羅小芬 劉連浩
摘要:基于角色的權(quán)限管理以角色來(lái)管理用戶的權(quán)限,因其高效、靈活獲得了廣泛的應(yīng)用。在校園網(wǎng)VPN系統(tǒng)中引入基于角色的權(quán)限管理,根據(jù)需求設(shè)計(jì)RBAC模型并進(jìn)行實(shí)現(xiàn)。通過(guò)基于角色的權(quán)限管理,實(shí)現(xiàn)統(tǒng)一身份認(rèn)證,能夠防止未經(jīng)授權(quán)的訪問(wèn)干擾,保護(hù)校園網(wǎng)信息安全。
關(guān)鍵詞:角;權(quán)限管理;VPN
有系統(tǒng)就會(huì)有用戶,有用戶即會(huì)存在用戶的權(quán)限管理問(wèn)題。用戶權(quán)限管理方式有很多種,當(dāng)前廣泛采用的權(quán)限控制模型是RBAC模型[1],其基本思想是通過(guò)角色來(lái)管理用戶的權(quán)限。在這種模型中,根據(jù)用戶的身份和訪問(wèn)需求將其定義成不同的角色,然后將系統(tǒng)的各種功能操作權(quán)限與之進(jìn)行關(guān)聯(lián),從而使具有不同角色身份的用戶擁有不同的資源訪問(wèn)權(quán)限。
1.需求分析
隨著信息化建設(shè)的推進(jìn),各高校數(shù)字校園基本成形,接入校園網(wǎng)的計(jì)算機(jī)也越來(lái)越多,校園網(wǎng)內(nèi)的資源和應(yīng)用系統(tǒng)也越來(lái)越多,包括學(xué)校網(wǎng)站、在線圖書(shū)館資源、OA無(wú)紙化辦公系統(tǒng)、教務(wù)管理信息系統(tǒng)等。各應(yīng)用系統(tǒng)由不同的單位開(kāi)發(fā)建設(shè),身份認(rèn)證方式繁多,由此導(dǎo)致部分用戶為方便記憶,設(shè)定過(guò)于簡(jiǎn)單的口令,這有違信息安全原則且容易留下安全隱患。多種用戶管理體系的存在,給用戶管理工作帶來(lái)很大的難度。
VPN需要實(shí)現(xiàn)訪問(wèn)控制,大量師生在校外通過(guò)VPN接入校園網(wǎng),信息安全問(wèn)題需要引起重視。校園網(wǎng)內(nèi)各種資源需要根據(jù)訪客的身份來(lái)決定是否允許訪問(wèn),一些重要數(shù)據(jù)和敏感信息必須進(jìn)行加密處理并限制只有擁有權(quán)限的用戶才能訪問(wèn),如OA辦公系統(tǒng)只有教職員工才能訪問(wèn),在線圖書(shū)資源、教務(wù)管理系統(tǒng)等資源則限于教職員工和學(xué)生訪問(wèn),學(xué)校網(wǎng)站則允許所有用戶訪問(wèn)。
近年來(lái)高等教育快速發(fā)展,各高校動(dòng)輒擁有數(shù)千師生,他們都是校園網(wǎng)VPN的使用用戶。出于安全,數(shù)量龐大的用戶還須進(jìn)行權(quán)限分配。按照傳統(tǒng)的基于用戶的權(quán)限管理方法,針對(duì)這些用戶的初次權(quán)限分配已是一項(xiàng)巨大工程。而且,每年都會(huì)增加數(shù)千新用戶,再加上現(xiàn)有人員流動(dòng),系統(tǒng)管理員的工作難度和強(qiáng)度都非常大,稍有不慎就會(huì)造成權(quán)限管理混亂,危及校園網(wǎng)內(nèi)信息的安全。
因此,建立一個(gè)統(tǒng)一的基于角色的VPN用戶權(quán)限管理體系,實(shí)現(xiàn)對(duì)用戶權(quán)限的科學(xué)高效管理,對(duì)確保校園網(wǎng)內(nèi)信息的安全非常重要。
2.RBAC模型設(shè)計(jì)
RBAC的核心思想就是通過(guò)角色來(lái)管理權(quán)限,涉及三大主體:權(quán)限、角色、用戶。根據(jù)用戶的特征,定義不同的角色,然后根據(jù)角色的訪問(wèn)需要賦予相應(yīng)的資源和權(quán)限[2]。角色在校園網(wǎng)VPN用戶中是相對(duì)比較穩(wěn)定的,變動(dòng)的幾率很小。對(duì)角色分配權(quán)限后,一般不需要進(jìn)行大的調(diào)整,即使有人員流動(dòng),也不會(huì)影響到整個(gè)權(quán)限管理機(jī)制。因此通過(guò)角色來(lái)管理權(quán)限,可以大大降低用戶權(quán)限管理的難度。
權(quán)限是對(duì)校園網(wǎng)中資源和信息的訪問(wèn)許可及操作權(quán)利。將校園網(wǎng)內(nèi)的各種資源定義成一系列的URL地址。每項(xiàng)資源又分讀、寫(xiě)等權(quán)限。
角色是與校園網(wǎng)VPN用戶的的工作或職務(wù)相關(guān)聯(lián)的,每個(gè)角色擁有的權(quán)限也根據(jù)所負(fù)責(zé)工作的不同不相同。在校園網(wǎng)VPN用戶中,角色主要有四種:學(xué)生、教師、管理員、訪客。學(xué)生角色賦予在線圖書(shū)資源、教務(wù)管理系統(tǒng)、學(xué)院網(wǎng)站等資源的訪問(wèn)權(quán)限,教師角色賦予在線圖書(shū)資源、教務(wù)管理系統(tǒng)、學(xué)院網(wǎng)站、OA辦公系統(tǒng)等資源的訪問(wèn)權(quán)限,訪客角色僅賦予學(xué)院網(wǎng)站的訪問(wèn)權(quán)限,管理員角色則擁有所有資源的訪問(wèn)權(quán)限。
用戶是使用校園網(wǎng)VPN的個(gè)體。學(xué)生角色用戶信息由管理員從教務(wù)管理信息系統(tǒng)中導(dǎo)出,統(tǒng)一分配角色信息、創(chuàng)設(shè)初始密碼后導(dǎo)入用戶管理數(shù)據(jù)表中。教師角色用戶信息由人事部門(mén)提供,管理員統(tǒng)一分配角色、創(chuàng)設(shè)初始密碼后導(dǎo)入用戶數(shù)據(jù)表。其他部門(mén)管理員根據(jù)職能需求,由系統(tǒng)管理員創(chuàng)建,統(tǒng)一分配管理員角色并設(shè)定初始密碼。在用戶表中沒(méi)有信息的用戶,統(tǒng)一分配訪客角色。
這樣用戶在分配角色的同時(shí)即可獲得相應(yīng)的資源訪問(wèn)權(quán)限。結(jié)合校園網(wǎng)VPN的實(shí)際情況,構(gòu)造RBAC授權(quán)模型如圖1所示。
圖1RBAC權(quán)限模型
在本模型中,一個(gè)用戶只能擁有一種角色,不同的用戶可以擁有相同的角色。一個(gè)角色可以擁有多個(gè)資源的訪問(wèn)權(quán),不同的角色可以擁有同一個(gè)資源的訪問(wèn)權(quán)。也就是說(shuō),在本模型中,用戶與角色為多對(duì)多的關(guān)系,角色與權(quán)限也是多對(duì)多的關(guān)系。
3.實(shí)現(xiàn)
在基于角色的VPN統(tǒng)一權(quán)限管理系統(tǒng)中,系統(tǒng)管理員擁有對(duì)用戶、角色、權(quán)限分配的全部權(quán)限。管理員角色能夠增加用戶、修改用戶、刪除用戶,增加權(quán)限、刪除權(quán)限。為實(shí)現(xiàn)校園網(wǎng)內(nèi)所有應(yīng)用系統(tǒng)使用同一個(gè)用戶管理體系,實(shí)現(xiàn)統(tǒng)一身份認(rèn)證,將各個(gè)應(yīng)用系統(tǒng)的用戶數(shù)據(jù)整合到VPN認(rèn)證平臺(tái)下。各用戶要使用校內(nèi)的資源,均須經(jīng)過(guò)VPN服務(wù)器進(jìn)行身份認(rèn)證。整個(gè)體系的實(shí)現(xiàn)又分用戶管理數(shù)據(jù)表設(shè)計(jì)和根據(jù)用戶權(quán)限加載資源兩部分。
3.1用戶管理數(shù)據(jù)表設(shè)計(jì)
根據(jù)基于角色的用戶權(quán)限管理方案,在數(shù)據(jù)庫(kù)中設(shè)計(jì)了User、Role、Resource、Operation四個(gè)數(shù)據(jù)表。User表用來(lái)管理訪問(wèn)用戶,設(shè)計(jì)有3個(gè)字段,分別為Userid、Username和Password,分別存儲(chǔ)用戶ID(學(xué)號(hào)、工號(hào)等)、用戶名、用戶密碼。Role表用來(lái)管理用戶的角色分配,設(shè)計(jì)有UserID、RoleID、Rolename三個(gè)字段,分別存儲(chǔ)用戶ID、角色I(xiàn)D、角色名。Resource表用來(lái)管理相關(guān)角色的訪問(wèn)權(quán)限,設(shè)計(jì)有RoleID、ResourceID、Resourcename、Secvalue四個(gè)字段,分別存儲(chǔ)角色I(xiàn)D、資源ID、資源名、安全狀態(tài)值。Operation表用來(lái)管理對(duì)資源的有關(guān)操作,設(shè)計(jì)有ResourceID、OperateID、Operatename三個(gè)字段,分別用來(lái)存儲(chǔ)資源ID、操作ID、操作名稱。
3.2根據(jù)用戶權(quán)限加載資源
校園網(wǎng)中有部分資源對(duì)用戶所使用的客戶端安全要求較高,需要檢測(cè)是否安裝有防毒軟件等安全防護(hù)軟件,檢測(cè)完成后向服務(wù)器端返回一個(gè)secvalue值,服務(wù)器將這個(gè)值與用戶請(qǐng)求訪問(wèn)的資源的secvalue進(jìn)行比較,如果匹配,則向用戶發(fā)送該資源所對(duì)應(yīng)的URL地址及操作權(quán)限,如果不符合則不發(fā)送。
校園網(wǎng)VPN選擇SSLVPN,用戶使用瀏覽器以https方式訪問(wèn)VPN服務(wù)器,打開(kāi)認(rèn)證頁(yè)面,輸入用戶名、密碼信息發(fā)起認(rèn)證申請(qǐng)。SSLVPN服務(wù)器首先遍歷數(shù)據(jù)庫(kù)user表,如查詢到來(lái)訪用戶信息并且密碼匹配無(wú)誤,則掃描客戶端安全環(huán)境并跳轉(zhuǎn)至數(shù)字資源中心,遍歷Resource表,根據(jù)客戶端secvalue值以及用戶的角色和權(quán)限返回相應(yīng)的資源鏈接信息;如未檢索到來(lái)訪用戶信息,則按訪客角色,返回訪客角色對(duì)應(yīng)的資源信息。這樣一來(lái),沒(méi)有獲得權(quán)限的用戶就無(wú)法訪問(wèn)資源。這種細(xì)致的安全訪問(wèn)控制,能夠滿足不同資源和應(yīng)用系統(tǒng)對(duì)安全性的要求,使客戶端能夠安全接入校園內(nèi)網(wǎng),在一定程度上對(duì)校園網(wǎng)內(nèi)的資源起到了保護(hù)作用。
4.結(jié)論
用戶權(quán)限管理直接影響到校園網(wǎng)內(nèi)信息的安全。校園網(wǎng)VPN系統(tǒng)采用基于角色的權(quán)限管理,很好的解決了校外師生用戶遠(yuǎn)程接入校園網(wǎng)的問(wèn)題,并且能夠有效防止未經(jīng)授權(quán)的訪問(wèn),實(shí)現(xiàn)精細(xì)化的訪問(wèn)控制,保護(hù)校園網(wǎng)中的信息安全。基于角色的權(quán)限管理靈活、高效,建立的統(tǒng)一身份認(rèn)證機(jī)制,大大減少了用戶管理工作難度和強(qiáng)度。(作者單位:1中南大學(xué)信息科學(xué)與工程學(xué)院;2.湖南商務(wù)職業(yè)技術(shù)學(xué)院)
參考文獻(xiàn):
[1]王志勃畢艷茹.基于角色管理的系統(tǒng)權(quán)限模塊設(shè)計(jì)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012,(24):189-190.
[2]化成君,樊偉,張勝茂.基于角色的用戶權(quán)限管理和功能模塊的動(dòng)態(tài)加載[J].電腦開(kāi)發(fā)與應(yīng)用,2012,25(8):41-43.