数字档案管理系统中使用权限分配研究

张 伟，许瀛彻

（1.大连理工大学 机械工程学院，辽宁 大连 116024；2.大连育明高中，辽宁 大连 116024）

档案作为社会信息资源的重要组成部分，日益成为国家进行经济建设、政治建设和文化建设的重要资源。传统的档案管理方式导致档案利用率低，档案查询繁琐，查询费用昂贵，因此档案的数字化处理和基于Internet的档案管理应运而生[1-2]。

档案现代化管理模式及其最终目标是实现档案信息收集、整理和开发利用的数字化。计算机网络能有效实现资源共享，但资源共享和信息安全是一对矛盾体。目前全世界的网络多与Internet相联。一方面，人们希望从众多的服务器上获得各种各样的有用信息，另一方面，人们又要求自身服务器的一些敏感信息不被非授权的访问和窃取[3]。

为提高机构的安全性，安全机制必须要能控制：有“谁”能访问机构的信息，用户访问的是“什么信息”，哪个用户被授予什么样的“权限”。一旦机构确定了权限管理和发布的方式，访问控制系统就可根据机构发放的权限以及定义的安全策略控制用户访问，从而保护应用系统。

1 系统总体设计

1.1 系统方案选择

由于B/S架构管理软件只安装在服务器（Server）端上，网络管理人员只需要管理服务器就行了，用户界面主要事务逻辑在服务器端完全通过WWW浏览器实现，极少部分事务逻辑在前端（Browser）实现，所有的客户端只有浏览器，网络管理人员只需要做硬件维护。而且采用C/S模式的网络版，安装、使用都较为不便。因此数字档案管理系统适合采用B/S结构实现[4]。

论文采用基于角色的访问控制模型（Role Based Access Control，RBAC），即权限被指派给角色，角色指派给用户，从而用户享有角色所具有的权限。如图1所示，一个用户可以拥有多个角色，一个角色可授权给多个用户：一个角色可包含多个权限，一个权限可被多个角色包含。用户通过角色享有权限，不直接和权限相关联；权限对存取对象的操作是通过激活角色实现的。这样大大降低了系统的安全控制的复杂度，降低了系统开销，便于在业务活动中按照人员实际的职责分配和使用资源[5]。

图1 客体—角色—用户

1.2 系统总体功能

通过市场分析以及本系统开发理念，以系统实用为目标，设计出系统的总体功能，如图2所示。

图2 权限管理系统功能结构

1.2.1 用户管理

用户管理的主要功能是管理现有用户，对现有用户进行修改、删除，还能添加新用户并存入数据库，方便系统对用户的管理，主要包括添加用户、修改用户以及删除用户。用户管理系统中，系统管理员可向系统中添加新用户，并对原有用户进行修改和删除，若是一般成员登录则只能查看用户而不能对用户进行添加、修改、删除等操作。

1.2.2 角色分配

角色分配的主要功能是给不同的用户赋予不同的角色，主要包括赋予角色和去除角色。在角色分配系统中，只有系统管理员可将不同角色赋予或去除给各个用户，而一般成员登录只能浏览各用户所具有的角色而不能给用户赋予或去除角色。

1.2.3 角色管理

角色管理的主要功能是管理现有角色，对现有角色进行修改、删除，还可添加新角色并存入数据库，方便系统对角色的管理，主要包括添加角色、修改角色以及删除角色。角色管理系统中，系统管理员可向系统中添加新角色，并对原有角色进行修改和删除，若是一般成员登录则只能查看角色而不能对角色进行添加、修改、删除等操作。

1.2.4 权限分配

权限分配的主要功能是给不同的角色赋予不同的权限，主要包括赋予权限和去除权限。在权限分配系统中，只有系统管理员可将不同的权限赋予或去除给各个角色，而一般成员登录只能浏览各角色所具有的权限而不能给用户赋予或去除权限。

2 系统数据库的设计和实现

本文采用SQL Server[6]设计和实现系统的数据库功能。

2.1 数据库关系图设计

系统中权限管理部分数据库表之间的逻辑关系如图3所示，此关系图以员工的基本信息表（Base表）为基础，分角色和任务给不同的职员或部门，以管理不同员工和部门使用权限，主要包括角色数据表，功能数据表以及分别对应的角色描述数据表和功能描述数据表。

图3 逻辑关系

2.2 数据库具体表设计

在一个关系数据库中，表是最重要的数据库对象，对应于关系数据库理论中关系，与DBASE或FOXPRO中的DBF文件是类似。一切数据都存放在表中。其他数据库对象都是为了用户很好地操作表中的数据。表都以一张二维表的形式存在。其中，每列称之为一个字段，或一个域；而每行称之为一个记录，也就是一项数据。如图4所示，分别为Base表、BaseRoles表、FuncDic表、FuncRights表、RolesDic表。

图4 数据库表

2.3 数据库视图设计

视图是查看一张或几张表中的数据的一种方式。通过将一张或几张表中的一部分数据进行组合得到视图。视图看上去与表非常相象，但与表还是有着本质的区别。通过视图看到的数据实际上都是存放在表中的，在数据库中仅存在视图的定义。数据库3类视图如图5所示，包建立角色与权限间联系的right视图，建立角色与用户间联系的vwuser视图，建立用户以何种角色登录系统联系的vw_base_role视图。

图5 数据库视图

3 系统的实现和应用

用户权限管理界面如图6所示，用户管理的主要功能是管理现有用户，对现有用户进行修改、删除，还能添加新用户并存入数据库，方便系统对用户的管理。系统管理员修改新用户是用户管理中最基本的功能也是最重要的一部分功能，其操作界面如图7所示。

图6 用户权限管理界面

图7 修改用户界面

角色分配界面如图8所示，角色分配的主要功能是给不同的用户赋予不同角色，或去除用户所具有的角色。在角色分配系统中，只有系统管理员可将不同的角色赋予或去除给各个用户，而一般成员登录只能浏览各用户所具有的角色而不能给用户赋予或去除角色，角色管理界面如图9所示，用户管理的主要功能是管理现有角色，对现有角色进行修改、删除，还能够添加新角色并存入数据库，方便系统对角色的管理。

图8 角色分配界面

图9 角色管理界面

系统管理员修改新角色是角色管理中最基本的功能也是最重要的一部分功能，其操作界面如图10所示，权限分配界面如图11所示，权限分配的主要功能是给不同的角色赋予不同的权限，或是去除角色所具有的权限。在权限分配系统中，只有系统管理员可以将不同的权限赋予或去除给各个角色；而一般成员登录只能浏览各角色所具有的权限而不能给角色赋予或去除权限。

图10 角色修改界面

图11 权限分配界面

4 结语

论文基于ASP.NET的数字档案管理系统中权限分配问题，给出了.NET框架下数字档案管理系统中权限分配的设计与实现方法，并基于B/S结构模式搭建了系统的主要框架，设计出各子系统的主要功能。重点设计并实现了“权限分配子系统”，实现了权限的数字化存储与动态管理。系统所采用的模块化设计形式能很好地实现系统功能扩充和系统二次开发，具有一定的实用价值。

[参考文献]

[1]孙慧.浅谈如何提高档案工作服务能力[J].黑龙江档案，2010（5）：58.

[2]苗育平.开发档案信息资源提高档案服务质量[J].陕西档案，2006（5）：27-28.

[3]程春雨，郝晨辉，李昕岑，等.基于云计算的档案信息资源共享利用实践研究[C].北京：创新：档案与文化强国建设—2014年档案事业发展研究报告集，2014.

[4]王化雨.一种B/S信息系统访问控制机制的设计与实现[D].济南：山东科技大学，2005.

[5]张昀.基于角色的访问控制模型N-RBAC[J].软件导刊，2010（1）：29-30.

[6]闫旭.浅谈SQL Server数据库的特点和基本功能[J].价值工程，2012（22）：229-231.