夏冬梅
广东松山职业技术学院 广东 512126
从上世纪六十年代起,人们开始研究计算机信息系统访问控制技术,先后出现了各种各样的权限管理模型,确保只有被授权的用户才能访问某些敏感的数据和信息。它们的基本目标都是防止非法用户进行系统和合法用户对系统资源的非法使用。
本文在原RBAC模型基础上提出以用户组为授权中心的授权模式,即:在权限管理系统中引入组织机构,当某机构的所有人员职能相同时,则将看作一组,创建一个角色授予这个组,则整个组的人员都获得了权限,以用户组为中心授权的模式既简化了授权管理,系统又有较大的灵活度。
面向企业的访问控制的设计目标:支持大量的用户和访问客体,使角色、用户、任务、权限的分配、变化比较容易控制;支持企业间信息的安全共享与权限的简便管理;支持主动和被动的访问控制,适应动态的业务流程中权限与客体的快速变更等。
面向企业的访问控制解决方案:采用基于角色的访问控制,利用角色特点把权限与用户逻辑分离方便了用户权限的管理;采用角色匹配规则,通过人事管理为载体实现企业间信息的共享;采用角色与任务结合的观点,利用角色的易管理性及任务的动态性实现对工作流业务流程进行动、静态的访问控制。方案的总体模型如图1。
图1 企业访问控制总体框架图
本系统充分考虑企业单位人事特点后,对RBAC模型中用户与角色的映射做了改进,改换成职位与角色的映射(如图2)。企业中的每名员工都有它对应的职位,把不同员工但职能相同的职员看成一个用户组,针对用户组来分配角色,这样做的好处是:
图2 基于角色的授权的结构
(1)授权、权限分配和改变简单方便。如:某一员工职位变更,只需在用户信息中修改其职位,则用户自动转换到该职位对应角色,相应拥有新权限;
(2)设计中便于类的继承。高级权限的某些属性可以直接从一个或几个低级职位中继承过来;
(3)更好的保证用户对信息对象的访问权限是限制在他的工作范围之内。
本文实现的是企业门户系统、办公自动化系统和综合报表系统中统一使用的系统管理和人事管理部分。在两个系统管理模块中体现了这种基于RBAC企业通用用户权限管理模型的设计思想。
涉及的主要功能包括:
(1)人员基本信息的添加、修改、删除;
(2)角色的添加、修改、删除;
(3)角色组的添加、修改、删除;
(4)职位的添加、修改、删除。
基于角色的权限管理:包括用户管理、角色管理、系统功能管理、角色具有的系统功能管理4个模块。
(1)用户管理模块的主要功能是身份认证,这是基于角色访问控制的基础。
用户管理的UML用例图(如图3所示)。
图3 用户管理的UML用例图
(2)角色管理是通过用户管理中身份认证的用户被创建一个角色,它代表了一个独立访问权限实体,登录系统时根据角色信息来进一步判定登录用户拥有使用特定系统功能的权限。
角色管理的UML用例图(如图4所示)。
图4 角色管理的UML用例图
(3)系统功能管理包括添加系统功能、查询系统功能、修改系统功能和删除系统功能。系统功能信息是系统中进行操作的独立功能单位。
系统功能管理的UML用例图(如图5所示)。
图5 系统功能管理的UML用例图
(4)角色具有的系统功能管理包括查询角色具有的系统功能、添加角色具有的系统功能和删除角色具有的系统功能。
角色具有的系统功能管理的UML用例图(如图6所示)。
图6 角色具有的系统功能管理的UML用例图
人事管理模块是通用办公系统中进行人事组织管理要实现的功能模块,为系统管理模块提供用户的相关信息,如用户的真实姓名、身份证号以及其职位、机构信息等。人事管理模块具有机构管理、职位管理、职员管理、职位分配的角色管理、职员担任的职位管理5个子模块。
人事管理模块功能设计的思路大致与系统管理模块功能设计相同,故略去。
系统管理与人事管理的依存关系(如图7所示)。
综合以上系统管理模块和人事管理模块的用户需求分析,职位管理依存于机构管理,职员管理依存于职位管理,用户管理依存于职员管理,职员担任的职位管理依存于职员管理和职位管理,职位分配的角色管理依存于职位管理和角色管理,角色具有的系统功能管理依存于角色管理和系统功能管理。
图7 系统管理与人事管理的依赖关系
在权限管理模型的基础上,提出用户组为授权中心的授权模式,解决了RBAC中访问效率低的不足,提高了权限访问速度,降低了权限管理的复杂度。通过对系统管理及人事管理模块的功能设计,明确了本企业通用权限管理系统需要实现的基本功能,并通过分析两模块之间的依存关系,确定了其内部子模块的设计方向。
[1]M.Nyanchama and S.L.Osborn Access Rights Administration in Role-Based Security Systems Database Security VIII Status and Prospects Joachim Biskup,Matthew Morgenstern Carl E Landwehr(Eds.)North-Holland 1994.
[2]FerraioloDavid,Kuhn Richard.Role_basedaccess controls of 15thNIsT—NcscNational[A].Proceedings computersecurityconference [C].Baitimore,MaryIand 1992.
[3]Ravisandhu,EdwardJ basedaccess comfolmod—coyne.Roleels[J].IEEEcomputer.1996.
[4]黄大足.基于RBAC的网络数据库访问控制[J].南华大学学报(理工版).2004.
[5]夏冬梅.通用用户权限管理模型的研究与应用[D].华南理工大学.硕士学位论文.2007.
[6]鞠成东,廖明宏.基于RBAC模型的角色权限及层次关系研究[J].哈尔滨理工大学学报.2005.
[7]曹天杰,张水平.管理信息系统中基于角色的访问控制[J].计算机应用.2001.