基于角色访问控制教学资源管理系统实现.docVIP

基于角色访问控制教学资源管理系统实现 　　教学管理工作是学校管理工作的核心，它对教学过程进行合理的计划、组织、调控、监督、引导及服务，是建立稳定的教学秩序和良好的教学运行机制，保证教学工作正常进行的关键，教学管理工作的数字化无疑是优化教学资源、实现教育现代化的重要手段。 　　同时，由于Internet的发展及基于Internet服务的迅速崛起，基于ＷＥＢ的教学管理信息系统以其独特的优势，已成为现代管理系统的主流，应该看到，Internet的开放性不仅仅带来了方便，也引发了许多安全问题，如何采用可靠的访问控制管理机制来防止信息的外泄，是包括教学管理系统在内的任一系统设计都要面临并须解决的重要问题。 　　结合广西各学校所具有的教学资源建设状况，讨论如何运用角色控制技术来实现教学资源管理系统的访问权限控制。实践表明，基于角色访问控制的教学权限访问控制系统能严格地控制与防止用户接触与其身份角色不相关的数据信息，有效地避免用户的非法操作，从而切实地提高了系统的可用性和健壮性。 　　 　　一、角色访问控制的原理 　　 　　基于角色的访问控制（Role-based Access Control,RBAC）是当前应用较为广泛的访问控制策略之一。其核心思想是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系，其中角色是安全控制策略的核心。RBAC方法通过引入角色概念，实现了用户和权限的逻辑分离，从而大大地方便了权限的管理。角色根据用户在系统内部为完成各种不同的任务需要而设置。用户可以被赋予不同的角色，系统可以添加、删除角色，还可以对角色的权限进行添加、删除，通过应用RBAC，可将安全性放在一个接近组织结构的自然平台上进行管理。 　　一个RBAC模型包含四个实体：User,Role,Permission(Perm)和Session,以及两个操作UA,PA#65377;Users为用户集合,是指访问计算机系统资源的主体#65377;Roles为角色集合,是指在一个组织内部的只为并赋有一定的权利和义务#65377;Permission(Perm)指允许操作的集合,也称作权限集,是用户对计算机资源进行访问的许可#65377;Sesions表示用户激活角色时建立的动态的会话#65377;UA分配用户角色的过程,是User与Role之间的一个二元关系UA∈U×R,即建立用户与角色多对多关系,用(u,r)表示用户u分配了一个角色r#65377;PA权限配置,是Role与Perm之间的一个三元关系PA∈P×R,即建立角色与权限多对多关系,用(r,,p)表示角色拥有一个权限ｐ。 　　在RBAC中，用户由角色分派过程赋予适当的角色。角色与用户是多对多关系，一个用户可对应多个角色，一个角色可分配给多个用户。角色与权限也是多对多的关系。研究表明，在一个具体的系统当中，角色?权限之间的变化比角色?用户之间的变化慢得多。可以由行政管理人员完成把用户委派给角色的过程，而由技术人员完成配置权限到角色的过程。基于角色的权限配置可以参照一个单位（组织）内部机构、岗位、职务的权限设置，结合系统设计中的安全策略划分出不同的角色，对每个角色分配不同的权限，并为用户指派不同的角色，用户通过角色间接地对信息资源进行相应的操作。 　　基于角色访问控制的含义是确定某个用户能够以何种访问方式访问某个数据。实现时以基于角色的访问控制为基础，将数据访问权限和功能操作权限分别定义，有利于系统的开发与维护的方便。设计时应注意保证角色互斥的原则，避免在某些情况下一个用户身兼两个角色造成潜在的危害。另一方面还要保证最小权限原则，当用户在执行某项任务时，只有执行这项任务所必须的最小权限集合，即权限零冗余。只有在信息流动的过程中，保证最小权限，才能保证信息的安全。 　　 　　二、ＲＢＡＣ在教学资源管理的应用 　　 　　1．教学资源系统功能结构 　　（1）系统管理。通过系统管理功能，管理员可对资源库服务器进行配置；对系统相关用户信息、用户权限进行管理，确保不同类型、不同角色的用户具有不同的权限；对系统所需的各类代码进行管理；管理新闻和消息的发布；系统的数据备份与恢复管理。 　　（2）资源维护。作为系统的主要功能模块，允许有权限的用户将教学资源上传到临时资源库中，并对资源的相关信息（如名称、编号、学科、类型、适用对象等）及其存放路径进行管理；对一些资源的使用过程进行组织；开放资源制作者可对其拥有的资源进行编辑及相关属性进行处理。 　　（3）资源的审核与发布管理。经上载存放在临时资源库中的教学资源必须经过严格的审核后才能进入正式资源库，系统支持资源审核人员进行远程评审，完成对资源的审核和发布工作，审核人员定期检查临时资源库中的新资源，根据教育资源的评价标准对资