一種基于RBAC的數(shù)據(jù)權限模型的設計與實現(xiàn)

龔藝

四川廣播電視大學 四川 610073

0 引言

隨著企業(yè)信息管理系統(tǒng)的逐漸發(fā)展，數(shù)據(jù)權限的需求日益增加，在一個企業(yè)信息管理系統(tǒng)里，可能涉及到多類用戶，每類用戶對應著不同的數(shù)據(jù)訪問范圍。RBAC并不能很好的滿足復雜的數(shù)據(jù)權限控制的需求。本文在RBAC模型的基礎之上，提出了一個加強數(shù)據(jù)權限管理的數(shù)據(jù)權限模型，滿足對復雜數(shù)據(jù)權限控制的需求。

1 基于角色的權限控制模型

RBAC的核心思想是將權限與角色聯(lián)系起來，在系統(tǒng)中根據(jù)應用的需要為不同的工作崗位創(chuàng)建相應的角色，同時根據(jù)用戶職責指派合適的角色，用戶通過指派的角色獲得相應的權限，實現(xiàn)對文件的訪問。也就是說，傳統(tǒng)的訪問控制是直接將訪問主體(發(fā)出訪問操作，有存取要求的主動方)和客體(被調(diào)用的程序或欲存取的數(shù)據(jù)訪問)相聯(lián)系，而RBAC在中間加入角色，通過角色溝通主體和客體，角色的目的就是為了隔離用戶和權限。角色作為一個用戶與權限的代理層，解耦了權限和用戶的關系，所有的授權應該給予角色而不是直接給用戶，從而實現(xiàn)了用戶與訪問權限的邏輯分離。1996年，Sandhu發(fā)布了RBAC96 的RBAC 通用模型族。文獻[5]介紹了一些基于角色系統(tǒng)的開發(fā)框架。圖1 顯示了通用模型族中最通用的模型。

圖1 RBAC模型

用戶和角色之間是多對多的關系，一個用戶可以被賦予若干角色，一個角色也可以被賦予若干個具體用戶。同樣,角色和權限之間也是多對多的關系，一個角色可以具有多項權限，一個權限也可以賦予多個不同的角色。某系統(tǒng)的操作用戶，可以通過他所具有的角色的權限來判斷其可訪問的系統(tǒng)資源和對系統(tǒng)資源可以進行的操作，這就是RBAC最基本的工作原理。

RBAC的描述如下：

u：User用戶；

r：Role角色；

p：privilege權限。

此時，如果某個用戶u 對某個業(yè)務對象o 具有的權限記為P (u,o)，則有如下關系：

P (u,o)=Pr(r(u),o)

其中，Pr(r(u),o)是通過用戶u 所賦予的角色r對業(yè)務對象o的權限。

大型企業(yè)系統(tǒng)一般功能龐大復雜，不同身份和崗位的用戶對系統(tǒng)模塊功能的使用權限不同。這種基于角色的權限控制模型可以直接將企業(yè)組織結構映射到信息系統(tǒng)中，使得對用戶權限的管理更加直觀、方便和統(tǒng)一，在很大程度上簡化了權限管理工作。

2 基于RBAC的數(shù)據(jù)權限模型

2.1 模型設計

在企業(yè)應用系統(tǒng)中，由于用戶量大、用戶層次結構復雜、業(yè)務對象龐雜，權限涉及到比較復雜的功能權限和數(shù)據(jù)權限，其中功能權限可以是一個按鈕或者鏈接，而數(shù)據(jù)權限則是對不同層次用戶的不同數(shù)據(jù)范圍的限制，假設功能權限的數(shù)量為m，數(shù)據(jù)權限的數(shù)量為n，在RBAC模型中，對于完全的權限管理需要有m*n種權限關系，在大型的企業(yè)信息管理系統(tǒng)中，隨著功能數(shù)量的增加，角色權限的配置非常龐大而復雜，并且一旦需要改變數(shù)據(jù)權限的類型數(shù)量，將需要對權限表做較大的調(diào)整，因此不具有良好的可擴展性。

針對上述問題，本文在角色的權限控制模型的基礎之上，設計了一個新的數(shù)據(jù)權限模型如圖2所示。

圖2 基于RBAC 的數(shù)據(jù)權限模型

數(shù)據(jù)權限模型將權限劃分為功能權限和數(shù)據(jù)權限，對功能權限和數(shù)據(jù)權限分別設置不同的角色，分別為數(shù)據(jù)角色和功能角色。為用戶不僅需要賦予功能角色，同時也需要賦予數(shù)據(jù)角色。用戶需要訪問一個模塊時，不僅要取得該模塊對應的功能角色的權限，還要取得該模塊對應的數(shù)據(jù)角色的數(shù)據(jù)權限，才可以訪問該模塊功能下的數(shù)據(jù)。

模型中將角色分為了類型角色，用戶與角色關系變?yōu)榱擞脩艄δ芙巧年P系和用戶與數(shù)據(jù)角色的關系，雖然對用戶角色賦予的工作量增加了，但是解耦了角色與功能權限、數(shù)據(jù)權限之間的關系，使得完全權限集僅需要包含m+n個權限即可。假設數(shù)據(jù)權限類型數(shù)量增加為n+ x，則完全權限集只需增加為m+n+x即可，而RBAC模型中完全權限集所對應的m*(n+ x)=m*n+m*x，同理，當功能權限增加為m+x時，完全權限集也僅增加為m+n+x，而RBAC模型中完全權限集所對應的(m+ x)*n=m*n +n*x。這使得數(shù)據(jù)權限模型隨著系統(tǒng)數(shù)據(jù)權限的變更具有更少的變動，具有更好的可擴展性，減少了功能權限和數(shù)據(jù)權限的增加為角色權限維護帶來的大量的增改工作。在實際操作中，也可以使用戶的角色賦予更加清晰，達到更為簡潔的角色權限控制。

2.2 模型實現(xiàn)

數(shù)據(jù)權限模型的權限控制系統(tǒng)采用普遍的三層架構，包括表示層、業(yè)務層和數(shù)據(jù)層。其中數(shù)據(jù)層是由數(shù)據(jù)庫系統(tǒng)組成，權限管理則以數(shù)據(jù)庫作為基礎來進行。數(shù)據(jù)庫的設計結構如圖3所示。

圖3 數(shù)據(jù)權限模型的數(shù)據(jù)庫設計結構圖

用戶通過“用戶-功能角色”和“用戶-數(shù)據(jù)角色”建立起動態(tài)的對應關系，功能角色與“功能角色-模塊-按鍵”建立動態(tài)的對應關系，數(shù)據(jù)角色則與“數(shù)據(jù)角色-模塊-數(shù)據(jù)范圍”建立動態(tài)的對應關系，通過這種動態(tài)的對應關系可以更簡便的建立用戶與功能權限和數(shù)據(jù)權限之間的對應關系。

用戶授權的實現(xiàn)通過共九個部分實現(xiàn)，包括用戶管理、模塊管理、模塊按鍵管理、模塊數(shù)據(jù)范圍管理、功能角色管理、數(shù)據(jù)角色管理、功能角色模塊按鍵對應表管理、數(shù)據(jù)角色模塊數(shù)據(jù)范圍對應表管理、用戶功能角色和數(shù)據(jù)角色分配管理。

其中模塊按鍵和模塊數(shù)據(jù)范圍的實際應用中隨著系統(tǒng)模塊的增減而改變，維護量僅隨著系統(tǒng)模塊的增減以及數(shù)據(jù)權限范圍的變化而線性變化。而用戶授權部分由用戶管理、功能角色管理、數(shù)據(jù)角色管理和用戶功能角色和數(shù)據(jù)角色分配管理實現(xiàn)，根據(jù)實際需求，為用戶需要訪問的菜單模塊和此菜單模塊下訪問的數(shù)據(jù)范圍分配角色，可以實現(xiàn)方便快捷的實現(xiàn)權限管理。

具體的系統(tǒng)實現(xiàn)流程為：頁面模塊讀入時，根據(jù)用戶ID獲取用戶的功能權限和數(shù)據(jù)權限，根據(jù)功能角色判斷用戶對該頁面模塊的訪問權限，獲取通過后，判斷該用戶的數(shù)據(jù)權限，并將數(shù)據(jù)權限鍵值存儲到Session中，在用戶使用按鍵時，判斷根據(jù)Session中的數(shù)據(jù)權限范圍，將其注入到SQL查詢語句中，此時只需要將一定的范圍限制語句作為一個封裝的方法加入到SQL語句中，即可實現(xiàn)對數(shù)據(jù)訪問范圍的控制，當用戶在該模塊下的數(shù)據(jù)權限范圍發(fā)生變化時，只需在改變用戶在該模塊下的數(shù)據(jù)權限范圍，并不需要改變數(shù)據(jù)訪問層的代碼。如果系統(tǒng)需要修改數(shù)據(jù)權限范圍，只需改變對數(shù)據(jù)權限限制語句所封裝的方法，即可實現(xiàn)對數(shù)據(jù)權限的修改，有效的減少數(shù)據(jù)訪問層代碼的修改。

此數(shù)據(jù)權限模型可以廣泛適用于大型企業(yè)管理系統(tǒng)中的權限管理，特別適合于類似于具有省、市、部門、個人多級數(shù)據(jù)權限控制范圍需求的應用系統(tǒng)權限管理，可以靈活的增加不同層次范圍的數(shù)據(jù)控制需求，對于后期的用戶角色權限授權管理比較方便。

3 結束語

權限管理是企業(yè)應用系統(tǒng)中重要組成部分，權限管理的技術和策略對系統(tǒng)的信息安全影響很大。數(shù)據(jù)權限的管理屬于權限管理的一個重要組成部分，是影響系統(tǒng)的信息安全的重要因素。針對于傳統(tǒng)的RBAC模型存在的數(shù)據(jù)權限管理方面的不足，本文提出的一種基于RBAC的數(shù)據(jù)權限模型的設計與實現(xiàn)方法，是在RBAC96 模型理論基礎上提出，并在實際應用中進行了驗證，滿足了數(shù)據(jù)權限和功能權限雙重控制的需求，降低了權限管理和維護的復雜性。對開發(fā)類似的多組織層次的應用系統(tǒng)管理功能模塊具有一定的參考價值。

[1] 王延彬,許林英,楊海琛.OA系統(tǒng)中基于角色的用戶權限管理[J].微處理機.2008.

[2] 肖軍模,劉軍,周海剛.網(wǎng)絡信息安全[M].北京:機械工業(yè)出版社.2003.

[3] 周文峰,尤軍考,何基香.基于RBAC 模型的權限管理系統(tǒng)設計與實現(xiàn)[J].微計算機信息.2006.

[4] Sandhu R S,Coyne E J,Feinstein H L,et al.Role-based Access Control Models[J].IEEE Computer.1996.

[5] Epstein P,Sandhu R.Towards A UML Based Approach to Role Engineering[C]//Proceedings of the 4th ACM Workshop on Role-based Access Control.[S.l.]:AVM Press.1999.