基于數字化校園一卡通系統的安全管理的研究
文章出處:http://www.jrzgy.com 作者: 人氣: 發表時間:2011年09月16日
摘 要:介紹了校園一卡通管理系統的總體設計方案,并針對數字校園用戶訪問量大且多數用戶訪問權限有限的特點,提出了一種基于數字化校園的一卡通系統的安全管理方案。
數字校園是以網絡為基礎,利用先進的信息化手段和工具,實現從環境(包括設備、辦公空間、研究空間、教學空間等)、資源(如圖書資料及專業數據庫、教師講義和課件、全球網上專業資訊)到活動(包括教、學、科研、管理、服務、辦公等)的全部數字化。在傳統校園的基礎上構建一個既對應又有本質不同的數字空間,拓展現實校園的時間和空間維度,從而提升傳統校園的效率,擴展傳統校園的功能,最終實現電子校務(信息發布平臺、辦公自動化、數據中心、集成的信息系統)、教育資源(網上教學、數字圖書館等)、虛擬社區(后勤服務、校園一卡通等)、網絡服務與網絡安全為一體的數字化教育環境。作為整個數字化校園的核心應用項目,校園一卡通系統針對目前校園中使用的證件多、管理繁雜的情況,用一張卡代替學校目前使用的各種證件(包括學生證、工作證、借書證、醫療卡、出人證等)。師生員工在學校各處出入、辦事、活動和消費均只憑這張校園卡便可進行。該系統不僅僅是消費系統,還具備身份識別以及信息管理功能。
目前各大學在校園卡應用系統管理上存在諸多不便,主要表現在以下幾個方面:
(1)由于卡應用的快速發展,校內各單位逐步建立起自己的卡應用系統,而這些系統采用的技術與規范不統一,造成了各種卡應用系統無法兼容,資源不能合理配置和共享;
(2)學生手中的學生證卡、食堂飯卡、圖書館借閱卡、銀行消費卡以及電話卡等等,少則三、四張,多則六、七張,給學生用卡帶來了不便;
(3)各部門獨立開發,使學校各單位管理不能統一。
目前,各大學校園網的網絡基礎建設都已成熟,為校園一卡通系統的建立提供了可能,射頻Ic卡應用系統的日漸成熟為校園一卡通系統的建立提供了技術保障,校園內實現一卡通管理己成為校園管理發展的必然趨勢。
1 系統總體設計方案
數字校園一卡通管理系統是建立在校園網絡的基礎之上,運用先進的計算機網絡技術、通信技術及非接觸式Ic卡技術,為學校的各項管理功能提供現代化手段,以提高管理質量和水平。其系統結構如圖1所示。
圖1 校園一卡通結構圖
該系統的具體實現目標如下:
(1)IC卡各子系統的工作站和上位機居于系統的高速管理信息域,采用以太網,通過路由器可連接校園局域網和廣域網,包括Intranet和Internet。
(2)通過TCP/IP控制器(TCP/IP通訊協議)與管理主機進行通訊。確保在聯機狀態下的完全實時性要求。
(3)一卡通系統數據庫采用同一數據庫管理,數據庫平臺用sQL Server 2000,自控系統集成可通過局域網與其建立通訊連接,并對其數據庫進行讀、寫訪問。
(4)所有Ic卡在管理中心授權(發卡或掛失)后無須再到各子系統進行任何授權操作,便可實現身份識別、電子門禁、考勤、消費、圖書借閱等多種功能,真正做到“一卡通行”。
2 安全管理的研究
安全管理是數字校園核心功能塊,其安全控制平臺通過校園網基礎設施(防火墻或代理服務器),限制內部用戶和外來用戶對特定資源的特定操作以及防御網絡攻擊外,還提供戶身份認證、用戶權限校驗、數據安全加密等功能,能夠靈活的依據用戶應用環境的需要,方便的設置這個系統的組織結構和各種不同用戶對于系統應用程序和資源的操作情況。權限管理是安全控制平臺的主體,對于學校的復雜應用而言,僅僅依賴數字證書等,不能完全保障系統的安全。還要考慮以下的需求:
(1)安全性要求更高:在局域網內部,域用戶的登陸名和密碼,很容易被偵聽,會導致密碼被盜用。
(2)數據量大:數字校園使用用戶總數很容易超過3萬,超過3萬的用戶結合數字證書,導致系統負載過重,極大影響系統運行。
(3)安全層次和靈活配置的需要:針對上述訪問量巨大的情況,而大多數的學生權限小,根本沒有信息管理權限,對于安全性要求比較低。而且這一類的用戶流動性強。所以針對他們都建立數字證書是沒有必要甚至浪費的。
2.1 安全策略的設計
平臺的安全策略采用基于角色的安全控制模型,通過分配和取消角色來完成用戶權限的授予和取消,并且提供角色分配規則和操作檢查規則,如下圖2所示。例如:安全管理人員根據需要定義各種角色,并設置合適的訪問權限,再根據用戶的責任和資歷指派為不同的角色。這樣,整個訪問控制過程就分成兩個部分,即訪問權限與角色相關聯,角色再與用戶關聯,從而實現了用戶與訪問權限的邏輯分離。
圖2 基于角色的控制思想
由于實現了用戶與訪問權限的邏輯相對分離,基于角色的策略極大的方便了權限管理如果一個用戶的職位發生變化,只要將用戶當前的角色去掉,加入代表新職務或新任務的角色即可。研究表明,角色/權限之間的變化比角色/用戶關系之間的變化相對要慢得多,并且委派用戶到角色不需要很多技術,可以由行政管理人員來執行。部門管理人員只可以在自己的權限范圍內,將自己有的權限授權給下級角色。這與現實中隋況正好一致。除了方便權限管理之外,基于角色的訪問控制方法還可以很好的地描述角色層次關系,實現最少權限原則和職責分離的原則。
在采用基于角色的安全策略中,存在以下相關聯的概念:
2.1.1 功能和功能組
功能模塊是針對一種特定數據的操作集合。功能模塊是作為視圖控制的基本的單元,功能模塊是相對數據相對獨立的最小的單元。功能組作為功能的分類管理方法,一個功能組能夠包含多個功能模塊和多個子功能組。相同功能組包含的子功能模塊不能重復。即功能組作為功能模塊的名稱空間。
2.1.2 角色和部門
角色是登陸用戶權限的最小單元。角色一定屬于某個部門,不存在沒有對應部門管理的角色。角色可以有一級到多級的子角色。子角色的權限由上級的角色賦予權限。角色向子角色授予自己擁有的權限范圍和該權限范圍內的對應操作能力。
部門作為角色的分類管理功能,部門能夠包含多個子部門和子角色。部門包含的同一級別的部門不允許重名。
部門與實際存在的行政機構不完全等同。一個部門可能與一個實際存在的行政機構對應,也可能只是某個行政機構內設置的臨時小組。部門的設置為方便角色管理的授權構成建立的。建立一個部門必須建立一個對應的部門管理者角色。可以由部門管理者角色向下級授權,或者建立相應的下級部門和角色。下級部門和角色只能的功能范圍只能在該部門對應的權限范圍作用。
2.2 權限管理
權限管理實現用戶使用應用系統資源和功能的合理分配,這是數字校園的安全特性,同時也是用戶的個性化需求。對于一個應用系統而言,不是安全控制越嚴密越好,重要的是符合用戶的應用需求。針對學校大學生、教師、職工、領導、學院等多種角色,采用2.1中的基于角色的安全策略,對不同的角色分配不同的訪問權限。如下圖3所示,管理員定義功能組、定義部門工作不同的角色,對身份認證后的用戶進行訪問委派,
即指定所有能訪問的應用系統的功能組集合。訪問資源的粒度是從應用系統一功能組一功能塊。例如:學生管理系統一學歷成績功能組一成績查詢功能塊,辦公管理系統一公共服務一編寫公告功能塊。
圖3 基于用戶一角色一權限的權限管理結構
用戶權限配置首先是一個角色授權的過程:選擇數字校園中不同應用系統的功能塊,賦予不同角色對應的訪問權限,即完成角色的授權。接下來是用戶授權過程:對一個新用戶賦予他某種角色,該用戶即獲得了角色的訪問權限。
數字校園中對于不同的應用系統,同一個用戶可能具有多重的角色,使用權限并不是職位越高權限越大,而應是各司其職。例如,王某是學院的教務主任,李某是學院的任課老師,教務主任角色可查看學生的考試成績,但是卻不能隨意修改學生的考試成績。任課老師只能查詢自己任課班級的學生的考試成績,但是可以直接修改和發布這些學生的考試成績。如果教務主任還是任課老師,只需修改教務主任角色的授權訪問權限——增加或減少相應的功能模塊,不用再進行王某的用戶授權過程。
本文介紹了數字校園一卡通系統的總體設計方案,并通過對數字化校園安全需求的分析,針對數字校園用戶訪問量大且多數用戶訪問權限有限的特點,確定數字校園安全策略,給出了一種安全管理控制平臺的實現方案,實施效果表明整個數字校園的安全性、操作性和交互能力都得到了較大的提高。
作者簡介:尹風雨(1978一),男,湖南桂陽人,碩士生,助教,研究方向:計算機網絡安全。 孫崢嶸,蔣云霞,盧明
參考文獻:
[1]劉春紅,鄭有才.URP中授權管理系統設計與實現[J].微機發展,2005,(3).
[2]沈培華,王映雪,蔣東興,等.清華大學數字校園建設與思考[J].教育信息化,2002,(2).
[3]Tim Parker,Mark Sportack.TCP/IP技術大全[M].前導工作室.北京:機械工業出版社,2000.
[5]陸永寧.IC卡應用系統[M].南京:東南大學出版社,2000.
【稿件聲明】:如需轉載,必須注明來源和作者,保留文中圖片和內容的完整性,違者將依法追究。
