李慶生

(承德石油高等?？茖W校 教務處，河北 承德 067000)

?

基于角色訪問控制技術的教務管理系統(tǒng)研究與實現(xiàn)

李慶生

(承德石油高等?？茖W校 教務處，河北 承德 067000)

基于角色訪問控制的網(wǎng)絡安全機制特性，構建自適應數(shù)據(jù)訪問控制模型，采用該模型實現(xiàn)高校教務管理的授權機制。利用自適應數(shù)據(jù)訪問控制模型，建立自適應授權管理模型、用戶管理模型，用于提高系統(tǒng)數(shù)據(jù)訪問的安全性、可靠性。同時，實現(xiàn)系統(tǒng)訪問界面的管理。結果表明，訪問控制機制不僅保證了系統(tǒng)運營的安全性，而且提高了系統(tǒng)的靈活性。

教務管理系統(tǒng)；角色訪問控制；自適應訪問控制；數(shù)據(jù)訪問控制

近年來，隨著計算機信息處理技術的不斷發(fā)展和廣泛的應用，具有數(shù)字化特色的高校教務管理系統(tǒng)已被各大高校所采用。但是，伴隨高校規(guī)模的不斷擴大以及師生數(shù)量的持續(xù)增加，使高校教務的管理、訪問等工作日益繁重，對現(xiàn)有的教務管理系統(tǒng)性能提出了更高的要求[1]。因此，當務之急是提高和完善教務管理系統(tǒng)功能，以適應現(xiàn)代高校教務管理系統(tǒng)需求，同時系統(tǒng)運行具有安全性、高效性、可靠性和靈活性等特性。傳統(tǒng)的教務管理系統(tǒng)通常采用的訪問控制類型有DAC (Discretionary Access Control) 和MAC (Mandatory Access control)系統(tǒng)，已經(jīng)不能滿足目前對系統(tǒng)信息安全性的要求。角色訪問控制技術(Role-Based Access Control，RBAC)是引入“角色”的概念，通過不同角色權限來準許或限制該用戶的訪問能力和范圍，是系統(tǒng)安全控制的主要解決方案。系統(tǒng)基于角色訪問控制模型的基礎上提出的自適應數(shù)據(jù)訪問控制模型，該模型用于實現(xiàn)用戶的授權機制，簡化用戶的管理與維護工作。

1 構建高校教務管理系統(tǒng)

高校教務管理系統(tǒng)的內(nèi)部有大量的用戶和數(shù)據(jù)資源，同時，還有較為復雜的用戶權限的分配和管理。為滿足系統(tǒng)內(nèi)部不同用戶的訪問權限，本高校教務管理系統(tǒng)基于角色訪問控制技術的特性，構建自適應訪問控制模型，在保證系統(tǒng)安全性的同時，用于處理系統(tǒng)用戶權限的分配和管理，滿足用戶的訪問控制需求。

構建如圖1所示的高校教務管理系統(tǒng)的業(yè)務關系圖。

由圖1可以看出，高校教務管理系統(tǒng)的數(shù)據(jù)關系錯綜復雜，因此，確保系統(tǒng)安全性的前提是對用戶的訪問權限的有效管理。本教務管理系統(tǒng)基于角色訪問控制技術，建立的自適應管理機制，不僅最大限度地避免人工干預，保證系統(tǒng)安全性，而且實現(xiàn)自適應管理的用戶授權機制。

2 構建系統(tǒng)的訪問控制模型

2.1 角色訪問控制技術

角色訪問控制技術(RBAC)已經(jīng)成為目前訪問控制技術的主流[2]典型的RBAC模型如圖2所示，該模型在用戶與權限之間引入“角色”的概念。該模型先在系統(tǒng)中將不同的權限對應不同的角色，用戶使用時需先通過系統(tǒng)分配角色，進而獲得對應的訪問權限。由此可見，權限分配過程中，系統(tǒng)中的用戶是通過角色間接的獲取權限，實現(xiàn)用戶與權限的邏輯分離，方便對權限的管理。

如圖2所示的利用分層管理模式的一種典型RBAC模型，該模型依據(jù)系統(tǒng)中用戶的級別分配對應的管理權限。處于系統(tǒng)權限的高層管理者，處理系統(tǒng)中配置權限與角色之間的對應關系，完成系統(tǒng)的安全訪問控制、安全訪問決策等抽象工作。處于系統(tǒng)權限的低層管理者，在系統(tǒng)中主要是處理訪問權限與業(yè)務之間的匹配工作。

2.2 訪問控制的自適應模型

基于RBAC模型的分層管理模式，本系統(tǒng)不僅構建了系統(tǒng)訪問控制的自適應模型，如圖3所示的訪問控制流程圖，還構建了具有自適應模式的系統(tǒng)授權管理模型和用戶管理模型。

自適應模型中訪問控制的主體由RBAC模型所關聯(lián)，并在模型中的授權原則與用戶和業(yè)務邏輯之間建立了密切的聯(lián)系。為實現(xiàn)教務管理系統(tǒng)中有效分配的用戶權限的功能，構建的自適應模型的授權機制，將其主要用于角色與用戶的關聯(lián)，并執(zhí)行角色對應權限的訪問操作等環(huán)節(jié)。

用戶身份的識別：先由系統(tǒng)對用戶所關聯(lián)的角色進行有效的識別，識別后對應其角色，獲取該角色權限對應的相關業(yè)務領域的數(shù)據(jù)。

用戶身份的管理：教務管理系統(tǒng)在使用的過程中，對有可能出現(xiàn)的用戶身份進行管理，前提是該用戶身份一般與系統(tǒng)的業(yè)務邏輯有密切的聯(lián)系[3]?；谟脩羯矸莸墓芾斫涌冢⑾到y(tǒng)的權限與業(yè)務信息之間的關系。

高校教務管理系統(tǒng)中基于訪問控制自適應模型，對每個訪問控制模塊確立相互關系。本系統(tǒng)訪問控制體系框架如圖4所示。

基于訪問控制體系的框架，自適應訪問控制的用戶管理流程如圖5所示。該管理流程基于業(yè)務邏輯數(shù)據(jù)的自適應管理模式，為實現(xiàn)用戶授權的實時和有效性，分別構建了系統(tǒng)的登錄管理、用戶管理、實時授權管理及系統(tǒng)的用戶注冊和分配等模塊。

由圖5的流程圖可知，用戶成功登錄進入系統(tǒng)后，構建的訪問行為約束模塊起主要作用，該模塊將分析登錄成功用戶的角色及其對應權限(權限處理過程如圖6所示)，并負責該角色的操作和負責處理用戶的非法操作。

實現(xiàn)用戶身份管理后，對用戶在系統(tǒng)中的行為進行管理，其用戶行為管理流程如圖7所示。

由圖7可知，基于自適應模型建立的用戶行為的管理模塊，該模塊不僅檢查用戶提出業(yè)務請求的合法性，而且判斷系統(tǒng)數(shù)據(jù)的訪問級別，判斷過程由系統(tǒng)的訪問行為控制管理機制實現(xiàn)，并根據(jù)級別判斷。最后，由系統(tǒng)界面提供該用戶權限級別對應的業(yè)務操作信息。

3 教務管理系統(tǒng)的自適應訪問控制實現(xiàn)

3.1 系統(tǒng)的訪問控制界面管理

系統(tǒng)訪問控制界面管理的主要職能是有效控制用戶訪問權限內(nèi)系統(tǒng)相關界面的生成[4，5]。該管理模塊不僅能計算出用戶登錄時所具有的角色，而且根據(jù)角色為其對應權限范圍生成唯一的菜單。

3.2 系統(tǒng)的登錄管理

本教務管理系統(tǒng)建立如圖8所示的用戶的登錄流程，該流程與傳統(tǒng)的系統(tǒng)登錄 “賬號+密碼”管理的主要區(qū)別是用戶在登錄的同時，實現(xiàn)對用戶的管理、維護和授權。

3.3 系統(tǒng)的可視化訪問控制

構建合理的用戶身份管理模型是系統(tǒng)的自適應訪問控制能夠有效實施的關鍵。本系統(tǒng)基于自適應訪問控制技術實現(xiàn)的用戶身份管理模塊，主要作用是為系統(tǒng)創(chuàng)建用戶的角色與職位、部門之間的映射關系，如圖9所示的系統(tǒng)創(chuàng)建用戶角色和權限的界面。

如圖10所示的基于自適應訪問控制技術實現(xiàn)的系統(tǒng)用戶訪問控制管理界面。

從圖10中可以看出，采用訪問控制機制可以保證系統(tǒng)不同的用戶分配對應級別的角色。同時，不同級別的用戶角色對應的操作權限不同。結果表明，采用該方式建立的用戶訪問控制能夠有效地保證系統(tǒng)的安全性。

4 結論

本文為了解決高校教務管理系統(tǒng)的安全設計要求，基于角色訪問控制模型具有的特性，構建了訪問控制自適應模型用于提高數(shù)據(jù)訪問控制的安全性、可靠性、靈活性。在此基礎上，實施過程的中給出系統(tǒng)對不同用戶的自適應訪問權限的設計。結果表明，基于角色的訪問控制技術，在保證系統(tǒng)安全運營的前提下，為系統(tǒng)提供了更高的靈活性，從而使用戶的管理與維護工作得以簡化。

[1] 李慶生. 高校教務管理系統(tǒng)的相關技術研究與實現(xiàn)[D].秦皇島：燕山大學，2012.

[2] 劉智.吳剛. 一種面向PDM系統(tǒng)基于權限位的訪問控制方法[J].計算機工程與科學，2013,35(1):72-76.

[3] 劉曉晨. 可信平臺的網(wǎng)絡訪問控制技術研究與應用[D].南京：南京理工大學，2011.

[4] Xiong Houren, Chen Xingyuan, Zhang Bin. Security Principles for RBAC-based Authorization Management[J].Computer Science， 2015, 42(3)：117-123.

[5] Sun Ling, Xin Yan, Luo Changyuan. Pervasive computing access control model based on extended RBAC[J].Journal of Computer Applications，2010, 30(4)：1045-1052.

Research and Implementation of Educational Management System Based on Role Access Control Technology

LI Qing-sheng

(Department of Teaching Affairs, Chengde Petroleum College, Chengde 067000, Hebei, China)

Based on the characteristics of network security of role access control model, the adaptive data access control model is proposed to realize the authorization mechanism of educational administration system in colleges. This system establishes the adaptive authorization management model and the user management model, which use the adaptive data access control model， and improves the security and reliability of the data access mechanism of the university educational administration system. At the same time, the management and implementation of the system access interface is completed. The results show that the access control mechanism provides higher flexibility for the system under the premise of ensuring the security of the system operation.

educational management system; role access control; adaptive access control; data access control

2016-10-22

李慶生(1978-)，男，吉林大安人，講師，碩士，主要從事計算機控制方面的教學和科研工作，E-mail:cdpc13065@163.com。

G473

B

1008-9446(2017)02-0040-05