李庆生
(承德石油高等专科学校 教务处,河北 承德 067000)
基于角色访问控制技术的教务管理系统研究与实现
李庆生
(承德石油高等专科学校 教务处,河北 承德 067000)
基于角色访问控制的网络安全机制特性,构建自适应数据访问控制模型,采用该模型实现高校教务管理的授权机制。利用自适应数据访问控制模型,建立自适应授权管理模型、用户管理模型,用于提高系统数据访问的安全性、可靠性。同时,实现系统访问界面的管理。结果表明,访问控制机制不仅保证了系统运营的安全性,而且提高了系统的灵活性。
教务管理系统;角色访问控制;自适应访问控制;数据访问控制
近年来,随着计算机信息处理技术的不断发展和广泛的应用,具有数字化特色的高校教务管理系统已被各大高校所采用。但是,伴随高校规模的不断扩大以及师生数量的持续增加,使高校教务的管理、访问等工作日益繁重,对现有的教务管理系统性能提出了更高的要求[1]。因此,当务之急是提高和完善教务管理系统功能,以适应现代高校教务管理系统需求,同时系统运行具有安全性、高效性、可靠性和灵活性等特性。传统的教务管理系统通常采用的访问控制类型有DAC (Discretionary Access Control) 和MAC (Mandatory Access control)系统,已经不能满足目前对系统信息安全性的要求。角色访问控制技术(Role-Based Access Control,RBAC)是引入“角色”的概念,通过不同角色权限来准许或限制该用户的访问能力和范围,是系统安全控制的主要解决方案。系统基于角色访问控制模型的基础上提出的自适应数据访问控制模型,该模型用于实现用户的授权机制,简化用户的管理与维护工作。
高校教务管理系统的内部有大量的用户和数据资源,同时,还有较为复杂的用户权限的分配和管理。为满足系统内部不同用户的访问权限,本高校教务管理系统基于角色访问控制技术的特性,构建自适应访问控制模型,在保证系统安全性的同时,用于处理系统用户权限的分配和管理,满足用户的访问控制需求。
构建如图1所示的高校教务管理系统的业务关系图。
由图1可以看出,高校教务管理系统的数据关系错综复杂,因此,确保系统安全性的前提是对用户的访问权限的有效管理。本教务管理系统基于角色访问控制技术,建立的自适应管理机制,不仅最大限度地避免人工干预,保证系统安全性,而且实现自适应管理的用户授权机制。
2.1 角色访问控制技术
角色访问控制技术(RBAC)已经成为目前访问控制技术的主流[2]典型的RBAC模型如图2所示,该模型在用户与权限之间引入“角色”的概念。该模型先在系统中将不同的权限对应不同的角色,用户使用时需先通过系统分配角色,进而获得对应的访问权限。由此可见,权限分配过程中,系统中的用户是通过角色间接的获取权限,实现用户与权限的逻辑分离,方便对权限的管理。
如图2所示的利用分层管理模式的一种典型RBAC模型,该模型依据系统中用户的级别分配对应的管理权限。处于系统权限的高层管理者,处理系统中配置权限与角色之间的对应关系,完成系统的安全访问控制、安全访问决策等抽象工作。处于系统权限的低层管理者,在系统中主要是处理访问权限与业务之间的匹配工作。
2.2 访问控制的自适应模型
基于RBAC模型的分层管理模式,本系统不仅构建了系统访问控制的自适应模型,如图3所示的访问控制流程图,还构建了具有自适应模式的系统授权管理模型和用户管理模型。
自适应模型中访问控制的主体由RBAC模型所关联,并在模型中的授权原则与用户和业务逻辑之间建立了密切的联系。为实现教务管理系统中有效分配的用户权限的功能,构建的自适应模型的授权机制,将其主要用于角色与用户的关联,并执行角色对应权限的访问操作等环节。
用户身份的识别:先由系统对用户所关联的角色进行有效的识别,识别后对应其角色,获取该角色权限对应的相关业务领域的数据。
用户身份的管理:教务管理系统在使用的过程中,对有可能出现的用户身份进行管理,前提是该用户身份一般与系统的业务逻辑有密切的联系[3]。基于用户身份的管理接口,建立系统的权限与业务信息之间的关系。
高校教务管理系统中基于访问控制自适应模型,对每个访问控制模块确立相互关系。本系统访问控制体系框架如图4所示。
基于访问控制体系的框架,自适应访问控制的用户管理流程如图5所示。该管理流程基于业务逻辑数据的自适应管理模式,为实现用户授权的实时和有效性,分别构建了系统的登录管理、用户管理、实时授权管理及系统的用户注册和分配等模块。
由图5的流程图可知,用户成功登录进入系统后,构建的访问行为约束模块起主要作用,该模块将分析登录成功用户的角色及其对应权限(权限处理过程如图6所示),并负责该角色的操作和负责处理用户的非法操作。
实现用户身份管理后,对用户在系统中的行为进行管理,其用户行为管理流程如图7所示。
由图7可知,基于自适应模型建立的用户行为的管理模块,该模块不仅检查用户提出业务请求的合法性,而且判断系统数据的访问级别,判断过程由系统的访问行为控制管理机制实现,并根据级别判断。最后,由系统界面提供该用户权限级别对应的业务操作信息。
3.1 系统的访问控制界面管理
系统访问控制界面管理的主要职能是有效控制用户访问权限内系统相关界面的生成[4,5]。该管理模块不仅能计算出用户登录时所具有的角色,而且根据角色为其对应权限范围生成唯一的菜单。
3.2 系统的登录管理
本教务管理系统建立如图8所示的用户的登录流程,该流程与传统的系统登录 “账号+密码”管理的主要区别是用户在登录的同时,实现对用户的管理、维护和授权。
3.3 系统的可视化访问控制
构建合理的用户身份管理模型是系统的自适应访问控制能够有效实施的关键。本系统基于自适应访问控制技术实现的用户身份管理模块,主要作用是为系统创建用户的角色与职位、部门之间的映射关系,如图9所示的系统创建用户角色和权限的界面。
如图10所示的基于自适应访问控制技术实现的系统用户访问控制管理界面。
从图10中可以看出,采用访问控制机制可以保证系统不同的用户分配对应级别的角色。同时,不同级别的用户角色对应的操作权限不同。结果表明,采用该方式建立的用户访问控制能够有效地保证系统的安全性。
本文为了解决高校教务管理系统的安全设计要求,基于角色访问控制模型具有的特性,构建了访问控制自适应模型用于提高数据访问控制的安全性、可靠性、灵活性。在此基础上,实施过程的中给出系统对不同用户的自适应访问权限的设计。结果表明,基于角色的访问控制技术,在保证系统安全运营的前提下,为系统提供了更高的灵活性,从而使用户的管理与维护工作得以简化。
[1] 李庆生. 高校教务管理系统的相关技术研究与实现[D].秦皇岛:燕山大学,2012.
[2] 刘智.吴刚. 一种面向PDM系统基于权限位的访问控制方法[J].计算机工程与科学,2013,35(1):72-76.
[3] 刘晓晨. 可信平台的网络访问控制技术研究与应用[D].南京:南京理工大学,2011.
[4] Xiong Houren, Chen Xingyuan, Zhang Bin. Security Principles for RBAC-based Authorization Management[J].Computer Science, 2015, 42(3):117-123.
[5] Sun Ling, Xin Yan, Luo Changyuan. Pervasive computing access control model based on extended RBAC[J].Journal of Computer Applications,2010, 30(4):1045-1052.
Research and Implementation of Educational Management System Based on Role Access Control Technology
LI Qing-sheng
(Department of Teaching Affairs, Chengde Petroleum College, Chengde 067000, Hebei, China)
Based on the characteristics of network security of role access control model, the adaptive data access control model is proposed to realize the authorization mechanism of educational administration system in colleges. This system establishes the adaptive authorization management model and the user management model, which use the adaptive data access control model, and improves the security and reliability of the data access mechanism of the university educational administration system. At the same time, the management and implementation of the system access interface is completed. The results show that the access control mechanism provides higher flexibility for the system under the premise of ensuring the security of the system operation.
educational management system; role access control; adaptive access control; data access control
2016-10-22
李庆生(1978-),男,吉林大安人,讲师,硕士,主要从事计算机控制方面的教学和科研工作,E-mail:cdpc13065@163.com。
G473
B
1008-9446(2017)02-0040-05