henceitdawnsonusthatweshouldbuildaunified，universalpermissionmanagementmodelandsubsequentlyputitintopractice．Thispaperisbasedontheanalysisofthestatusandimplementationissuesaboutther01eoffourRBACmodels—RBAC0，RBAC1，RBAC2，RBAC3，summinguptheirstrengthsandweaknessesandmakingimprovementstothembyproposingnewDTMGACmodel：Italsogivesdetaileddescriptionforthemodelintheaspectsofneedsanalysis，modelstructure，andmodelimplementationmethods，etc．Itproposestheimplementationplansaswell．Furthermore，itelaboratesthemodelofthedesigntasksfromthedesign，designagreement，objectdesign，databasedesign，functionaldesign，andtestingdesignaspects，．etc．Finally，thepaperbrieflyexplainsthewayoftheimplementationofthemodelandthekeyalgorithm：alsoitsummarizesthefeaturesofthissystemanditsprospectinuse．Keywords：RBAC；DTMGAC；Permission；accesscontral；role目錄第一章引言 11.1課題研究背景 11.2論文組織結(jié)構(gòu) 2第二章基于角色的訪問控制原理 32.1相關(guān)訪問控制技術(shù) 32.1.1自主訪問控制 42.1.2強制訪問控制 52.1.3模型評價 62.1.4基于角色的訪問控制 72.2RBAC技術(shù) 102.2.1RBAC技術(shù)的特點 102.2.2RBAC的模型和發(fā)展 132.3本章小結(jié) 15第三章DTMGAC模型 173.1DTMGAC模型規(guī)范 173.1.1模型基礎(chǔ)語義 173.1.2模型授權(quán)規(guī)則 183.2、基于動態(tài)信任約束的角色授權(quán)過程 203.2.1、網(wǎng)格信任管理框架 203.2.2、基于動態(tài)信任約束的角色授權(quán)過程 223.3本章小結(jié) 23第四章基于DTMGAC的學(xué)生成績管理系統(tǒng)需求分析 244.1需求分析 244.1.1需求說明 244.1.2用例關(guān)系 244.1.3需求描述 244.2本章小結(jié) 26第五章系統(tǒng)設(shè)計 295.1產(chǎn)品功能 295.2用戶特點 295.3總體設(shè)計 305.3.1運行環(huán)境 305.3.2處理流程 315.3.3系統(tǒng)SC圖 315.3.4動態(tài)權(quán)限分配 325.3.5信任增強機制 335.3.6基于身份授權(quán) 335.4數(shù)據(jù)庫設(shè)計 335.4.1數(shù)據(jù)庫結(jié)構(gòu)設(shè)計 335.4.2數(shù)據(jù)庫概念結(jié)構(gòu)設(shè)計的E-R圖 335.4.3數(shù)據(jù)庫邏輯結(jié)構(gòu)設(shè)計 345.6詳細(xì)設(shè)計 365.6.1程序系統(tǒng)結(jié)構(gòu) 365.6.2程序模塊描述 365.6.3流程邏輯 385.7主要模塊設(shè)計 405.7.1教師動態(tài)授權(quán) 405.7.2信任增強模塊 415.7.3基于身份授權(quán) 435.8系統(tǒng)出錯處理設(shè)計 445.8.1出錯信息 445.8.2補救措施 445.8.3系統(tǒng)維護(hù)設(shè)計 445.9本章小結(jié) 44結(jié)束語 46致謝 47參考文獻(xiàn) 48附錄A-縮略詞 54附錄B-圖表清單 55南京郵電大學(xué)通達(dá)學(xué)院2012屆本科生畢業(yè)設(shè)計（論文）PAGE15第一章引言隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，安全問題日益受到關(guān)注。一個安全的網(wǎng)絡(luò)需要可靠的訪問控制服務(wù)作保證。訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。開放網(wǎng)絡(luò)環(huán)境下的分布式計算形態(tài)正從面向封閉的、熟識用戶群體的和相對靜態(tài)的形式向開放的、公共可訪問的和動態(tài)協(xié)作的服務(wù)模式轉(zhuǎn)變。在這種動態(tài)的和不確定的環(huán)境里，研究開放網(wǎng)絡(luò)下的信任機制迫在眉睫。傳統(tǒng)的安全機制大多是基于客觀憑證的，缺少對節(jié)點行為可信與否的主觀評判，因此，研究主客觀結(jié)合的安全可信機制勢在必行。本課題以授權(quán)機制為例，討論如何將基于節(jié)點行為的信任機制有機的融入進(jìn)來，使得原來的授權(quán)方案能夠得以改善，更加合理、準(zhǔn)確、及時地管理和分配目標(biāo)節(jié)點的權(quán)限。本軟件是設(shè)計或者模擬開放網(wǎng)絡(luò)環(huán)境下引入主觀信任機制以后的動態(tài)授權(quán)的過程，是主客觀結(jié)合的一個非常好的切入點。需要考慮的問題有：選擇一種比較合理的信任模型或者對其進(jìn)行適當(dāng)?shù)母倪M(jìn)以方便和授權(quán)機制進(jìn)行融合；如何將信任機制融入到授權(quán)機制中；引入信任以后如何更好的體現(xiàn)授權(quán)的動態(tài)性和實時性。軟件功能可以包括，信任值的簡單計算，基于信任的授權(quán)策略的設(shè)計，信任的動態(tài)性對授權(quán)的實時性的影響的演示。1.1課題研究背景任何一個系統(tǒng)無論文件系統(tǒng)還是操作系統(tǒng)都需要對敏感數(shù)據(jù)以及資源進(jìn)行安全保護(hù)，避免未授權(quán)的信息的泄露(保密性)，未授權(quán)或不合適的修改(一致性)，保證合法授權(quán)用戶對數(shù)據(jù)的正常訪問(有效性，不能拒絕服務(wù))。對系統(tǒng)及資源的保護(hù)要求每一個訪問請求都在控制之下進(jìn)行，這個過程稱之為訪問控制(accesscontral)。訪問控制服務(wù)實際早已成為標(biāo)準(zhǔn)安全服務(wù)的一種。隨著全球網(wǎng)絡(luò)化的熱潮，信息化網(wǎng)絡(luò)化建設(shè)早已深入社會的各個領(lǐng)域，滲透進(jìn)了生產(chǎn)生活的方方面面。但在使用網(wǎng)絡(luò)計算機系統(tǒng)帶來的便捷的同時，如果對于安全問題不加注意，將會帶來不可估量的后果。尤其是在金融、國防等領(lǐng)域的計算化程度越來越高，安全問題如果沒有得到有效解決，必然會影響整個網(wǎng)絡(luò)的發(fā)展。網(wǎng)絡(luò)應(yīng)用的逐步深入，安全問題日益受到關(guān)注。一個安全的網(wǎng)絡(luò)需要可靠的訪問控制服務(wù)作保證。訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。開放網(wǎng)絡(luò)環(huán)境下的分布式計算形態(tài)正從面向封閉的、熟識用戶群體的和相對靜態(tài)的形式向開放的、公共可訪問的和動態(tài)協(xié)作的服務(wù)模式轉(zhuǎn)變。在這種動態(tài)的和不確定的環(huán)境里，研究開放網(wǎng)絡(luò)下的信任機制迫在眉睫。1.2論文組織結(jié)構(gòu)本論文將分為五部分進(jìn)行論述，其組織結(jié)構(gòu)如下：第一章引言。首先介紹課題背景，接著介紹本人所做工作，最后介紹本論文的組織結(jié)構(gòu)。第二章基于角色的訪問控制原理。本章通過介紹一些重要的經(jīng)典模型，討論訪問控制模型的發(fā)展途徑，并著重討論基于角色訪問控制模型的衍伸，比較研究的結(jié)果說明對于不同安全需求，需要不同的訪問控制模型，對于安全系統(tǒng)中訪問控制方法的設(shè)計具有一定的指導(dǎo)意。第三章DTMGAC模型。本章提出了DTMGAC模型，通過引入信任級別概念拓展了RABC模型，并詳細(xì)的介紹了其原理。第四章基于DTMGAC的學(xué)生成績管理系統(tǒng)需求分析。本章主要介紹了基于DTMGAC學(xué)生管理系統(tǒng)的需求說明、用例關(guān)系、需求描述等。第五章系統(tǒng)詳細(xì)設(shè)計。本章是根據(jù)上一章所做的需求分析來設(shè)計系統(tǒng)。介紹了總體設(shè)計，數(shù)據(jù)庫設(shè)計，詳細(xì)設(shè)計，主要模塊的類的設(shè)計以及是對突發(fā)事件的處理。第六章結(jié)束語。總結(jié)了本論文所做的工作。第二章基于角色的訪問控制原理2.1相關(guān)訪問控制技術(shù)訪問控制實質(zhì)上是對資源使用的限制，決定主體是否被授權(quán)對客體執(zhí)行某種操作。它依賴于鑒別使主體合法化，并將組成員關(guān)系和特權(quán)與主體聯(lián)系起來。只有經(jīng)授權(quán)的用戶，才允許訪問特定的系統(tǒng)資源。以用戶認(rèn)證作為訪問控制的前提，將各種安全策略相互配合才能真正起到企業(yè)信息資源的保護(hù)作用。訪問控制的原始概念：是對進(jìn)入系統(tǒng)的控制。訪問控制的一般概念：是針對越權(quán)使用資源的防御措施。訪問控制的目的：是為了限制訪問主體(用戶、進(jìn)程、服務(wù)等)對訪問客體(文件、系統(tǒng)等)的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。訪問控制的作用：是對需要訪問系統(tǒng)及其數(shù)據(jù)的人進(jìn)行鑒別并驗證其合法身份，也是進(jìn)行記賬審計等的前提。訪問控制的基本問題：對于很多組織，系統(tǒng)的數(shù)量成百上千，用戶數(shù)量也成千上萬，要被保護(hù)的資源的數(shù)量常常超過百萬，在這種情況下，訪問控制的管理復(fù)雜性、管理成本和效率就成了訪問控制最基本的問題。目前主要有3種不同類型的訪問控制策略(如圖2-1)：·自主訪問控制策略(DiscretionarvAccessControlPolicies)·強制訪問控制策略(MandatonrAccessControlPolicies)·基于角色的訪問控制策略(Role-BasedAccessControlPolicies)自主訪問自主訪問控制策略強制訪問控制策略基于角色的訪問控制策略訪問控制策略圖2-1訪問控制策略定義2.1主體，就是動作的執(zhí)行者，請求的發(fā)起人，不一定就是操作該系統(tǒng)的用戶，也有可能是某部分代理代碼程序。定義2.2客體，主體所操作的對象，主體所要管理訪問的對象，比如文件、數(shù)據(jù)等。2.1.1自主訪問控制存取訪問控制模型最重要的部分就是聯(lián)系主體與客體之間關(guān)系的內(nèi)容，一般稱之為權(quán)限。既然稱為存取訪問控制，其目的自然是要求能控制主體對客體的訪問管理范圍，限制其對客體的訪問。在用戶進(jìn)入訪問控制模型的管理框架后，如何在合法用戶中間安全合理的確認(rèn)其正常工作所需基本權(quán)限就成為控制模型最開始關(guān)注的問題?；谶@樣的考慮，DAC被學(xué)者們最早提出，其組織形式如下：自主訪問控制的基本思想是通過建立主客體關(guān)聯(lián)表，主要是訪問控制列表的形式，將主體與客體的關(guān)聯(lián)在表中組織起來，而系統(tǒng)中的主體可以全部或部分的將其擁有的權(quán)限賦予其他主體。一般有基于主體或者基于客體的兩種形式?；谥黧w就是可以在每個主體后跟隨客體列表，記錄其能夠訪問的客體內(nèi)容以及可以采取的操作手段，根據(jù)記錄的內(nèi)容形式不同，這種基于主體的明細(xì)表有三種：權(quán)能表，前綴表和口令。權(quán)能表決定用戶是否可以對客體進(jìn)行訪問以及進(jìn)行何種形式的訪問(讀、寫、改、執(zhí)行等)。一個擁有某種權(quán)力的主體可以按一定方式訪問客體，并且在進(jìn)程運行期間其訪問權(quán)限可以添加或刪除。前綴表包括受保護(hù)的客體名以及主體對它的訪問權(quán)。當(dāng)主體欲訪問某客體時，自主訪問控制系統(tǒng)將檢查主體的前綴是否具有它所請求的訪問權(quán)。至于口令機制，每個客體(甚至客體的每種訪問模式)都需要一個口令，主體訪問客體時首先向操作系統(tǒng)提供該客體的口令。在自主訪問控制安全模型中，自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)限的某個子集授予其它主體的特性，用戶對信息的存取控制是基于用戶的鑒別和存取訪問規(guī)則。擁有權(quán)限的用戶可以自主地將他所擁有的權(quán)限傳授給其他用戶，如圖2-2所示?！ぬ攸c：根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策。靈活性高，被大量采用。·缺點：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。例如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對O訪問權(quán)限的B可訪問O。用戶用戶資源服務(wù)1服務(wù)2服務(wù)3圖2-2自主訪問控制2.1.2強制訪問控制基于客體即是在每個客體上附加主體明細(xì)表。其形式有保護(hù)位和訪問控制列表(ACL)兩種。訪問控制表可以決定任一主體是否能夠訪問該客體，它是在客體上附加一主體明細(xì)表的方法來表示訪問控制矩陣。表中的每一項包括主體的身份和對客體的訪問權(quán)。經(jīng)常見于文獻(xiàn)資料中的ACL方法，其實是DAC的比較具有代表性并實現(xiàn)容易、應(yīng)用簡便的一種形式。強制訪問控制是基于中心結(jié)構(gòu)的強制授權(quán)訪問控制。由授權(quán)機構(gòu)為主體和客體分別定義固定的訪問權(quán)限，且這些訪問權(quán)限不能由用戶，甚至是文件的創(chuàng)建者進(jìn)行修改。主體的信任級別反映了授權(quán)中心對主體的信任的程度，客體的級別與其包含信息的敏感度一致。擁有一定訪問級別的用戶可訪問相應(yīng)級別的數(shù)據(jù)。。如果系統(tǒng)認(rèn)為具有某一安全屬性的主體不能訪問具有一定安全屬性的客體，那么任何人(包括該客體的主人)都無法使該主體訪問該客體。即使存在特洛伊木馬，強制訪問控制也保證了信息可以在安全屬性的格中按一個方向流動，這就解決了自主訪問控制對信息安全控制不夠嚴(yán)密的問題。強制訪問控制作為一種對安全性考慮更多，設(shè)置更嚴(yán)苛的方式被學(xué)者們提了出來。該模式的特征就是預(yù)先給所有的主體和客體都安上安全級別標(biāo)簽，系統(tǒng)根據(jù)標(biāo)簽來決定訪問模式。在強制訪問控制機制下，系統(tǒng)內(nèi)的每一個用戶或主體被賦予一個訪問標(biāo)簽(accesslabel)表示對敏感性客體的訪問許可級別，同樣，系統(tǒng)內(nèi)的每個客體也被賦予一個敏感性標(biāo)簽，以反映該信息的敏感性級別。系統(tǒng)內(nèi)的訪問控制程序，通過比較主、客體相應(yīng)的標(biāo)簽來決定是否授予一個主體對客體的訪問請求。在強制訪問控制安全模型中，系統(tǒng)給主體和客體分配不同的安全屬性，系統(tǒng)通過對安全屬性的匹配比較來決定是否允許訪問進(jìn)行。安全屬性在安全策略沒有被改變之前是不能被改變的，所以用戶無權(quán)將對系統(tǒng)資源的訪問權(quán)傳授給其他用戶，如圖2-3所示?！ぬ攸c：強制訪問控制的實施取決于能用算法表達(dá)的且能在計算機上可執(zhí)行的策略。策略給出的只是資源受到的限制和實體的授權(quán)，而對資源的訪問權(quán)限取決于實體的授權(quán)而非實體的身份。頂級安全頂級安全安全典型安全用戶資源圖2-3強制訪問控制2.1.3模型評價DAC的特征顯示，主體集與客體集有任何變動，都要求對主客體關(guān)聯(lián)表進(jìn)行重新組織。但無論怎樣，DAC的提出，是對信息管理的首次審視，第一次將客體分門別類，納入不同主體的管理范疇。但隨之而來的是主體客體聯(lián)系要重復(fù)建立，工作量過大。DAC對于這個問題的解決途徑是，允許客體權(quán)限的擁有者(既有客體的完全擁有者也有客體的訪問者，這些都屬于主體的范疇)可以自由分配其所擁有的客體操作權(quán)限，可將其所有權(quán)限自由分配給其他主體。但也正是由于這種自主訪問控制的特點使得，只要擁有客體的權(quán)限的主體就自動獲得對該客體權(quán)限的分配能力，相應(yīng)提高了管理的難度，信息的安全性被犧牲了。另外，DAC不保護(hù)受保護(hù)的客體產(chǎn)生的副本，即一個用戶不能訪問某一客體，但能夠訪問它的拷貝，這更增加了管理的難度。但另一方面，也正是由于DAC模型不需要集中式授權(quán)的特點，它的靈活性一直是學(xué)者們研究DAC的出發(fā)點，特別是在分布式網(wǎng)絡(luò)逐漸興起的今天，部分研究學(xué)者重新又將DAC模型發(fā)展，沿用到今天的系統(tǒng)中。比較著名的早期的有HRU模型，1992年sandhu等人將其發(fā)展為TAM模型，還有2004年提出的SS模型，這說明在2002年RBAC模型已經(jīng)發(fā)展出分布式時，仍然有學(xué)者關(guān)注著DAC模型的發(fā)展。MAC通過這種無處不在的標(biāo)簽實現(xiàn)上讀／下寫的單向流通模式，基于安全的考慮，將DAC中已經(jīng)放手的權(quán)限的分配工作重新又收歸權(quán)限管理員一人所有，在主體客體一經(jīng)確定的系統(tǒng)初試階段就分配好標(biāo)簽，確定了各個主體的訪問范圍和方式。主體與客體的標(biāo)簽屬性，是在其一產(chǎn)生時就被賦予的，隨后主體對于客體集的訪問，就是在帶著標(biāo)簽屬性，在已固定的標(biāo)簽策略下，被牢牢限制住了。自主訪問控制策略卓越的靈活性特征使得它適用于各種各樣系統(tǒng)的安全需求，因而使得它在各種情況下得到大量的應(yīng)用，但由于其關(guān)聯(lián)列表對于空間的要求，以及查找時的效率問題使得在面對大型系統(tǒng)，分布式應(yīng)用時，自主訪問控制策略顯得力不從心?，F(xiàn)在其更多的應(yīng)用在規(guī)模較小的c／s架構(gòu)居多的個人應(yīng)用系統(tǒng)中。特別是，應(yīng)用程序中更是應(yīng)用的普遍。MAC模型的發(fā)展也有很多衍生版本，最為著名的是中國墻模型。中國墻策略是基于MAC模型又考慮DAC的部分特點，實現(xiàn)兩者的結(jié)合，能夠避免信息的直接泄漏和間接泄漏，通過定義沖突類，進(jìn)行責(zé)任分離約束。它的貢獻(xiàn)是對于訪問控制技術(shù)商用化的嘗試，所以在一段時間中國墻策略在商業(yè)系統(tǒng)中頻繁出現(xiàn)。其他主要模型還有Lattice模型，Bell-LaPadula模型(BLPModel)和Biba模型(BibaModel)。強制訪問控制模型是被設(shè)計用來在計算機操作系統(tǒng)內(nèi)實施多級安全策略的，從訪問控制的角度來處理在一個安全操作系統(tǒng)環(huán)境下，如何既保證主體能有效地訪問客體，又使得系統(tǒng)不泄漏信息。強制訪問控制模型對客體資源分配一個安全級別，這種方法主要適用于操作系統(tǒng)的訪問控制，被保護(hù)的對象一般是包含數(shù)據(jù)的文件，并不適合數(shù)據(jù)庫的強制訪問控制。在操作系統(tǒng)中，訪問級別分配給文件，而在數(shù)據(jù)系統(tǒng)內(nèi)的訪問控制粒度要比操作系統(tǒng)細(xì)得多，然而，非常細(xì)粒度的訪問控制將會給安全級別的維護(hù)帶來復(fù)雜性，這也正是多級粒度控制的數(shù)據(jù)庫系統(tǒng)沒有成功的原因。目前大多數(shù)商業(yè)數(shù)據(jù)庫系統(tǒng)都不支持字段級訪問控制，僅有oracle和SYBASE支持記錄級訪問控制。2.1.4基于角色的訪問控制角色這個概念，起源于UNIX操作系統(tǒng)組和數(shù)據(jù)庫管理系統(tǒng)中權(quán)利分組的概念。現(xiàn)代基于角色的訪問控制模型(Role-BasedAccessControl，簡稱RBAC)包含諸如角色、角色層次關(guān)系、角色活動、關(guān)于角色和用戶約束。一個比較容易理解的基于RBAC的框架是由Sandhu等人提出參考關(guān)于，后來得到不斷完善的模型，該模型提出了操作性比較強的基于角色的訪問控制系列模型RBAC96。RBAC96是很容易實現(xiàn)的，范圍覆蓋很廣，從簡單到復(fù)雜情況，是一個模型家族。RBAC96的出現(xiàn)標(biāo)志著RBAC在訪問控制模型研究中建立了其絕對優(yōu)勢地位。2001年該模型由權(quán)威標(biāo)準(zhǔn)化組織——美國國家標(biāo)準(zhǔn)技術(shù)局(NIST)支持，使得在商業(yè)系統(tǒng)中使用RBAC模型成為可能。RBAC96模型的主要元素有用戶、角色、權(quán)限、約束、會話，事實上RBAC96模型是由四種模型構(gòu)成的：RBAC0、RBAC1、RBAC2、RBAC4，是支持基于角色訪問控制模型的最小結(jié)構(gòu)模型，不考慮角色繼承和約束條件，而RBAC1包含RBAC0的結(jié)構(gòu)，且支持角色繼承，而RBAC2包含RBAC0的結(jié)構(gòu)，但支持一些組件上的約束條件，RBAC4即包含RBAC2的結(jié)構(gòu)又包含RBAC1的結(jié)構(gòu)，也就是說是包含RBAC0同時支持角色繼承和一些組件上的約束條件。下圖所表示的模型是RBAC96模型簇的基本模型稱為RBAC1，在該模型中定義了使用RBAC控制機制的基本要素。包括用戶(user)，角色(role)，訪問權(quán)限(pemissions)以及會話(session)。uesruesrrolepermssessionsUAPA圖2-4RBAC0模型示意圖其中角色的提出，是以現(xiàn)實生活中的用戶能力與在企業(yè)組織中所承擔(dān)職責(zé)不同為依據(jù)提出的，是權(quán)限與功能的集合。在RBAC模型簇中，用戶與角色之間，角色與權(quán)限之間都是多對多的關(guān)系，意即一個用戶可以靜態(tài)擁有多個角色，一個角色也可賦予多個用戶。角色也可被賦予多個權(quán)限，某個權(quán)限也可屬于多個角色。其形式化定義為：用戶角色分配：，，集合u與R的笛卡爾積表示了用戶與角色對應(yīng)關(guān)系的最大可能。角色權(quán)限分配：PAR×P，表示權(quán)限與角色分配之間的多對多關(guān)系。將依據(jù)現(xiàn)實系統(tǒng)所設(shè)計的權(quán)限一般不易變動的用戶提升為角色，作為控制模式的一個要素，連接在用戶與直接權(quán)限之間，便是RBAC控制模式的主要思想。其角色、權(quán)限集及用戶角色分配，權(quán)限角色分配的概念，對后來控制模型的發(fā)展影響巨大。會話、用戶、角色映射：(2-1)或用表示會話與用戶的映射關(guān)系，則上式可表示為，刪}，于是，用戶在進(jìn)入系統(tǒng)的某次操作所能使用的活動權(quán)限由UA，PA，R(S，U)共同控制。在RBAC0模型的基礎(chǔ)上，為了迸一步減輕角色權(quán)限分配的復(fù)雜度，在角色管理基礎(chǔ)上增加角色分級(RH)元素，實現(xiàn)角色權(quán)限的自動繼承。這就是RBAC1的主要內(nèi)容。RBAC1是對RBAC0的擴充，增加了角色等級的概念。實際組織中職權(quán)重疊現(xiàn)象的客觀存在為角色等級實施提供了條件。通過角色等級，上級角色繼承下級角色的訪問權(quán)限，再被授予自身特有的權(quán)限而構(gòu)成該角色的全部權(quán)限，這極大地方便了權(quán)限管理。RH的引入，將權(quán)限的靈活性分配又提升一個臺階，第三個模型RBAC2更多是從安全性方面考慮問題。根據(jù)最小權(quán)限原則及任務(wù)分離原則的要求，對UA，PA，RH以及S都引入相應(yīng)的約束條件，統(tǒng)稱為約束元素。事實上，約束元素的作用對象可以擴展至模型的所有元素。例如也可有針對R的約束，比如有角色容量。通過約束元素的引入，使得控制模型發(fā)展為可擁有以下安全限制的模型。比如，某公文的修改和審核不能為同一角色所擁有，即權(quán)限互斥。又如，對帳目的申請和批準(zhǔn)或者對設(shè)備的添置要求和采購不能為同一用戶所擁有，這可上升到角色互斥。RBAC2中的約束規(guī)則主要有1)最小權(quán)限，用戶分配的權(quán)限應(yīng)是其需要的最少權(quán)限，否則容易引起權(quán)限濫用。2)互斥角色，一個用戶最多只能屬于一組互斥角色中的某一個，否則會破壞職責(zé)分離。權(quán)限分配也有互斥約束，同一權(quán)限只能授予互斥角色中的某一個。3)基數(shù)約束與角色容量，分配給一個用戶的角色數(shù)目以及一個角色擁有的權(quán)限數(shù)目都可以作為安全策略加以限制，稱作基數(shù)約束。一個角色對應(yīng)的用戶數(shù)也有限制。4)先決條件，一個用戶要獲得某一角色時必須具備某些條件。同理，一個角色必須先擁有某一權(quán)限后才能獲得另一權(quán)限。2001年8月，NIST發(fā)表了RBAC建議標(biāo)準(zhǔn)。此建議標(biāo)準(zhǔn)綜合了該領(lǐng)域眾多研究者的共識，包括兩個部分：RBAC參考模型(theRBACReferenceModel)和功能規(guī)范(theRBACFunctionalspecification)。參考模型定義了RBAC的通用術(shù)語和模型構(gòu)件，并且界定了標(biāo)準(zhǔn)所討論的RBAC領(lǐng)域范圍，功能規(guī)范定義了RBAC的管理操作。該參考模型包含基本RBAC，等級RBAC及約束RBAC三種，其中約束RBAC主要是引入職責(zé)分離約束，又可分為靜態(tài)職責(zé)分離(SSD)和動態(tài)職責(zé)分離(DSD)，因此有些文章中，又以靜態(tài)職責(zé)分離及動態(tài)職責(zé)分離與基本RBAC等級RBAC并列為四種構(gòu)件。2.2RBAC技術(shù)2.2.1RBAC技術(shù)的特點①抽象對認(rèn)C通過提供一種名為角色的抽象層，來對現(xiàn)實中的用戶、操作和資源進(jìn)行一對多的映射。以抽象的方式管理權(quán)限減少了復(fù)雜性，使管理結(jié)構(gòu)清晰，并提供了實現(xiàn)復(fù)雜訪問控制策略的條件。在現(xiàn)實的系統(tǒng)中，抽象層可以被用來對權(quán)限進(jìn)行集中的管理。RBAC通過抽象層(角色層)簡化了訪問控制的管理工作，提高了管理效能，改善了操作的直觀性，并擴大了訪問控制策略實施的范圍。在RBAC中，權(quán)限與角色關(guān)聯(lián)，用戶是角色的成員，用戶從相應(yīng)的角色那里得到相應(yīng)的權(quán)限。根據(jù)組織中的各種職位的職責(zé)，角色被集中的創(chuàng)建，根據(jù)每個用戶的職權(quán)，為相應(yīng)用戶賦予相應(yīng)的角色。因此，可以很容易地將用戶的一個角色撤消，并賦予另一個角色。在新的應(yīng)用和新的系統(tǒng)加入到組織中時，可能通過對相應(yīng)角色添加和撤消權(quán)限，來使角色的成員用戶增加或刪除相應(yīng)權(quán)限。例如在RBAC當(dāng)中，一個用戶從一個職位調(diào)離到另一個職位時，只需要被簡單的撤消一個角色，并賦予另一個角色。、如果沒有RBAC，用戶的過期權(quán)限則需要被逐一定位、撤消，并賦予新的權(quán)限。②用戶、角色和權(quán)限傳統(tǒng)訪問控制(TfaditionallyAccessContml)對特定數(shù)據(jù)庫或特定應(yīng)用中信息的訪問控制，其實現(xiàn)方式是對組織中的每個用戶都要建立相應(yīng)的權(quán)限。如果用戶要訪問多個應(yīng)用和數(shù)據(jù)庫，那么對于每個資源，都要賦予該用戶相應(yīng)的權(quán)限。自主訪問控制與強制訪問控制方式作為傳統(tǒng)訪問控制方式，其工作量大，又不便于管理。例如：1000主體訪問10000客體，需1000萬次配置。如每次配置需1秒，每天工作8小時，就需要10,000,000／(3600*8)≈347．2天才能完成一次完整的配置工作。問題(Problem)(1)當(dāng)組織中的用戶進(jìn)入、離開或更改其職權(quán)時，要更新每個用戶的授權(quán)不但很困難、費時，而且容易出錯。(2)因此，此種方式將導(dǎo)致信息和系統(tǒng)安全的潛在沖突。通過以用戶的角色而不是用戶的身份作為訪問的關(guān)鍵，RBAC避免了這些問題。在基于角色的模型中，每個用戶可能被賦予多個角色，每個角色又可能有多個用戶。用戶被賦予的角色依據(jù)于他們的職權(quán)：并且每個角色被賦予訪問權(quán)限。權(quán)限決定數(shù)據(jù)和應(yīng)用是否能被訪問；并且，每個角色被賦予相應(yīng)的權(quán)限集，使得相應(yīng)的用戶可以完成所需的任務(wù)，如圖2-5所示。服務(wù)1服務(wù)1用戶角色角色1角色2角色3資源服務(wù)2服務(wù)3圖2-5基于角色的訪問控制用戶的角色可以屬于特定的任務(wù)、地理位置或個體描述。在多數(shù)情況下，組織里用戶職位更改的頻率比角色或職權(quán)更改的頻率高。通過將角色與權(quán)限相關(guān)聯(lián)，并只在角色的范圍內(nèi)對用戶進(jìn)行更改，這樣管理的成本就降低了。③最少權(quán)限最少權(quán)限原則是指有選擇地將權(quán)限賦予用戶，并使用戶被賦予的權(quán)限僅僅是用戶完成其工作所需的且足夠的權(quán)限。它提供了RBAC保護(hù)機制所要求的設(shè)置權(quán)限分離邊界的原則。最少權(quán)限的原則避免了用戶超越自身職責(zé)既定權(quán)限范圍，執(zhí)行非法權(quán)限操作的潛在威脅。④職責(zé)分離職責(zé)分離就是在不同角色之間，將任務(wù)和其相關(guān)聯(lián)的權(quán)限進(jìn)行分離，以防止用戶擁有超過他們職位所需的權(quán)力。其動機是為了保證欺騙和大的錯誤不會出生，除非多個用戶蓄意勾結(jié)。在RBAC系統(tǒng)中，職責(zé)分離的概念是由最小權(quán)限的原則所支持的。NISTRBAC模型就支持靜態(tài)和動態(tài)的職責(zé)分離。(1)靜態(tài)職責(zé)分離(SSD)如果兩個角色是靜態(tài)職責(zé)分離SSD(StaticSeparationofDuty)的關(guān)系，那么這兩個角色不能分配給同一個用戶。在基于角色的系統(tǒng)中，可能出現(xiàn)由于某個用戶同時擁有具有相互沖突關(guān)系的已經(jīng)授權(quán)的多個角色，而導(dǎo)致出現(xiàn)的矛盾沖突。阻止出現(xiàn)這種沖突的一個方法就是靜態(tài)職責(zé)分離，通過這種方法來約束對用戶進(jìn)行的角色賦予。這種方法就是一個用戶如果被授權(quán)給一個角色，(而這個角色同另一角色有靜態(tài)職責(zé)分離關(guān)系)，那么這個用戶就會被禁止成為另一個角色的成員。例如，一個用戶如果被授權(quán)為票據(jù)文員，那么他就不能被授權(quán)為應(yīng)收賬文員，如圖2-6所示。也就是說，角色“票據(jù)文員"與角色“應(yīng)收賬文員"互斥。超級出納員超級出納員出納員超級應(yīng)用收賬文員應(yīng)收賬文員超級票據(jù)文員票據(jù)文員應(yīng)收款清算賬目表示靜態(tài)互斥表示繼承圖2-6靜態(tài)職責(zé)分離SSD策略可以被集中式定制，并被統(tǒng)一地強加在特定的角色上。這種(職責(zé)分離)的約束關(guān)系可以被繼承。例如，如果一個角色——“超級應(yīng)收賬文員’’是由“應(yīng)收賬文員"繼承而來的，而“應(yīng)收賬文員"與“票據(jù)文員"是靜態(tài)職責(zé)分離的關(guān)系，那么“超級應(yīng)收賬文員”的與出納員也是靜態(tài)職責(zé)分離的關(guān)系。從另一方面考慮，“超級應(yīng)收賬文員’’的任何實例都可以被當(dāng)作“應(yīng)收賬文員"的一個實例，因此，出納員和“應(yīng)收賬文員’’之間的靜態(tài)職責(zé)分離關(guān)系也必須適用于“超級應(yīng)收賬文員”。A．動態(tài)職責(zé)分離(DSD)如果兩個角色是動態(tài)職責(zé)分離DSD(DynamicSeparationofDuty)的關(guān)系，那么這兩個角色可以同時分配給一個用戶，但是用戶的這兩個角色在同一時刻不能都是處于活動狀態(tài)。具有動態(tài)職責(zé)分離DSD關(guān)系的角色可以被授權(quán)給同一個用戶，只要用戶在完成任務(wù)時分別單獨使用其中一個角色時，不會出現(xiàn)沖突，但當(dāng)用戶同時要同時使用具有DSD關(guān)系的兩個或多個角色時，便會出現(xiàn)沖突。例如，一個用戶可以被同時授權(quán)為出納員和出納主管；由出納主管來負(fù)責(zé)監(jiān)視出納員打開收銀柜的行為是否合法。如果該用戶在使用出納的角色時，想要轉(zhuǎn)為使用出納主管的角色，RBAC將要求該用戶退出其出納的角色，并因而要求該用戶在行使出納主管角色之前先關(guān)閉收銀柜。只要用戶不能在同一時刻擁有這兩個角色，利害沖突就不會出現(xiàn)。2.2.2RBAC的模型和發(fā)展在授權(quán)管理中使用角色并不是一個新概念，但是在實際的網(wǎng)絡(luò)管理策略中使用角色是新的。盡管基于角色的安全模型已經(jīng)存在了20年，對于在計算機網(wǎng)絡(luò)和安全社區(qū)里面實現(xiàn)RBAC的方法至今還沒有形成一個一致的概念。結(jié)果，對RBAC包括其模型在內(nèi)形成了一系列從簡單到復(fù)雜的概念。Sandhu等人分析了各種RBAC定義。他們定義了基本的RBAC模型，即RBAC0，其中包括了最少權(quán)限和職責(zé)分離。其后的RBAC模型就是建立在這個基本模型之上，并引入了新的繼承和約束概念，以加強管理和安全上的利益。從圖2-7所示的RBAC模型家族中可以看出，各模型之間不是孤立的，而是存在一定的關(guān)系。RBAC3RBAC3ROLEHIERARCHIES+RBAC1ROLEHIERARCHIESRBAC0VANILLARBAC2CONSTRAINTSModelsHierarchiesConstraintsRBAC0NoNoRBAC1YesNoRBAC2NoYesRBAC3YesYes圖2-7RBAC模型家族1)RBAC0(FLATRBAC，ORVANILLARBAC)模型·用戶通過角色擁有權(quán)限；·必須支持用戶一角色授權(quán)的多對多映射；·必須支持授權(quán)一角色的多對多映射；·必須支持用戶一角色授權(quán)的檢索；·用戶可以同時使用多個角色的權(quán)限。2)RBAC1(HierarChicalRBAC)模型·基于RBAC0，并支持角色繼承；·需要支持任意層級繼承；·支持有限層級繼承。角色繼承是在組織內(nèi)部對角色的授權(quán)和責(zé)任的一種自然擴展。例如，在一個組織中可能既含有低級又有高級的角色，如果引進(jìn)角色繼承的概念，那么高級的角色就有權(quán)訪問低級角色能夠訪問的信息，但是反之并不成立。這種方法可以增加網(wǎng)絡(luò)管理的效率。高級角色通過繼承低級角色的權(quán)限避免了對每個角色的一般權(quán)限進(jìn)行重復(fù)性地指定所造成地麻煩。隨著組織的增大和權(quán)限的增加，角色繼承機制所帶來的好處就越多。3)RBAC2(ConstrainedRBAC)模型·基于RBAC0，且必須實行職責(zé)分離；·需要支持任意層級繼承；·支持有限層級繼承。RBAC2同樣是基于最初的RBAC0模型，但它引入了約束概念。例如，可以約束一個用戶是否能擁有某～角色。然而，約束也可以被用于許多其它情況下：約束可以用于建立一個特定角色的成員資格；約束也可以被用于作為授予一個角色的先決條件。例如，可以約束用戶能被授權(quán)為角色X的先決條件是他擁有角色Y。4)RBAC3(對稱RBAC，SymmetricRBAC)模型·基于RBAC1+RBAC2，且必須支持授權(quán)一角色關(guān)系的檢索，并且其效率要比用戶一角色關(guān)系的檢索高：·需要支持任意層級繼承；·支持有限層級繼承。NISTRBAC模型就是RBAC3。這是最復(fù)雜的RBAC模型，它包括了角色繼承和約束。在RBAC3中，約束被強加在角色繼承關(guān)系上。例如，低級別角色可能被限定最大的派生角色數(shù)量；多個低級別角色可能被限定只能派生不同的高級別角色；或限定用戶所能擁有的高級別角色的數(shù)量；在RBAC3中出現(xiàn)的這些繼承和約束問敏感的交互使得它成為最復(fù)雜的RBAC模型。2.3本章小結(jié)本章介紹了三種常見的訪問控制模型：自主訪問控制策略(DiscretionarvAccessControlPolicies)；強制訪問控制策略(MandatonrAccessControlPolicies)；基于角色的訪問控制策略(Role-BasedAocessControlPolicies)。并主要對RBAC模型進(jìn)行詳細(xì)介紹，闡述了其特點及其發(fā)展。對現(xiàn)有不同目的和應(yīng)用的訪問控制模型進(jìn)行了比較研究，對于比較成熟的模型進(jìn)行了重點介紹。目前比較成熟且具有絕對優(yōu)勢地位的是自主訪問控制、強制訪問控制以及基于角色的訪問控制模型。由于自主訪問控制以及強制訪問控制出現(xiàn)較早，而且自主訪問控制措施太弱，而強制訪問控制措施又太強，兩者管理工作量都很大。這兩種模型已逐漸成為特定領(lǐng)域的訪問控制模型，應(yīng)用性逐漸讓位給后來的模型。通過對自主訪問控制及強制訪問控制的簡單介紹，大概描述了訪問控制模型的產(chǎn)生及最初的研究方向。第三章DTMGAC模型隨著計算機網(wǎng)絡(luò)和通信技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)環(huán)境己經(jīng)從早期相對靜態(tài)的、面向特定組織和用戶群體的封閉網(wǎng)絡(luò)，轉(zhuǎn)變?yōu)榭晒苍L問的、面向大量動態(tài)用戶的分布式網(wǎng)絡(luò)。面向服務(wù)的體系結(jié)構(gòu)(SOA)和分布計算技術(shù)為信息系統(tǒng)提供了便捷、高效的資源共享和訪問手段。諸多信息系統(tǒng)在其管理域中，把內(nèi)部資源封裝為軟件服務(wù)和構(gòu)件釋放到分布式網(wǎng)絡(luò)中，形成一種覆蓋眾多信息管理域、具有極大信息容量和計算潛力的新型分布計算環(huán)境，稱之為開放計算環(huán)境。基于角色的訪問控制模型(RBAC)通過引入角色的概念實現(xiàn)了用戶和權(quán)限的邏輯分離，用戶通過管理員為其分配的角色獲得相應(yīng)的權(quán)限，RBAC模型不僅顯著地降低了授權(quán)管理的代價，而且還可以較好地支持授權(quán)約束。信任管理將特權(quán)管理、身份認(rèn)證和授權(quán)決策納入到統(tǒng)一的框架中加以處理，提出了適于解決域間資源共享中授權(quán)管理問題的理論和方法，已經(jīng)成為現(xiàn)代訪問控制領(lǐng)域的研究熱點。然而，傳統(tǒng)的基于角色的信任管理中普遍隱含采用靜態(tài)信任關(guān)系，一個實體要么完全信任另一個實體，要么完全不信任，這與現(xiàn)實應(yīng)用的情況并不相符。本文綜合基于角色的訪問控制和基于證書信任管理的各自優(yōu)勢，通過引入信任級別概念，基于開放環(huán)境動態(tài)信任關(guān)系管理機制，提出了一個適用于開放式環(huán)境的基于動態(tài)信任管理的通用訪問控制模型DTMGAC。DTMGAC模型的動態(tài)信任管理包括基于用戶身份的證書信任度量和基于用戶行為的信任度量，通過度量的動態(tài)信任級別將用戶會話映射到對應(yīng)的信任級，再由信任級對角色分配關(guān)系實施約束，通過信任級動態(tài)調(diào)整角色權(quán)限分配關(guān)系，用戶信任級別的改變直接影響到用戶的權(quán)限分配，從而實現(xiàn)了對角色可信授權(quán)委托控制，有效地解決了網(wǎng)絡(luò)資源的動態(tài)共享訪問控制問題。3.1DTMGAC模型規(guī)范基于動態(tài)信任管理的通用訪問控制模型(DTMGAC)綜合基于角色的訪問控制和基于證書信任管理的各自優(yōu)勢，基于動態(tài)信任管理，在模型的角色和權(quán)限之間引入信任級別的概念，將RBAC中以角色為中心的設(shè)計思想改進(jìn)為以動態(tài)信任管理為中心，通過信任級別約束用戶角色的授權(quán)委托，從而良好地適應(yīng)了開放式環(huán)境的動態(tài)訪問控制需求。3.1.1模型基礎(chǔ)語義定義1用戶屬性集(USER_PROPERTIEs)：定義USER_PROPERTIEs=為模型的用戶屬性集。每個用戶user都擁有相關(guān)的屬性集Pu，稱為用戶相關(guān)屬性。用戶在特定的會話中可映射會話屬性集P∈。定義2會話實例集(SESSION_INSTANCEs)：會話實例表示了用戶的登錄事實，會話實例體現(xiàn)了用戶與用戶所屬角色集的當(dāng)前活動子集間的映射關(guān)系，系統(tǒng)為每個會話實例建立唯一的標(biāo)識，一個用戶可以在同一時間通過初始化不同的會話實例進(jìn)行多次登錄。用session_instance表示會話實例集中的一個實例，即session_instance∈SESSION_INSTANCEs。定義3會話類型集(SESSION_TYPES)：定義S_T=為模型的會話類型集。用戶在激活一個會話實例時，根據(jù)所映射的會話實例屬性，標(biāo)識該會話實例的會話類型，如用戶user使用用戶屬性P(P)激活一個會話實例session_instance，則定義該會話實例具備會話類型P。定義4會話歷史集(SESSION_HISTORYs)：定義會話歷史記錄用戶相同會話類型、相同可信級別的會話行為。采用session_history表示會話歷史集中的一個元素，則有session_history∈SESSION_HISTORYs。定義5信任級別集(TRUST_LEVELs)：定義可信級別為界于-1和+1之間的實數(shù)集合，表示模型的信任等級。一個用戶的會話實例在不同的時間、根據(jù)不同的會話類型可具備不同的信任級別。采用trust_level表示可信級別集中的一個元素，則有trust_level∈TRUST_LEVELs={S|S[-1，1]}。定義6權(quán)限集(PERMISSIONs)：定義PERMISSIONs=，權(quán)限是對系統(tǒng)中一個或多個目標(biāo)執(zhí)行相關(guān)動作的授權(quán)模式，隸屬于OBJECTs×ACTIONs的子集，模型的權(quán)限集與角色集相關(guān)聯(lián)，一個角色可以擁有多個權(quán)限。用permission表示模型中的權(quán)限，即permission={(o，a)|o∈OBJECTs，a∈ACTIONs}permission∈PERMISSIONs。定義7約束集(CONSTRAINTs)：定義約束集為模型關(guān)系和委托的條件限制，采用謂詞規(guī)則應(yīng)用于模型關(guān)系和委托的條件限制。用constraint表示約束集中的一個約束，即constraint∈CONSTRAINTs。3.1.2模型授權(quán)規(guī)則規(guī)則1用戶會話分配(USA)：USA：USERs×SESSION_INSTANCEs×SESSION_TYPEs→SESSIONs。函數(shù)sua(u，s，P)=(u∈USERs，s∈SESSION_INSTANCEs，P∈SESSION_TYPEs，sP∈SESSIONs)，定義了用戶會話分配關(guān)系，其中∈SESSIONs表示一個具備會話類型P單一會話。在用戶與會話分配關(guān)系上，模型允許一個用戶可以同時激活不同類型的多個會話。規(guī)則2用戶信任級分配(UTA)：UTAUSERs×TRUST_LEVELs。用戶可信級分配定義了用戶信任級別的分配關(guān)系，用戶和信任級是多對多的映射關(guān)系，用戶可以在同一時間激活多個會話，且每個會話可以具備不同的安全級。同樣，同一安全級別的會話也可以賦給多個用戶。限制函數(shù)member(u，L)∈UTA要求用戶必須分級安全級為L的會話，其中L={l}，l∈[-1，1]。規(guī)則3會話信任級分配(STA)：STAUSERs×ST_LEVELs。會話可信級分配定義了會話信任級別的分配系，會話與信任級別是一對多的映射關(guān)系，即一個會話只能確固定的信任級別，而一個可信級別則可對應(yīng)于多個會話。規(guī)則4角色信任級分配(RTA)：RTAROLEs×ST_LEVELs。角色可信級分配定義了角色信任級別的分配系。角色與信任級別是多對多的映射關(guān)系，一個信任級別可多個角色相關(guān)聯(lián)，同樣，一個角色可關(guān)聯(lián)多個信任級別。規(guī)則5會話信任歷史(USH)：USHUSERS×SESSION_TYPES×SESSION_HISTORYS。會話信任歷程定了用戶、會話類型與該用戶在相同會話類型下以往訪問過三元素之間的關(guān)系。采用函數(shù)ush(u，P)=u表示，其中u∈Rs，P∈SESSION_TYPEs，會話信任歷史u則關(guān)聯(lián)用和類型為P會話。因為一個用戶能夠激活不同屬性類的會話，所以一個用戶可能會擁有多個會話信任歷史。規(guī)則6角色授權(quán)分配(PA)：PAPERMISSIONs×ROLEs，type(p，r)∈PA，p∈PERMISSIONs，r∈ROLEs。體現(xiàn)了授權(quán)到角色之間的多對多分配關(guān)系。規(guī)則7信任角色分配(Assigned_Roles)：Assigned_Roles：TRUST_LEVELs→。信任角色分配規(guī)范了信任級別(trust_levelL[-1，1])到角色之間的映射關(guān)系。信任角色分配函數(shù)Assigned_Roles(L)={r∈ROLEs|(r，L)∈RTA}表示對任意l∈L，Assigned_Roles({l})=Assigned_Roles(L)。規(guī)則8角色授限分配(Assigned_Permission)：Assigned_Permission：ROLEs→。角色授權(quán)分配規(guī)范了角色和授權(quán)之間的映射關(guān)系，角色授權(quán)分配函數(shù)定義為：Assigned_Permission(r)={p∈PERMISSIONs|(p，r)∈PA}?；赗BAC模型約束模型實現(xiàn)方法，DTMGAC模型的約束規(guī)范依賴于系統(tǒng)的存取控制策略實現(xiàn)，體現(xiàn)在模型的信任角色分配Assigned_Roles功能規(guī)范與信任角色授權(quán)分配Assigned_Permission策略規(guī)范中，即在角色到相對應(yīng)的信任級別映射、具體權(quán)限到角色的映射中實施角色支配規(guī)則和可信支持規(guī)則約束。約束規(guī)則1角色支配規(guī)則(roledomainance，RD)：RDROLEs×ROLEs。角色支配是定義在ROLEs上的偏序關(guān)系，稱為支配關(guān)系，用表示。角色r1和r2的支持關(guān)系可以表示為對任意的(r1，r2)∈RD，若r2支配r1，僅當(dāng)所有賦予r1的授權(quán)同樣被賦予r2，即有：(r1，r2)∈RD=>r1r2；r1r2=>Assigned_Permission(r1)Assigned_Permission(r2)。角色支配規(guī)范定義了在模型中，對于任意擁有角色r2用戶u，擁有其支配角色r1的所有權(quán)限。在此基礎(chǔ)上，DTMGAC模型定義的角色支持關(guān)系也包含了本模型引入的信任級支配關(guān)系，即當(dāng)僅在角色之間的支配關(guān)系時，一定會存在相應(yīng)的信任級支配關(guān)系。約束規(guī)則2可信支配規(guī)則(trust_leveldomainance，TLD)：TLDTRUST_LEVELs×TRUST_LEVELs。可信支配為定義在TRUST_LEVELs上的偏序關(guān)系，用表示。對任意的(L1，L2)∈TLD，如果說L2支配L1，當(dāng)且僅當(dāng)L1L2。如果L2是一個單安全級點{l2}，則信任級支配關(guān)系定義為sup{L1}l2，即安全級點l2大于或等于安全級L1的最大安全級元素。信任級支配關(guān)系包含在角色支配關(guān)系中，表示為：{(r1，r2)∈RD，(L1，L2)∈TLD|r1∈Assigned_Roles(L1)，r2∈Assigned_Roles(L1)}。3.2基于動態(tài)信任約束的角色授權(quán)過程DTMGAC模型可靈活應(yīng)用于開放網(wǎng)絡(luò)環(huán)境的安全信任系架構(gòu)(如網(wǎng)格、P2P環(huán)境)中。本文以網(wǎng)格應(yīng)用環(huán)境為例，格安全信任架構(gòu)將認(rèn)證授權(quán)與訪問控制機制中隱含的信任念抽取出來，通過網(wǎng)格信任管理機制在網(wǎng)格實體間建立信關(guān)系，以信任建立為中心統(tǒng)一網(wǎng)格中的身份認(rèn)證、授權(quán)管和資源訪問控制機制，信任關(guān)系的建立保證了網(wǎng)格實體間夠進(jìn)行安全的資源共享。網(wǎng)格基礎(chǔ)主要包括各種OSGA和WebServices基礎(chǔ)技及協(xié)議，如XML、WSN、SOAP等；網(wǎng)格安全傳輸主要括網(wǎng)格環(huán)境中的信息安全傳輸技術(shù)和協(xié)議，如IP-Sec、S-Security、SSL、TLS、SSH以及各種算法等；在基于I身份管理基礎(chǔ)設(shè)施和PMI授權(quán)管理基礎(chǔ)設(shè)施支持下，網(wǎng)身份認(rèn)證與網(wǎng)格授權(quán)管理這一層主要解決網(wǎng)格中用戶身份息的管理、用戶單點登錄、用戶數(shù)字證書的驗證、用戶角庫的管理以及用戶身份到用戶角色的映射等問題；網(wǎng)格資管理主要解決網(wǎng)格中的資源訪問控制和資源調(diào)度控制等問；網(wǎng)格應(yīng)用主要包括各種網(wǎng)格應(yīng)用服務(wù)和網(wǎng)格資源。3.2.1網(wǎng)格信任管理框架DTMGAC模型中的動態(tài)信任管理作為網(wǎng)格身份認(rèn)證系統(tǒng)、網(wǎng)格授權(quán)管理系統(tǒng)的信任代理與用戶進(jìn)行交互。動態(tài)信任管理通過信任協(xié)商技術(shù)進(jìn)行跨域身份信任建立，并由信任評估系統(tǒng)對網(wǎng)格實體之間的行為信任關(guān)系進(jìn)行量化評估，支持在不同網(wǎng)格信任域的實體之間建立信任關(guān)系。DTMGAC模型中的動態(tài)信任管理包括身份信任管理與行為信任管理兩部分，如圖3-1所示。DTMGAC模型身份信任管理的基礎(chǔ)是網(wǎng)格實體的安全憑證，具有客觀性，其所關(guān)注的是實體身份以及實體權(quán)限的驗證問題，主要通過加密、數(shù)字簽名以及認(rèn)證協(xié)議等手段來實現(xiàn)。動態(tài)信任管理機制中的身份信任管理的基礎(chǔ)是PKI證書體系，其涉及的內(nèi)容包括基于數(shù)字證書的單點登錄身份認(rèn)證、基于屬性與信任度的授權(quán)管理、基于角色與動態(tài)信任約束的訪問控制。其中，身份認(rèn)證系統(tǒng)、網(wǎng)格授權(quán)管理系統(tǒng)與網(wǎng)格資源訪問控制共同實現(xiàn)了DTMGAC模型中的身份信任管理。信任代理信任代理信任度計算方法信任信息形式化信任信息收集安全監(jiān)控與審計系統(tǒng)PKI證書系統(tǒng)授權(quán)管理系統(tǒng)身份認(rèn)證系統(tǒng)身份信任管理行為信任管理信任評估系統(tǒng)動態(tài)信任管理圖3-1DTMGAC模型動態(tài)信任管理框架DTMGAC模型NGST中的行為信任管理通過在各信任域內(nèi)建立信任評估系統(tǒng)來具體實施，信任評估系統(tǒng)包含了信任信息收集、信任信息形式化和信任度計算方法3個內(nèi)容。信任信息來源于安全監(jiān)控與審計日志中網(wǎng)格實體的行為記錄。授權(quán)管理系統(tǒng)可以根據(jù)網(wǎng)格實體信任評估結(jié)果為實體授權(quán)；資源管理系統(tǒng)可以將對用戶信任評估的結(jié)果作為資源訪問控制的一項輔助策略，以進(jìn)行更細(xì)粒度的訪問控制，同時可以將對資源服務(wù)信任評估的結(jié)果作為資源調(diào)度控制算法的一個參數(shù)，從而保證網(wǎng)格資源的使用效率。DTMGAC模型支持多域網(wǎng)格環(huán)境的信任建立。網(wǎng)格的每個自治域由一個信任代理處理本域所有信任關(guān)系問題。當(dāng)用戶請求資源服務(wù)時，應(yīng)向信任代理發(fā)出請求消息，在建立信任關(guān)系后，由資源管理系統(tǒng)根據(jù)用戶的角色，向用戶調(diào)度分配資源服務(wù)。DTMGAC模型信任管理應(yīng)分為域內(nèi)信任管理和域間信任管理兩種情況來考慮，其信任管理機制可采用差異不大，可采用通用信任管理框架進(jìn)行統(tǒng)一處理。3.2.2基于動態(tài)信任約束的角色授權(quán)過程用戶實體和資源實體加入網(wǎng)格自治域后，用戶訪問資源的動態(tài)信任約束角色授權(quán)過程如圖3-2所示。(1)用戶向信任代理發(fā)出資源服務(wù)請求，并提交其安全憑證。用戶在提交安全憑證時，可采用網(wǎng)格GSI用戶代理方式來實現(xiàn)單點登錄。(2)信任代理向身份認(rèn)證系統(tǒng)提交用戶的安全憑證，驗證用戶身份。如果認(rèn)證失敗，則中止信任關(guān)系建立過程。(3)信任代理向信任評估系統(tǒng)發(fā)送用戶身份信息以及服務(wù)類型信息，信任評估系統(tǒng)對用戶進(jìn)行行為信任評估，并將結(jié)果反饋給信任代理。資源服務(wù)資源服務(wù)資源服務(wù)資源系統(tǒng)管理信任評估用戶信任代理身份認(rèn)證系統(tǒng)授權(quán)系統(tǒng)884526193圖3-2動態(tài)信任約束的角色授權(quán)過程(4)信任代理向授權(quán)管理系統(tǒng)提交用戶安全憑證和用戶行為信任度，授權(quán)管理系統(tǒng)將根據(jù)動態(tài)信任約束角色授權(quán)模型，判定訪問類型，如果是訪問域內(nèi)資源，則根據(jù)信任約束分配用戶角色，建立用戶信任會話。跨域授權(quán)管理系統(tǒng)使用基于用戶屬性和用戶行為信任度的雙因子角色授權(quán)策略，一個典型的基于動態(tài)信任約束的角色授權(quán)策略如表3-1所示。對于擁有相同屬性的用戶，其行為信任度不同，能夠獲得的角色也可能不同，信任度更高的用戶可能獲得權(quán)限更高的角色。表3-1角色授權(quán)策略角色R1R2R3R4R5R6R7R8屬性A1A1A1A2A2A3A3A4信任度>0.9>0.7>0.5>0.7>0.4>0.6>0.4>0.3(5)信任代理向用戶發(fā)送授權(quán)管理系統(tǒng)簽發(fā)的代理證書。(6)用戶向資源管理系統(tǒng)提交代理證書，請求資源服務(wù)。資源管理系統(tǒng)將驗證代理證書中的行為信任類型與其請求資源類型是否一致，以及用戶的角色信息和行為信任度是否滿足資源訪問控制策略。如果驗證失敗，則中止信任關(guān)系建立過程。對于擁有相同角色的用戶，其行為信任度不同，能夠訪問的資源也可能不同，信任度更高的用戶可能訪問更為敏感的資源；而且用戶在訪問同一資源時，擁有更高的行為信任度可能獲得更高的服務(wù)質(zhì)量。(7)資源管理系統(tǒng)向信任評估系統(tǒng)發(fā)送資源服務(wù)類型信息，信任評估系統(tǒng)將對本域內(nèi)該類型資源的服務(wù)提供者進(jìn)行行為信任評估，并將結(jié)果反饋給資源管理系統(tǒng)。(8)資源管理系統(tǒng)啟動資源調(diào)度算法，決定分配哪一個資源服務(wù)提供者向用戶提供資源服務(wù)。資源的行為信任度將作為資源調(diào)度算法的一個參數(shù)，這樣可以更有效地進(jìn)行資源調(diào)度控制，提高資源利用效率。(9)資源管理系統(tǒng)作為資源代理向用戶提供資源服務(wù)。3.3本章小結(jié)DTMGAC模型通過引入信任級別概念拓展了RABC模型。在DTMGAC模型中，用戶不像傳統(tǒng)RBAC模型一樣直接分配角色，而是根據(jù)用戶的會話類型和會話屬性分配可信級別。模型的信任級別與角色的分配關(guān)系根據(jù)由具體組織的安全策略決定，角色與權(quán)限的分配關(guān)系與傳統(tǒng)RBAC模型保持一致。作為RBAC模型的一種擴展，DTMGAC模型繼承了RBAC模型的優(yōu)點，另外，融合客觀信任與主觀信任管理的優(yōu)點，DTMGAC模型采用動態(tài)度量用戶的信任級別來對角色實施授權(quán)委托約束，不僅能進(jìn)一步細(xì)化授權(quán)控制粒度，增強系統(tǒng)實用性，而且還能有效降低威脅風(fēng)險，為開放網(wǎng)絡(luò)的系統(tǒng)資源提供完善的安全保護(hù)。下一步要開展的研究是結(jié)合新一代訪問控制模型UCON的發(fā)展，為DTMGAC模型增加更為豐富的語義，并通過設(shè)計一個策略語言來更好地對存取控制模型進(jìn)行規(guī)范，然后在此基礎(chǔ)上，開發(fā)一個權(quán)限管理原型系統(tǒng)來驗?zāi)Ｐ偷目捎眯耘c安全性。第四章基于DTMGAC的學(xué)生成績管理系統(tǒng)需求分析4.1需求分析4.1.1需求說明開發(fā)的軟件系統(tǒng)的名稱：學(xué)生成績管理信息系統(tǒng)軟件的應(yīng)用：本軟件主要用于管理員（老師）對學(xué)生基本信息和成績的管理、對任課教師基本信息的管理等。管理員對學(xué)生的成績記錄進(jìn)行添加、修改、查詢，可以錄入、查詢、刪除教師和學(xué)生的基本信息。本系統(tǒng)主要是

Access為數(shù)據(jù)庫的開發(fā)技術(shù)，和編程語言連接在一起進(jìn)行開發(fā)的軟件系統(tǒng)，此系統(tǒng)是用java語言編寫的。該軟件是為了更好的管理學(xué)生成績而開發(fā)的。該軟件適合于各類中小型學(xué)校。4.1.2用例關(guān)系對于本權(quán)限模型需要完成以下功能：A．登錄系統(tǒng)：只有擁有合法帳號及口令的用戶才能成功登錄系統(tǒng)。B．建立角色：只有擁有建立角色權(quán)限的特殊用戶(即管理員)才能建立角色。C．分配角角色權(quán)限：只有擁有分配角色權(quán)限的特殊用戶(即管理員)才能進(jìn)行角色權(quán)限的分配。D．建立組織結(jié)構(gòu)：只有擁有建立組織結(jié)構(gòu)權(quán)限的特殊用戶(即管理員)才能建立組織結(jié)構(gòu)。E．建立用戶：只有擁有建立用戶權(quán)限的特殊用戶(即管理員)才能建立用戶。F．設(shè)置用戶權(quán)限范圍：只有擁有設(shè)置用戶權(quán)限范的特殊用戶(即管理員)才能進(jìn)行用戶權(quán)限范的設(shè)置。G．建立用戶角色關(guān)系：只有擁有建立用戶角色關(guān)系的特殊用戶才能建立用戶角色關(guān)系。4.1.3需求描述1、登錄系統(tǒng)1)基本流程①用戶輸入帳號、密碼、選擇角色，發(fā)出登錄請求；②應(yīng)用系統(tǒng)驗證用戶帳號、密碼，返回登錄是否成功的信息；③用戶向系統(tǒng)請求角色擁有相應(yīng)的模塊；④系統(tǒng)響應(yīng)用戶請求，返回用戶所有的模塊⑤用戶向系統(tǒng)請求當(dāng)前所能操作的模塊集；⑥系統(tǒng)響應(yīng)用戶需求，用戶獲得模塊集；⑦用戶請求取得當(dāng)前模塊；⑨系統(tǒng)響應(yīng)用戶的請求，用戶得到當(dāng)前模塊；⑨用戶請求系統(tǒng)展示當(dāng)前環(huán)境；⑩系統(tǒng)響應(yīng)用戶請求，按用戶權(quán)限展示用戶界面。2)例外流程第二步如帳號或密碼與數(shù)據(jù)庫中的登錄數(shù)據(jù)不符，則提示登錄失敗的信息并要求重新輸入帳號和密碼。2、建立角色基本流程：1)系統(tǒng)管理員發(fā)出新建角色請求2)系統(tǒng)建立角色，并給角色賦予初始值(如角色默認(rèn)名稱，排序，狀態(tài)描述，備注等信息)3)輸入角色的屬性4)保存屬性約束1：角色名的長度不能超25個字節(jié)(顯示上的考慮)；約束2：自動更新同角色關(guān)聯(lián)的繼承關(guān)系坐標(biāo)；約束3：自動更新同該角色關(guān)聯(lián)的互斥關(guān)系坐標(biāo)；約束4：在角色被刪除時，自動刪除同角色關(guān)聯(lián)的所有繼承關(guān)系；約束5：在角色被刪除時，自動刪除同該角色關(guān)聯(lián)的所有互斥關(guān)系。3、分配角色權(quán)限基本流程：1)系統(tǒng)管理員查找待分配權(quán)限角色并得到相應(yīng)角色；2)系統(tǒng)管理員取得功能模塊列表并返回模塊列表；3)系統(tǒng)管理員取得權(quán)限列表，并返回權(quán)限列表；4)系統(tǒng)根據(jù)權(quán)限值自動分配權(quán)限。4、建立用戶基本流程：1)系統(tǒng)管理員取用戶所在部門，并返回相應(yīng)部門：2)系統(tǒng)管理員在相應(yīng)部門新建用戶并為用戶指定帳戶、口令：3)系統(tǒng)管理員為新建用戶指定用戶所屬角色，該用戶取得用戶權(quán)限：4)系統(tǒng)管理員為新建用戶設(shè)置用戶權(quán)限范圍，并返回權(quán)限范圍集合。5)系統(tǒng)返回新建用戶。約束1：同步更新角色的已分配數(shù)量；約束2：用戶名不能重復(fù)。5、動態(tài)授權(quán)與信任增強考慮模型的動態(tài)信任管理包括基于用戶身份和基于用戶行為的信任度量；通過度量的動態(tài)信任級別將用戶會話映射到對應(yīng)的信任級，再由信任級對角色分配關(guān)系實施約束，通過信任級動態(tài)調(diào)整角色權(quán)限分配關(guān)系；用戶信任級別的改變直接影響到用戶的權(quán)限分配；實現(xiàn)了對角色可信授權(quán)委托控制，有效地解決了網(wǎng)絡(luò)資源的動態(tài)共享訪問控制問題。用戶可能隨時做出危險事件，所以本系統(tǒng)還配備了信任增強機制，根據(jù)用戶所做事件的危險等級來重新設(shè)定其信任值，確保系統(tǒng)安全。4.2本章小結(jié)本章主要介紹了基于DTMGAC學(xué)生管理系統(tǒng)的需求說明、用例關(guān)系、需求描述及主要的動態(tài)授權(quán)與信任增強等。為系統(tǒng)做了大的框架，使系統(tǒng)的設(shè)計更有目的性，設(shè)計起來更加方便快捷。第五章系統(tǒng)設(shè)計5.1產(chǎn)品功能本產(chǎn)品的功能主要是管理員針對學(xué)生信息、成績的管理，包括學(xué)生成績的查詢、添加、修改，學(xué)生基本信息查詢、插入、刪除等功能。還可對任課教師的基本信息進(jìn)行查詢、錄入、刪除管理。此外，增加了對開發(fā)者的簡述窗體，為美觀還增加了一個圖片窗體。5.2用戶特點本軟件適合于各類中小型學(xué)校。使用該軟件的人員需要有一些計算機的基本常識，在使用之前需要經(jīng)過開發(fā)人員的專業(yè)培訓(xùn)。操作人員只要懂得了軟件的基本使用方法和一些計算機的基本操作知識，即可對此軟件進(jìn)行操作。為了使軟件的壽命更長，需要對軟件進(jìn)行維護(hù)，維護(hù)人員應(yīng)該經(jīng)過該軟件開發(fā)者的專業(yè)培訓(xùn)合格之后才能維護(hù)該軟件。維護(hù)人員必須既要懂得一定的管理知識、又要懂得計算機技術(shù)和通信技術(shù)知識，并能對計算機進(jìn)行熟練的操作。另外本軟件使用時間不可能太長，隨著社會的不斷發(fā)展、技術(shù)的不斷更新，此軟件需進(jìn)行不斷的更新維護(hù)，在使用中進(jìn)行再開發(fā)。外部主要窗體：登陸界面、主窗體（美觀窗體、開發(fā)者簡述窗體）。內(nèi)部主要信息操作窗體：教師基本信息管理窗體（查詢、錄入、刪除窗體）；學(xué)生基本信息管理窗體（查詢、錄入、刪除窗體）；學(xué)生成績管理窗體（查詢、錄入、修改窗體）等。處理成績子系統(tǒng)處理成績子系統(tǒng)處理教師信息子系統(tǒng)處理學(xué)生信息子系統(tǒng)管理員任課教師教師錄入成績教師查詢成績學(xué)生查詢成績學(xué)生成績信息表教師信息表學(xué)生信息表動態(tài)授權(quán)系統(tǒng)信任增強系統(tǒng)圖5-1學(xué)生成績管理信息系統(tǒng)中主要的操作系統(tǒng)5.3總體設(shè)計5.3.1運行環(huán)境硬件平臺：服務(wù)器最低配置：CPU：Pentium266MHz處理器以及相當(dāng)?shù)奶幚砥鲀?nèi)存：64MB硬盤：500MB空間顯卡：Direct3D(16MB) 軟件平臺： 數(shù)據(jù)庫：Access 客戶端操作系統(tǒng)：windows98以上 客戶端軟件平臺：支持JAVA5.3.2處理流程登錄登錄管理員學(xué)生系統(tǒng)操作教師信息管理成績查詢數(shù)據(jù)恢復(fù)數(shù)據(jù)備份成績管理教師課程管理成績錄入人員管理成績管理成績查詢學(xué)生信息管理課程錄入管理成績修改學(xué)生管理成績查詢動態(tài)授權(quán)圖5-2系統(tǒng)流程處理圖5.3.3系統(tǒng)SC圖學(xué)生成績管理信息系統(tǒng)SC圖： 學(xué)生信學(xué)生信息成績修改、錄入學(xué)生成績查詢教師信息查詢查詢學(xué)生記錄學(xué)生個人信息修改、刪除用戶登陸界面學(xué)生基本信息管理教師信息管理美觀圖片學(xué)生成績管理信息系統(tǒng)學(xué)生信息登記用戶名+密碼成績更新學(xué)生信息教師信息更新命令教師信息更新命令教師個人信息錄入、刪除學(xué)生成績管理圖5-3學(xué)生成績管理信息系統(tǒng)SC圖5.3.4動態(tài)權(quán)限分配本系統(tǒng)給教師進(jìn)行了依據(jù)信任值的動態(tài)授權(quán)，信任值越高可執(zhí)行操作越多。若信任值過低，則無法登錄系統(tǒng)。信任值與權(quán)限分配的粗略設(shè)計：表5-1權(quán)限分配表信任值成績查詢成績錄入成績修改人員管理無法登錄<=0√0<x<11<=x<2√2<=x<3√√3<=x<4√√√x>4√√√√5.3.5信任增強機制在用戶訪問過程中可能隨時做出危險事件，所以本系統(tǒng)還配備了信任增強機制，根據(jù)用戶所做事件的危險等級來重新設(shè)定其信任值，確保系統(tǒng)安全。5.3.6基于身份授權(quán)角色身份：學(xué)生：成績查詢。老師：成績的查詢、錄入、修改及學(xué)生信息的管理。管理員：系統(tǒng)數(shù)據(jù)的備份、恢復(fù)；學(xué)生、老師的信息管理；課程的錄入、教師任課設(shè)置；成績查詢。5.4數(shù)據(jù)庫設(shè)計5.4.1數(shù)據(jù)庫結(jié)構(gòu)設(shè)計數(shù)據(jù)庫所需數(shù)據(jù)項和數(shù)據(jù)結(jié)構(gòu)：學(xué)生：學(xué)號，姓名，性別，生日，班級教師：教師編號，教師姓名，所在院系，聯(lián)系電話學(xué)生成績：學(xué)號，姓名，班級，學(xué)期，課程，成績教師-課程:課程，教師號，班級，學(xué)期，權(quán)限值5.4.2數(shù)據(jù)庫概念結(jié)構(gòu)設(shè)計的E-R圖說明：E-R圖中矩形代表實體，菱形代表實體間的聯(lián)系，圓角矩形代表實體的屬性教師教師教師號教師名。。。。。。學(xué)生學(xué)號姓名。。。。1：N學(xué)號、姓名、課程名。。。。教師號。。。。學(xué)生成績記錄N：11：M圖5-4數(shù)據(jù)庫E-R圖5.4.3數(shù)據(jù)庫邏輯結(jié)構(gòu)設(shè)計五個基本表：學(xué)生基本信息表（student）、任課教師表（teacher）、學(xué)生成績表（S_C）、教師-課程（T_C）、課程表（course），如圖5-5至5-9。圖5-5學(xué)生信息表圖5-6任課教師表圖5-7學(xué)生成績表圖5-8教師-課程表圖5-9課程表5.6詳細(xì)設(shè)計5.6.1程序系統(tǒng)結(jié)構(gòu)成績管理子系統(tǒng)功能模塊圖：成績管理子系統(tǒng)1成績管理子系統(tǒng)1查詢學(xué)生成績1-1錄入學(xué)生信息1-2修改學(xué)生成績記錄1-3圖5-10成績子系統(tǒng)結(jié)構(gòu)以下是其他系統(tǒng)輔助模塊圖：輔助系統(tǒng)輔助系統(tǒng)登陸窗體2圖片美觀界面3開發(fā)者簡介窗體4圖5-11輔助系統(tǒng)結(jié)構(gòu)5.6.2程序模塊描述成績管理子系統(tǒng)模塊主要完成管理員對學(xué)生成績的處理功能，包括查詢學(xué)生成績、修改學(xué)生成績、錄入學(xué)生成績。輔助系統(tǒng)模塊主要完成一些除具體操作之外的一些輔助設(shè)計功能，如圖片美觀界面、登陸界面、開發(fā)者介紹界面。登陸模塊（即用戶身份認(rèn)證模塊）功能：看用戶輸入的用戶名和密碼是否正確正確則進(jìn)入應(yīng)用程序，非法則顯示出錯信息將模塊細(xì)化為詳細(xì)邏輯IPO圖： 輸入處理 輸出 連接數(shù)據(jù)庫表連接數(shù)據(jù)庫 捕捉錯誤錯誤中斷程序用戶名獲取用戶名 用戶密碼 獲取用戶密碼 讀usename-password判斷用戶名是否存在 判斷密碼是否存在 提示出錯信息 捕捉異常 判斷用戶名密碼是否正確隱藏登錄窗口 顯示主窗體 文件login表圖5-12登陸模塊IPO圖2.學(xué)生成績管理模塊功能：接受最新的考試成績輸入信息，將成績信息存入學(xué)生成績信息表（S_C）；查詢學(xué)生成績信息（多表查詢），用到學(xué)生成績信息表（S_C）、教師基本信息表（teacher）；接受考試成績修改信息，將改后的成績信息存入學(xué)生成績信息表（S_C）；界面：調(diào)用學(xué)生成績信息表（S_C），教師基本信息表（teacher）；將模塊細(xì)化為詳細(xì)邏輯IPO圖：輸入處理輸出給出提示提示信息 錄入最新的考試成績給出提示提示信息學(xué)號 查詢是否存在該記錄 若無該記錄 若有該記錄則顯示出來修改學(xué)生成績記錄 提取學(xué)號 提取課程名稱 若無該記錄若有該記錄則顯示出來 提交 異常出錯處理 修改成功teacher表 S_C表圖5-13學(xué)生成績管理模塊IPO圖3．輔助窗體（圖片美觀窗體和開發(fā)者簡介界面）功能：圖片窗體顯示圖片；開發(fā)者簡介界面顯示一些開發(fā)者的介紹信息。5.6.3流程邏輯用圖表（例如N-S圖、判定表等）輔以必要的說明來表示本程序的邏輯流程。登陸窗體N-S圖如下：登陸窗體在文本框中輸入用戶名和密碼然后點擊確定按鈕Tusename和password都正確F進(jìn)入主窗體界面彈出對話框同時登陸界面被隱藏提示出錯信息圖5-14登陸窗體N-S圖（2）學(xué)生成績管理子系統(tǒng)N-S圖如下：查詢學(xué)生成績記錄：執(zhí)行以下SQL語句進(jìn)行查詢：sql="selectSID,Sname,scorefromS_CwhereTgrade='"+bj+"'andCname='"+kc+"'andTerm='"+xq+"'";查詢學(xué)生成績記錄操作在輸入框中輸入要查找的學(xué)生的學(xué)號T表中是否存在要查找的學(xué)號然后點擊查找按鈕F在相應(yīng)字段所對應(yīng)的彈出對話框提示出錯信息文本框中顯示出來圖5-15查詢學(xué)生成績記錄模塊的N-S圖錄入學(xué)生成績記錄操作：向S_C表中錄入成績，執(zhí)行以下SQL語句：sql="insertintoS_Cvalues(?,?,'"+bj+"','"+xq+"','"+kc+"',?)";錄入學(xué)生成績記錄錄入學(xué)生成績記錄向輸入框中輸入各學(xué)生成績記錄輸入完畢后點擊錄入按鈕給出錄入成功