校園網(wǎng)絡(luò)ＦＴＰ服務(wù)器用戶(hù)權(quán)限管理及訪問(wèn)控制

[摘要]在“數(shù)字校園”環(huán)境下，F(xiàn)TP與其他應(yīng)用系統(tǒng)整合的關(guān)鍵是用戶(hù)管理的設(shè)計(jì)，如何分配用戶(hù)的權(quán)限，是用戶(hù)管理設(shè)計(jì)中要考慮的一個(gè)重要問(wèn)題。通過(guò)分析學(xué)院FTP各類(lèi)用戶(hù)的特點(diǎn)，采用基于角色的訪問(wèn)控制理論對(duì)用戶(hù)權(quán)限進(jìn)行分配，實(shí)現(xiàn)用戶(hù)與用戶(hù)與訪問(wèn)權(quán)限的邏輯分離。

[關(guān)鍵詞]FTP 用戶(hù)權(quán)限管理 角色訪問(wèn)控制

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0120080－01

在“數(shù)字校園”環(huán)境下，F(xiàn)TP與其他應(yīng)用系統(tǒng)整合的關(guān)鍵是用戶(hù)管理的設(shè)計(jì)，也就是FTP如何與“數(shù)字校園”的統(tǒng)一用戶(hù)管理集成，以實(shí)現(xiàn)在FTP系統(tǒng)上創(chuàng)建賬號(hào)能將訪問(wèn)權(quán)限擴(kuò)展到其他應(yīng)用系統(tǒng)。

用戶(hù)的管理主要包含:用戶(hù)的基本信息的管理、用戶(hù)所具有的角色的管理以及登錄和權(quán)限驗(yàn)證的管理。下面從用戶(hù)權(quán)限管理及訪問(wèn)控制方面來(lái)進(jìn)行分析。

用戶(hù)權(quán)限決定用戶(hù)是否有權(quán)訪問(wèn)某一特定資源或執(zhí)行某種特定操作。訪問(wèn)控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問(wèn)。如何分配用戶(hù)的權(quán)限，是用戶(hù)管理設(shè)計(jì)中要考慮的一個(gè)問(wèn)題。

學(xué)校FTP一般面向教師、學(xué)生以及行政人員。各類(lèi)用戶(hù)的特點(diǎn)分析如下：

1.行政人員的一般特點(diǎn)：人數(shù)較多，職務(wù)比較固定，工作的內(nèi)容相對(duì)固定。因此行政人員的權(quán)限也相對(duì)固定，一般情況下設(shè)置好后很少修改。

2.教師的一般特點(diǎn)：人數(shù)較多，每個(gè)教師可以講授多門(mén)課，每門(mén)課都有不同的教學(xué)資源，每門(mén)課都有大量的學(xué)生需要下載資源、上傳作業(yè)，每門(mén)課的學(xué)生都是只在某個(gè)學(xué)期或某個(gè)學(xué)年才是有效的用戶(hù)。所以需要修改的權(quán)限非常多。

3.學(xué)生的特點(diǎn)：人數(shù)非常多，每個(gè)學(xué)生需要學(xué)習(xí)多門(mén)課，即使是同一個(gè)專(zhuān)業(yè)的學(xué)生選修的課程也不會(huì)完全一樣，同一個(gè)教學(xué)班里的學(xué)生中可能課代表的權(quán)限更大。所以需要修改或新增的學(xué)生權(quán)限相對(duì)教師而言更多。

基于角色的訪問(wèn)控制技術(shù)的元素包括下列五方面：

1.用戶(hù)：用戶(hù)就是一個(gè)可以獨(dú)立訪問(wèn)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示其它資源的主體。用戶(hù)在一般情況下是指人，即被授權(quán)使用計(jì)算機(jī)的人，每個(gè)系統(tǒng)工作都有一個(gè)或幾個(gè)用戶(hù)參與。根據(jù)用戶(hù)存在的差異，分別賦予用戶(hù)某種和某幾種角色，用戶(hù)就具有相應(yīng)的權(quán)限。也可以把一些用戶(hù)賦予某種組，通過(guò)組和權(quán)限聯(lián)系起來(lái)，用戶(hù)就具有組相對(duì)應(yīng)的權(quán)限。

2.組：為了本系統(tǒng)適用于分散式權(quán)限管理，加入了組(用戶(hù)組)的概念，是指用戶(hù)的集合。方便權(quán)限管理用戶(hù)組也可以委派角色，當(dāng)用戶(hù)被加入用戶(hù)組時(shí)，自動(dòng)對(duì)用戶(hù)所在的用戶(hù)組擁有的角色進(jìn)行了委派。為了便于分散式權(quán)限管理系統(tǒng)同時(shí)還支持對(duì)部分組的權(quán)限進(jìn)行下發(fā)方式處理，授權(quán)特定的用戶(hù)對(duì)用戶(hù)組的權(quán)限進(jìn)行管理。用戶(hù)組、組角色、組權(quán)限都是多對(duì)多的關(guān)系。

3.角色：是指一個(gè)組織或任務(wù)中的工作或位置，它代表了一種資格、權(quán)利和責(zé)任。

4.權(quán)限：是對(duì)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進(jìn)行訪問(wèn)的許可。

5.訪問(wèn)控制：就是當(dāng)計(jì)算機(jī)系統(tǒng)所屬的信息資源遭受未經(jīng)授權(quán)的操作威脅時(shí)，能夠提供適當(dāng)?shù)墓苤埔约胺雷o(hù)的措施，來(lái)保護(hù)信息資源的機(jī)密性與正確性。訪問(wèn)控制實(shí)質(zhì)上是對(duì)資源使用的限制，決定主體是否被授權(quán)對(duì)客體執(zhí)行某種操作。一般訪問(wèn)控制策略有三種：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。本文采用的是基于角色的訪問(wèn)控制（Role-Based Access Control，RBAC）。

由于實(shí)現(xiàn)了用戶(hù)與訪問(wèn)權(quán)限的邏輯分離，基于角色的策略改變就極大的方便了權(quán)限管理。例如，為了使用戶(hù)管理更簡(jiǎn)捷，進(jìn)一步可以將用戶(hù)分為兩層。一層指?jìng)€(gè)人用戶(hù)，另外一層指組用戶(hù)，將具有相同角色的個(gè)人用戶(hù)放在同一個(gè)組用戶(hù)里面，再將組用戶(hù)同角色進(jìn)行關(guān)聯(lián)。這樣一來(lái)，分配角色只針對(duì)組而不是個(gè)人，從而大大地減少了權(quán)限管理與維護(hù)的工作量。另外，如果單獨(dú)的一個(gè)個(gè)人用戶(hù)具有與同一個(gè)組人員不同的角色，那么可以在該組中再單獨(dú)建立一個(gè)子組，并賦予它不同的權(quán)限，就可以實(shí)現(xiàn)個(gè)別權(quán)限不同的情況。如圖1所示。

根據(jù)上述對(duì)RBAC的分析，結(jié)合基于數(shù)字校園網(wǎng)的FTP系統(tǒng)的開(kāi)發(fā)，將系統(tǒng)的某些用戶(hù)劃分為若干個(gè)組，如普通用戶(hù)組、學(xué)生組、教師組和管理人員組等。在組用戶(hù)之間確認(rèn)層次關(guān)系，如圖2所示。再確定FTP系統(tǒng)中涉及到的角色，也明確其層次關(guān)系，將對(duì)應(yīng)的用戶(hù)(組用戶(hù))分配給相應(yīng)的角色。

通過(guò)以上分析采用基于角色的訪問(wèn)控制理論對(duì)用戶(hù)權(quán)限進(jìn)行分配，實(shí)現(xiàn)了用戶(hù)與用戶(hù)與訪問(wèn)權(quán)限的邏輯分離。

作者簡(jiǎn)介：

邢金萍，女，河南鄭州人，華中科技大學(xué)碩士學(xué)位，講師。