高?？蒲泄芾硐到y(tǒng)中的權(quán)限管理

朱二莉

摘要：分析了基于角色訪問控制模型的原理，接著進(jìn)行了高校科研管理系統(tǒng)中各級人員的權(quán)限需求分析，提出將基于角色訪問控制技術(shù)應(yīng)用在科研管理系統(tǒng)的權(quán)限分配系統(tǒng)中。詳細(xì)分析了權(quán)限的分配策略，并給出了系統(tǒng)關(guān)鍵技術(shù)的具體實現(xiàn)，從而滿足了不同層次的人員權(quán)限分配的要求，實現(xiàn)了較為靈活的管理模式。

關(guān)鍵詞： 角色； 基于角色訪問控制； 科研管理系統(tǒng)； 權(quán)限分配； 分配策略

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）29-6813-03

Abstract： Analysis of the principle of the model based on role-based access control， then analyzes the security needs of personnel at all levels of scientific research management system in colleges， and the role based access control technology applied in permission assignment. Analysis of the policy of permission assignment， and gives concrete realization of the key technology of the system， so as to meet the different levels of permissions assigned personnel requirements， to achieve a more flexible management model.

Key words：role； role-based access control； scientific research management system； permission assignment； policy of permission assignment

《高等學(xué)?！笆濉笨茖W(xué)和技術(shù)發(fā)展規(guī)劃》明確指出：“十二五”時期，高?？萍及l(fā)展仍處于重要戰(zhàn)略機遇期。近幾年來，隨著高等教育的迅猛發(fā)展，高校的科研工作越來越受到重視。而高校的科研項目的管理效率和水平也直接影響高校的信息化管理水平，因此越來越多的高校都在采用科研管理系統(tǒng)進(jìn)行科研項目管理、科研成果管理等全方位科研管理，即綜合采用各種現(xiàn)代信息技術(shù)來合理組織、調(diào)控，保證科研管理工作的及時性和高效性，使科研管理工作更加科學(xué)化和規(guī)范化。

科研管理系統(tǒng)中供高校不同角色的教師和管理人員使用，靈活的角色權(quán)限分配，能最大限度的滿足客戶對于權(quán)限控制的要求。用戶的類別不受限制。因此權(quán)限的設(shè)計、管理和分配問題是科研管理系統(tǒng)設(shè)計過程中的一個重中之重。權(quán)限管理一般指根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，用戶可以訪問而且只能訪問自己被授權(quán)的資源，權(quán)限管理在科研管理系統(tǒng)中發(fā)揮著至關(guān)重要的作用。權(quán)限管理的關(guān)鍵在于訪問控制策略，它決定了在設(shè)計權(quán)限管理體系時可以控制的權(quán)限維度，如時間、空間等。目前在訪問控制領(lǐng)域，比較流行的就是基于角色訪問控制技術(shù)RBAC（Role Based Access Control），該技術(shù)被廣泛運用于各個系統(tǒng)中。

在RBAC中，用戶就是一個可以獨立訪問計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其他資源的主體。角色是指一個組織或任務(wù)中的工作或者位置，它代表了一種權(quán)利、資格和責(zé)任。許可（權(quán)限）就是允許對一個或多個客體執(zhí)行的操作。一個用戶可經(jīng)授權(quán)而擁有多個角色，一個角色可由多個用戶構(gòu)成；每個角色可擁有多種許可，每個許可也可授權(quán)給多個不同的角色。每個操作可施加于多個客體（受控對象），每個客體也可以接受多個操作。在一個組織中，角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)它的責(zé)任和資格來被指派相應(yīng)的角色，用戶可以很容易地從一個角色被指派到另一個角色。

RBAC的基本思想是：授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)。RBAC對訪問權(quán)限的授權(quán)由管理員統(tǒng)一管理，RBAC根據(jù)用戶在組織內(nèi)所處的角色作出訪問授權(quán)與控制，授權(quán)規(guī)定是強加給用戶的，用戶不能自主地將訪問權(quán)限傳給他人。在RBAC中，是利用角色來控制人員與功能邏輯分隔，權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限，另外角色可依新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要而從某角色中回收，這種管理方式很有效得簡化了各種環(huán)境下的權(quán)限管理。

高校的科研管理的申報及管理模式是科技產(chǎn)業(yè)處、系部、普通教師這三級組織結(jié)構(gòu)的模式，工作流程是普通教師用戶在網(wǎng)上申報項目，下載和上傳申報書。系部級別用戶下載教師上傳的申報書對之進(jìn)行初審，系部初審?fù)ㄟ^后，接下來由科技產(chǎn)業(yè)處審核，科研項目通過審核方能開展，在到達(dá)科研項目截止日期時，科產(chǎn)處對項目進(jìn)行結(jié)題處理。因此根據(jù)這樣一個流程，可以把用戶可分為四個級別：普通教師級別用戶、系部級別用戶、科技產(chǎn)業(yè)處級別用戶、管理員級別用戶。普通教師級別用戶對“項目申報模塊”具備操作權(quán)限，可以下載和上傳科研項目申請書，下載和上傳科研項目協(xié)議書，并對個人用戶信息進(jìn)行管理、對個人的科研項目進(jìn)行管理（添加、刪除、修改）；系部級別用戶對“項目初審模塊”具備操作權(quán)限，各個系部的科技工作的管理者可以對項目進(jìn)行初審；科技產(chǎn)業(yè)處級別用戶對“項目審核模塊”、“項目結(jié)題模塊”具備操作權(quán)限，科產(chǎn)處可以審核全院的科研項目、對科研項目進(jìn)行結(jié)題、對全院科研項目進(jìn)行管理（添加、刪除、修改）、對科研項目信息進(jìn)行統(tǒng)計、下載等；管理員級別用戶對“用戶管理模塊”具備操作權(quán)限，管理員可以對用戶數(shù)據(jù)進(jìn)行維護(hù)和管理。所有級別的用戶都具有對應(yīng)的查詢模塊。不同用戶登錄系統(tǒng)，具備不同的功能權(quán)限，如普通教師可以查詢自己的項目信息，系部科技工作的管理者可以查詢該系部的項目信息，而科產(chǎn)處可以查詢?nèi)旱捻椖啃畔?。endprint

權(quán)限管理的最終目的是建立用戶和功能之間的對應(yīng)關(guān)系，從而保證數(shù)據(jù)的安全性和保密性，就是保證每個用戶只能執(zhí)行他能夠執(zhí)行的操作。角色對權(quán)限的操作是根據(jù)高?？蒲泄芾淼男枨蠖贫ǖ?，一般的權(quán)限操作有：登陸，項目申報，項目初審，項目審核，項目結(jié)題，項目查詢，用戶管理，查詢等，根據(jù)這些權(quán)限，制定合理的權(quán)限管理策略。

3 實現(xiàn)

用戶和功能之間不能直接聯(lián)系，而是增加一個角色表，角色與用戶和功能之間也沒有直接的聯(lián)系，用戶和角色之間是通過用戶角色表發(fā)生聯(lián)系的，這樣一來，用戶和角色的增加和維護(hù)就變得相對獨立，而用戶和角色之間也可以建立動態(tài)的對應(yīng)關(guān)系。另外一方面，角色和功能之間也沒有直接的關(guān)聯(lián)，而是通過角色功能表發(fā)生關(guān)系，從而使得角色和功能之間形成了一種動態(tài)的對應(yīng)關(guān)系，功能描述表也把用戶和功能聯(lián)系了起來。這樣的權(quán)限管理使得數(shù)據(jù)庫的設(shè)計和維護(hù)變得更加靈活。4 結(jié)束語

在高校的科研管理系統(tǒng)中，實行權(quán)限管理是重要的安全保護(hù)措施?；诮巧L問控制技術(shù)能夠適應(yīng)高校科研項項目管理特定的安全策略，能夠減輕系統(tǒng)安全管理的負(fù)擔(dān)，能隨組織結(jié)構(gòu)或安全需求變化而發(fā)生變化，能把用戶和系統(tǒng)的功能通過角色聯(lián)系起來，能很好地解決高?？蒲许椖抗芾硐到y(tǒng)中的權(quán)限管理問題，能夠讓不同級別的用戶操作不同的信息，從而解決了高校不同權(quán)限管理者的要求，實現(xiàn)了權(quán)限管理著對自己部門信息的操作控制管理，實現(xiàn)了較為靈活的管理模式。

參考文獻(xiàn)：

[1] 胡金成，劉亞彬，陳琳.高?？蒲泄芾硐到y(tǒng)分析與設(shè)計[J].電腦知識與技術(shù)，2012，8（27）：6642-6244.

[2] 劉鵬遠(yuǎn).一種角色權(quán)限管理方案的算法設(shè)計[J].計算機系統(tǒng)應(yīng)用，2010，19（10）：228-232.

[3] 黃超.基于角色的權(quán)限管理結(jié)合Structs攔截的應(yīng)用研究[J].大眾科技，2009，11（11）：51-52.

[4] 高燕，張維，陳小輝.基于RBAC的可復(fù)用的權(quán)限管理設(shè)計與實現(xiàn)[J].科學(xué)技術(shù)與工程，2007，7（15）：3959-3962.

[5] 王居柱，侯彤璞，孫明柱.基于Struts-Hibernate架構(gòu)的權(quán)限管理系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機與數(shù)字工程，2011，39（4）：101-105.

[6] 張劍波，童方圓，胡金涌，等.基于復(fù)雜角色模型安全訪問控制的研究與實現(xiàn)[J].計算機應(yīng)用與軟件，2011，28（7）：288-290.

[7] 李嵐.基于角色的數(shù)據(jù)庫安全訪問控制的應(yīng)用[J].通信技術(shù)，2008，41（10）：1-3.endprint

權(quán)限管理的最終目的是建立用戶和功能之間的對應(yīng)關(guān)系，從而保證數(shù)據(jù)的安全性和保密性，就是保證每個用戶只能執(zhí)行他能夠執(zhí)行的操作。角色對權(quán)限的操作是根據(jù)高校科研管理的需求而制定的，一般的權(quán)限操作有：登陸，項目申報，項目初審，項目審核，項目結(jié)題，項目查詢，用戶管理，查詢等，根據(jù)這些權(quán)限，制定合理的權(quán)限管理策略。

3 實現(xiàn)

用戶和功能之間不能直接聯(lián)系，而是增加一個角色表，角色與用戶和功能之間也沒有直接的聯(lián)系，用戶和角色之間是通過用戶角色表發(fā)生聯(lián)系的，這樣一來，用戶和角色的增加和維護(hù)就變得相對獨立，而用戶和角色之間也可以建立動態(tài)的對應(yīng)關(guān)系。另外一方面，角色和功能之間也沒有直接的關(guān)聯(lián)，而是通過角色功能表發(fā)生關(guān)系，從而使得角色和功能之間形成了一種動態(tài)的對應(yīng)關(guān)系，功能描述表也把用戶和功能聯(lián)系了起來。這樣的權(quán)限管理使得數(shù)據(jù)庫的設(shè)計和維護(hù)變得更加靈活。4 結(jié)束語

在高校的科研管理系統(tǒng)中，實行權(quán)限管理是重要的安全保護(hù)措施?；诮巧L問控制技術(shù)能夠適應(yīng)高?？蒲许楉椖抗芾硖囟ǖ陌踩呗?，能夠減輕系統(tǒng)安全管理的負(fù)擔(dān)，能隨組織結(jié)構(gòu)或安全需求變化而發(fā)生變化，能把用戶和系統(tǒng)的功能通過角色聯(lián)系起來，能很好地解決高?？蒲许椖抗芾硐到y(tǒng)中的權(quán)限管理問題，能夠讓不同級別的用戶操作不同的信息，從而解決了高校不同權(quán)限管理者的要求，實現(xiàn)了權(quán)限管理著對自己部門信息的操作控制管理，實現(xiàn)了較為靈活的管理模式。

參考文獻(xiàn)：

[1] 胡金成，劉亞彬，陳琳.高?？蒲泄芾硐到y(tǒng)分析與設(shè)計[J].電腦知識與技術(shù)，2012，8（27）：6642-6244.

[2] 劉鵬遠(yuǎn).一種角色權(quán)限管理方案的算法設(shè)計[J].計算機系統(tǒng)應(yīng)用，2010，19（10）：228-232.

[3] 黃超.基于角色的權(quán)限管理結(jié)合Structs攔截的應(yīng)用研究[J].大眾科技，2009，11（11）：51-52.

[4] 高燕，張維，陳小輝.基于RBAC的可復(fù)用的權(quán)限管理設(shè)計與實現(xiàn)[J].科學(xué)技術(shù)與工程，2007，7（15）：3959-3962.

[5] 王居柱，侯彤璞，孫明柱.基于Struts-Hibernate架構(gòu)的權(quán)限管理系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機與數(shù)字工程，2011，39（4）：101-105.

[6] 張劍波，童方圓，胡金涌，等.基于復(fù)雜角色模型安全訪問控制的研究與實現(xiàn)[J].計算機應(yīng)用與軟件，2011，28（7）：288-290.

[7] 李嵐.基于角色的數(shù)據(jù)庫安全訪問控制的應(yīng)用[J].通信技術(shù)，2008，41（10）：1-3.endprint

權(quán)限管理的最終目的是建立用戶和功能之間的對應(yīng)關(guān)系，從而保證數(shù)據(jù)的安全性和保密性，就是保證每個用戶只能執(zhí)行他能夠執(zhí)行的操作。角色對權(quán)限的操作是根據(jù)高?？蒲泄芾淼男枨蠖贫ǖ?，一般的權(quán)限操作有：登陸，項目申報，項目初審，項目審核，項目結(jié)題，項目查詢，用戶管理，查詢等，根據(jù)這些權(quán)限，制定合理的權(quán)限管理策略。

3 實現(xiàn)

用戶和功能之間不能直接聯(lián)系，而是增加一個角色表，角色與用戶和功能之間也沒有直接的聯(lián)系，用戶和角色之間是通過用戶角色表發(fā)生聯(lián)系的，這樣一來，用戶和角色的增加和維護(hù)就變得相對獨立，而用戶和角色之間也可以建立動態(tài)的對應(yīng)關(guān)系。另外一方面，角色和功能之間也沒有直接的關(guān)聯(lián)，而是通過角色功能表發(fā)生關(guān)系，從而使得角色和功能之間形成了一種動態(tài)的對應(yīng)關(guān)系，功能描述表也把用戶和功能聯(lián)系了起來。這樣的權(quán)限管理使得數(shù)據(jù)庫的設(shè)計和維護(hù)變得更加靈活。4 結(jié)束語

在高校的科研管理系統(tǒng)中，實行權(quán)限管理是重要的安全保護(hù)措施?；诮巧L問控制技術(shù)能夠適應(yīng)高?？蒲许楉椖抗芾硖囟ǖ陌踩呗裕軌驕p輕系統(tǒng)安全管理的負(fù)擔(dān)，能隨組織結(jié)構(gòu)或安全需求變化而發(fā)生變化，能把用戶和系統(tǒng)的功能通過角色聯(lián)系起來，能很好地解決高?？蒲许椖抗芾硐到y(tǒng)中的權(quán)限管理問題，能夠讓不同級別的用戶操作不同的信息，從而解決了高校不同權(quán)限管理者的要求，實現(xiàn)了權(quán)限管理著對自己部門信息的操作控制管理，實現(xiàn)了較為靈活的管理模式。

參考文獻(xiàn)：

[1] 胡金成，劉亞彬，陳琳.高?？蒲泄芾硐到y(tǒng)分析與設(shè)計[J].電腦知識與技術(shù)，2012，8（27）：6642-6244.

[2] 劉鵬遠(yuǎn).一種角色權(quán)限管理方案的算法設(shè)計[J].計算機系統(tǒng)應(yīng)用，2010，19（10）：228-232.

[3] 黃超.基于角色的權(quán)限管理結(jié)合Structs攔截的應(yīng)用研究[J].大眾科技，2009，11（11）：51-52.

[4] 高燕，張維，陳小輝.基于RBAC的可復(fù)用的權(quán)限管理設(shè)計與實現(xiàn)[J].科學(xué)技術(shù)與工程，2007，7（15）：3959-3962.

[5] 王居柱，侯彤璞，孫明柱.基于Struts-Hibernate架構(gòu)的權(quán)限管理系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機與數(shù)字工程，2011，39（4）：101-105.

[6] 張劍波，童方圓，胡金涌，等.基于復(fù)雜角色模型安全訪問控制的研究與實現(xiàn)[J].計算機應(yīng)用與軟件，2011，28（7）：288-290.

[7] 李嵐.基于角色的數(shù)據(jù)庫安全訪問控制的應(yīng)用[J].通信技術(shù)，2008，41（10）：1-3.endprint