随着网络技术的广泛应用,信息安全日益成为一个突出的问题。访问控制是信息安全保障机制的核心内容,是实现数据保密性和完整性的主要手段,而基于角色的访问控制(RBAC)是目前访问控制领域的比较成熟的技术。 本文深入研究了RBAC模型的原理及优势。但随着信息化和网络化的深入发展,传统的RBAC已不能满足现代企业访问控制的需求。因此,本文以电信知识管理(KM)项目为应用背景,分析和研究了企业级的信息管理系统的特点和对访问控制的特殊需求,进而对系统资源进行详细分类,采用目录树表示资源的方法,实现功能权限与数据权限灵活的细粒度的控制。同时对RBAC模型进行扩展,设计了基于“角色+部门”的权限控制策略,通过角色与企业组织相关联,形成一个分级的企业角色框架,以更好的支持企业级的权限访问控制。 大型企业的用户种类和数量都在快速增长,手工维护用户权限不仅会带来巨大的工作量,而且容易发生错误,为了解决这个问题,本文再次扩展RBAC模型,设计了基于规则与角色的权限控制模型(RB-RBAC),在用户和角色之间加入规则,通过用户属性与规则表达式的匹配,实现用户角色分配的自动化与动态化。 为了验证RB-RBAC模型的正确性和实践可行性,本文选用J2EE架构,Struts+Hibernate+Spring三种先进的开源框架组合开发,采用表示层、控制层、业务层、持久层四层体系结构来实现权限管理系统。此系统具有良好的通用性、扩展性、易维护性和较高的复用性,并成功应用于电信知识管理项目。最后,本文介绍了系统用户管理模块,角色管理模块,权限管理模块和规则管理模块等系统主要模块的详细设计与实现。