面向服务RBAC模型在Sakai平台权限管理中应用.docVIP

面向服务RBAC模型在Sakai平台权限管理中应用 　　摘要摘要：Sakai平台是一项源于美国的开源课程与教学管理系统，在全球高等教育机构已产生了较大的影响。针对Sakai平台用户的特定需求，在RBAC模型基础上，提出了一种面向服务和基于角色相结合的权限控制方法，实现了Sakai平台开放、动态权限管理，对于推进Sakai平台在教育或学术领域的进一步应用具有重要意义。 　　关键词关键词：Sakai平台；RBAC模型；SOA架构；权限管理 　　中图分类号：TP315文献标识码：A文章编号文章编号2013）0010009203 　　基金项目：黑龙江省新农村建设科技服务计划项目 （1151XNC107）；黑龙江省智能教育与信息工程重点实验室开放基金项目（SEIE2013-05）；牡丹江师范学院科学技术研究项目（KY201101）；牡丹江师范学院教育教学改革项目（12-XJ14021） 　　作者简介：张丹（1982-），女，硕士，牡丹江师范学院工学院讲师，研究方向为计算机辅助教育、人工智能、物联网。 　　0引言 　　Sakai是由美国印地安那大学、密西根大学、斯坦福大学和麻省理工学院于2004 年共同发起的一项开源课程管理系统计划[1]，其英文全称为Synchronized Architecture for Knowledge Acquisition Infrastructure。目前，Sakai已经成为美国最著名、应用最为广泛的课程管理系统开源软件，全球前百强大学中，应用Sakai平台的院校占了总数的1/3，共有超过160个教育单位正式采用Sakai作为自己的教学系统。 　　在中国有关Sakai的研究才刚起步，只有为数不多的几所高校开始了Sakai的教育应用。例如：翟菁[1]从开发语言、教学、架构模式、用户对象以及功能等方面对Sakai与Moodle进行了比较研究；何超[2]对Sakai平台的基本开发环境、项目管理、数据库技术和表现层技术等实现技术进行了分析；李建伟等[3]结合北京邮电大学网络教育学院采用Sakai平台作为网络教育教学平台；李浩等[4]深入研究了Sakai平台中站点、用户、和角色之间的关系。上述研究工作一定程度上促进了Sakai平台在中国的应用与推广。 　　本研究在RBAC模型基础上，根据Sakai平台不同用户的特定需求，提出了面向服务和基于角色相结合的权限控制策略，实现了Sakai平台开放、动态的权限管理。本文分析了Sakai平台用户的特定需求，在此基础上提出了面向服务和基于角色相结合的权限控制策略，并将改进的RBAC模型应用到Sakai平台的权限管理中。 　　1相关工作 　　权限管理是通过某种途径显式地允许或限制用户访问级别及范围的一种方式，可以简单地将其表述为“Who对What进行How操作”的逻辑表达式[5]。传统的权限管理主要有强制访问控制（Mandatory Access Control， MAC ）和自主访问控制（Discretionary Access Control， DAC）两种方式。这两种方式都是将用户和对象直接关联，根据用户的安全级别来决定其对对象的访问权限。美国Gemge Manon大学于1996年提出了基于角色的访问控制（ro1ebased access control，RBAC），RBAC成为了近年来最为热门的访问控制模型。 　　RBAC模型在用户和权限之间引入了角色的概念，能够在较高层次上对角色设置相应的访问权，通过角色来控制用户权限的改变，从而实现了用户和权限的逻辑分离。RBAC具有很大的灵活性，通过配置各种参数来实现某种安全策略，可以被配置成传统的MAC和DAC。 　　Saudbu等人[6]提出的RBAC96参考模型反映RBAC的各种模型组件之间的交互关系，其中，RBAC0[9]定义了所有RBAC系统都应具备的几个基本元素：用户、角色、会话、对象、操作和权限，并规定了任何RBAC系统所必须的最小需求，RBAC1增加了角色层次的概念，RBAC2增加了约束的概念，RBAC3包含了RBAC1和 RBAC2。在RBAC96模型中，角色继承与会话有关，可以解释为激活继承和权限继承。而Ferraiolo等人提出NIST RBAC[7]模型和随后的ANSI RBAC标准[8]中把角色继承看成是用户继承和权限继承。 　　由于RBAC模型简化了用户授权管理的复杂性，并可以灵活支持各种不同的安全策略，因而被广泛接受和应用。胡俊鹏等[5]在RBAC模型基础上提出了一种基于角色的安全保护策略，并设计了基于角色的安全管理系统；陈继南等[10]把基于角色访问控制的思想运用在A平台，提出了基于Forms的安全验证、角色实体关系模型、基于目录和文件限制的访问规则；蔡