[摘要]在“數(shù)字校園”環(huán)境下,F(xiàn)TP與其他應用系統(tǒng)整合的關鍵是用戶管理的設計,如何分配用戶的權(quán)限,是用戶管理設計中要考慮的一個重要問題。通過分析學院FTP各類用戶的特點,采用基于角色的訪問控制理論對用戶權(quán)限進行分配,實現(xiàn)用戶與用戶與訪問權(quán)限的邏輯分離。
[關鍵詞]FTP 用戶權(quán)限管理 角色訪問控制
中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0120080-01
在“數(shù)字校園”環(huán)境下,F(xiàn)TP與其他應用系統(tǒng)整合的關鍵是用戶管理的設計,也就是FTP如何與“數(shù)字校園”的統(tǒng)一用戶管理集成,以實現(xiàn)在FTP系統(tǒng)上創(chuàng)建賬號能將訪問權(quán)限擴展到其他應用系統(tǒng)。
用戶的管理主要包含:用戶的基本信息的管理、用戶所具有的角色的管理以及登錄和權(quán)限驗證的管理。下面從用戶權(quán)限管理及訪問控制方面來進行分析。
用戶權(quán)限決定用戶是否有權(quán)訪問某一特定資源或執(zhí)行某種特定操作。訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問。如何分配用戶的權(quán)限,是用戶管理設計中要考慮的一個問題。
學校FTP一般面向教師、學生以及行政人員。各類用戶的特點分析如下:
1.行政人員的一般特點:人數(shù)較多,職務比較固定,工作的內(nèi)容相對固定。因此行政人員的權(quán)限也相對固定,一般情況下設置好后很少修改。
2.教師的一般特點:人數(shù)較多,每個教師可以講授多門課,每門課都有不同的教學資源,每門課都有大量的學生需要下載資源、上傳作業(yè),每門課的學生都是只在某個學期或某個學年才是有效的用戶。所以需要修改的權(quán)限非常多。
3.學生的特點:人數(shù)非常多,每個學生需要學習多門課,即使是同一個專業(yè)的學生選修的課程也不會完全一樣,同一個教學班里的學生中可能課代表的權(quán)限更大。所以需要修改或新增的學生權(quán)限相對教師而言更多。
基于角色的訪問控制技術(shù)的元素包括下列五方面:
1.用戶:用戶就是一個可以獨立訪問計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示其它資源的主體。用戶在一般情況下是指人,即被授權(quán)使用計算機的人,每個系統(tǒng)工作都有一個或幾個用戶參與。根據(jù)用戶存在的差異,分別賦予用戶某種和某幾種角色,用戶就具有相應的權(quán)限。也可以把一些用戶賦予某種組,通過組和權(quán)限聯(lián)系起來,用戶就具有組相對應的權(quán)限。
2.組:為了本系統(tǒng)適用于分散式權(quán)限管理,加入了組(用戶組)的概念,是指用戶的集合。方便權(quán)限管理用戶組也可以委派角色,當用戶被加入用戶組時,自動對用戶所在的用戶組擁有的角色進行了委派。為了便于分散式權(quán)限管理系統(tǒng)同時還支持對部分組的權(quán)限進行下發(fā)方式處理,授權(quán)特定的用戶對用戶組的權(quán)限進行管理。用戶組、組角色、組權(quán)限都是多對多的關系。
3.角色:是指一個組織或任務中的工作或位置,它代表了一種資格、權(quán)利和責任。
4.權(quán)限:是對計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進行訪問的許可。
5.訪問控制:就是當計算機系統(tǒng)所屬的信息資源遭受未經(jīng)授權(quán)的操作威脅時,能夠提供適當?shù)墓苤埔约胺雷o的措施,來保護信息資源的機密性與正確性。訪問控制實質(zhì)上是對資源使用的限制,決定主體是否被授權(quán)對客體執(zhí)行某種操作。一般訪問控制策略有三種:自主訪問控制、強制訪問控制和基于角色的訪問控制。本文采用的是基于角色的訪問控制(Role-Based Access Control,RBAC)。
由于實現(xiàn)了用戶與訪問權(quán)限的邏輯分離,基于角色的策略改變就極大的方便了權(quán)限管理。例如,為了使用戶管理更簡捷,進一步可以將用戶分為兩層。一層指個人用戶,另外一層指組用戶,將具有相同角色的個人用戶放在同一個組用戶里面,再將組用戶同角色進行關聯(lián)。這樣一來,分配角色只針對組而不是個人,從而大大地減少了權(quán)限管理與維護的工作量。另外,如果單獨的一個個人用戶具有與同一個組人員不同的角色,那么可以在該組中再單獨建立一個子組,并賦予它不同的權(quán)限,就可以實現(xiàn)個別權(quán)限不同的情況。如圖1所示。
根據(jù)上述對RBAC的分析,結(jié)合基于數(shù)字校園網(wǎng)的FTP系統(tǒng)的開發(fā),將系統(tǒng)的某些用戶劃分為若干個組,如普通用戶組、學生組、教師組和管理人員組等。在組用戶之間確認層次關系,如圖2所示。再確定FTP系統(tǒng)中涉及到的角色,也明確其層次關系,將對應的用戶(組用戶)分配給相應的角色。
通過以上分析采用基于角色的訪問控制理論對用戶權(quán)限進行分配,實現(xiàn)了用戶與用戶與訪問權(quán)限的邏輯分離。
作者簡介:
邢金萍,女,河南鄭州人,華中科技大學碩士學位,講師。