羅小芬 劉連浩

摘要：基于角色的權(quán)限管理以角色來管理用戶的權(quán)限，因其高效、靈活獲得了廣泛的應(yīng)用。在校園網(wǎng)VPN系統(tǒng)中引入基于角色的權(quán)限管理，根據(jù)需求設(shè)計RBAC模型并進行實現(xiàn)。通過基于角色的權(quán)限管理，實現(xiàn)統(tǒng)一身份認證，能夠防止未經(jīng)授權(quán)的訪問干擾，保護校園網(wǎng)信息安全。

關(guān)鍵詞：角；權(quán)限管理；VPN

有系統(tǒng)就會有用戶，有用戶即會存在用戶的權(quán)限管理問題。用戶權(quán)限管理方式有很多種，當(dāng)前廣泛采用的權(quán)限控制模型是RBAC模型[1]，其基本思想是通過角色來管理用戶的權(quán)限。在這種模型中，根據(jù)用戶的身份和訪問需求將其定義成不同的角色，然后將系統(tǒng)的各種功能操作權(quán)限與之進行關(guān)聯(lián)，從而使具有不同角色身份的用戶擁有不同的資源訪問權(quán)限。

1.需求分析

隨著信息化建設(shè)的推進，各高校數(shù)字校園基本成形，接入校園網(wǎng)的計算機也越來越多，校園網(wǎng)內(nèi)的資源和應(yīng)用系統(tǒng)也越來越多，包括學(xué)校網(wǎng)站、在線圖書館資源、OA無紙化辦公系統(tǒng)、教務(wù)管理信息系統(tǒng)等。各應(yīng)用系統(tǒng)由不同的單位開發(fā)建設(shè)，身份認證方式繁多，由此導(dǎo)致部分用戶為方便記憶，設(shè)定過于簡單的口令，這有違信息安全原則且容易留下安全隱患。多種用戶管理體系的存在，給用戶管理工作帶來很大的難度。

VPN需要實現(xiàn)訪問控制，大量師生在校外通過VPN接入校園網(wǎng)，信息安全問題需要引起重視。校園網(wǎng)內(nèi)各種資源需要根據(jù)訪客的身份來決定是否允許訪問，一些重要數(shù)據(jù)和敏感信息必須進行加密處理并限制只有擁有權(quán)限的用戶才能訪問，如OA辦公系統(tǒng)只有教職員工才能訪問，在線圖書資源、教務(wù)管理系統(tǒng)等資源則限于教職員工和學(xué)生訪問，學(xué)校網(wǎng)站則允許所有用戶訪問。

近年來高等教育快速發(fā)展，各高校動輒擁有數(shù)千師生，他們都是校園網(wǎng)VPN的使用用戶。出于安全，數(shù)量龐大的用戶還須進行權(quán)限分配。按照傳統(tǒng)的基于用戶的權(quán)限管理方法，針對這些用戶的初次權(quán)限分配已是一項巨大工程。而且，每年都會增加數(shù)千新用戶，再加上現(xiàn)有人員流動，系統(tǒng)管理員的工作難度和強度都非常大，稍有不慎就會造成權(quán)限管理混亂，危及校園網(wǎng)內(nèi)信息的安全。

因此，建立一個統(tǒng)一的基于角色的VPN用戶權(quán)限管理體系，實現(xiàn)對用戶權(quán)限的科學(xué)高效管理，對確保校園網(wǎng)內(nèi)信息的安全非常重要。

2.RBAC模型設(shè)計

RBAC的核心思想就是通過角色來管理權(quán)限，涉及三大主體：權(quán)限、角色、用戶。根據(jù)用戶的特征，定義不同的角色，然后根據(jù)角色的訪問需要賦予相應(yīng)的資源和權(quán)限[2]。角色在校園網(wǎng)VPN用戶中是相對比較穩(wěn)定的，變動的幾率很小。對角色分配權(quán)限后，一般不需要進行大的調(diào)整，即使有人員流動，也不會影響到整個權(quán)限管理機制。因此通過角色來管理權(quán)限，可以大大降低用戶權(quán)限管理的難度。

權(quán)限是對校園網(wǎng)中資源和信息的訪問許可及操作權(quán)利。將校園網(wǎng)內(nèi)的各種資源定義成一系列的URL地址。每項資源又分讀、寫等權(quán)限。

角色是與校園網(wǎng)VPN用戶的的工作或職務(wù)相關(guān)聯(lián)的，每個角色擁有的權(quán)限也根據(jù)所負責(zé)工作的不同不相同。在校園網(wǎng)VPN用戶中，角色主要有四種：學(xué)生、教師、管理員、訪客。學(xué)生角色賦予在線圖書資源、教務(wù)管理系統(tǒng)、學(xué)院網(wǎng)站等資源的訪問權(quán)限，教師角色賦予在線圖書資源、教務(wù)管理系統(tǒng)、學(xué)院網(wǎng)站、OA辦公系統(tǒng)等資源的訪問權(quán)限，訪客角色僅賦予學(xué)院網(wǎng)站的訪問權(quán)限，管理員角色則擁有所有資源的訪問權(quán)限。

用戶是使用校園網(wǎng)VPN的個體。學(xué)生角色用戶信息由管理員從教務(wù)管理信息系統(tǒng)中導(dǎo)出，統(tǒng)一分配角色信息、創(chuàng)設(shè)初始密碼后導(dǎo)入用戶管理數(shù)據(jù)表中。教師角色用戶信息由人事部門提供，管理員統(tǒng)一分配角色、創(chuàng)設(shè)初始密碼后導(dǎo)入用戶數(shù)據(jù)表。其他部門管理員根據(jù)職能需求，由系統(tǒng)管理員創(chuàng)建，統(tǒng)一分配管理員角色并設(shè)定初始密碼。在用戶表中沒有信息的用戶，統(tǒng)一分配訪客角色。

這樣用戶在分配角色的同時即可獲得相應(yīng)的資源訪問權(quán)限。結(jié)合校園網(wǎng)VPN的實際情況，構(gòu)造RBAC授權(quán)模型如圖1所示。

圖1RBAC權(quán)限模型

在本模型中，一個用戶只能擁有一種角色，不同的用戶可以擁有相同的角色。一個角色可以擁有多個資源的訪問權(quán)，不同的角色可以擁有同一個資源的訪問權(quán)。也就是說，在本模型中，用戶與角色為多對多的關(guān)系，角色與權(quán)限也是多對多的關(guān)系。

3.實現(xiàn)

在基于角色的VPN統(tǒng)一權(quán)限管理系統(tǒng)中，系統(tǒng)管理員擁有對用戶、角色、權(quán)限分配的全部權(quán)限。管理員角色能夠增加用戶、修改用戶、刪除用戶，增加權(quán)限、刪除權(quán)限。為實現(xiàn)校園網(wǎng)內(nèi)所有應(yīng)用系統(tǒng)使用同一個用戶管理體系，實現(xiàn)統(tǒng)一身份認證，將各個應(yīng)用系統(tǒng)的用戶數(shù)據(jù)整合到VPN認證平臺下。各用戶要使用校內(nèi)的資源，均須經(jīng)過VPN服務(wù)器進行身份認證。整個體系的實現(xiàn)又分用戶管理數(shù)據(jù)表設(shè)計和根據(jù)用戶權(quán)限加載資源兩部分。

3.1用戶管理數(shù)據(jù)表設(shè)計

根據(jù)基于角色的用戶權(quán)限管理方案，在數(shù)據(jù)庫中設(shè)計了User、Role、Resource、Operation四個數(shù)據(jù)表。User表用來管理訪問用戶，設(shè)計有3個字段，分別為Userid、Username和Password，分別存儲用戶ID（學(xué)號、工號等）、用戶名、用戶密碼。Role表用來管理用戶的角色分配，設(shè)計有UserID、RoleID、Rolename三個字段，分別存儲用戶ID、角色ID、角色名。Resource表用來管理相關(guān)角色的訪問權(quán)限，設(shè)計有RoleID、ResourceID、Resourcename、Secvalue四個字段，分別存儲角色ID、資源ID、資源名、安全狀態(tài)值。Operation表用來管理對資源的有關(guān)操作，設(shè)計有ResourceID、OperateID、Operatename三個字段，分別用來存儲資源ID、操作ID、操作名稱。

3.2根據(jù)用戶權(quán)限加載資源

校園網(wǎng)中有部分資源對用戶所使用的客戶端安全要求較高，需要檢測是否安裝有防毒軟件等安全防護軟件，檢測完成后向服務(wù)器端返回一個secvalue值，服務(wù)器將這個值與用戶請求訪問的資源的secvalue進行比較，如果匹配，則向用戶發(fā)送該資源所對應(yīng)的URL地址及操作權(quán)限，如果不符合則不發(fā)送。

校園網(wǎng)VPN選擇SSLVPN，用戶使用瀏覽器以https方式訪問VPN服務(wù)器，打開認證頁面，輸入用戶名、密碼信息發(fā)起認證申請。SSLVPN服務(wù)器首先遍歷數(shù)據(jù)庫user表，如查詢到來訪用戶信息并且密碼匹配無誤，則掃描客戶端安全環(huán)境并跳轉(zhuǎn)至數(shù)字資源中心，遍歷Resource表，根據(jù)客戶端secvalue值以及用戶的角色和權(quán)限返回相應(yīng)的資源鏈接信息；如未檢索到來訪用戶信息，則按訪客角色，返回訪客角色對應(yīng)的資源信息。這樣一來，沒有獲得權(quán)限的用戶就無法訪問資源。這種細致的安全訪問控制，能夠滿足不同資源和應(yīng)用系統(tǒng)對安全性的要求，使客戶端能夠安全接入校園內(nèi)網(wǎng)，在一定程度上對校園網(wǎng)內(nèi)的資源起到了保護作用。

4.結(jié)論

用戶權(quán)限管理直接影響到校園網(wǎng)內(nèi)信息的安全。校園網(wǎng)VPN系統(tǒng)采用基于角色的權(quán)限管理，很好的解決了校外師生用戶遠程接入校園網(wǎng)的問題，并且能夠有效防止未經(jīng)授權(quán)的訪問，實現(xiàn)精細化的訪問控制，保護校園網(wǎng)中的信息安全?；诮巧臋?quán)限管理靈活、高效，建立的統(tǒng)一身份認證機制，大大減少了用戶管理工作難度和強度。（作者單位：1中南大學(xué)信息科學(xué)與工程學(xué)院；2.湖南商務(wù)職業(yè)技術(shù)學(xué)院）

參考文獻：

[1]王志勃畢艷茹.基于角色管理的系統(tǒng)權(quán)限模塊設(shè)計[J].計算機光盤軟件與應(yīng)用，2012，（24）：189-190.

[2]化成君，樊偉，張勝茂.基于角色的用戶權(quán)限管理和功能模塊的動態(tài)加載[J].電腦開發(fā)與應(yīng)用，2012，25（8）：41-43.