高校信息化建设中角色管理设计.docVIP

高校信息化建设中角色管理设计摘要：角色管理具有较高的灵活性和较低的管理负担。本文分析了角色管理的基本思想，对角色管理进行了详细设计 Abstract：This paper analyzes the basic idea of role management and design roles management. Role management has high flexibility and lower management burden. It puts forward adapted to the needs of the development of information system. 关键词：角色管理 设计 信息系统 Key words: Role management design information system 作者简介：王根生，（1974-），男，江西新干，江西财经大学国际经贸学院，讲师 高校的应用系统都分布于不同的部门，给用户带来极大的不便。因此，为了实现数据共享，针对这一问题，本文提出了角色管理 一、角色管理的基本思想 基于角色管理的基本思想是通过将各个应用程序的权限授予角色而不是直接授予用户，用户通过角色分派来获取各个应用程序的操作权限从而实现授权。这样就能实现用户与角色之间的独立性和角色与应用程序之间的独立性[1]。如图1所示 一个用户是一个人或一个部门；一个角色是组织中一项工作，通过角色与授权语义相关，并通过授予用户以角色实现权限的授予；一项权限是对系统中一个。在实际应用中往往引入用户组的概念，一个角色授予某些基本权限，每个权限对应一个基本功能；当某些具有相同功能的用户为一组，用户可以直接分配某个角色，也可以先分到某个用户组中，然后再对该用户组进行角色分配。如图2所示 二、角色管理的设计 1）权限设计 权限的设计面向于应用系统，应用系统设定好本系统的角色及其相应的权限。但在本基于角色的访问控制平台中，应用系统应该向本系统平台报告本应用系统的角色设置及其相应的权限分配。因此，可以在本系统平台中，直接设置组织或者人员的角色以期获得对应用系统的访问控制权限[2] 2）角色的设计 角色的设计主要分为：系统管理员负责对整个系统平台的管理；组织管理员对本组织及其子孙组织和相应的人员进行管理；其他的为普通用户，这些角色一般由应用系统管理。应用系统设置本系统的角色，以及为每个角色设定相应的权限。这些角色会在权限控制平台注册，因此对于用户或组织来说，角色是透明存在于应用系统和角色权限控制平台中 在给角色分配权限时遵循两个原则：①最小权限原则：用户所拥有的权限不能超过他执行工作时所需的权限。②任意两个具有互斥关系的权限不能分配给同一个角色[3] 3）用户、用户组和角色的分配 在图2中，用户大部分情况下只能分配到用户组，用户和用户组的关系为多对一：用户必须隶属于某一用户组一般情况下不能与角色建立联系。角色和用户组的关系为多对多：在用户隶属于用户组后，将角色分配给用户组。当用户分配到用户组后，所有的角色不能分配给用户。另一方面，用户组和角色是多对多的关系，一个用户组可以对应多个角色，一个角色也可以对应对个用户组。角色分配给用户：在特殊的用户不属于任何一个用户组的情况下，角色可以直接分配给用户。我们约定在绝大部分情况下，用户都应分配到用户组。权限分配给角色：根据每个角色的作用，分配不同的权限。角色分配用户组后，将分配到用户组的所有权限作为一个集合，同时为用户组建立一个域，然后将用户组对应的角色所拥有的权限集赋给该域；每个新域的建立都必须在为用户组分配给角色之后。用户组和域的关系为一对一；而角色与域的关系为多对一的关系，多个角色对应一个域。支持角色继承，域的继承实现是基于角色扩充和继承实现的。域的权限撤销是基于用户角色的撤销来实现[4] 角色是整个模型的核心，是权限的载体。权限直接被角色所有，用户必须通过角色这个访问应用系统及其相关资源 为用户和用户组分配权限遵循以下原则：①权限叠加。在为用户组分配多个角色的过程中难免会遇到多个角色重叠的问题，本系统通过权限叠加来解决这种问题。②职责分离原则。为了避免安全上的漏洞，单个用户不能同时独立完成某些敏感的工作或需要合作的操作序列，而要求两个或多个不同的用户来完成。通过将职责和权力分散于多个用户之中而不是仅仅集中在一个用户身上，从而降低用户欺诈犯罪的潜在风险性，防止其滥用权力以维护信息的完整性 参考文献： [1] 师云秋,王锡钢. RBAC机制在OA权限管理中的应用[J]. 鞍山科技大学学报, 2006,(03) [2] 徐京渝,李钢. 结合AOP基于角色访问控制的研究与