[摘要]在“數(shù)字校園”環(huán)境下，F(xiàn)TP與其他應用系統(tǒng)整合的關鍵是用戶管理的設計，如何分配用戶的權(quán)限，是用戶管理設計中要考慮的一個重要問題。通過分析學院FTP各類用戶的特點，采用基于角色的訪問控制理論對用戶權(quán)限進行分配，實現(xiàn)用戶與用戶與訪問權(quán)限的邏輯分離。

[關鍵詞]FTP 用戶權(quán)限管理 角色訪問控制

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0120080－01

在“數(shù)字校園”環(huán)境下，F(xiàn)TP與其他應用系統(tǒng)整合的關鍵是用戶管理的設計，也就是FTP如何與“數(shù)字校園”的統(tǒng)一用戶管理集成，以實現(xiàn)在FTP系統(tǒng)上創(chuàng)建賬號能將訪問權(quán)限擴展到其他應用系統(tǒng)。

用戶的管理主要包含:用戶的基本信息的管理、用戶所具有的角色的管理以及登錄和權(quán)限驗證的管理。下面從用戶權(quán)限管理及訪問控制方面來進行分析。

用戶權(quán)限決定用戶是否有權(quán)訪問某一特定資源或執(zhí)行某種特定操作。訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問。如何分配用戶的權(quán)限，是用戶管理設計中要考慮的一個問題。

學校FTP一般面向教師、學生以及行政人員。各類用戶的特點分析如下：

1.行政人員的一般特點：人數(shù)較多，職務比較固定，工作的內(nèi)容相對固定。因此行政人員的權(quán)限也相對固定，一般情況下設置好后很少修改。

2.教師的一般特點：人數(shù)較多，每個教師可以講授多門課，每門課都有不同的教學資源，每門課都有大量的學生需要下載資源、上傳作業(yè)，每門課的學生都是只在某個學期或某個學年才是有效的用戶。所以需要修改的權(quán)限非常多。

3.學生的特點：人數(shù)非常多，每個學生需要學習多門課，即使是同一個專業(yè)的學生選修的課程也不會完全一樣，同一個教學班里的學生中可能課代表的權(quán)限更大。所以需要修改或新增的學生權(quán)限相對教師而言更多。

基于角色的訪問控制技術(shù)的元素包括下列五方面：

1.用戶：用戶就是一個可以獨立訪問計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示其它資源的主體。用戶在一般情況下是指人，即被授權(quán)使用計算機的人，每個系統(tǒng)工作都有一個或幾個用戶參與。根據(jù)用戶存在的差異，分別賦予用戶某種和某幾種角色，用戶就具有相應的權(quán)限。也可以把一些用戶賦予某種組，通過組和權(quán)限聯(lián)系起來，用戶就具有組相對應的權(quán)限。

2.組：為了本系統(tǒng)適用于分散式權(quán)限管理，加入了組(用戶組)的概念，是指用戶的集合。方便權(quán)限管理用戶組也可以委派角色，當用戶被加入用戶組時，自動對用戶所在的用戶組擁有的角色進行了委派。為了便于分散式權(quán)限管理系統(tǒng)同時還支持對部分組的權(quán)限進行下發(fā)方式處理，授權(quán)特定的用戶對用戶組的權(quán)限進行管理。用戶組、組角色、組權(quán)限都是多對多的關系。

3.角色：是指一個組織或任務中的工作或位置，它代表了一種資格、權(quán)利和責任。

4.權(quán)限：是對計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進行訪問的許可。

5.訪問控制：就是當計算機系統(tǒng)所屬的信息資源遭受未經(jīng)授權(quán)的操作威脅時，能夠提供適當?shù)墓苤埔约胺雷o的措施，來保護信息資源的機密性與正確性。訪問控制實質(zhì)上是對資源使用的限制，決定主體是否被授權(quán)對客體執(zhí)行某種操作。一般訪問控制策略有三種：自主訪問控制、強制訪問控制和基于角色的訪問控制。本文采用的是基于角色的訪問控制（Role-Based Access Control，RBAC）。

由于實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，基于角色的策略改變就極大的方便了權(quán)限管理。例如，為了使用戶管理更簡捷，進一步可以將用戶分為兩層。一層指個人用戶，另外一層指組用戶，將具有相同角色的個人用戶放在同一個組用戶里面，再將組用戶同角色進行關聯(lián)。這樣一來，分配角色只針對組而不是個人，從而大大地減少了權(quán)限管理與維護的工作量。另外，如果單獨的一個個人用戶具有與同一個組人員不同的角色，那么可以在該組中再單獨建立一個子組，并賦予它不同的權(quán)限，就可以實現(xiàn)個別權(quán)限不同的情況。如圖1所示。

根據(jù)上述對RBAC的分析，結(jié)合基于數(shù)字校園網(wǎng)的FTP系統(tǒng)的開發(fā)，將系統(tǒng)的某些用戶劃分為若干個組，如普通用戶組、學生組、教師組和管理人員組等。在組用戶之間確認層次關系，如圖2所示。再確定FTP系統(tǒng)中涉及到的角色，也明確其層次關系，將對應的用戶(組用戶)分配給相應的角色。

通過以上分析采用基于角色的訪問控制理論對用戶權(quán)限進行分配，實現(xiàn)了用戶與用戶與訪問權(quán)限的邏輯分離。

作者簡介：

邢金萍，女，河南鄭州人，華中科技大學碩士學位，講師。