摘要:基于角色的权限管理以角色来管理用户的权限,因其高效、灵活获得了广泛的应用。在校园网VPN系统中引入基于角色的权限管理,根据需求设计RBAC模型并进行实现。通过基于角色的权限管理,实现统一身份认证,能够防止未经授权的访问干扰,保护校园网信息安全。
关键词:角;权限管理;VPN
有系统就会有用户,有用户即会存在用户的权限管理问题。用户权限管理方式有很多种,当前广泛采用的权限控制模型是RBAC模型[1],其基本思想是通过角色来管理用户的权限。在这种模型中,根据用户的身份和访问需求将其定义成不同的角色,然后将系统的各种功能操作权限与之进行关联,从而使具有不同角色身份的用户拥有不同的资源访问权限。
1.需求分析
随着信息化建设的推进,各高校数字校园基本成形,接入校园网的计算机也越来越多,校园网内的资源和应用系统也越来越多,包括学校网站、在线图书馆资源、OA无纸化办公系统、教务管理信息系统等。各应用系统由不同的单位开发建设,身份认证方式繁多,由此导致部分用户为方便记忆,设定过于简单的口令,这有违信息安全原则且容易留下安全隐患。多种用户管理体系的存在,给用户管理工作带来很大的难度。
VPN需要实现访问控制,大量师生在校外通过VPN接入校园网,信息安全问题需要引起重视。校园网内各种资源需要根据访客的身份来决定是否允许访问,一些重要数据和敏感信息必须进行加密处理并限制只有拥有权限的用户才能访问,如OA办公系统只有教职员工才能访问,在线图书资源、教务管理系统等资源则限于教职员工和学生访问,学校网站则允许所有用户访问。
近年来高等教育快速发展,各高校动辄拥有数千师生,他们都是校园网VPN的使用用户。出于安全,数量庞大的用户还须进行权限分配。按照传统的基于用户的权限管理方法,针对这些用户的初次权限分配已是一项巨大工程。而且,每年都会增加数千新用户,再加上现有人员流动,系统管理员的工作难度和强度都非常大,稍有不慎就会造成权限管理混乱,危及校园网内信息的安全。
因此,建立一个统一的基于角色的VPN用户权限管理体系,实现对用户权限的科学高效管理,对确保校园网内信息的安全非常重要。
2.RBAC模型设计
RBAC的核心思想就是通过角色来管理权限,涉及三大主体:权限、角色、用户。根据用户的特征,定义不同的角色,然后根据角色的访问需要赋予相应的资源和权限[2]。角色在校园网VPN用户中是相对比较稳定的,变动的几率很小。对角色分配权限后,一般不需要进行大的调整,即使有人员流动,也不会影响到整个权限管理机制。因此通过角色来管理权限,可以大大降低用户权限管理的难度。
权限是对校园网中资源和信息的访问许可及操作权利。将校园网内的各种资源定义成一系列的URL地址。每项资源又分读、写等权限。
角色是与校园网VPN用户的的工作或职务相关联的,每个角色拥有的权限也根据所负责工作的不同不相同。在校园网VPN用户中,角色主要有四种:学生、教师、管理员、访客。学生角色赋予在线图书资源、教务管理系统、学院网站等资源的访问权限,教师角色赋予在线图书资源、教务管理系统、学院网站、OA办公系统等资源的访问权限,访客角色仅赋予学院网站的访问权限,管理员角色则拥有所有资源的访问权限。
用户是使用校园网VPN的个体。学生角色用户信息由管理员从教务管理信息系统中导出,统一分配角色信息、创设初始密码后导入用户管理数据表中。教师角色用户信息由人事部门提供,管理员统一分配角色、创设初始密码后导入用户数据表。其他部门管理员根据职能需求,由系统管理员创建,统一分配管理员角色并设定初始密码。在用户表中没有信息的用户,统一分配访客角色。
这样用户在分配角色的同时即可获得相应的资源访问权限。结合校园网VPN的实际情况,构造RBAC授权模型如图1所示。
图1RBAC权限模型
在本模型中,一个用户只能拥有一种角色,不同的用户可以拥有相同的角色。一个角色可以拥有多个资源的访问权,不同的角色可以拥有同一个资源的访问权。也就是说,在本模型中,用户与角色为多对多的关系,角色与权限也是多对多的关系。
3.实现
在基于角色的VPN统一权限管理系统中,系统管理员拥有对用户、角色、权限分配的全部权限。管理员角色能够增加用户、修改用户、删除用户,增加权限、删除权限。为实现校园网内所有应用系统使用同一个用户管理体系,实现统一身份认证,将各个应用系统的用户数据整合到VPN认证平台下。各用户要使用校内的资源,均须经过VPN服务器进行身份认证。整个体系的实现又分用户管理数据表设计和根据用户权限加载资源两部分。
3.1用户管理数据表设计
根据基于角色的用户权限管理方案,在数据库中设计了User、Role、Resource、Operation四个数据表。User表用来管理访问用户,设计有3个字段,分别为Userid、Username和Password,分别存储用户ID(学号、工号等)、用户名、用户密码。Role表用来管理用户的角色分配,设计有UserID、RoleID、Rolename三个字段,分别存储用户ID、角色ID、角色名。Resource表用来管理相关角色的访问权限,设计有RoleID、ResourceID、Resourcename、Secvalue四个字段,分别存储角色ID、资源ID、资源名、安全状态值。Operation表用来管理对资源的有关操作,设计有ResourceID、OperateID、Operatename三个字段,分别用来存储资源ID、操作ID、操作名称。
3.2根据用户权限加载资源
校园网中有部分资源对用户所使用的客户端安全要求较高,需要检测是否安装有防毒软件等安全防护软件,检测完成后向服务器端返回一个secvalue值,服务器将这个值与用户请求访问的资源的secvalue进行比较,如果匹配,则向用户发送该资源所对应的URL地址及操作权限,如果不符合则不发送。
校园网VPN选择SSLVPN,用户使用浏览器以https方式访问VPN服务器,打开认证页面,输入用户名、密码信息发起认证申请。SSLVPN服务器首先遍历数据库user表,如查询到来访用户信息并且密码匹配无误,则扫描客户端安全环境并跳转至数字资源中心,遍历Resource表,根据客户端secvalue值以及用户的角色和权限返回相应的资源链接信息;如未检索到来访用户信息,则按访客角色,返回访客角色对应的资源信息。这样一来,没有获得权限的用户就无法访问资源。这种细致的安全访问控制,能够满足不同资源和应用系统对安全性的要求,使客户端能够安全接入校园内网,在一定程度上对校园网内的资源起到了保护作用。
4.结论
用户权限管理直接影响到校园网内信息的安全。校园网VPN系统采用基于角色的权限管理,很好的解决了校外师生用户远程接入校园网的问题,并且能够有效防止未经授权的访问,实现精细化的访问控制,保护校园网中的信息安全。基于角色的权限管理灵活、高效,建立的统一身份认证机制,大大减少了用户管理工作难度和强度。