学生综合管理系统权限访问控制方法研究.docVIP

学生综合管理系统权限访问控制方法研究 　　摘要针对学生管理系统权限分配的实际问题,提出将角色和任务机制同时作用于权限访问控制,同时将数据对象和功能对象都作为权限分配的对象。基本思想是:将用户具有的长期功能权限与临时任务权限相分离,对于固定的功能权限,采用基于角色的权限分配方法,利用角色分离同类用户;对系统流程化的操作,利用基于任务的权限访问方式。两种方法的结合很好地客服了两者的不足,解决了实际问题。 　　关键词综合管理系统 权限管理 访问控制 工作流 　　中图分类号:C931文献标识码:A 　　 　　0 引言 　　在当今的高校学生管理中,信息化发展已经成为必然趋势。本文涉及到的学生管理系统是一个集成的,多用户共享系统,包括多个功能模块,用户权限分配复杂,因此,如何有效地管理用户权限的访问控制问题,成为了决定系统成功与否的关键。就访问控制权限管理的发展而言,目前主要有基于角色的访问控制参考模型①和基于任务的访问控制方法。②2005年洪帆等人结合两种方法的优缺点,设计了一种通过任务将角色和权限联系在一起的方法,③实现了动态职责分离。 　　本文结合两种方法的优点,提出一种适合于高校学生管理系统的综合用户权限管理模型。将系统的操作权限作为功能的一部分列入功能表,同时将数据对象与功能权限相分离,作为权限分配的独立部分,并利用角色机制对系统功能进行授权,对于用户及角色间的流程控制,采用任务机制进行授权,从而从整体上提高了系统的效率和权限分配的灵活性。 　　1 系统需求分析 　　(1)从功能角度分析:系统分为学生基础数据、课程考勤、综合测评、查询统计、系统设置等15个模块。功能上分为增加、删除、修改、查询、统计、打印功能。由此设计数据表,将系统功能模块和对应的操作功能全部编入数据库的功能表,每项功能设置唯一的功能号,且每个功能具有相应的操作URL。 　　(2)从用户角度分析:系统主要提供给超级管理员、领导、系管理员、辅导员等部门录入学生基本信息。每类用户对系统功能具有操作一致性,系统的某项功能出现增删改时,同类用户在功能上统一操作,因此利用基于角色的权限管理模式来控制用户的角色信息,将同类用户定义为统一的角色,这样可以避免为每个同类用户重新分配功能权限以及修改权限所造成的重复工作,尽可能的消除数据库冗余数据,节省存储空间。 　　(3)从数据角度分析:数据因用户不同而不同,用户对班级具有的功能权限不同,如辅导员只管理几个班级,而系管理员则要授权全系的所有班级,教务部、超级管理员则需要全部学生信息,因此对于用户而言既要分配功能权限,又要分配班级数据管理权限。 　　(4)从任务角度分析:对于本系统而言,某些部门之间会出现一些流程化的操作,使各任务在不同部门、不同角色之间进行流转,涉及到的用户很多。系统要为这些临时或定期执行的任务分配工作流模块,因此设计了基于任务的权限控制管理模型,为用户确定具有使用期限的功能权限。 　　(5)从系统安全角度分析:系统用户只具有一定的功能和数据权限,既不能访问未经授权的功能列表,也不能访问其他班级或系的数据,对与其无关的任务流程操作也无权浏览。因此,在用户进入系统前,需要判断用户的访问权限,设置统一的系统安全过滤器,屏蔽掉用户不具有的功能。 　　2 基于角色的权限管理模型 　　根据基于角色的权限访问控制思想,对学生管理系统进行分析,找出所有同类的角色,对这些角色分配权限,再为用户分配相应的角色。传统的权限管理将数据权限和功能权限都分给角色用户,由于属于相同角色的用户对功能对象具有相同的访问权限,但属于同一角色的不同用户对数据对象的访问权限是不同的。因此系统将班级权限和功能权限分离,分别对班级和功能进行授权。 　　通过对系统需求进行分析,在本系统中将用户大致分为系统管理员、系管理员、辅导员、领导、学工部5个角色。对这5类用户按照其平时的工作权限对系统15个功能及其子功能分配权限。对于数据权限的分配,将用户分为三类:(1)超级管理员,学工部,教务部:管理所有学生数据;(2)系管理员、领导:管理某一个系或者多个系的学生数据;(3)辅导员:管理具体的几个班级学生数据。由此,1类用户不需要特别指定班级,会自动按所有系形成全部的班级信息;对于2类用户由于院系信息相对于班级信息量要小得多,只要选择了院系就可以自动形成符合院系条件的班级列表;对于3类用户则需制定辅导员所管辖的所有班级列表。这样的设计相比对所有用户都分别指定管理班级大大减少了操作量,同时避免了用户表中班级数据项产生的大量冗余数据,节省了数据库空间,减轻了查询统计操作中数据库的负担。 　　3 基于任务的权限管理模型 　　基于任务的访问控制采用“面向任务”的观点,从任务的角度来建立模型和权限分配机制,在任务处理的过程中提供实时的权限