校园网络ＦＴＰ服务器用户权限管理及访问控制

[摘要]在“数字校园”环境下，FTP与其他应用系统整合的关键是用户管理的设计，如何分配用户的权限，是用户管理设计中要考虑的一个重要问题。通过分析学院FTP各类用户的特点，采用基于角色的访问控制理论对用户权限进行分配，实现用户与用户与访问权限的逻辑分离。

[关键词]FTP 用户权限管理 角色访问控制

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0120080－01

在“数字校园”环境下，FTP与其他应用系统整合的关键是用户管理的设计，也就是FTP如何与“数字校园”的统一用户管理集成，以实现在FTP系统上创建账号能将访问权限扩展到其他应用系统。

用户的管理主要包含:用户的基本信息的管理、用户所具有的角色的管理以及登录和权限验证的管理。下面从用户权限管理及访问控制方面来进行分析。

用户权限决定用户是否有权访问某一特定资源或执行某种特定操作。访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。如何分配用户的权限，是用户管理设计中要考虑的一个问题。

学校FTP一般面向教师、学生以及行政人员。各类用户的特点分析如下：

1.行政人员的一般特点：人数较多，职务比较固定，工作的内容相对固定。因此行政人员的权限也相对固定，一般情况下设置好后很少修改。

2.教师的一般特点：人数较多，每个教师可以讲授多门课，每门课都有不同的教学资源，每门课都有大量的学生需要下载资源、上传作业，每门课的学生都是只在某个学期或某个学年才是有效的用户。所以需要修改的权限非常多。

3.学生的特点：人数非常多，每个学生需要学习多门课，即使是同一个专业的学生选修的课程也不会完全一样，同一个教学班里的学生中可能课代表的权限更大。所以需要修改或新增的学生权限相对教师而言更多。

基于角色的访问控制技术的元素包括下列五方面：

1.用户：用户就是一个可以独立访问计算机系统中的数据或者用数据表示其它资源的主体。用户在一般情况下是指人，即被授权使用计算机的人，每个系统工作都有一个或几个用户参与。根据用户存在的差异，分别赋予用户某种和某几种角色，用户就具有相应的权限。也可以把一些用户赋予某种组，通过组和权限联系起来，用户就具有组相对应的权限。

2.组：为了本系统适用于分散式权限管理，加入了组(用户组)的概念，是指用户的集合。方便权限管理用户组也可以委派角色，当用户被加入用户组时，自动对用户所在的用户组拥有的角色进行了委派。为了便于分散式权限管理系统同时还支持对部分组的权限进行下发方式处理，授权特定的用户对用户组的权限进行管理。用户组、组角色、组权限都是多对多的关系。

3.角色：是指一个组织或任务中的工作或位置，它代表了一种资格、权利和责任。

4.权限：是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可。

5.访问控制：就是当计算机系统所属的信息资源遭受未经授权的操作威胁时，能够提供适当的管制以及防护的措施，来保护信息资源的机密性与正确性。访问控制实质上是对资源使用的限制，决定主体是否被授权对客体执行某种操作。一般访问控制策略有三种：自主访问控制、强制访问控制和基于角色的访问控制。本文采用的是基于角色的访问控制（Role-Based Access Control，RBAC）。

由于实现了用户与访问权限的逻辑分离，基于角色的策略改变就极大的方便了权限管理。例如，为了使用户管理更简捷，进一步可以将用户分为两层。一层指个人用户，另外一层指组用户，将具有相同角色的个人用户放在同一个组用户里面，再将组用户同角色进行关联。这样一来，分配角色只针对组而不是个人，从而大大地减少了权限管理与维护的工作量。另外，如果单独的一个个人用户具有与同一个组人员不同的角色，那么可以在该组中再单独建立一个子组，并赋予它不同的权限，就可以实现个别权限不同的情况。如图1所示。

根据上述对RBAC的分析，结合基于数字校园网的FTP系统的开发，将系统的某些用户划分为若干个组，如普通用户组、学生组、教师组和管理人员组等。在组用户之间确认层次关系，如图2所示。再确定FTP系统中涉及到的角色，也明确其层次关系，将对应的用户(组用户)分配给相应的角色。

通过以上分析采用基于角色的访问控制理论对用户权限进行分配，实现了用户与用户与访问权限的逻辑分离。

作者简介：

邢金萍，女，河南郑州人，华中科技大学硕士学位，讲师。