数字化校园门户系统中权限管理地研究.pdfVIP

维普资讯 第25卷 第6期 嘉应学院学报(自然科学) V01．25 No．6 2007年 12月 JOURNALOFJIAYINGUNIVERSITY(NATURALSCIENCE) Dec．2oo7 数字化校园门户系统中权限管理的研究 邓 嘉 明 (东莞理工学院城市学院 ，广东 东莞523106) [摘 要]根据数字化校园统一门户系统权限管理需求分析，深入探讨 了门户数据的存储设计，人机交 互式授权管理，门户授权的安全约束机制和个性化角色界面等问题。在门户系统中采用二级权限设置， 扩展基于角色存取控制原理的三层式门户授权管理模型，能较好地解决门户系统中统一资源的访问控 制 。 [关键词]数字化校园；门户系统；单点登录；角色；权限 [中图分类号]11P311 [文献标识码]A [文章编号]1006—642X(2007)06—0088—04 O 引言 近几年高校数字化校园建设取得了显著成效，大部分院校都建立了自己的对外窗口网站以及教 务、科研、人事、学生管理等业务系统。但由于学校各部门在不同时期建设的管理系统平台不同，造 成一个个信息孤岛，无法进行有效的数据共享，更没有形成统一的身份验证、权限管理。因此，在数 字化校园建设中必须建立统一的f3P系统(Porta1)…，为校园网用户提供一个只需登录一次的单一 入口，将技术的不同屏蔽在门户之下，而把应用业务集合在门户之上。 在统一门户系统中，同一个用户，进入不同应用系统，用户不需要在不同位置的逐个进入访 问， 不需要多个身份标识和密码，而是通过统一门户系统单点登录(SSO) 就可以去访 问所有他们可以 (有权)访问到的数据和应用系统。然而，实现这些功能面临的一个难题就是对复杂的数据资源的访 问控制。本文介绍基于角色存取控制(RBAC)原理，采用二级动态权限设置，形成扩展的三层式门户 授权管理体系，能较好地解决统一资源访问控制。 l 门户系统授权需求分析 数字化校园有很多不同层次的用户，在不同的环境之下使用校园信息。其用户主要包括教师、 学生、学校职工和管理人员以及校园外的用户。他们的身份层次不同，需求权限职责也不同。在校 园信息f3P系统中用户主要分为普通用户和管理用户两大类。普通用户一般又分为个人用户和科 室用户。个人用户可以访问校园网上与个人有关的信息和公共信息，如学校新闻、校内动态、规章制 度等。科室用户主要指对校内的教务、人事、科研、财务和学生管理等各种应用系统的管理使用人 员；管理用户指门户系统管理员，他们是进行授权管理和系统维护的超级用户。 按照角色存取控制 (RBAC)原理，相应地把门户系统中的角色分为普通角色和管理角色。普通 角色包含有个人角色和科室角色等。普通角色都通过会话获得授权 ，而管理角色通过系统设定和控 [收稿 日期]2007—09-05 [作者简介]邓嘉明(1984一)，男，广东梅州人，助教，在职研究生，主要研究方向：计算机网络安全和数据库应用。 一 88— 维普资讯 制授权。不同的角色可以赋予不同的权限，如个人角色只能登陆查看公共信息和个人信息，科室角 色可以赋予某一子系统的若干使用权限等。 图1 用户权限分析模型 从上述需求分析可以看出，在建立门户访问控制模型时，必须综合考虑用户、角色、应用系统功 能模块和具体数据集合之间的关系。在门户授权分析模型中如图1，个人角色的权限只是单层的结 构，而其它角色则享有不同功能多重权限的组合，所以将这两类授权分开，就可以将三维模型转换成 二维表，从而实现数学建模到实际设计的转化。 2 门户数据存储设计 2．1 用户信息存储 一表分部围表分部一鲴表分部一围舭一 在门户数据库中，建立用户中心，所有的用户信息都记录在门户数据库中。对于用户信息存储 个 科 高 人 室 缀 来说，有两种可供选择的方案。一种是用 LDAP来