孫佰利,郝尚富,王志輝

(河北北方學(xué)院信息科學(xué)與工程學(xué)院,河北張家口075000)

0 引 言

“教研管理系統(tǒng)”是一款專門為連接教育管理部門和各所中學(xué),實(shí)現(xiàn)統(tǒng)一教學(xué)管理和教學(xué)資源共享的綜合性系統(tǒng),該系統(tǒng)主要包括教研室和學(xué)校兩大實(shí)體,采用客戶端與Web服務(wù)相結(jié)合的工作模式.在整個(gè)系統(tǒng)設(shè)計(jì)過程中,由于每個(gè)實(shí)體下都有若干個(gè)子系統(tǒng),各子系統(tǒng)不可能對(duì)所有的用戶開放,這樣做既不利于數(shù)據(jù)保密,又會(huì)對(duì)系統(tǒng)安全運(yùn)行造成威脅,因此,權(quán)限管理就成為系統(tǒng)設(shè)計(jì)的核心部分.

權(quán)限管理可以提高整個(gè)信息系統(tǒng)的安全性,但也往往是一個(gè)及其復(fù)雜的問題[1,2],所做的安全機(jī)制可歸納為這樣的邏輯表達(dá)式：有 “誰”能夠訪問系統(tǒng)的信息、用戶訪問的是 “什么信息”、哪個(gè)用戶被授予“什么樣的權(quán)限”,若想使其表達(dá)式為真,就必須采用具有一定訪問控制策略與機(jī)制的權(quán)限管理系統(tǒng),一旦確定了權(quán)限管理和發(fā)布的方式,訪問控制系統(tǒng)就可以控制用戶的訪問,從而達(dá)到保護(hù)整個(gè)系統(tǒng)的目的.

1 訪問控制技術(shù)

對(duì)于訪問控制技術(shù),國(guó)內(nèi)外學(xué)術(shù)界已經(jīng)做了大量的理論研究工作,提出了許多種模型,目前主流的訪問控制策略主要有自主訪問控制 (Discretionary Access Control,DAC)、強(qiáng)制訪問控制 (Mandatory Access Control,MAC)和基于角色的訪問控制 (Role Based Access Control,RBAC)[3,4].

1.1 自主訪問控制 (DAC)

目前我國(guó)大多數(shù)信息系統(tǒng)的訪問控制模塊都是借助于自主訪問控制方法中的訪問控制列表 (Access Control Lists,ACLs),它主要是基于主體及其身份來控制主體的活動(dòng),能夠?qū)嵤┯脩魴?quán)限管理、訪問屬性 (讀、寫、執(zhí)行)管理等.自主訪問控制有一個(gè)明顯的缺點(diǎn),就是這種控制是自主的,它能夠控制主體對(duì)客體的直接訪問,但不能控制主體對(duì)客體的間接訪問 (即,利用訪問的傳遞性,A可訪問B,B可訪問C,于是A可訪問C).雖然這種自主性為用戶提供了很大的靈活性,但同時(shí)也帶來了一定的安全問題.

1.2 強(qiáng)制訪問控制 (MAC)

安全級(jí)別高的計(jì)算機(jī)采用這種策略,它常用于軍隊(duì)和國(guó)家重要機(jī)構(gòu),強(qiáng)調(diào)對(duì)每一個(gè)主、客體進(jìn)行密級(jí)劃分,將數(shù)據(jù)分為絕密、機(jī)密、秘密和一般等幾個(gè)級(jí)別,并采用敏感標(biāo)識(shí)來標(biāo)識(shí)主、客體的密級(jí).用戶的訪問權(quán)限也類似定義,即擁有相應(yīng)權(quán)限的用戶可以訪問對(duì)應(yīng)安全級(jí)別的數(shù)據(jù),從而避免了自主訪問控制方法中出現(xiàn)的訪問傳遞問題.這種策略具有層次性的特點(diǎn),高級(jí)別的權(quán)限可以訪問低級(jí)別的數(shù)據(jù).這種策略的缺點(diǎn)在于訪問級(jí)別的劃分不夠細(xì)致,在同級(jí)間缺乏控制機(jī)制.

前兩種均屬于傳統(tǒng)的訪問控制策略,既工作量大,又不便于管理,RBAC是由David Fenaiol、Richard Kuhn等人提出的,是當(dāng)前信息系統(tǒng)資源訪問控制公認(rèn)的有效方法.本系統(tǒng)的權(quán)限模塊采用RBAC策略.

1.3 基于角色的訪問控制 (RBAC)

RBAC包含三個(gè)實(shí)體：用戶、角色和權(quán)限.用戶是對(duì)數(shù)據(jù)對(duì)象進(jìn)行操作的主體,可以是人、機(jī)器人和計(jì)算機(jī)等.權(quán)限是對(duì)某一數(shù)據(jù)對(duì)象可操作的權(quán)利.角色的概念源于實(shí)際工作中的職務(wù).一個(gè)具體職務(wù)代表了在工作中處理某些事務(wù)的權(quán)利,把這個(gè)概念引入權(quán)限管理中,則角色作為中間橋梁把用戶和權(quán)限聯(lián)系起來.用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系,角色與一個(gè)或多個(gè)訪問許可權(quán)相聯(lián)系,角色可以根據(jù)實(shí)際的工作需要生成或取消,而用戶可以根據(jù)自己的需要?jiǎng)討B(tài)地激活自己擁有的角色,避免了用戶無意中危害系統(tǒng)安全.

權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限,會(huì)話session是用戶與激活的角色集合之間的映射.RBAC與傳統(tǒng)訪問控制的差別在于增加了一層間接性,從而帶來了靈活性.中學(xué)教研管理系統(tǒng)涉及到的用戶類別多,如在教育管理部門端,包括各個(gè)年級(jí)的主管及職員,在學(xué)校端,包括不同年級(jí)組的主任、普通教師等,而RBAC技術(shù)由于其對(duì)角色和層次化管理的引入,特別適用于用戶數(shù)量龐大,系統(tǒng)功能不斷擴(kuò)展的大型系統(tǒng).所以本系統(tǒng)選擇了RBAC作為系統(tǒng)訪問控制設(shè)計(jì)方案.

2 權(quán)限模塊設(shè)計(jì)與實(shí)現(xiàn)

2.1 設(shè)計(jì)思想

中學(xué)教研管理系統(tǒng)一個(gè)連接中學(xué)教育管理部門和各所中學(xué),實(shí)現(xiàn)統(tǒng)一教學(xué)管理和教學(xué)資源共享的綜合性系統(tǒng),該系統(tǒng)主要包括教研室和學(xué)校兩大實(shí)體,采用客戶端與Web服務(wù)相結(jié)合的工作模式.在整個(gè)系統(tǒng)設(shè)計(jì)過程中,每個(gè)實(shí)體下都有若干個(gè)子系統(tǒng),各子系統(tǒng)下又有不同性質(zhì)的工作人員,為了保障信息安全和系統(tǒng)運(yùn)行速度,并使操作簡(jiǎn)單易行,在系統(tǒng)設(shè)計(jì)中采取基于工作人員的職務(wù)和工作性質(zhì)來確定其在本系統(tǒng)中的操作權(quán)限的方式,RBAC理論提出角色的概念,將用戶與操作分開,使得權(quán)限的分配變得簡(jiǎn)單而有效,研究表明,RBAC理論所包含的設(shè)計(jì)思想有以下優(yōu)點(diǎn)：

(1)用戶所具有的權(quán)限易發(fā)生改變,而某種角色所對(duì)應(yīng)的權(quán)限相對(duì)穩(wěn)定,這樣,簡(jiǎn)化了權(quán)限管理,避免直接在用戶和數(shù)據(jù)之間進(jìn)行授權(quán)和取消.

(2)有利于合理劃分職責(zé),用戶只有其所應(yīng)具有的權(quán)限,這樣可以避免越權(quán)行為.

(3)防止權(quán)力濫用,敏感的工作分配給若干個(gè)不同的用戶完成,需要合作的操作序列不能由單個(gè)用戶完成.

這些特點(diǎn)能夠更好地解決中學(xué)教研管理系統(tǒng)中人員多、不易集中管理的問題,同時(shí)保證了系統(tǒng)信息的安全性.

2.2 設(shè)計(jì)與實(shí)現(xiàn)

整個(gè)系統(tǒng)設(shè)計(jì)采用java語言的SSH(Struts2+Spring+Hibernate)架構(gòu),這是J2EE輕量級(jí)架構(gòu)開發(fā)的主流,有利于以后系統(tǒng)的升級(jí)和兼容.根據(jù)用戶需求,該系統(tǒng)設(shè)計(jì)的基于RBAC權(quán)限管理模塊主要包括：用戶管理、角色管理、功能權(quán)限管理和信息管理,其下各個(gè)子模塊如圖1所示.

圖1 權(quán)限模塊功能劃分圖

(1)用戶管理

用戶是訪問系統(tǒng)資源的主體,管理員通過此模塊可以查詢用戶的角色權(quán)限信息,管理員選擇一個(gè)用戶,就可以獲取與用戶相關(guān)的身份信息及其具有的角色權(quán)限信息,同時(shí),可以對(duì)角色授權(quán)進(jìn)行修改.如圖2所示.

(2)角色管理

角色是應(yīng)用領(lǐng)域內(nèi)一種權(quán)利和責(zé)任的語義綜合體,在該系統(tǒng)中,將角色進(jìn)一步劃分為：超級(jí)管理員、管理員和普通角色.其中超級(jí)管理員負(fù)責(zé)定義角色,并維護(hù)整個(gè)系統(tǒng)的運(yùn)轉(zhuǎn)；各部門的管理員負(fù)責(zé)管理本部門的人員,并給人員分配角色；普通角色執(zhí)行各自的職務(wù).這里超級(jí)管理員為角色添加限制信息,各部門管理員只能操作他可分配的角色,具體的角色分配給哪個(gè)工作人員由各部門管理員決定,這樣實(shí)現(xiàn)了整個(gè)系統(tǒng)的統(tǒng)一管理和靈活分配.

角色定義：各級(jí)管理員根據(jù)用戶需要定義角色,管理員根據(jù)用戶所屬部門、科室或年級(jí)來定義角色.

角色用戶關(guān)系映射：根據(jù)管理員定義的角色信息確定與之對(duì)應(yīng)的用戶,完成二者的映射關(guān)系.

角色增、刪、改、查操作：管理員依據(jù)系統(tǒng)需要完成角色的相關(guān)維護(hù)操作,包括增加、刪除、更名等.如圖3所示.

圖2 用戶管理圖

圖3 角色管理圖

(3)功能權(quán)限管理

此模塊對(duì)用來確定各個(gè)角色所對(duì)應(yīng)的功能權(quán)限,完成角色與功能權(quán)限的映射關(guān)系,它包括權(quán)限角色關(guān)系映射和權(quán)限角色關(guān)系的增加、刪除和更改.

權(quán)限角色關(guān)系映射：系統(tǒng)管理員根據(jù)實(shí)際需要及已經(jīng)定義好的角色訪問范圍,完成角色與功能權(quán)限的映射,并將此映射關(guān)系寫入指定數(shù)據(jù)庫表中.

權(quán)限角色關(guān)系的增、刪、改：在實(shí)際應(yīng)用中,可能有些角色所具有的權(quán)限被削減或增加,縮小或擴(kuò)大其能訪問或操作的權(quán)限范圍,因此,在此模塊中完成這項(xiàng)工作.

在用戶登錄時(shí),系統(tǒng)會(huì)根據(jù)它所具有的角色信息,把相應(yīng)的權(quán)限提取出來,當(dāng)用戶請(qǐng)求某個(gè)操作時(shí),驗(yàn)證此用戶信息,包括用戶名、密碼和驗(yàn)證碼,從而確定其所具有的操作權(quán)限,這一過程是通過建立會(huì)話session,激活角色,得到相應(yīng)的訪問權(quán)限的.如圖4所示.

圖4 功能管理圖

(4)信息管理

此模塊可以通過選擇指定的類別,對(duì)信息進(jìn)行查詢和添加操作.如圖5所示.

圖5 信息管理圖

2.3 數(shù)據(jù)庫設(shè)計(jì)

該系統(tǒng)的采用Microsoft SQL Server2000作為后臺(tái)數(shù)據(jù)庫,與前臺(tái)Jquery和JSP技術(shù)相結(jié)合,可以很好地完成數(shù)據(jù)存取操作[6].各操作表存放系統(tǒng)中對(duì)應(yīng)的每一個(gè)的程序模塊,用戶表存放包含了用戶部分基本信息和對(duì)應(yīng)的角色名稱,完成用戶的角色授權(quán)；角色表存放系統(tǒng)中所有的角色信息,包括各級(jí)管理員、各種用戶類別；功能權(quán)限表存放存放每種角色所對(duì)應(yīng)的若干權(quán)限.同時(shí),為了保證數(shù)據(jù)庫數(shù)據(jù)的同步,各表之間都設(shè)置了外鍵關(guān)聯(lián).具體的RBAC模式E-R關(guān)系如圖6所示.

圖6 RBAC模式E-R關(guān)系圖

3 安全性分析

該系統(tǒng)的權(quán)限管理模塊支持兩個(gè)著名的安全原則：職責(zé)分離原則和最小特權(quán)原則.在RBAC策略中,用戶通過指定用戶名和密碼登錄后,系統(tǒng)將激活角色,同時(shí)把該角色對(duì)應(yīng)的權(quán)限放到session里,若合法,則進(jìn)行操作,否則返回登錄界面,或者退出系統(tǒng).對(duì)于重要的權(quán)限,將由不同的角色共同完成,以保證數(shù)據(jù)的安全性.

4 結(jié) 論

中學(xué)教研管理系統(tǒng)通過客戶端與Web相結(jié)合的架構(gòu)實(shí)現(xiàn)教育管理部門與各所中學(xué)的連接,由于涉及到的部門和各類人員較多,如果沒有一個(gè)可靠的權(quán)限管理系統(tǒng),那么數(shù)據(jù)安全就會(huì)受到威脅[7].本系統(tǒng)在java語言的SSH框架下采用基于角色的訪問控制 (RBAC)策略,很好地達(dá)到了用戶權(quán)限管理安全、便捷的目的,提高了系統(tǒng)應(yīng)用效率.

[1] 袁曉東,馮穎.B1級(jí)數(shù)據(jù)庫管理系統(tǒng)強(qiáng)制存取控制模型的研究 [J].計(jì)算機(jī)學(xué)報(bào),2000,23(10)：845-879

[2] 何斌,顧健.基于角色訪問控制的權(quán)限管理系統(tǒng)[J].計(jì)算機(jī)工程,2004,12(30)：326-328

[3] 夏榆濱.基于RBAC的統(tǒng)一權(quán)限管理系統(tǒng)研究[J].微計(jì)算機(jī)信息,2006,22(09)：114-116

[4] 李立新,陳偉民,黃尚廉.強(qiáng)制訪問控制在基于角色的安全系統(tǒng)中的實(shí)現(xiàn) [J].軟件學(xué)報(bào),2000,(10)：1320-1325

[5] Ferraiolo DF,Sanehu R.Proposed NIST standard：role-based access control[J].ACM T ransac Inform Syst Sec,2001,4(03)：224-274

[6] 龔波.SQL Server2000教程 [M].北京：北京希望電子出版社,2002：20-42

[7] 劉偉,孫玉芳.基于角色訪問控制模型及其在操作系統(tǒng)中的實(shí)現(xiàn) [J].計(jì)算機(jī)科學(xué),2003,(30)：166-168