统一用户管理在校务管理系统中实施.docVIP

统一用户管理在校务管理系统中实施 　　摘 要：统一用户管理是信息化建设的基础构件，而角色访问控制（RBAC）是目前信息安全领域的研究热点，本文在介绍用户管理和RBAC模型的基础上，将之应用于校务管理系统的统一用户管理体系中，给出了设计的逻辑结构模型和数据结构以及具体的实施方案。 　　关键词：统一用户管理　基于角色访问控制　校务管理系统 　　中图分类号：TP309.2文献标识码：B 　　文章编号：1673-8454（2007）09-0032-03 　　 　　一、引言 　　 　　在教育信息化发展的历程中，许多高校的管理部门都建设了管理信息系统，但是，基于部门业务建设的管理信息系统都是由不同的开发商在不同的时期采用不同的技术路线建设的，在这些管理信息系统中，大多数都有自成一体的用户管理、授权及认证系统，同一用户在进入不同的管理信息系统时需要使用不同的账号。这种操作方式不仅为用户的使用带来许多不便，更重要的是降低了学校信息化体系的可管理性和安全性。[1] 为此中山大学在建设新一代校务管理系统的过程中，提出了“五个统一”：统一数据库，统一标准、统一开发平台、统一用户管理、统一门户。[2] 根据“五个统一”的思想，在校务管理系统实施的进程中，通过统一规划和设计，开发建设一套统一的授权管理和用户身份管理及单点认证支撑平台。利用此支撑平台可以实现用户一次登录、系统内通用，避免多次登录到多个系统的情况。此外，可以对校务管理系统中的各个子管理信息系统的权限分配和权限变更进行有效地统一化管理，实现多层次统一授权，审计各种权限的使用情况，防止信息共享后的权限滥用，有效提高了管理信息系统的安全性。 　　 　　二、用户管理的概念 　　 　　用户是信息管理系统中各类活动的实体，如人、组织、虚拟团队等。用户管理是指在系统中对用户和权限的控制，包括身份管理、用户授权、用户认证等，身份管理是基础，用户授权和认证是之上的服务。[3] 身份是一个实体区别于其它实体的特性，系统中的身份通常指一个人在信息系统中的抽象，也可以是硬件、组织等实体的抽象，是属于一个特定的实体的属性的集合。身份属性具有一些特点：往往是较短的数据元素，如名称、邮件、电话、照片、数字证书等，也可以是一些指向信息，如网络链接、文档编号等；这些属性需要结构化的组织，并且满足一定的语义规定；由于身份信息的访问通常读的几率远大于写的几率，因此要求较高的数据质量。由于上述特点，身份信息非常适合以树状结构组织，通过目录方式存放，基于LDAP（V3）的目录技术也是当前身份管理的核心，是用户身份信息的组织、存储、交换、引用的基础工具。 　　 　　 　　三、RBAC介绍 　　 　　在建设统一用户管理平台的过程中，采用了基于角色的访问控制（RBAC）策略。RBAC（Role Base Access Control）授权模型的基本思想是通过分配和取消角色来完成用户权限的授予和取消，根据不同的职能岗位划分角色，资源访问许可被封装在角色中，用户通过赋予的角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色，并设置合适的访问权限，而部门或个人根据其工作性质和职责再被指派为不同的角色，完成权限授予。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与部门或个人关联，从而实现了部门或个人与访问权限的逻辑分离。[4] 　　NIST（The National Institute of Standards and Techno-logy，美国国家标准与技术研究院）标准 RBAC模型由四个部件模型组成，这四个部件模型分别是基本模型 RBAC0（Core RBAC）、角色分级模型 RBAC1（Hierarchal RBAC）、角色限制模型 RBAC2（Constraint RBAC）和统一模型 RBAC3（Combines RBAC）。[5,6] RBAC0模型如图1所示。 　　（1）RBAC0 定义了能构成一个 RBAC 控制系统的最小的元素集合 　　在 RBAC 之中，包含用户users、角色roles、目标objects、操作 operations、许可权permissions五个基本数据元素，权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。会话 sessions 是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。 　　（2）RBAC1 引入角色间的继承关系 　　角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一