返回
电子商务系统开发过程中的安全设计

电子商务系统开发过程中的安全设计

ID:46772133

大小:67.00 KB

页数:3页

时间:2019-11-27

电子商务系统开发过程中的安全设计_第1页
电子商务系统开发过程中的安全设计_第2页
电子商务系统开发过程中的安全设计_第3页
资源描述:

《电子商务系统开发过程中的安全设计》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、电了商务系统开发过程中的安全设计作者:罗三强汪绍荣发布时间:06-04-30[摘耍]安全设计是开发电子商务系统的关键问题之一。其核心在于后台的数据访问控制和前端Web页面的访问控制。本文在描述并分析了口前主流的基于角色的数据访问控制和基于ASP.Net技术的Web页而访问控制的基础上,提出了基于数据和Web页面双重访问控制的安全模型一一DWACBSM(DataandWebAccessControlBasedSecurityModel)。[关键词]电子商务系统开发安全设计一、问题的提出就目前主流B/S(Browser/Server,浏览器/服务器)模式的电了商务系统

2、开发设计而言,其对应的安全模块设计主要包括两方面的工作:其一是对后台数据的安全访问控制;其二是对Web页面的访问控制。但在系统的具体开发过程小,两者并非孤立而是彼此关联地分布在B/S模式所对应的三层结构(表示层、应用层、数据层)的每一个层次Z中。目前流行的数据访问控制方式是基于角色的访问控制(RBAC,Rolebaseaccesscontrol);而微软的基T.Net技术的Web认证方式可方便地实现对Web页面的安全访问控制。在具体的开发过程中可将两者有效结合,实现所谓DWACBSM(DataandWeb基于数据和Web双重访问控制的安全模型AccessContr

3、olBasedSecurityModel)。二、基于角色的数据访问控制(RBAC)RBAC的核心思想在于:对数据访问的“许可(Permission)”权限被分配给特定的角色,而角色可被指派(赋予)给不同的用户,不允许用户直接与许可关联。RBAC对数据访问的“许可(Permission)”权限由数据库管理员统一管理,并可根据实际需要定义不同的角色;用户根据其职能和责任被指派(赋予)给相应的角色并取得角色所具有的许可权限。RBAC安全策略具有下列优点:大大降低了数据库管理员的工作量和工作的复杂度。数据访问的权限分配通常是管理员的一项繁重工作,而在RBAC中根据用户的实

4、际工作岗位将用户与角色相关联。一方而,定义、添加、删除角色屮的用户易于操作。另一方面可以通过更改角色的权限实现对大批量用户权限的更新。在实际系统屮,由于用户角色的数量总是远远少于用户的数量,而且角色也相对稳定,用户的变化则相对频繁,所以RBAC的管理代价是很小的。系统管理员可以通过定义角色、角色分层、角色限制来实现广泛、复杂的安全策略。在具体电子商务系统实现过程中,"nr设计下列通用的数据库逻辑模型,以配合RBAC安全策略的实施。数据访问控制的管理可以分两个层次來设计,一是用户和角色的管理,这是系统管理员的工作;二是对用户及用户操作合法性的确认。1•用户与角色的管

5、理系统管理员的系统操作集可定义为:SystemOperation={addUser,delUser,updatellser,AddRole,delRole,updateRole,addPermissionAssignment,DelPermissionAssignment,addRoleAssignmentjdelRoleAssignment}即分别为:添加用户、删除用户、更新用户、添加角色、删除角色、更新角色、为角色增加学科、删除角色的某个许可、为用户分配角色、取消用户的某个角色。在具体数据库设计时町设计相应函数來加以实现。2用户及用户操作合法性的确认对用户身份

6、的认证是通过对“用户一口令”的检查来实现的。一旦用户通过认证,就为用户产生一个有效的“票据”,该票据是用户进行系统访问的“通行证”。通过认证的用户,每次访问敏感数据前都要进行许可检查。这个过程是通过查询UserRole表和ACL来完成。只有当该用户对应的角色具有目标数据的操作许可,并冃角色可以访问的密级不低于数据的固有密级时,认证才能通过。这个过程可考虑使用下述自定义的函数实现:IsPermission(ticket,operation,objiect):确认用户user对冃标数据object是否具有操作operation的许可权力,其小ticket是用户的票据。

7、在具休实现的过程中,如采用.Net作为开发予台,考虑到.Net架构的CLR(CommonLanguageRuntime,通用语言运行环境)针对SQLServer进行了优化,故选用SQLServer数据库是效率很高的一种方式。作者:罗三强汪绍荣发布时间:06-04-30三、WEB页而的访问控制对Web页面访问控制的目的在于防止敏感页面的非法访问。Web页面访问控制是在表示层实现的。如采用Asp.Net技术来设计系统的表示层吋,需分成两个部分来设计:其一是用户的认证与授权;其二是根据用户权限定制网页。对Web访问的认证方式是和系统选用的开发标准向关联的。考虑到微软的A

8、sp.Ne

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。