一種RBAC優(yōu)化模型在大型煤礦ERP系統(tǒng)中的應(yīng)用

劉新強(qiáng)，曾兵義

（1.西安鐵路職業(yè)技術(shù)學(xué)院 電子信息系，陜西 西安 710014；2.陜西開(kāi)拓者軟件有限責(zé)任公司 陜西 西安 710052）

隨著互聯(lián)網(wǎng)的發(fā)展，Internet服務(wù)迅速崛起，基于Web的ERP（企業(yè)資源計(jì)劃）系統(tǒng)以其優(yōu)越的方便性和快捷性掀起了企業(yè)信息化的新潮流；另一方面，由于網(wǎng)絡(luò)信息的共享特性，系統(tǒng)的安全問(wèn)題變得越來(lái)越突出。在ERP綜合應(yīng)用系統(tǒng)中，對(duì)用戶(hù)進(jìn)行權(quán)限劃分，形成有效的訪(fǎng)問(wèn)控制，是保證系統(tǒng)安全的重要措施之一。

在企業(yè)環(huán)境中的訪(fǎng)問(wèn)控制方法，一般有3種[1]：

1）自主型訪(fǎng)問(wèn)控制（DAC）：是在確認(rèn)主體身份的基礎(chǔ)上，對(duì)訪(fǎng)問(wèn)進(jìn)行限定的一種控制策略，多用于中小型軟件系統(tǒng)，屬于較弱的一種訪(fǎng)問(wèn)控制策略。

2）強(qiáng)制型訪(fǎng)問(wèn)控制（MAC）：是指系統(tǒng)強(qiáng)制主體服從事先制訂的訪(fǎng)問(wèn)控制政策，常用于多層次安全級(jí)別的軍事軟件系統(tǒng)，屬于較強(qiáng)的一種訪(fǎng)問(wèn)控制策略。

3）基于角色的訪(fǎng)問(wèn)控制（RBAC）：該技術(shù)主要研究將用戶(hù)劃分成與其在組織結(jié)構(gòu)體系相一致的角色，這是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪(fǎng)問(wèn)控制的有效方法。

然而，ERP系統(tǒng)畢竟是企業(yè)綜合性的信息系統(tǒng)，涉及大量的操作、頁(yè)面和數(shù)據(jù)，幾乎所有工作人員均是用戶(hù)，系統(tǒng)的功能和人員的身份也在不斷變化，權(quán)限管理的任務(wù)繁雜而且龐大[2]。基于傳統(tǒng)的RBAC模型在ERP權(quán)限管理中難以滿(mǎn)足輕便、快捷的權(quán)限管理性能。本文在研發(fā)一個(gè)國(guó)有大型煤礦ERP系統(tǒng)過(guò)程中，通過(guò)深入研究RBAC權(quán)限策略，提出了基于用戶(hù)組和權(quán)限組的RBAC改進(jìn)模型，通過(guò)擴(kuò)充用戶(hù)組、權(quán)限組來(lái)強(qiáng)化角色的權(quán)限分配。

1 RBAC模型設(shè)計(jì)

1.1 RBAC模型

RBAC控制模型的最小元素集合包括用戶(hù)users、角色roles、目標(biāo)objects、操作operations、許可permissions 5個(gè)基本數(shù)據(jù)元素[3]。權(quán)限被賦予角色而不是用戶(hù)，當(dāng)一個(gè)角色被賦予一個(gè)用戶(hù)，該用戶(hù)就擁有了該角色的所有權(quán)限[4]，這就簡(jiǎn)化了對(duì)權(quán)限分配的管理。如圖1所示。

圖1 RBAC基本模型Fig.1 Basic model of RBAC

1）用戶(hù)users：是權(quán)限的擁有者或主體，用戶(hù)和權(quán)限通過(guò)角色實(shí)現(xiàn)分離。

2）角色roles：權(quán)限分配的單位與載體，通過(guò)繼承關(guān)系支持分級(jí)的權(quán)限實(shí)現(xiàn)。如：科長(zhǎng)角色同時(shí)具有科長(zhǎng)角色、科內(nèi)業(yè)務(wù)人員角色。

3）目標(biāo)objects：是系統(tǒng)所要保護(hù)的資源（Resource），可以被訪(fǎng)問(wèn)的對(duì)象。如：網(wǎng)頁(yè)是資源，網(wǎng)頁(yè)上的按鈕、文本框等也是資源，屬于網(wǎng)頁(yè)節(jié)點(diǎn)的子節(jié)點(diǎn)。要想訪(fǎng)問(wèn)按鈕，必須要能夠訪(fǎng)問(wèn)頁(yè)面。

4）操作operations：完成資源的類(lèi)別和訪(fǎng)問(wèn)策略之間的綁定，如：瀏覽、增加、刪除、修改、審閱等。

5）權(quán)限permissions：對(duì)受保護(hù)的資源操作的訪(fǎng)問(wèn)許可（Access Permission），是綁定在特定的資源實(shí)例上的，不同的資源類(lèi)別可能采用不同的訪(fǎng)問(wèn)模式（Access Mode）。如：頁(yè)面具有能打開(kāi)、不能打開(kāi)的訪(fǎng)問(wèn)模式，按鈕具有可用、不可用的訪(fǎng)問(wèn)模式，文本編輯框具有可編輯、不可編輯的訪(fǎng)問(wèn)模式。同一資源的訪(fǎng)問(wèn)策略可能存在排斥和包含關(guān)系，某個(gè)數(shù)據(jù)集的可修改訪(fǎng)問(wèn)模式就包含了可查詢(xún)?cè)L問(wèn)模式。

1.2 權(quán)限分配

在一個(gè)組織中，角色是為了完成各種工作而創(chuàng)造的，用戶(hù)則依據(jù)它的責(zé)任和資格來(lái)被指派相應(yīng)的角色，用戶(hù)可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要而從某角色中回收。在圖1中，權(quán)限的分配是通過(guò)2個(gè)步驟完成的。即為角色指派權(quán)限PA（Permission Assignment）和為用戶(hù)指派角色UA（Users Assignmen）[5]。

1）分配角色權(quán)限PA：為角色指派權(quán)限，實(shí)現(xiàn)角色和操作之間的關(guān)聯(lián)關(guān)系映射。

2）分配用戶(hù)角色UA：為用戶(hù)指派角色，實(shí)現(xiàn)用戶(hù)和角色之間的關(guān)聯(lián)關(guān)系映射。

該對(duì)象模型最終將訪(fǎng)問(wèn)控制模型轉(zhuǎn)化為訪(fǎng)問(wèn)矩陣形式。訪(fǎng)問(wèn)矩陣中的行對(duì)應(yīng)于用戶(hù)，列對(duì)應(yīng)于操作，每個(gè)矩陣元素規(guī)定了相應(yīng)的角色，對(duì)應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪(fǎng)問(wèn)許可、實(shí)施行為。

按訪(fǎng)問(wèn)矩陣中的行看，是訪(fǎng)問(wèn)能力表CL（Access Capabilities）的內(nèi)容；按訪(fǎng)問(wèn)矩陣中的列看，是訪(fǎng)問(wèn)控制表ACL（Access Control Lists）的內(nèi)容。這種權(quán)限機(jī)制實(shí)質(zhì)上仍然是一種靜態(tài)權(quán)限，當(dāng)資源和用戶(hù)量激增時(shí)，訪(fǎng)問(wèn)矩陣的容量就變得很大，維護(hù)工作量快速上升。

2 RBAC的優(yōu)化擴(kuò)充模型

文中在研發(fā)一個(gè)大型國(guó)有煤礦的ERP系統(tǒng)時(shí)，因?yàn)橘Y源和用戶(hù)數(shù)據(jù)量的急劇增大，用戶(hù)身份和業(yè)務(wù)邏輯靈活多變。在設(shè)計(jì)訪(fǎng)問(wèn)控制模型時(shí)，需要強(qiáng)化分層次的RBAC權(quán)限模型，本文在傳統(tǒng)RBAC模型的基礎(chǔ)上，引入用戶(hù)組和權(quán)限組層級(jí)，并從這兩個(gè)側(cè)面來(lái)強(qiáng)化基于角色的三級(jí)權(quán)限機(jī)制。

2.1 用戶(hù)組

在一個(gè)大型煤礦企業(yè)中，用戶(hù)權(quán)限全部讓管理員來(lái)一次分配是不現(xiàn)實(shí)的，即使要某部門(mén)領(lǐng)導(dǎo)人員為其下屬的員工逐一分配操作權(quán)限，也是非常耗時(shí)和繁瑣的事情。為了簡(jiǎn)單快捷的批量指定用戶(hù)的角色UA，可以將某一類(lèi)型的人、具有相同特征人組合一起的集合體。通過(guò)對(duì)組授予角色，快速使某一類(lèi)人具有相同的權(quán)限，來(lái)簡(jiǎn)化對(duì)用戶(hù)授權(quán)。用戶(hù)組的劃分，可以按職位、項(xiàng)目或任務(wù)來(lái)實(shí)現(xiàn)[6]。一個(gè)用戶(hù)可以屬于某一個(gè)組或多個(gè)組。

2.2 權(quán)限組

常見(jiàn)的資源權(quán)限有菜單功能、頁(yè)面功能和數(shù)據(jù)表功能。嘗試對(duì)資源進(jìn)行分類(lèi)，進(jìn)一步進(jìn)行權(quán)限分組。將一個(gè)菜單、頁(yè)面或一個(gè)數(shù)據(jù)表下的所有權(quán)限組合一起，形成一個(gè)“權(quán)限組”，也就是一個(gè)模塊管理權(quán)限，包括所有基本權(quán)限操作。如：一個(gè)權(quán)限組（用戶(hù)管理），包括用戶(hù)的瀏覽、添加、刪除、修改、審核等操作，它自身也是一個(gè)權(quán)限。因?yàn)樾碌腞BAC引入了用戶(hù)組和權(quán)限組的層級(jí)，本文把該訪(fǎng)問(wèn)模型暫且命名為RBAC-G（Group）模型，如圖2所示。用戶(hù)組的設(shè)置，優(yōu)化了分配用戶(hù)角色UA的工作；權(quán)限組的設(shè)置，優(yōu)化了分配角色權(quán)限PA的工作。

圖2 RBAC-G擴(kuò)充模型Fig.2 Extended model of RBAC-G

2.3 動(dòng)態(tài)權(quán)限

該模型不存儲(chǔ)任何用戶(hù)權(quán)限表，每個(gè)用戶(hù)在每次登錄系統(tǒng)時(shí)需要進(jìn)行權(quán)限計(jì)算。在擴(kuò)充的RBAC-G模型中，權(quán)限的計(jì)算不僅依據(jù)用戶(hù)、用戶(hù)組、角色、權(quán)限組、權(quán)限等基本信息，而且涉及到這些基本信息的關(guān)聯(lián)信息，如用戶(hù)角色、用戶(hù)組角色、角色權(quán)限、角色權(quán)限組、權(quán)限組權(quán)限等。計(jì)算的結(jié)果存放在個(gè)人會(huì)話(huà)Session中，當(dāng)系統(tǒng)發(fā)生變更或重新登錄后需要重新計(jì)算[7]。對(duì)于關(guān)鍵操作的權(quán)限，可以要求在每次進(jìn)行前，再次計(jì)算刷新。

因?yàn)槟Ｐ筒捎没诮M的動(dòng)態(tài)權(quán)限，當(dāng)一個(gè)用戶(hù)所在的用戶(hù)組、擁有的角色、角色所擁有的權(quán)限、權(quán)限組任一發(fā)生變化，該用戶(hù)的權(quán)限都受到影響。如某用戶(hù)脫離了某個(gè)部門(mén)或項(xiàng)目，則自動(dòng)丟棄對(duì)應(yīng)用戶(hù)組的權(quán)利；同樣，如果一個(gè)權(quán)限組的權(quán)限減少，同樣，擁有該權(quán)限組的角色的所有用戶(hù)均減少該項(xiàng)權(quán)限。在RBAC基礎(chǔ)上，按照優(yōu)化擴(kuò)充的思想對(duì)煤礦企業(yè)ERP系統(tǒng)設(shè)計(jì)了新的權(quán)限訪(fǎng)問(wèn)控制系統(tǒng)。

3.1 實(shí)體關(guān)系模型

在ERP系統(tǒng)的關(guān)系模型設(shè)計(jì)時(shí)，除了要將RBAC的基本元素設(shè)計(jì)為表外，還需要增加用戶(hù)組和權(quán)限組的相關(guān)表。即用戶(hù)表、角色表、資源表、操作表、權(quán)限表，而權(quán)限表實(shí)際上是資源表和操作表的組合；另外增加權(quán)限組（菜單、頁(yè)面、數(shù)據(jù)表）、用戶(hù)組（部門(mén)、項(xiàng)目、任務(wù)）等表。根據(jù)分析，需要增加以下幾個(gè)關(guān)聯(lián)表：

1）用戶(hù)角色關(guān)聯(lián)表：一個(gè)用戶(hù)可以有0～n個(gè)角色，一個(gè)角色可以0～n個(gè)用戶(hù)。

2）角色權(quán)限關(guān)聯(lián)表：一個(gè)角色可以有0～n個(gè)權(quán)限，一個(gè)權(quán)限可以0～n個(gè)角色。

3）用戶(hù)、用戶(hù)組關(guān)聯(lián)表：一個(gè)用戶(hù)可以屬于0～n個(gè)用戶(hù)組，一個(gè)用戶(hù)組可以0～n個(gè)用戶(hù)。

4）權(quán)限、權(quán)限組關(guān)聯(lián)表：一個(gè)權(quán)限可以屬于0～n個(gè)權(quán)限組，一個(gè)權(quán)限組可以0～n個(gè)權(quán)限。

經(jīng)過(guò)分析設(shè)計(jì)，煤礦ERP系統(tǒng)中權(quán)限管理的表設(shè)計(jì)如圖3所示。上圖中，新增加了4個(gè)關(guān)聯(lián)表：即用戶(hù)－用戶(hù)組，角色－用戶(hù)組關(guān)聯(lián)表；權(quán)限－權(quán)限組，角色－權(quán)限組關(guān)聯(lián)表。

圖3 基于RBAC－G模型的煤礦ERP權(quán)限管理的表設(shè)計(jì)Fig.3 Table design in a coal mine ERP rights management based on RBAC－G model

3.2 基本元素管理

在該設(shè)計(jì)模型中，傳統(tǒng)的RBAC仍然是基礎(chǔ)，基本元素當(dāng)然需要維護(hù)。如：用戶(hù)、角色、資源、操作、權(quán)限等表的增加、刪除、修改、查詢(xún)等功能[8]，此外，需要組織以下數(shù)據(jù)：

用戶(hù)組信息維護(hù)：新增部門(mén)、項(xiàng)目、任務(wù)等基礎(chǔ)數(shù)據(jù)，設(shè)置命名的用戶(hù)組和用戶(hù)類(lèi)型，將對(duì)應(yīng)成員用戶(hù)，添加到不同的用戶(hù)組中（添加關(guān)聯(lián)記錄）。

權(quán)限組信息維護(hù)：新增菜單、頁(yè)面、數(shù)據(jù)表等基礎(chǔ)數(shù)據(jù)，設(shè)置命名的權(quán)限組和權(quán)限類(lèi)型，將對(duì)應(yīng)權(quán)限，添加到不同的權(quán)限組中（添加關(guān)聯(lián)記錄）。

3.3 授權(quán)管理

1）授權(quán)

系統(tǒng)仍可采用用戶(hù)、角色、權(quán)限授權(quán)模式，系統(tǒng)兼容了RBAC授權(quán)的2個(gè)步驟：把一個(gè)權(quán)限或多個(gè)權(quán)限授予一個(gè)角色，把一個(gè)或多個(gè)角色授予一個(gè)用戶(hù)。授權(quán)用戶(hù)獲得授予角色的所有權(quán)利。

RBAC－G模型的授權(quán)還增加了2種情況：把一個(gè)或多個(gè)權(quán)限組授予一個(gè)角色，把一個(gè)或多個(gè)角色授予一個(gè)用戶(hù)組。授權(quán)用戶(hù)組中的所有用戶(hù)，均獲得授予角色的所有權(quán)限組的所有權(quán)限。

當(dāng)用戶(hù)的數(shù)量非常大時(shí)，擴(kuò)充的授權(quán)方式可以極大地提高授權(quán)效率。

2）權(quán)限計(jì)算

每個(gè)用戶(hù)權(quán)限的多少，重點(diǎn)體現(xiàn)在6個(gè)關(guān)聯(lián)表中：以角色為中心的關(guān)聯(lián)表有：用戶(hù)－角色表、角色－用戶(hù)組表、角色－權(quán)限表、角色－權(quán)限組表；此外還有用戶(hù)－用戶(hù)組關(guān)聯(lián)表和權(quán)限－權(quán)限組關(guān)聯(lián)表。這些表的元素實(shí)質(zhì)上體現(xiàn)了整個(gè)ERP系統(tǒng)的權(quán)限管理的思想。換句話(huà)說(shuō)，用戶(hù)的權(quán)限就是按照用戶(hù)標(biāo)識(shí)從上述6個(gè)表中計(jì)算出來(lái)的所有權(quán)限數(shù)據(jù)。

4 結(jié)束語(yǔ)

文中在研究RBAC模式的基礎(chǔ)上，提出了擴(kuò)充組功能的動(dòng)態(tài)RBAC－G權(quán)限模型，并在國(guó)有煤礦的ERP系統(tǒng)中實(shí)現(xiàn)了對(duì)統(tǒng)一資源的訪(fǎng)問(wèn)控制，優(yōu)點(diǎn)是：

1）用戶(hù)組從用戶(hù)一側(cè)強(qiáng)化了基于角色的權(quán)限分配機(jī)制，便于對(duì)多個(gè)用戶(hù)同時(shí)授權(quán)；

2）權(quán)限組從權(quán)限一側(cè)強(qiáng)化了基于角色的權(quán)限分配機(jī)制，便于將多個(gè)權(quán)限同時(shí)指派；

3）權(quán)限關(guān)聯(lián)計(jì)算用動(dòng)態(tài)權(quán)限代替了權(quán)限列表，適應(yīng)了權(quán)限靈活多變的要求。

隨著系統(tǒng)的日益龐大，為了方便管理，可引入角色組對(duì)角色進(jìn)行分類(lèi)管理，與用戶(hù)組不同的是角色組不參與授權(quán)。這個(gè)思想只是本文的一個(gè)構(gòu)想，并未進(jìn)行實(shí)踐。

[1]王成良，姜黎.B/S應(yīng)用系統(tǒng)中的細(xì)粒度權(quán)限管理模型[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2010，19（07）：79－82.WANG Cheng-liang，JIANG Li. Fine-grained privilege management model and its application in B/S application system[J].Computer Systerms&Applications，2010，19（7）：79－82.

[2]董樂(lè)紅，耿國(guó)華，周明全.一種基于ASP技術(shù)的Web MIS權(quán)限控制系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程，2003，29（10）：127－128.DONG Le-hong，GENG Guo-hua，ZHOU Ming-quan.Design of web MIS authority control system based on ASP[J].Computer Engineering，2003，29（10）：127－129.

[3]Gail J A，Shin M E.Role-based authorization constraints specification using object constraint language[C]//Tenth IEEE International Workshops on Enabling Technologies：Infrastructure for Collaborative Enterprises，2001：157－157.

[4]Ravi S S，Edward J C，Hal L F，et al.Role-based access control models[J].IEEE Computer，1996，29（2）：38－47.

[5]ZHANG Long-hua，Gail J A，Bei T C.A rule-based framework for role-based delegation[C]//Proceedings of the 6th ACM Symposium on Access Control Models and Technologies（SACMAT 2001），2001：153－162

[6]周俊.大型信息系統(tǒng)用戶(hù)權(quán)限管理的探討與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2004，21（12）：143－146.ZHOUJun.Discussion and realization of user power management in large information system[J].Application Research of Computers，2004，21（12）：143－146.

[7]劉佳，劉洪冰.RBAC訪(fǎng)問(wèn)控制模型的會(huì)話(huà)優(yōu)先級(jí)擴(kuò)展[J].計(jì)算機(jī)應(yīng)用與軟件，2008，25（10）：30－37.LIU Jia，LIU Hong-bing.Session priority extension for rolebased access control model[J].Computer Applications and Software，2008，25（10）：30－37.

[8]Wampler B E.Java與UML面向?qū)ο蟪绦蛟O(shè)計(jì)[M].王海鵬，譯.北京：人民郵電出版社，2002.