基于角色的访问控制在教务系统中的应用

合集下载

基于角色访问的权限控制设计与实现

作者简介：高玮，ຫໍສະໝຸດ 读研究生。３５。
维普资讯
中砚戒树装国备
色，一个角色也可以被赋予多个用户；同样，角色和权限之间也存在着这样的多对多关系。该系统中默认的系
名称
２７第期总５）０年５（第１０期
用户可以继承系统管理员的有关角色设定权限。例如某个小组可以根据需要为小组增加新的小组角色类型，某・个小组添加的新角色类型信息存放在小组新角色类型表ＳＮＴｐｓ（ＧＲｙｅ中新角色类型号由该小组记录号索引），当增加新角色类型后，系统自动在小组角色权限表ＧＲｇｔ中添加一条有关新角色类型的权限记录（Ｒｉｈｓ该记录由小组记录号索引）。该记录中的各个字段的默认
等：角色的概念源于实际工作中的职务，在用户与权限
之间起连接两者的桥梁作用，概念是指一个或一群用其户在组织或职能部门内可执行的操作的集合。
对系统而言，可以定义多种角色，每种角色被赋予
了一定的职能，不同的用户依据其职能和责任被赋予相收稿日期：２６０ — ０ — ９２０９应的角色，一旦用户成为某角色的成员，可以执行该就角色所具有的职能。系统中，一个用户可以拥有多个角
权限为０。从而扩展了基于角色访问控制模型，实现了

应用系统中权限管理的隐患

应用系统中权限管理的隐患作者：熊斌来源：《硅谷》2012年第04期摘要：权限管理在一个应用管理系统中是不可或缺的重要组成部分，权限控制可以实现不同身份登录验证后所拥有资源的不同，一旦用户权限分配或管理不适当，必将给系统带来潜在的威胁，甚至造成不可预计的损失。

关键词：权限分配；用户管理；系统安全中图分类号：TP311.10 文献标识码：A 文章编号：1671－7597（2012）0220195－010 前言权限管理在一个应用管理系统中起着非常重要的作用，但是在程序开发时，由于一些程序员的疏忽或为了赶工程进度，在设计权限管理模块时往往会对一些细节不关心，造成权限管理中的重大安全危机。

1 权限管理中的常见问题1.1 用户管理中密码以明文显示在一个应用系统中，普遍采用用户与密码相匹配进行身份认证，确认使用者的合法性，保证系统安全。

但是，在一些小型系统或单机版应用系统中，往往为了简化开发与管理，把用户信息特别是用户密码等敏感信息进行明文管理，使得系统处理危险状态下。

缺陷分析：这种缺陷常见于一些小型应用系统，导致原因可能是：①系统设计人员为了方便使用者管理用户信息；②系统设计人员认为小系统使用的人员有限，没有必要对这些敏感数据进行加密。

解决措施：用户密码属于个人隐私，不应该公开，用户在登录系统后可以自行更改。

但在使用过程中，有些用户会遗忘自己更改过的密码，这时就需要通知系统管理员进行处理。

通常密码在数据库或用户管理界面中均要求显示为密文，而且最好是不可逆加密（如MD5），系统管理员只能重置用户密码，即初始化用户密码，而不能修改用户密码，确保用户身份的真实性。

1.2 用户管理中角色下拉列表可编辑在基于角色访问控制的模型中，所用户权限按角色进行统一设置，极大减化了授权管理的复杂性，保证了系统安全的灵活性。

如果用户角色设置不当，也将具有极大的破坏性，会造成系统的越权使用。

缺陷分析：用户权限是通过角色授权进行分配的，用户与角色存在对应关系经，在细粒度权限分配中，角色的管理并不是单一的，可能存在不同的管理人员维护不同的角色及其资源。

基于角色的访问控制在教务管理系统中的应用

用户的集合。用户一般情况下指人，也可为Ａｅｔｇｎ等智能程序。
角色（ｏｅ：指一个组织或任务中的工作或位Ｒｌ）是
的许可证。对于任意一个对象，只有具有合法许可证的用户才可以存取。强制访问控制相对比较严格，这种方式常用于多层次安全级别的军事应用。
在ＲＡＢＣ模型的基础上增加了部门权限控制，弥补了ＲＡＢＣ只能实现功能级别访问控制的不足。
关键词：色访问控制基于角色的访问控制模型教务管理角
１访问控制方法概述
随着计算机技术、通信技术和互联网的飞速发展，计算机安全性已经越来越引起人们的重视。访问控制
维普资讯
２０年第８期０７
计算机系统应用
基于角色的访问控制在教务管理系统中的应用
Ａｐｐｌａｉｆｒｅ — ｂａｅｄａｃｓｏｎｒｎｅｉｔｏｎｏｏｌ — ｓｃｅｓｃｔｏｌｉｄｕｃｔｏｎａｃａｉｌａｄｍｉｓｒｔｏｎｓｓｅｍｎｉｔａｉｙｔ
在转换为关系模式时我们并没有将roie与pe盯nssion单独转换为一个表而是把角色表的roidvalue字段类型定义为类似二进制数的o1代码并将权限表的permno的值与角色表的roievaiue字段值的位置相对应如果roievaiue字段某位置的值为o则表示该角色不具有该位置不难看出基于角色的访问控制模型比传统的自主访问控制和强制访问控制更优越同时也提供了更高的灵活性和扩展性
Ａｃｓｏｔｌｄ１，ｃｅｓＣｎｒｏＭｏｅ）是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某

教务管理平台权限及公共模块设计与开发

教务管理平台-权限及公共模块设计与开发摘要随着教育改革的不断深化，高等院校的建设与发展对国民整体素质的提高起着越来越重要的作用，建立一套能够适应这些改变的行政管理方案也就显得尤为重要。

对于教务处来说，将信息技术用于校务管理中便是迫切的要求。

教务系统中的用户数量众多，需要具有不同的权限，以实现不同的应用。

本论文介绍了开发背景，开发平台，并基于需求分析实现了教务管理平台中基于角色控制的权限系统(RBAC)及公共模块的设计与开发。

RBAC实现了用户与访问权限的逻辑分离，更符合教务平台的用户、数据和应用特征；在公共模块中实现了系统通用的日志管理，异常处理，常用类库方法等。

通过设计和应用本系统，有效的解决了教务平台中关于用户管理与权限操作等方面的问题，为系统公共模块的实现打下坚实的基础。

通过较为详尽的功能测试，表明本文的设计内容具有一定的通用性，可用于需要动态分配权限与角色的管理系统中。

关键词：权限；公共模块；RBACEducation Management Platform-The Design and Implementation of Authority System andPublic ModuleAbstractWith the continuous deepening of educational reform, the construction and development of universities players an increasingly important role to raise the overall quality, establish an administration solution to adapt these changes is particularly important. For the educational administration department, information technology use in the school management is an urgent requirement.The education management platform has large number of users and needs different authority in order to achieve different applications.This paper introduces the development background, the development platforms, the module design and development of education management platform, role based authority control system module (RBAC) and public module by requirements analysis. RBAC more separate the data and program from users, the system of education management platform for realizing the logic separation of user and access rights. The public module implements a generic system log management, exception handling, common library methods. With the developing of the system, it supplies an effective solution to the questions of user management and authority control of the platform and the public platform module methods, which has laid a solid foundation for the implementation of the system’s public module.By the detailed functional testing, it shows the generality, so the system may be used for the management system of dynamic allocation of authority and role.Key words:authority；public module；RBAC；目录论文总页数：22页1 引言 (1)1.1课题背景 (1)1.2课题目的 (1)1.3课题意义 (1)2 系统平台与相关技术 (2)2.1系统架构 (2)2.2 开发平台介绍 (2)2.2.1 Visual Studio 2005介绍 (2)2.2.2 SQL Server 2005介绍 (2)2.3 开发技术介绍 (2)2.3.1 (2)2.3.2 RBAC (3)2.3.3 Identity和IPrincipal (3)3 需求分析和数据库设计 (3)3.1 应解决的问题 (3)3.1.1 基于RBAC的权限系统. (3)3.1.2 平台需要的公共模块 (4)3.2功能需求 (4)3.2.1用户信息管理 (5)3.2.2 角色信息管理 (5)3.2.3 资源管理 (5)3.2.4 用户角色分配 (5)3.2.5 角色权限分配 (5)3.2.6 权限操作 (5)3.2.7 日志管理 (5)3.2.8 异常处理 (6)3.2.9 基础公共类库 (6)3.3非功能需求 (6)3.3.1包容性和可扩展性 (6)3.3.2系统简洁,易使用、易维护、适用非计算机专业人员使用 (6)3.3.3充分保护数据的一致性 (6)3.3.4采用先进成熟的技术，建立实用可靠的系统 (6)3.4 数据库设计 (6)4 系统设计设计与实现 (9)4.1公共模块设计 (9)4.1.1数据库通用类设计 (9)4.1.2系统工具通用类设计 (9)4.1.3系统日志和树目录设计 (10)4.1.4系统异常处理 (12)4.1.5系统通用页面设计 (12)4.2 权限系统模块的实现 (13)4.2.1 用户信息管理和角色绑定 (13)4.2.2 角色管理和权限绑定 (15)4.2.3 权限管理 (16)4.2.4 系统资源管理和权限绑定及菜单操作 (17)4.2.4 url过滤 (18)5 测试 (20)结论 (20)参考文献 (20)致谢 (21)声明 (22)1引言教务管理平台对安全问题有较高的要求，传统的访问控制方法DAC （Discretionary Access Control，自主访问控制模型）、MAC（Mandatory Access Control，强制访问控制模型）难以满足复杂的教务管理平台需求。

RBAC权限管理在教务管理系统中的应用与实现

RBAC权限管理在教务管理系统中的应用与实现鞠宏军;杜丽娟【摘要】Combined with practical application , RBAC-based rights management and its application in edu-cational management system are introduced in this paper.RBAC model realizes batch management of user rights by role er can get a list of resources function in accordance with the role he logins and system generates corresponding dynamic pared with traditional management system , RBAC model is easier and more intuitive in user rights and menu function.The system has good advancement and practicality.%结合实际应用，阐述了一种基于RBAC模式的权限管理在教务管理系统中的应用及实现。

该模式能够通过角色授权，实现对用户权限的批量管理，用户登录后可以根据角色获取具有的资源功能列表，并生成相应的动态菜单。

解决了传统管理系统用户权限管理、功能菜单管理不方便、不直观的问题，具有一定的先进性、实用性。

【期刊名称】《华北科技学院学报》【年(卷),期】2014(000)005【总页数】4页(P70-73)【关键词】RBAC模式;权限管理;管理信息系统;菜单动态生成【作者】鞠宏军;杜丽娟【作者单位】华北科技学院计算机学院，北京东燕郊 101601;华北科技学院计算机学院，北京东燕郊 101601【正文语种】中文【中图分类】TP311.520 引言高校教务管理系统涉及的人员多、信息量大，管理过程及操作复杂;并且必须严格区分和控制各类用户对系统访问的权限和功能，以保证系统数据及运行的安全。

基于角色的访问控制在教务系统中的应用

基于角色的访问控制在教务系统中的应用摘要本文通过对rbac96的分析提出扩展的rbac模型（erbac），并且在高校教务系统中加以应用，验证了其有效性和实用性。

关键词 rbac；角色；访问控制中图分类号tp39 文献标识码a 文章编号 1674-6708（2011）54-0183-02传统的高校教务系统的访问控制模块通常将用户和权限直接关联，这样的授权模型不方便系统的扩展，也不够灵活，当组织规模不断扩大、结构变换频繁时，就出现了大量繁琐的授权变化，权限管理的复杂度呈现指数增长的态势，而基于角色的访问控制（role-based access control，以下简称rbac）模型能够较好的解决这个问题。

1 rbac概述rbac模型引入了“角色”的概念，使得操作权限不直接授予用户，而是通过建立“用户→角色→权限”的映射关系，来灵活的表征组织内部以及用户与权限间的关系。

现阶段rbac的研究均以rbac96为基础，rbac96[1]由ravi s.sandhu教授及其领导的乔治梅森大学信息安全技术实验室（list）提出，主要由rbac0、rbac1、rbac2和rbac3组成，如图1所示。

图 1 rbac96（包括rbac0、rbac1、rbac2和rbac3）rbac0是rbac96模型的核心，主要包括u（用户集）、r（角色集）、p（权限集）和s（会话集），p由ops（操作集）和obs（客体集）组成。

rbac1在rbac0的基础上增加了rh（角色分层）概念，使用偏序来描述这种角色继承的关系。

rbac2在rbac0的基础上引入c（约束集）来决定对rbac0各组件的操作是否被接受，只有被接受的操作才被允许。

rbac3综合了rbac1和rbac2，自然也包括了rbac0。

rbac96是一个基本模型，属于中性策略，这就决定了在应用中，可以根据实际情况对rbac96进行扩展。

2 扩展的rbac模型本文根据我院教务系统的访问控制的实际需求，对rbac96进行扩展，增加了“属性”的概念，形成了一个扩展的rbac模型，简称erbac模型。

rbac具体案例

rbac具体案例RBAC（Role-Based Access Control）是一种广泛应用于信息系统安全领域的访问控制模型，它基于角色的概念，并通过将用户分配给角色来管理和控制访问权限。

下面将列举10个具体的RBAC案例，以展示其在不同领域中的应用。

1. 公司员工权限管理：在一个大型企业中，RBAC可以用于管理员工在内部系统中的访问权限。

不同的角色可以包括普通员工、部门经理、高级管理人员等，每个角色具有不同的权限，以保证只有具备相应权限的人员可以访问特定的信息和功能。

2. 医院信息系统权限控制：在医院的信息系统中，RBAC可以用于管理医生、护士、行政人员等角色的访问权限。

通过RBAC模型，可以确保只有经过授权的人员可以访问患者的医疗记录和其他敏感信息。

3. 银行系统权限管理：在银行系统中，RBAC可以用于管理不同角色的员工对客户账户的访问权限。

例如，柜台职员可能只能查询账户余额和交易记录，而风险控制人员可能具有更高级别的权限，可以进行账户冻结或调整额度等操作。

4. 学校教务系统权限控制：在学校的教务系统中，RBAC可以用于管理教师、学生、管理员等角色的访问权限。

教师可以查看和编辑学生成绩，学生可以查询自己的课程和成绩，管理员则具有更高级别的权限，可以管理教师和学生账号。

5. 航空公司乘客信息管理：在航空公司的系统中，RBAC可以用于管理不同角色的员工对乘客信息的访问权限。

例如，客服人员可能只能查看乘客的基本信息和航班预订记录，而安检人员可能具有更高级别的权限，可以访问乘客的身份证或护照信息。

6. 政府部门数据权限控制：在政府部门的数据管理系统中，RBAC 可以用于管理不同角色的员工对敏感数据的访问权限。

例如，税务局的工作人员可能只能查看纳税人的纳税记录，而审计人员可能具有更高级别的权限，可以查看纳税人的详细财务信息。

7. 社交媒体平台权限管理：在社交媒体平台中，RBAC可以用于管理不同类型用户的访问权限。

B／S中基于角色的用户权限管理的设计与实现

维普资讯
１２５
福
建电
脑
２０第１期０７年１
ＢＳ中基于角色的用户权限管理的设计与实现／
李延伟．李筱宁
（河南财经学院成功学院信息工程系河南郑州４１０）５２０【摘要】本文根据ＲＡ的原理，用ＡＰＮＴ技术，：ＢＣ采Ｓ．Ｅ实现了教务管理系统中的用户权限管理。文中阐述了基于角色的权限管￣（ＢＣ）原理、限管理的数据库设计、户授权和用户权限控制的实现。使用ＣＲＡ的权用＃语言，发了权限管理控开
件，高了开发效率，化了权限管理，户使用灵活方便。提简用
【关键词】：权限管理；／ＢＳ模式；ＢＣＲＡ；角色
ｌ引言、
教务网络管理系统（下简称系统）以。必须很好地解决系统用户的权限管理问题。传统的访问控制方法ＤＣＤｓｒｔｎｒＡ（ＩｅｏａｙｃｉＡｃｓｏｔｌ自主访问控制模型）ＭＡ（ｎａｒｃｅｓｃｅｓＣｎｒ。ｏ、ＣＭａｄｔｙＡｃｓｏＣｎｒ，制访问控制模型）以满足复杂的环境需求。现行的ｏｔｌ强ｏ难系统权限管理普遍存在着开发工作量大、户功能单一、权不用授灵活、方便的问题。为了解决这些问题．文采用ＡＰＮＴ技不本Ｓ．Ｅ术，据ＲＡ的原理。发出了一套非常灵活、用的权限控根ＢＣ开实制控件。本文苜先介绍ＲＡ（ｏａｅｃｅｓＣｎｒ１的基本原ＢＣＲｌＢｓｄＡｃｓｏｔ）ｅｏ理。在此基础上．给出系统中实现用户权限控制的一种具体方

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

基于角色的访问控制在教务系统中的应用
摘要本文通过对RBAC96的分析提出扩展的RBAC模型（ERBAC），并且在高校教务系统中加以应用，验证了其有效性和实用性。

关键词 RBAC；角色；访问控制
传统的高校教务系统的访问控制模块通常将用户和权限直接关联，这样的授权模型不方便系统的扩展，也不够灵活，当组织规模不断扩大、结构变换频繁时，就出现了大量繁琐的授权变化，权限管理的复杂度呈现指数增长的态势，而基于角色的访问控制（Role-Based Access Control，以下简称RBAC）模型能够较好的解决这个问题。

1 RBAC概述
RBAC模型引入了“角色”的概念，使得操作权限不直接授予用户，而是通过建立“用户→角色→权限”的映射关系，来灵活的表征组织内部以及用户与权限间的关系。

现阶段RBAC的研究均以RBAC96为基础，RBAC96[1]由Ravi S.Sandhu教授及其领导的乔治梅森大学信息安全技术实验室（LIST）提出，主要由RBAC0、RBAC1、RBAC2和RBAC3组成，如图1所示。

图 1 RBAC96（包括RBAC0、RBAC1、RBAC2和RBAC3）
RBAC0是RBAC96模型的核心，主要包括U（用户集）、R（角色集）、P（权限集）和S（会话集），P由OPS（操作集）和OBS（客体集）组成。

RBAC1在RBAC0的基础上增加了RH（角色分层）概念，使用偏序来描述这种角色继承的关系。

RBAC2在RBAC0的基础上引入C（约束集）来决定对RBAC0各组件的操作是否被接受，只有被接受的操作才被允许。

RBAC3综合了RBAC1和RBAC2，自然也包括了RBAC0。

RBAC96是一个基本模型，属于中性策略，这就决定了在应用中，可以根据实际情况对RBAC96进行扩展。

2 扩展的RBAC模型
本文根据我院教务系统的访问控制的实际需求，对RBAC96进行扩展，增加了“属性”的概念，形成了一个扩展的RBAC模型，简称ERBAC模型。

ERBAC模型在角色中形成了三元组（r, a, p），减少虚拟“中介”角色的出现，这样有利于简化权限指派，避免繁琐复杂。

在用户中也形成了三元组（u, a, p），灵活动态的控制了用户所需的临时特权。

同时，在用户中还形成了三元组（u, a,。