基于规则引擎的实例级权限控制研究.pdfVIP

电子发烧友 电子技术论坛 基于规则引擎的实例级权限控制研究 1, 2 2 2 刘磊 ，倪宏 ，陈晓 （1. 中国科学院研究生院, 北京 100039 ；2. 中国科学院声学研究所 国家网络新媒体 工程技术研究中心, 北京 100080 ） 摘要: 该文通过比较常用的权限控制的实现方法，提出了基于规则引擎的实例级权限控制 框架，能灵活实现复杂的安全策略。 关键词: Java 认证授权服务；安全注释框架；规则引擎；实例级权限控制 Research on Rule Engine-Based Instance-Level Access Control 1, 2 2 2 LIU Lei , NI Hong , CHEN Xiao （1. Graduate University of Chinese Academy of Sciences, Beijing 100039, China; 2. National Network New Media Engineering Research Center, Institute of Acoustics, Chinese Academy of Sciences , Beijing 100080, China） Abstract: This paper compares some common implementation details of access control, and describes a rule engine-based instance-level access control framework, which is a flexible approach to configure complex security strategies. Keywords: JAAS; Security Annotation Framework; Rule Engine; Instance-Level Access Control 中图法分类号: TP393.08 文献标识码: A 0 引言 Java 认证授权服务 JAAS[1] （Java Authentication and Authorization Service ），提供了对用 户的认证和授权的框架和标准接口。一般 JavaEE 服务器按照 JAAS 框架实现了基于用户角 色的访问控制模型，对组件和商务方法进行访问控制，但这种权限控制粒度不够细，不能满 足实例级粒度等复杂安全控制需求。本文提出了一种基于规则引擎的实例级粒度的权限控制 框架，通过规则编制灵活配置实例级的权限。 本文结构如下：第 1 节比较当前 Java 应用中几种权限控制实现方式；第 2 节介绍基于 规则引擎的实例级权限控制框架；第 3 节阐述该权限控制框架在运营支撑系统中的应用实 例；第 4 节总结本文的工作。 1 权限控制实现方式比较 在 Java 应用中，对用户进行认证和授权通常有以下几种实现方式：编程方式、RBAC （Role-Based Access Control ）声明方式、基于JAAS 接口插入认证模块方式、实例级权限控 制方式等。本节具体分析比较所列几种实现方式的优缺点。 电子发烧友 电子技术论坛 1.1 编程方式 编程方式是将资源的访问及授权完全通过应用程序来实现。这种方式中没有明确的访问 控制对象，也没有明确的对资源的各种操作，而是首先取得访问控制主体的身份，然后执行 随后的代码访问资源。这种方式将资源的访问控制集成到代码中，实现特定控制功能，比较 直观简洁。缺点是无法配置安全策略、当安全策略发生变化时必须修改代码、当安全策略比 较复杂时权限控制代码甚至超过商务逻辑部分、难以实现较复杂的访问控制逻辑。 1.2 RBAC 声明方式 RBAC 引入了聚合体（Aggregation ）的概念，如组、角色等。角色是一