“数字人大”建设中RBAC分级模型的应用.ppt

数字人大 建设中RBAC分级模型的应用 中国人民大学网络与教育技术中心赵文广zwg 数字人大 建设工程 十五 期间 我校信息化建设高起点 大规模 入主流 跨越式全面展开 迅猛发展 数字人大 建设工程预期目标 举例说明身份证件智能化 一卡通行全校 既是身份的证明 又可进行考勤 借阅 出入以及用餐 消费等金融业务数据资源标准化 数据库的各种信息均是依据统一的标准录入 数据资源高度共享应用运行规范化 应用系统建设完成后 交由各个部门使用 并依据业务和职能进行相应的数据维护 如人事信息来自人事处 只有人事处有权进行人事信息的更改 数字人大 建设工程预期目标 举例说明校务管理电子化 学校日常行政办公均基于统一的应用平台 针对一个数据库操作 科学 规范 高效地处理各项行政事务统计数据实时化 校领导或行政部门依据各自需要获取实时的统计信息 并且统计数据唯一信息服务个性化 全校师生依据各自权限 方便地定制自己想要的教学 科研 管理以及新闻类信息 数字人大 建设工程预期目标 应用系统一个标准遵循国际 国家 教育部及行业标准 我校统一规范的标准体系 一个数据库涵盖所有应用数据 逻辑连接为一体的基础共享数据库 一个平台立足于应用建设长期发展的应用系统及其软硬件平台和应用基础技术框架平台一个应用无缝集成 一个系统一个门户面向最终用户 师生员工 的能够集成公共信息 个性化信息 应用模块功能 具有信息推送能力的应用信息门户 中国人民大学 数字人大 建设工程总体规划 2003年6月 完成 数字人大 建设工程总体规划初稿 2003年10月 通过专家论证 2004年3月 校长办公会正式通过实施 数字人大 建设工程指导思想总体规划 分步实施 标准统一 资源共享 重在应用 2003年6月自主完成 中国人民大学 数字人大 建设工程总体规划 数字人大 建设工程总体规划充分体现学校总体发展目标 满足学校战略发展需要 2003年开始 我校的信息化建设项目实践均依据本规划 近10万字 共分为 总论 基础设施建设 及 应用系统建设 三个部分 对 数字人大 建设的指导原则 总体目标 建设内容 技术路线 规范与标准 预期效益 建设策略 主要措施 实施计划及未来发展进行了全面概括 内容涵盖了我校数字化校园建设的方方面面 中国人民大学教育管理信息化标准 第一部分 参照 教育管理信息化标准 第一部分 覆盖行政办公 人事 学生 教务 科研 房产 设备 仪器实验室 图书 学校公共信息等的相关部分内容 整合信息项5万多个 共计信息代码5千多条 数字人大 电子校务一期建设依据此标准展开 关于 数字人大 应用一期建设 建设目标 五个一 一个标准 一个数据库 一个平台 一个应用 一个门户标准规范体系 我校自己的应用开发标准体系 包括信息标准 代码标准 软件工程规范 应用开发标准 数据交换标准等硬件集群 数据集中 应用集成配套的安全保障体系长期建设与发展的技术队伍和规范化模式 关于 数字人大 应用一期建设 建设内容应用平台建设 信息发布平台 统一身份认证和用户管理 共享数据库 应用业务部署等平台建设六个主干应用和两个辅助应用 办公自动化 本科教务 研究生教务 人事管理 科研管理 学生管理等六个主干应用 网络管理与服务 干部考核等两个辅助系统标准体系 遵循并制定相关标准 电子校务应用系统 2005年1月开始建设 9月开始 一期建设的办公自动化 本科教学管理 研究生管理 人事管理 科研管理 学生管理等业务系统子模块逐步投入使用 初步完成了学校应用体系的建设 形成需求文档1976页 形成设计文档7224页 已完成的功能点数为935个 电子校务应用系统 电子校务应用系统电子校务系统运行在UNIX平台 符合J2EE规范 数据库为ORACLE10G 中间件为BEAWEBLOGIC 应用部署在两台SUN高端小型机 并行处理 数据存储于EMCCX700 并有磁带库进行备份 电子校务系统中的权限模型 电子校务系统是大型管理信息系统 功能模块覆盖学校管理的方方面面 如此庞大的管理信息系统 用户的授权极为复杂 如果统一集中由一个部门进行用户权限管理 一是工作量大 二是没有任何一个部门能掌握全校所有岗位的业务权限 电子校务系统中的权限模型 采用分级的基于角色的访问控制 分级RBAC 方法 即将系统权限管理分为两级 与之对应设置两级系统管理员一级系统管理员负责对二级系统管理员的授权二级系统管理员负责对最终业务用户的授权这样使集中的权限控制变为既可集中控制 又可分散控制 降低了权限管理的复杂度 RBAC基本思想 RBAC基本思想 优点是当用户发生变化时只需修改用户和角色之间的关联而不必修改角色与权限的关联 当某一角色下的权限因需求调整时 也不必更改用户和角色之间的关联 RBAC改进模型设计 分级RBAC 定义1资源 就是系统的资源 例如部门信息 文档等各种可以被提供给用户访问的数据对象 定义2权限 是与系统模块的功能点相对应的 就是指 这个权限是绑定在特定的资源实例上的 是对计算机系统中被保护数据或资源的访问许可 比如说查看教职工基本信息 叫做 职工基本信息查询权限 权限是由开发人员在做开发业务模块时就确定的 定义3角色 是接口概念 抽象的通称 角色是业务逻辑的接口 也是权限分配的单位与载体 角色对外的接口应该是用户 对内是具体业务逻辑的权限 权限不分配给特定的用户 在业务逻辑的判断中 用户仅应关注其直接属于的角色 从而具有该角色的权限 RBAC改进模型设计 分级RBAC 定义4用户 每个登陆系统的人都可称为用户 用户仅仅是纯粹的用户 权限是被分离出去了的 用户不能与权限直接相关的 用户要拥有对某种资源的权限 必须通过角色去关联 用户分成两类 一类为系统管理用户 另一类为业务用户 系统管理用户负责系统的授权 可以把权限分配给业务用户 业务用户是业务功能模块的使用者 定义5角色的可管理组织机构 角色的权限对应的可操作的数据范围 在系统中可管理组织机构是指数据级的权限 登陆用户能查看维护的数据范围 在电子校务系统中是以院系所部为单位的 可管理组织机构 本部门 能查看和维护的数据仅限于用户所在部门 全校 能查询和维护全校所有院系所部的数据信息 特定部门 能查看和维护的数据范围是在特定部门列出的院系所部的数据 用户 角色 权限和可管理组织机构的关系 用户和角色的关系 一个角色下可以有多个用户 一个用户也可以属于多个角色 角色和权限的关系 角色具有一个或多个权限 一个权限也可被多个角色拥有 角色和可管理组织机构的关系 可以给角色设置可管理组织机构 用户和权限及可管理组织机构的关系 用户和权限是通过角色关联起来的 也就是说用户属于某一个角色 那么这用户就拥有这个角色所具有的权限和可管理组织机构 分级RBAC模型进一步细化 权限的分类 权限与系统的每个功能点对应 对于每个功能点 将其分为 使用权限 和 管理权限 角色拥有 使用权限 是指角色通过操作该功能点可以处理相应的业务 如人事模块中的人员信息修改权限 角色通过该权限修改人员的信息角色拥有 管理权限 则指角色可以将该功能点的使用权限分配其他角色或创建拥有该功能点使用权限的新角色 分级RBAC模型进一步细化 角色的分类 由于权限被分类成使用权限和管理权限 在给角色授权时 有的角色被授予使用权限 有的角色被授予管理权限 我们称前者普通角色 后者为系统管理角色 普通角色只拥有其被授权限功能点的使用权 不能将其拥有的权限再分配给其他角色 系统管理角色可以创建角色 可以给角色分配权限 可以为角色指定用户 同时也可以删除角色中的权限 可以删除角色中的用户 也可以删除已有角色 分级RBAC模型进一步细化 权限的分级管理就是指针对于集中授权 在这里被设计成分级授权 可设置多个系统管理角色 每个系统管理角色能管理的权限不同 一级系统管理角色可以管理整个电子校务系统中的所有权限 所有角色和用户 二级系统管理角色管理覆盖其部门业务功能的系统模块的分配权限 可以设置三级甚至更多级的系统管理角色 建立权限管理机制 1 程序开发者创造权限 开发者在设计和实现系统时会划分 一个子系统或称为模块 应该有哪些权限 这里的权限是将权限和具体的资源实例联系在一起 形成一种业务的操作 在系统中 这种业务操作是基本的操作元素 2 系统管理员创建角色 分配角色 第一 把角色和基本的操作相关联 同时增加角色的可管理组织机构的限制 如同样是对课程信息的修改的操作权限 不同的角色 其可访问数据的范围是不同的 某个院系的教务秘书 只能修改本院系统的课程数据 而教务处课程管理员可以修改全校的课程数据 第二 把角色分配给具体的用户 3 用户使用权限 使用系统管理员分配给的权限去使用各个子系统 系统管理员是权限管理机制中的核心 在他的心目中有一个比较适合他管理和维护的权限模型 于是 程序开发者只完成什么权限可以访问什么资源 也就是前面说的基本业务操作元素 有了基本业务操作 系统管理员就可以按照他的意愿来建立他所希望的权限框架 可以自行增加 删除与修改资源和权限之间关系 可以自行设定用户和角色的对应关系 分级的RBAC管理模型 普通角色 院系发文管理员 授权例子 由二级管理员创建 发文管理员 角色 为该角色分配发文管理等权限 同时设置其可管理组织机构为本院系当为一名用户选择了 发文管理员 角色 则即可获得该角色的权限同时该用户又是教师 为其选择 教师 角色 则这名用户获得的权限就是 教师 权限和 教务秘书 权限的合集的关系如系统管理员对 发文管理员 角色的权限做修改的时候 则这名用户获得的最终权限也随之变化 普通角色 院系发文管理员 授权例子 系统角色 OA系统管理员 授权例子 结束语 本文结合中国人民大学电子校务系统