羅小芬 劉連浩

摘要：基于角色的權(quán)限管理以角色來(lái)管理用戶的權(quán)限，因其高效、靈活獲得了廣泛的應(yīng)用。在校園網(wǎng)VPN系統(tǒng)中引入基于角色的權(quán)限管理，根據(jù)需求設(shè)計(jì)RBAC模型并進(jìn)行實(shí)現(xiàn)。通過(guò)基于角色的權(quán)限管理，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，能夠防止未經(jīng)授權(quán)的訪問(wèn)干擾，保護(hù)校園網(wǎng)信息安全。

關(guān)鍵詞：角；權(quán)限管理；VPN

有系統(tǒng)就會(huì)有用戶，有用戶即會(huì)存在用戶的權(quán)限管理問(wèn)題。用戶權(quán)限管理方式有很多種，當(dāng)前廣泛采用的權(quán)限控制模型是RBAC模型[1]，其基本思想是通過(guò)角色來(lái)管理用戶的權(quán)限。在這種模型中，根據(jù)用戶的身份和訪問(wèn)需求將其定義成不同的角色，然后將系統(tǒng)的各種功能操作權(quán)限與之進(jìn)行關(guān)聯(lián)，從而使具有不同角色身份的用戶擁有不同的資源訪問(wèn)權(quán)限。

1.需求分析

隨著信息化建設(shè)的推進(jìn)，各高校數(shù)字校園基本成形，接入校園網(wǎng)的計(jì)算機(jī)也越來(lái)越多，校園網(wǎng)內(nèi)的資源和應(yīng)用系統(tǒng)也越來(lái)越多，包括學(xué)校網(wǎng)站、在線圖書(shū)館資源、OA無(wú)紙化辦公系統(tǒng)、教務(wù)管理信息系統(tǒng)等。各應(yīng)用系統(tǒng)由不同的單位開(kāi)發(fā)建設(shè)，身份認(rèn)證方式繁多，由此導(dǎo)致部分用戶為方便記憶，設(shè)定過(guò)于簡(jiǎn)單的口令，這有違信息安全原則且容易留下安全隱患。多種用戶管理體系的存在，給用戶管理工作帶來(lái)很大的難度。

VPN需要實(shí)現(xiàn)訪問(wèn)控制，大量師生在校外通過(guò)VPN接入校園網(wǎng)，信息安全問(wèn)題需要引起重視。校園網(wǎng)內(nèi)各種資源需要根據(jù)訪客的身份來(lái)決定是否允許訪問(wèn)，一些重要數(shù)據(jù)和敏感信息必須進(jìn)行加密處理并限制只有擁有權(quán)限的用戶才能訪問(wèn)，如OA辦公系統(tǒng)只有教職員工才能訪問(wèn)，在線圖書(shū)資源、教務(wù)管理系統(tǒng)等資源則限于教職員工和學(xué)生訪問(wèn)，學(xué)校網(wǎng)站則允許所有用戶訪問(wèn)。

近年來(lái)高等教育快速發(fā)展，各高校動(dòng)輒擁有數(shù)千師生，他們都是校園網(wǎng)VPN的使用用戶。出于安全，數(shù)量龐大的用戶還須進(jìn)行權(quán)限分配。按照傳統(tǒng)的基于用戶的權(quán)限管理方法，針對(duì)這些用戶的初次權(quán)限分配已是一項(xiàng)巨大工程。而且，每年都會(huì)增加數(shù)千新用戶，再加上現(xiàn)有人員流動(dòng)，系統(tǒng)管理員的工作難度和強(qiáng)度都非常大，稍有不慎就會(huì)造成權(quán)限管理混亂，危及校園網(wǎng)內(nèi)信息的安全。

因此，建立一個(gè)統(tǒng)一的基于角色的VPN用戶權(quán)限管理體系，實(shí)現(xiàn)對(duì)用戶權(quán)限的科學(xué)高效管理，對(duì)確保校園網(wǎng)內(nèi)信息的安全非常重要。

2.RBAC模型設(shè)計(jì)

RBAC的核心思想就是通過(guò)角色來(lái)管理權(quán)限，涉及三大主體：權(quán)限、角色、用戶。根據(jù)用戶的特征，定義不同的角色，然后根據(jù)角色的訪問(wèn)需要賦予相應(yīng)的資源和權(quán)限[2]。角色在校園網(wǎng)VPN用戶中是相對(duì)比較穩(wěn)定的，變動(dòng)的幾率很小。對(duì)角色分配權(quán)限后，一般不需要進(jìn)行大的調(diào)整，即使有人員流動(dòng)，也不會(huì)影響到整個(gè)權(quán)限管理機(jī)制。因此通過(guò)角色來(lái)管理權(quán)限，可以大大降低用戶權(quán)限管理的難度。

權(quán)限是對(duì)校園網(wǎng)中資源和信息的訪問(wèn)許可及操作權(quán)利。將校園網(wǎng)內(nèi)的各種資源定義成一系列的URL地址。每項(xiàng)資源又分讀、寫(xiě)等權(quán)限。

角色是與校園網(wǎng)VPN用戶的的工作或職務(wù)相關(guān)聯(lián)的，每個(gè)角色擁有的權(quán)限也根據(jù)所負(fù)責(zé)工作的不同不相同。在校園網(wǎng)VPN用戶中，角色主要有四種：學(xué)生、教師、管理員、訪客。學(xué)生角色賦予在線圖書(shū)資源、教務(wù)管理系統(tǒng)、學(xué)院網(wǎng)站等資源的訪問(wèn)權(quán)限，教師角色賦予在線圖書(shū)資源、教務(wù)管理系統(tǒng)、學(xué)院網(wǎng)站、OA辦公系統(tǒng)等資源的訪問(wèn)權(quán)限，訪客角色僅賦予學(xué)院網(wǎng)站的訪問(wèn)權(quán)限，管理員角色則擁有所有資源的訪問(wèn)權(quán)限。

用戶是使用校園網(wǎng)VPN的個(gè)體。學(xué)生角色用戶信息由管理員從教務(wù)管理信息系統(tǒng)中導(dǎo)出，統(tǒng)一分配角色信息、創(chuàng)設(shè)初始密碼后導(dǎo)入用戶管理數(shù)據(jù)表中。教師角色用戶信息由人事部門(mén)提供，管理員統(tǒng)一分配角色、創(chuàng)設(shè)初始密碼后導(dǎo)入用戶數(shù)據(jù)表。其他部門(mén)管理員根據(jù)職能需求，由系統(tǒng)管理員創(chuàng)建，統(tǒng)一分配管理員角色并設(shè)定初始密碼。在用戶表中沒(méi)有信息的用戶，統(tǒng)一分配訪客角色。

這樣用戶在分配角色的同時(shí)即可獲得相應(yīng)的資源訪問(wèn)權(quán)限。結(jié)合校園網(wǎng)VPN的實(shí)際情況，構(gòu)造RBAC授權(quán)模型如圖1所示。

圖1RBAC權(quán)限模型

在本模型中，一個(gè)用戶只能擁有一種角色，不同的用戶可以擁有相同的角色。一個(gè)角色可以擁有多個(gè)資源的訪問(wèn)權(quán)，不同的角色可以擁有同一個(gè)資源的訪問(wèn)權(quán)。也就是說(shuō)，在本模型中，用戶與角色為多對(duì)多的關(guān)系，角色與權(quán)限也是多對(duì)多的關(guān)系。

3.實(shí)現(xiàn)

在基于角色的VPN統(tǒng)一權(quán)限管理系統(tǒng)中，系統(tǒng)管理員擁有對(duì)用戶、角色、權(quán)限分配的全部權(quán)限。管理員角色能夠增加用戶、修改用戶、刪除用戶，增加權(quán)限、刪除權(quán)限。為實(shí)現(xiàn)校園網(wǎng)內(nèi)所有應(yīng)用系統(tǒng)使用同一個(gè)用戶管理體系，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，將各個(gè)應(yīng)用系統(tǒng)的用戶數(shù)據(jù)整合到VPN認(rèn)證平臺(tái)下。各用戶要使用校內(nèi)的資源，均須經(jīng)過(guò)VPN服務(wù)器進(jìn)行身份認(rèn)證。整個(gè)體系的實(shí)現(xiàn)又分用戶管理數(shù)據(jù)表設(shè)計(jì)和根據(jù)用戶權(quán)限加載資源兩部分。

3.1用戶管理數(shù)據(jù)表設(shè)計(jì)

根據(jù)基于角色的用戶權(quán)限管理方案，在數(shù)據(jù)庫(kù)中設(shè)計(jì)了User、Role、Resource、Operation四個(gè)數(shù)據(jù)表。User表用來(lái)管理訪問(wèn)用戶，設(shè)計(jì)有3個(gè)字段，分別為Userid、Username和Password，分別存儲(chǔ)用戶ID（學(xué)號(hào)、工號(hào)等）、用戶名、用戶密碼。Role表用來(lái)管理用戶的角色分配，設(shè)計(jì)有UserID、RoleID、Rolename三個(gè)字段，分別存儲(chǔ)用戶ID、角色I(xiàn)D、角色名。Resource表用來(lái)管理相關(guān)角色的訪問(wèn)權(quán)限，設(shè)計(jì)有RoleID、ResourceID、Resourcename、Secvalue四個(gè)字段，分別存儲(chǔ)角色I(xiàn)D、資源ID、資源名、安全狀態(tài)值。Operation表用來(lái)管理對(duì)資源的有關(guān)操作，設(shè)計(jì)有ResourceID、OperateID、Operatename三個(gè)字段，分別用來(lái)存儲(chǔ)資源ID、操作ID、操作名稱。

3.2根據(jù)用戶權(quán)限加載資源

校園網(wǎng)中有部分資源對(duì)用戶所使用的客戶端安全要求較高，需要檢測(cè)是否安裝有防毒軟件等安全防護(hù)軟件，檢測(cè)完成后向服務(wù)器端返回一個(gè)secvalue值，服務(wù)器將這個(gè)值與用戶請(qǐng)求訪問(wèn)的資源的secvalue進(jìn)行比較，如果匹配，則向用戶發(fā)送該資源所對(duì)應(yīng)的URL地址及操作權(quán)限，如果不符合則不發(fā)送。

校園網(wǎng)VPN選擇SSLVPN，用戶使用瀏覽器以https方式訪問(wèn)VPN服務(wù)器，打開(kāi)認(rèn)證頁(yè)面，輸入用戶名、密碼信息發(fā)起認(rèn)證申請(qǐng)。SSLVPN服務(wù)器首先遍歷數(shù)據(jù)庫(kù)user表，如查詢到來(lái)訪用戶信息并且密碼匹配無(wú)誤，則掃描客戶端安全環(huán)境并跳轉(zhuǎn)至數(shù)字資源中心，遍歷Resource表，根據(jù)客戶端secvalue值以及用戶的角色和權(quán)限返回相應(yīng)的資源鏈接信息；如未檢索到來(lái)訪用戶信息，則按訪客角色，返回訪客角色對(duì)應(yīng)的資源信息。這樣一來(lái)，沒(méi)有獲得權(quán)限的用戶就無(wú)法訪問(wèn)資源。這種細(xì)致的安全訪問(wèn)控制，能夠滿足不同資源和應(yīng)用系統(tǒng)對(duì)安全性的要求，使客戶端能夠安全接入校園內(nèi)網(wǎng)，在一定程度上對(duì)校園網(wǎng)內(nèi)的資源起到了保護(hù)作用。

4.結(jié)論

用戶權(quán)限管理直接影響到校園網(wǎng)內(nèi)信息的安全。校園網(wǎng)VPN系統(tǒng)采用基于角色的權(quán)限管理，很好的解決了校外師生用戶遠(yuǎn)程接入校園網(wǎng)的問(wèn)題，并且能夠有效防止未經(jīng)授權(quán)的訪問(wèn)，實(shí)現(xiàn)精細(xì)化的訪問(wèn)控制，保護(hù)校園網(wǎng)中的信息安全。基于角色的權(quán)限管理靈活、高效，建立的統(tǒng)一身份認(rèn)證機(jī)制，大大減少了用戶管理工作難度和強(qiáng)度。（作者單位：1中南大學(xué)信息科學(xué)與工程學(xué)院；2.湖南商務(wù)職業(yè)技術(shù)學(xué)院）

參考文獻(xiàn)：

[1]王志勃畢艷茹.基于角色管理的系統(tǒng)權(quán)限模塊設(shè)計(jì)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012，（24）：189-190.

[2]化成君，樊偉，張勝茂.基于角色的用戶權(quán)限管理和功能模塊的動(dòng)態(tài)加載[J].電腦開(kāi)發(fā)與應(yīng)用，2012，25（8）：41-43.