RBAC模型在院校資源共享系統中應用

常樂

摘要：隨著國家大力發展院校的信息化建設步伐的增快，很多院校都開展資源共享系統的研究與開發。本文通過分析所屬院校以及牽頭職教集團內其他院校目前資源共享系統存在的主要問題，提出了一種基于角色訪問控制的教學資源共享系統，該系統能夠針對使用者復雜的需求將資源訪問的權限按照角色進行劃分，并最終將權限分配給特定的用戶。通過該策略一方面提高了資源的安全性，另一方面提高了用戶對資源訪問的便利性。

關鍵詞：資源共享；RBAC；信息化

一、引言

近年來，我國職業教育事業快速發展，體系建設穩步推進，國務院頒發的〔2014〕19號文件中第十八條明確指出構建利用信息化手段擴大優質教育資源覆蓋面的有效機制，推進職業教育資源跨區域、跨行業共建共享，逐步實現所有專業的優質數字教育資源全覆蓋[1]。在國務院頒發的2014-2020年現代職業教育體系建設規劃中的第十一條也明確提出加強職業教育數字化資源平臺建設，到2020年，數字化資源覆蓋所有專業。建立全國職業教育數字資源共建共享聯盟，制定職業教育數字資源開發規范和審查認證標準，推動建設面向全社會的優質數字化教學資源庫。目前很多院校都已經開展相關研究工作，與本科類高等院校相比，職業院校由于本身信息化建設相對比較滯后，在資源共享方面仍然存在一些問題，如：種類資源繁多、利用率不高、共享率低等問題[2]。

本文依托所在職業院校，通過分析職業學院教育教學資源的特點分析開展面向高等職業院校資源共享策略的研究。研究的主要目的是解決目前現有資源共享平臺存在的一個普遍的問題就是“開發的多但是用的少”。這種現象出現的一個很重要的原因就是過分中重視資源本身而沒有考慮學生的需求。雖然目前的很多資源共享平臺提供了豐富的資源，但是學生及教師在利用資源的時候往往需要花費很多的時間才能夠找到自己感興趣或者具有指導意義的“重點資源”，從而削弱了人們利用資源平臺的積極性。本文針對該問題在分析了角色訪問控制（RBAC）的工作原理的基礎上提出了基于角色訪問控制的職業院校資源共享系統研究設計框架。

二、基于角色訪問控制方法簡介

基于角色的訪問控制思想是由美國的學者Ravi S Sandhu最先提出的[3]，他提出的該模型包括了三個實體：分別是用戶、角色以及訪問的權限。該模型的主要思想是：用戶通過角色獲得訪問系統功能的權限，所有的用戶不能夠與系統的資源直接進行權限相關，而是通過角色，角色在確定時需要與某個權限進行關聯。2001年Ferraiolo與Kuhn對該模型提出了幾點建議[4]，并在此基礎上形成了NIST RBAC模型。該模型指出，一個用戶可以指定一個或者若干個角色；每個角色也可以指定給若干個用戶，角色需要分配一些不同的操作。由于該模型建設的信息系統具有較高的權限資源利用率，而且提高了信息系統的安全性，應此目前很多的大型信息系統都采用了該模型。職業院校的角色更加復雜概括起來包括：學生、教師、管理人員；而教師又包括不同專業的教研室主任、系主任等；管理人員包括不同部門，如：教務處，財務處等這些部門的各類職務。針對這些問題本文采用基于角色訪問控制的策略構建可以隨時滿足不同用戶方便獲取資源的共享管理系統。

三、基于角色訪問控制的職業院校資源共享系統的設計

1.資源共享系統的功能需求

雖然國家大力支持各個院校開展信息化建設，但不同職業院校對資源共享系統的需求也不盡相同，為了提高系統的復用性、擴展性，本文在需求分析的過程中，不僅調研了所在學校，而且走訪了所在職教集團的其他院校。通過調研本文所開發的資源共享系統的功能需求如圖1所示。

通過分析，本文開發設計的基于角色訪問控制的職業院校資源共享系統主要包括四個大的功能模塊：

（1）教學資源共享平臺

該模塊作為整個資源共享平臺的核心，主要為教師、學生及其他人員提供滿足需求的各種資源，這些資源包括：硬件資源，如實訓室，實訓設備等；網絡資源，如經過規范化后的文檔、視頻、網頁等網絡資源；自建教學資源，如在學校日常教學工作中由教師積累起來的教案、大綱、參考資料等；資源使用分析主要通過分析不同角色對資源的需求情況，并對用戶潛在的資源需求進行挖掘。

（2）科研成果共享平臺

該模塊的主要功能是為學校的教師及教學管理人員在科研中的各項工作進行管理，并對各類科研成果進行共享，這些科研成果包括：論文、專利、項目等等。

（3）管理經驗共享平臺

該模塊的主要功能是對從事各類管理工作，如：學生管理、教學管理、行政管理等各類經驗資源進行共享。平臺通過收集不同角色在從事管理工作中的各類成功案例，解決問題的方法進行共享等信息，從而提高學校管理水平。

（4）平臺管理

該模塊的主要功能包括用戶管理、資源搜索、角色訪問控制。這些功能主要是保證整個平臺的安全高效的運行。

3.2角色訪問控制策略設計

角色訪問控制策略的主要功能是給不同角色的用戶提供一個安全的資源訪問控制方法，通過該策略，用戶僅僅能夠訪問到權限容許的各種資源。本文設計的資源共享管理系統角色訪問控制設計如圖2所示。

不同類型的用戶首先通過圖2中的身份認證系統進行驗證，系統會根據所登錄的用戶信息進入到角色管理模塊。角色管理模塊將根據角色信息從權限庫中構建該用戶的權限列表。最終通過資源庫檢索到該用戶能夠訪問到的各類資源。通過該策略系統能夠極大的提高資源的安全性。

總結

本文通過了解目前資源共享系統中存在的問題，設計了基于角色訪問控制的職業院校資源共享系統。首先介紹了基于角色訪問控制策略的相關背景，其次分析了所在院校及職教集團內部其他院校對資源共享系統的功能需求，最終介紹了本文設計的基于角色控制的資源共享系統方案。

參考文獻

[1]國務院頒發的現代職業教育體系建設規劃（2014-2020）.

[2]賀婷.高效優質教育資源共享問題研究[D].西北大學，2014.

[3]Ravi Sandhu，Edward Coyne，Hal Feinstein，et al.Role-based acess control models[J].IEEE Computer，1996，29（2）：38-47.

[4]Ferraiolo D，Sandhu R，Gavrila S，et al.A proposed standard for role-based access control[J]. ACM Transactions on Information and System Security，2001，4（3）：224-274.endprint