孙成

摘要

当前，通信网络技术正在迅猛发展，人们生活工作方式发生了巨大变化，如何能给用户提供高质量的服务和高效的位置隐私保护，是智能手机隐私保护技术发展的根本目的。本文针对智能手机通过浏览器访问定位权限出现的位置隐私问题进行研究。对于通过浏览器定位获取到的用户的地理位置信息，包括经度、纬度、地址以及时间数据，提出基于角色-页面模型的的分时间段访问控制方法，并提出不足之处和改进方法。

【关键词】浏览器定位 角色-页面模型 访问控制 时间段

1 前言

当前，大多数智能手机应用或者网站为了给用户提供更好的服务，总会频繁地向用户请求获取地理位置的权限，可见LBS服务正发挥越来越重要的作用。但是大部分用户在使用智能手机的过程中，并不会深究每款应用或网站请求的权限，也不知道哪个权限获取的数据会被作为商业利用或非法牟利。所以对于这些已存在和即将发生的问题，我们必须不断提出创新的方案来保护用户的位置隐私，同时又要避免影响应用提供的服务质量。本文提出了用户本人在移动终端浏览器中访问网站时，为其他的普通访问用户分配不同的角色，同时自定义授予不同角色的不同权限，从而不同角色对应的普通用户只能访问到被用户本人授权过的位置信息，这样用户就可以实现有效保护自身的位置隐私。

2 具体措施

用户所属角色的属性存储在角色服务器数据库中。用户登录以后，其所属的角色首先会通过角色服务器的验证，如果认证通过后，角色服务器为该用户所属的角色分配相关的属性和权限。此时用户就可以使用角色而不是用户來访问Web服务器，请求通过Web后用户可以跟服务器进行数据交互了。Web服务器根据客观的需求策略进行角色的分级以及对角色权限的规范约束。角色实际上可以定义为在使用RBAC访问控制方法时，每个角色至少匹配一个用户和一个许可权限。每个角色分配的用户可能完全一样，但是分配的权限肯定是不同的，这样可以保持各个角色的独立性，许可权限也存在这种情况。

访问控制是指计算机系统在对用户的身份认证合法之后，通过引用监控器对这些完成认证的用户授予不同等级的的访问权限，即授予其访问某些信息的权限，同时禁止其访问其他信息的权限，达到阻止未授权用户对敏感隐私信息的访问的目的。安全性是每个应用提供服务的根本保障，对Web应用来说更为重要，因为在Internet中，每个用户行为都是不可控的，所以除了加强接入、网络端口和接点的访问控制外，应该加强对访问权限的安全控制。

通过分析Web信息系统对数据库的访问得出，用户通过访问手机端浏览器页面请求，在得到服务端应用响应后，才能实现与应用的的数据交互。因而在符合基础RBAC模型设计原则基础上，设计出了如图1所示的针对于Web应用的基于角色一页面的用户权限管理E-R模型。

基于如上模型的RBAC分时间段访问控制权限管理，设计了如下数据库表。

（1）用户表，存储用户的ID，账号和密码，对用户进行管理，关系模式如下：

user table（USER_ID，USER_NAME，PASSWORD）

（2）角色表，存储角色的ID和名称，关系模式如下：

role table（ROLE_ID，ROLE_NAME）

（3）页面表，存储页面的ID、路径和功能，关系模式如下：

page table（PAGE_ID，PAGE_PATH，PAGE_FUNCTION）

（4）用户角色关系表，存储用户ID和角色ID，关系模式如下：

user_role table（USER_ID，ROLE_ID）

（5）角色页面关系表，存储角色ID和页面ID，关系模式如下：

role_page table（ROLE_ID，PAGE_ID）

（6）位置信息表，存储经度、纬度、地址和位置获取时间，关系模式如下：

location table（LONGITUDE，LATITUDE，ADDRESS，TIMEINFO）

其中，user_role的外键由user table的主键USER_ID和role table的主键ROLE_ID构成，role_page的外键由role table的主键ROLE_ID和page table的主键PAGE_ID构成，页面表中的信息从位置信息表中获取。也就是，对某个用户授予某个角色权限，然后为选定的角色设置相应的查看权限，即位置信息，然后跳转到相应的页面。

3 结语

本文在分析了基本的访问控制模型以及传统的基于RBAC的Web资源访问控制方法后，提出并设计了基于角色一页面模型的分时间段访问控制方法。这个方法对传统的RBAC模型进行了简化，使编程的工作量大大减少，开发起来更加便捷速度。但是也存在一些不足，因为这种方法将用户、角色和页面绑定在一起，必须根据网页划分功能的粒度才能实现对权限的访问控制。所以必须在设计阶段对页面功能做全面的划分，做出充分的提前量。

参考文献

[1]李潜.移动智能终端地理位置信息的隐私保护方法研究[D].山东大学，2016.

[2]罗智.移动终端位置服务的信息隐私保护方案的研究和原型实现[D].北京邮电大学，2015.

[3]倪晚成，刘连臣，刘伟.基于角色一页面模型的WEB用户访问控制方法[J].计算机工程与应用，2006（21）：124-126.

[4]查义国，徐小岩，张毓森.在Web上实现基于角色的访问控制[J].计算机研究与发展，2002（03）：257-263.