基于RBAC的权限认证在高校信息管理系统中的应用.docVIP

基于RBAC的权限认证在高校信息管理系统中的应用 　　摘要：权限管理模块是URP系统设计中的重要模块。为了保证系统的安全性，引入了基于角色的权限控制技术，该文介绍了基于角色访问控制(RBAC)模型的设计思想，并讨论了其在高校信息管理系统(URP)中所应用的权限控制技术。 　　关键词：权限管理；URP；基于角色的访问控制 　　 　　中图分类号：TP311 　　文献标识码：A 　　文章编号：1009-3044(2010)29-8160-02 　　 　　随着计算机应用复杂度的不断提高，传统的访问控制越来越显现出其局限性，其几乎静态化的个体一资源控制己经不能适应复杂多变的应用系统一资源的变动，人员的变动，以及系统与任务之间的相互协调。在这种情况下，基于角色的访问控制方式，被广泛的采纳。通过这种权限访问机制，可以减少授权管理的复杂性，降低管理开销，提高了安全性。 　　 　　1　RBAC介绍 　　 　　基于角色的访问控制模型RBACfRole-Based Access Contr01)…，认为一个用户可拥有多个角色，一个角色可授权给多个用户：一个角色可包含多个权限，一个权限可被多个角色包含。RBAC通过引入角色中介，实现了用户与访问许可的逻辑分离，极大地方便了权限管理。 　　RBAC模型中的安全策略使用了用户(User)、角色(Role)、权限(Permission)、角色层次(Role Hierarchy)、操作(Operation)、对象(Obiect)和会话(Session)等实体进行描述的。其中的授权就是在可靠的控制下将对象的存取访问权限，结合角色所关联的操作都提供给这些角色相关的用户。RBAC模型如图1。 　　RBAC框架建立后，权限管理的主要部分就是授予或撤销用户角色，这样的方式能够极大地减少授权管理的复杂性和工作量。如果将系统中m个权限直接授予n个用户，则需要(m*n)次授权；而如果将这m个权限授予一个角色，再将这个角色授予给n个用户，则只需要(m＋n)次授权。当系统规模较大、用户数量较多时，RBAC能够方便地进行授权的优点就体现得愈加显著。 　　 　　2　系统的设计与实现 　　 　　2.1　系统中的权限模型 　　系统的总体框架是由建模客户端，服务器端，浏览器运行时三部分组成。建模客户端完成业务对象、权限、应用模板的建模，并将模型信息解析后提交生成到系统模型数据库中，同时将定义的业务对象在业务库中建立相对应的数据表。服务器端运行时则从系统模型库中载人模型信息，包括权限和数据的信息，提供对数据访问的权限控制。而浏览器运行时(客户端运行时)：提供对客户端浏览器端的界面控制、数据校验以及组织数据的功能。具体权限管理部分的关系图如图2。 　　权限控制分为两部分：数据权限控制和模块权限控制。数据权限控制是对于不同的用户组，其所看到的数据是不一样的，其对数据拥有的增删改查权限也是不一样的。对于一个用户组的权限设置，如果只有模块权限而没有数据权限，他所看到的页面仅仅是需求分析时设计的样式，听没有和业务相关联，好比木桶中没有装水一样。引入模块的概念，达到从更大粒度上控制应用程序权限的目的。即具有逻辑相关性的应用程序可以组织进同一模块，没有该模块访问权限的用户将不能访问该模块中任何应用程序。另外引入用户组到权限组的映射，提高了为用户授权的灵活性，使系统管理员能通过业务系统的统一身份认证平台来给用户分配权限，提高了权限管理的灵活性，而且用户组和权限组的不同组合可以组成更丰富的权限种类。 　　模块权限的获取采用如下的流程：用户登陆系统后，能够根据登陆ID获得此用户所属的用户组，然后通过访问用户组来取得权限组。如果这个用户拥有多个角色，系统会取得多个用户组，再通过用户组的并集取得权限组(可能会存在权限叠加的情况)，最终将获得的权限组的信息展现给用户。为了使得模块的权限控制比较清晰，系统采用了树性结构来，即假如用户组拥有子模块的权限，则其一定拥有模块的权限，反之不一定成立。具体表现为：对于教职工来说，只能对自己的数据进行维护；而对于学院来说，只能查看自己所属学院的信息，并对申报信息进行审核。 　　 　　2.2　角色一页面模型的具体实现 　　当用户访问某个模块页面时，页面将加载数据，但如果此用户没有授予数据的访问权限，将不能加载相关的数据。 　　获取用户的数据访问权限的关键是获取用户的权限组。在平台权限模型下，要获得用户的权限组，先要获取用户所属的用户组，再通过用户组与权限组的映射关系，间接地获取用户的权限组，具体系统权限管理模块引入用户、角色、模块、页面等表，之间的关系如图3-5所示。 　　 　　3　结束语 　　 　　本文主要论述了基于Web的高校管理信息系统中引入RBAC模型，并进行改进，使