孫佰利,郝尚富,王志輝

(河北北方學(xué)院信息科學(xué)與工程學(xué)院,河北張家口075000)

0 引 言

“教研管理系統(tǒng)”是一款專門為連接教育管理部門和各所中學(xué),實現(xiàn)統(tǒng)一教學(xué)管理和教學(xué)資源共享的綜合性系統(tǒng),該系統(tǒng)主要包括教研室和學(xué)校兩大實體,采用客戶端與Web服務(wù)相結(jié)合的工作模式.在整個系統(tǒng)設(shè)計過程中,由于每個實體下都有若干個子系統(tǒng),各子系統(tǒng)不可能對所有的用戶開放,這樣做既不利于數(shù)據(jù)保密,又會對系統(tǒng)安全運行造成威脅,因此,權(quán)限管理就成為系統(tǒng)設(shè)計的核心部分.

權(quán)限管理可以提高整個信息系統(tǒng)的安全性,但也往往是一個及其復(fù)雜的問題[1,2],所做的安全機制可歸納為這樣的邏輯表達式：有 “誰”能夠訪問系統(tǒng)的信息、用戶訪問的是 “什么信息”、哪個用戶被授予“什么樣的權(quán)限”,若想使其表達式為真,就必須采用具有一定訪問控制策略與機制的權(quán)限管理系統(tǒng),一旦確定了權(quán)限管理和發(fā)布的方式,訪問控制系統(tǒng)就可以控制用戶的訪問,從而達到保護整個系統(tǒng)的目的.

1 訪問控制技術(shù)

對于訪問控制技術(shù),國內(nèi)外學(xué)術(shù)界已經(jīng)做了大量的理論研究工作,提出了許多種模型,目前主流的訪問控制策略主要有自主訪問控制 (Discretionary Access Control,DAC)、強制訪問控制 (Mandatory Access Control,MAC)和基于角色的訪問控制 (Role Based Access Control,RBAC)[3,4].

1.1 自主訪問控制 (DAC)

目前我國大多數(shù)信息系統(tǒng)的訪問控制模塊都是借助于自主訪問控制方法中的訪問控制列表 (Access Control Lists,ACLs),它主要是基于主體及其身份來控制主體的活動,能夠?qū)嵤┯脩魴?quán)限管理、訪問屬性 (讀、寫、執(zhí)行)管理等.自主訪問控制有一個明顯的缺點,就是這種控制是自主的,它能夠控制主體對客體的直接訪問,但不能控制主體對客體的間接訪問 (即,利用訪問的傳遞性,A可訪問B,B可訪問C,于是A可訪問C).雖然這種自主性為用戶提供了很大的靈活性,但同時也帶來了一定的安全問題.

1.2 強制訪問控制 (MAC)

安全級別高的計算機采用這種策略,它常用于軍隊和國家重要機構(gòu),強調(diào)對每一個主、客體進行密級劃分,將數(shù)據(jù)分為絕密、機密、秘密和一般等幾個級別,并采用敏感標(biāo)識來標(biāo)識主、客體的密級.用戶的訪問權(quán)限也類似定義,即擁有相應(yīng)權(quán)限的用戶可以訪問對應(yīng)安全級別的數(shù)據(jù),從而避免了自主訪問控制方法中出現(xiàn)的訪問傳遞問題.這種策略具有層次性的特點,高級別的權(quán)限可以訪問低級別的數(shù)據(jù).這種策略的缺點在于訪問級別的劃分不夠細致,在同級間缺乏控制機制.

前兩種均屬于傳統(tǒng)的訪問控制策略,既工作量大,又不便于管理,RBAC是由David Fenaiol、Richard Kuhn等人提出的,是當(dāng)前信息系統(tǒng)資源訪問控制公認的有效方法.本系統(tǒng)的權(quán)限模塊采用RBAC策略.

1.3 基于角色的訪問控制 (RBAC)

RBAC包含三個實體：用戶、角色和權(quán)限.用戶是對數(shù)據(jù)對象進行操作的主體,可以是人、機器人和計算機等.權(quán)限是對某一數(shù)據(jù)對象可操作的權(quán)利.角色的概念源于實際工作中的職務(wù).一個具體職務(wù)代表了在工作中處理某些事務(wù)的權(quán)利,把這個概念引入權(quán)限管理中,則角色作為中間橋梁把用戶和權(quán)限聯(lián)系起來.用戶與特定的一個或多個角色相聯(lián)系,角色與一個或多個訪問許可權(quán)相聯(lián)系,角色可以根據(jù)實際的工作需要生成或取消,而用戶可以根據(jù)自己的需要動態(tài)地激活自己擁有的角色,避免了用戶無意中危害系統(tǒng)安全.

權(quán)限被賦予角色,而不是用戶,當(dāng)一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權(quán)限,會話session是用戶與激活的角色集合之間的映射.RBAC與傳統(tǒng)訪問控制的差別在于增加了一層間接性,從而帶來了靈活性.中學(xué)教研管理系統(tǒng)涉及到的用戶類別多,如在教育管理部門端,包括各個年級的主管及職員,在學(xué)校端,包括不同年級組的主任、普通教師等,而RBAC技術(shù)由于其對角色和層次化管理的引入,特別適用于用戶數(shù)量龐大,系統(tǒng)功能不斷擴展的大型系統(tǒng).所以本系統(tǒng)選擇了RBAC作為系統(tǒng)訪問控制設(shè)計方案.

2 權(quán)限模塊設(shè)計與實現(xiàn)

2.1 設(shè)計思想

中學(xué)教研管理系統(tǒng)一個連接中學(xué)教育管理部門和各所中學(xué),實現(xiàn)統(tǒng)一教學(xué)管理和教學(xué)資源共享的綜合性系統(tǒng),該系統(tǒng)主要包括教研室和學(xué)校兩大實體,采用客戶端與Web服務(wù)相結(jié)合的工作模式.在整個系統(tǒng)設(shè)計過程中,每個實體下都有若干個子系統(tǒng),各子系統(tǒng)下又有不同性質(zhì)的工作人員,為了保障信息安全和系統(tǒng)運行速度,并使操作簡單易行,在系統(tǒng)設(shè)計中采取基于工作人員的職務(wù)和工作性質(zhì)來確定其在本系統(tǒng)中的操作權(quán)限的方式,RBAC理論提出角色的概念,將用戶與操作分開,使得權(quán)限的分配變得簡單而有效,研究表明,RBAC理論所包含的設(shè)計思想有以下優(yōu)點：

(1)用戶所具有的權(quán)限易發(fā)生改變,而某種角色所對應(yīng)的權(quán)限相對穩(wěn)定,這樣,簡化了權(quán)限管理,避免直接在用戶和數(shù)據(jù)之間進行授權(quán)和取消.

(2)有利于合理劃分職責(zé),用戶只有其所應(yīng)具有的權(quán)限,這樣可以避免越權(quán)行為.

(3)防止權(quán)力濫用,敏感的工作分配給若干個不同的用戶完成,需要合作的操作序列不能由單個用戶完成.

這些特點能夠更好地解決中學(xué)教研管理系統(tǒng)中人員多、不易集中管理的問題,同時保證了系統(tǒng)信息的安全性.

2.2 設(shè)計與實現(xiàn)

整個系統(tǒng)設(shè)計采用java語言的SSH(Struts2+Spring+Hibernate)架構(gòu),這是J2EE輕量級架構(gòu)開發(fā)的主流,有利于以后系統(tǒng)的升級和兼容.根據(jù)用戶需求,該系統(tǒng)設(shè)計的基于RBAC權(quán)限管理模塊主要包括：用戶管理、角色管理、功能權(quán)限管理和信息管理,其下各個子模塊如圖1所示.

圖1 權(quán)限模塊功能劃分圖

(1)用戶管理

用戶是訪問系統(tǒng)資源的主體,管理員通過此模塊可以查詢用戶的角色權(quán)限信息,管理員選擇一個用戶,就可以獲取與用戶相關(guān)的身份信息及其具有的角色權(quán)限信息,同時,可以對角色授權(quán)進行修改.如圖2所示.

(2)角色管理

角色是應(yīng)用領(lǐng)域內(nèi)一種權(quán)利和責(zé)任的語義綜合體,在該系統(tǒng)中,將角色進一步劃分為：超級管理員、管理員和普通角色.其中超級管理員負責(zé)定義角色,并維護整個系統(tǒng)的運轉(zhuǎn)；各部門的管理員負責(zé)管理本部門的人員,并給人員分配角色；普通角色執(zhí)行各自的職務(wù).這里超級管理員為角色添加限制信息,各部門管理員只能操作他可分配的角色,具體的角色分配給哪個工作人員由各部門管理員決定,這樣實現(xiàn)了整個系統(tǒng)的統(tǒng)一管理和靈活分配.

角色定義：各級管理員根據(jù)用戶需要定義角色,管理員根據(jù)用戶所屬部門、科室或年級來定義角色.

角色用戶關(guān)系映射：根據(jù)管理員定義的角色信息確定與之對應(yīng)的用戶,完成二者的映射關(guān)系.

角色增、刪、改、查操作：管理員依據(jù)系統(tǒng)需要完成角色的相關(guān)維護操作,包括增加、刪除、更名等.如圖3所示.

圖2 用戶管理圖

圖3 角色管理圖

(3)功能權(quán)限管理

此模塊對用來確定各個角色所對應(yīng)的功能權(quán)限,完成角色與功能權(quán)限的映射關(guān)系,它包括權(quán)限角色關(guān)系映射和權(quán)限角色關(guān)系的增加、刪除和更改.

權(quán)限角色關(guān)系映射：系統(tǒng)管理員根據(jù)實際需要及已經(jīng)定義好的角色訪問范圍,完成角色與功能權(quán)限的映射,并將此映射關(guān)系寫入指定數(shù)據(jù)庫表中.

權(quán)限角色關(guān)系的增、刪、改：在實際應(yīng)用中,可能有些角色所具有的權(quán)限被削減或增加,縮小或擴大其能訪問或操作的權(quán)限范圍,因此,在此模塊中完成這項工作.

在用戶登錄時,系統(tǒng)會根據(jù)它所具有的角色信息,把相應(yīng)的權(quán)限提取出來,當(dāng)用戶請求某個操作時,驗證此用戶信息,包括用戶名、密碼和驗證碼,從而確定其所具有的操作權(quán)限,這一過程是通過建立會話session,激活角色,得到相應(yīng)的訪問權(quán)限的.如圖4所示.

圖4 功能管理圖

(4)信息管理

此模塊可以通過選擇指定的類別,對信息進行查詢和添加操作.如圖5所示.

圖5 信息管理圖

2.3 數(shù)據(jù)庫設(shè)計

該系統(tǒng)的采用Microsoft SQL Server2000作為后臺數(shù)據(jù)庫,與前臺Jquery和JSP技術(shù)相結(jié)合,可以很好地完成數(shù)據(jù)存取操作[6].各操作表存放系統(tǒng)中對應(yīng)的每一個的程序模塊,用戶表存放包含了用戶部分基本信息和對應(yīng)的角色名稱,完成用戶的角色授權(quán)；角色表存放系統(tǒng)中所有的角色信息,包括各級管理員、各種用戶類別；功能權(quán)限表存放存放每種角色所對應(yīng)的若干權(quán)限.同時,為了保證數(shù)據(jù)庫數(shù)據(jù)的同步,各表之間都設(shè)置了外鍵關(guān)聯(lián).具體的RBAC模式E-R關(guān)系如圖6所示.

圖6 RBAC模式E-R關(guān)系圖

3 安全性分析

該系統(tǒng)的權(quán)限管理模塊支持兩個著名的安全原則：職責(zé)分離原則和最小特權(quán)原則.在RBAC策略中,用戶通過指定用戶名和密碼登錄后,系統(tǒng)將激活角色,同時把該角色對應(yīng)的權(quán)限放到session里,若合法,則進行操作,否則返回登錄界面,或者退出系統(tǒng).對于重要的權(quán)限,將由不同的角色共同完成,以保證數(shù)據(jù)的安全性.

4 結(jié) 論

中學(xué)教研管理系統(tǒng)通過客戶端與Web相結(jié)合的架構(gòu)實現(xiàn)教育管理部門與各所中學(xué)的連接,由于涉及到的部門和各類人員較多,如果沒有一個可靠的權(quán)限管理系統(tǒng),那么數(shù)據(jù)安全就會受到威脅[7].本系統(tǒng)在java語言的SSH框架下采用基于角色的訪問控制 (RBAC)策略,很好地達到了用戶權(quán)限管理安全、便捷的目的,提高了系統(tǒng)應(yīng)用效率.

[1] 袁曉東,馮穎.B1級數(shù)據(jù)庫管理系統(tǒng)強制存取控制模型的研究 [J].計算機學(xué)報,2000,23(10)：845-879

[2] 何斌,顧健.基于角色訪問控制的權(quán)限管理系統(tǒng)[J].計算機工程,2004,12(30)：326-328

[3] 夏榆濱.基于RBAC的統(tǒng)一權(quán)限管理系統(tǒng)研究[J].微計算機信息,2006,22(09)：114-116

[4] 李立新,陳偉民,黃尚廉.強制訪問控制在基于角色的安全系統(tǒng)中的實現(xiàn) [J].軟件學(xué)報,2000,(10)：1320-1325

[5] Ferraiolo DF,Sanehu R.Proposed NIST standard：role-based access control[J].ACM T ransac Inform Syst Sec,2001,4(03)：224-274

[6] 龔波.SQL Server2000教程 [M].北京：北京希望電子出版社,2002：20-42

[7] 劉偉,孫玉芳.基于角色訪問控制模型及其在操作系統(tǒng)中的實現(xiàn) [J].計算機科學(xué),2003,(30)：166-168