• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      一種RBAC優(yōu)化模型在大型煤礦ERP系統(tǒng)中的應(yīng)用

      2013-06-23 09:36:14劉新強(qiáng)曾兵義
      電子設(shè)計(jì)工程 2013年5期
      關(guān)鍵詞:用戶(hù)組訪(fǎng)問(wèn)控制關(guān)聯(lián)

      劉新強(qiáng),曾兵義

      (1.西安鐵路職業(yè)技術(shù)學(xué)院 電子信息系,陜西 西安 710014;2.陜西開(kāi)拓者軟件有限責(zé)任公司 陜西 西安 710052)

      隨著互聯(lián)網(wǎng)的發(fā)展,Internet服務(wù)迅速崛起,基于Web的ERP(企業(yè)資源計(jì)劃)系統(tǒng)以其優(yōu)越的方便性和快捷性掀起了企業(yè)信息化的新潮流;另一方面,由于網(wǎng)絡(luò)信息的共享特性,系統(tǒng)的安全問(wèn)題變得越來(lái)越突出。在ERP綜合應(yīng)用系統(tǒng)中,對(duì)用戶(hù)進(jìn)行權(quán)限劃分,形成有效的訪(fǎng)問(wèn)控制,是保證系統(tǒng)安全的重要措施之一。

      在企業(yè)環(huán)境中的訪(fǎng)問(wèn)控制方法,一般有3種[1]:

      1)自主型訪(fǎng)問(wèn)控制(DAC):是在確認(rèn)主體身份的基礎(chǔ)上,對(duì)訪(fǎng)問(wèn)進(jìn)行限定的一種控制策略,多用于中小型軟件系統(tǒng),屬于較弱的一種訪(fǎng)問(wèn)控制策略。

      2)強(qiáng)制型訪(fǎng)問(wèn)控制(MAC):是指系統(tǒng)強(qiáng)制主體服從事先制訂的訪(fǎng)問(wèn)控制政策,常用于多層次安全級(jí)別的軍事軟件系統(tǒng),屬于較強(qiáng)的一種訪(fǎng)問(wèn)控制策略。

      3)基于角色的訪(fǎng)問(wèn)控制(RBAC):該技術(shù)主要研究將用戶(hù)劃分成與其在組織結(jié)構(gòu)體系相一致的角色,這是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪(fǎng)問(wèn)控制的有效方法。

      然而,ERP系統(tǒng)畢竟是企業(yè)綜合性的信息系統(tǒng),涉及大量的操作、頁(yè)面和數(shù)據(jù),幾乎所有工作人員均是用戶(hù),系統(tǒng)的功能和人員的身份也在不斷變化,權(quán)限管理的任務(wù)繁雜而且龐大[2]。基于傳統(tǒng)的RBAC模型在ERP權(quán)限管理中難以滿(mǎn)足輕便、快捷的權(quán)限管理性能。本文在研發(fā)一個(gè)國(guó)有大型煤礦ERP系統(tǒng)過(guò)程中,通過(guò)深入研究RBAC權(quán)限策略,提出了基于用戶(hù)組和權(quán)限組的RBAC改進(jìn)模型,通過(guò)擴(kuò)充用戶(hù)組、權(quán)限組來(lái)強(qiáng)化角色的權(quán)限分配。

      1 RBAC模型設(shè)計(jì)

      1.1 RBAC模型

      RBAC控制模型的最小元素集合包括用戶(hù)users、角色roles、目標(biāo)objects、操作operations、許可permissions 5個(gè)基本數(shù)據(jù)元素[3]。權(quán)限被賦予角色而不是用戶(hù),當(dāng)一個(gè)角色被賦予一個(gè)用戶(hù),該用戶(hù)就擁有了該角色的所有權(quán)限[4],這就簡(jiǎn)化了對(duì)權(quán)限分配的管理。如圖1所示。

      圖1 RBAC基本模型Fig.1 Basic model of RBAC

      1)用戶(hù)users:是權(quán)限的擁有者或主體,用戶(hù)和權(quán)限通過(guò)角色實(shí)現(xiàn)分離。

      2)角色roles:權(quán)限分配的單位與載體,通過(guò)繼承關(guān)系支持分級(jí)的權(quán)限實(shí)現(xiàn)。如:科長(zhǎng)角色同時(shí)具有科長(zhǎng)角色、科內(nèi)業(yè)務(wù)人員角色。

      3)目標(biāo)objects:是系統(tǒng)所要保護(hù)的資源(Resource),可以被訪(fǎng)問(wèn)的對(duì)象。如:網(wǎng)頁(yè)是資源,網(wǎng)頁(yè)上的按鈕、文本框等也是資源,屬于網(wǎng)頁(yè)節(jié)點(diǎn)的子節(jié)點(diǎn)。要想訪(fǎng)問(wèn)按鈕,必須要能夠訪(fǎng)問(wèn)頁(yè)面。

      4)操作operations:完成資源的類(lèi)別和訪(fǎng)問(wèn)策略之間的綁定,如:瀏覽、增加、刪除、修改、審閱等。

      5)權(quán)限permissions:對(duì)受保護(hù)的資源操作的訪(fǎng)問(wèn)許可(Access Permission),是綁定在特定的資源實(shí)例上的,不同的資源類(lèi)別可能采用不同的訪(fǎng)問(wèn)模式(Access Mode)。如:頁(yè)面具有能打開(kāi)、不能打開(kāi)的訪(fǎng)問(wèn)模式,按鈕具有可用、不可用的訪(fǎng)問(wèn)模式,文本編輯框具有可編輯、不可編輯的訪(fǎng)問(wèn)模式。同一資源的訪(fǎng)問(wèn)策略可能存在排斥和包含關(guān)系,某個(gè)數(shù)據(jù)集的可修改訪(fǎng)問(wèn)模式就包含了可查詢(xún)?cè)L問(wèn)模式。

      1.2 權(quán)限分配

      在一個(gè)組織中,角色是為了完成各種工作而創(chuàng)造的,用戶(hù)則依據(jù)它的責(zé)任和資格來(lái)被指派相應(yīng)的角色,用戶(hù)可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限,而權(quán)限也可根據(jù)需要而從某角色中回收。在圖1中,權(quán)限的分配是通過(guò)2個(gè)步驟完成的。即為角色指派權(quán)限PA(Permission Assignment)和為用戶(hù)指派角色UA(Users Assignmen)[5]。

      1)分配角色權(quán)限PA:為角色指派權(quán)限,實(shí)現(xiàn)角色和操作之間的關(guān)聯(lián)關(guān)系映射。

      2)分配用戶(hù)角色UA:為用戶(hù)指派角色,實(shí)現(xiàn)用戶(hù)和角色之間的關(guān)聯(lián)關(guān)系映射。

      該對(duì)象模型最終將訪(fǎng)問(wèn)控制模型轉(zhuǎn)化為訪(fǎng)問(wèn)矩陣形式。訪(fǎng)問(wèn)矩陣中的行對(duì)應(yīng)于用戶(hù),列對(duì)應(yīng)于操作,每個(gè)矩陣元素規(guī)定了相應(yīng)的角色,對(duì)應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪(fǎng)問(wèn)許可、實(shí)施行為。

      按訪(fǎng)問(wèn)矩陣中的行看,是訪(fǎng)問(wèn)能力表CL(Access Capabilities)的內(nèi)容;按訪(fǎng)問(wèn)矩陣中的列看,是訪(fǎng)問(wèn)控制表ACL(Access Control Lists)的內(nèi)容。這種權(quán)限機(jī)制實(shí)質(zhì)上仍然是一種靜態(tài)權(quán)限,當(dāng)資源和用戶(hù)量激增時(shí),訪(fǎng)問(wèn)矩陣的容量就變得很大,維護(hù)工作量快速上升。

      2 RBAC的優(yōu)化擴(kuò)充模型

      文中在研發(fā)一個(gè)大型國(guó)有煤礦的ERP系統(tǒng)時(shí),因?yàn)橘Y源和用戶(hù)數(shù)據(jù)量的急劇增大,用戶(hù)身份和業(yè)務(wù)邏輯靈活多變。在設(shè)計(jì)訪(fǎng)問(wèn)控制模型時(shí),需要強(qiáng)化分層次的RBAC權(quán)限模型,本文在傳統(tǒng)RBAC模型的基礎(chǔ)上,引入用戶(hù)組和權(quán)限組層級(jí),并從這兩個(gè)側(cè)面來(lái)強(qiáng)化基于角色的三級(jí)權(quán)限機(jī)制。

      2.1 用戶(hù)組

      在一個(gè)大型煤礦企業(yè)中,用戶(hù)權(quán)限全部讓管理員來(lái)一次分配是不現(xiàn)實(shí)的,即使要某部門(mén)領(lǐng)導(dǎo)人員為其下屬的員工逐一分配操作權(quán)限,也是非常耗時(shí)和繁瑣的事情。為了簡(jiǎn)單快捷的批量指定用戶(hù)的角色UA,可以將某一類(lèi)型的人、具有相同特征人組合一起的集合體。通過(guò)對(duì)組授予角色,快速使某一類(lèi)人具有相同的權(quán)限,來(lái)簡(jiǎn)化對(duì)用戶(hù)授權(quán)。用戶(hù)組的劃分,可以按職位、項(xiàng)目或任務(wù)來(lái)實(shí)現(xiàn)[6]。一個(gè)用戶(hù)可以屬于某一個(gè)組或多個(gè)組。

      2.2 權(quán)限組

      常見(jiàn)的資源權(quán)限有菜單功能、頁(yè)面功能和數(shù)據(jù)表功能。嘗試對(duì)資源進(jìn)行分類(lèi),進(jìn)一步進(jìn)行權(quán)限分組。將一個(gè)菜單、頁(yè)面或一個(gè)數(shù)據(jù)表下的所有權(quán)限組合一起,形成一個(gè)“權(quán)限組”,也就是一個(gè)模塊管理權(quán)限,包括所有基本權(quán)限操作。如:一個(gè)權(quán)限組(用戶(hù)管理),包括用戶(hù)的瀏覽、添加、刪除、修改、審核等操作,它自身也是一個(gè)權(quán)限。因?yàn)樾碌腞BAC引入了用戶(hù)組和權(quán)限組的層級(jí),本文把該訪(fǎng)問(wèn)模型暫且命名為RBAC-G(Group)模型,如圖2所示。用戶(hù)組的設(shè)置,優(yōu)化了分配用戶(hù)角色UA的工作;權(quán)限組的設(shè)置,優(yōu)化了分配角色權(quán)限PA的工作。

      圖2 RBAC-G擴(kuò)充模型Fig.2 Extended model of RBAC-G

      2.3 動(dòng)態(tài)權(quán)限

      該模型不存儲(chǔ)任何用戶(hù)權(quán)限表,每個(gè)用戶(hù)在每次登錄系統(tǒng)時(shí)需要進(jìn)行權(quán)限計(jì)算。在擴(kuò)充的RBAC-G模型中,權(quán)限的計(jì)算不僅依據(jù)用戶(hù)、用戶(hù)組、角色、權(quán)限組、權(quán)限等基本信息,而且涉及到這些基本信息的關(guān)聯(lián)信息,如用戶(hù)角色、用戶(hù)組角色、角色權(quán)限、角色權(quán)限組、權(quán)限組權(quán)限等。計(jì)算的結(jié)果存放在個(gè)人會(huì)話(huà)Session中,當(dāng)系統(tǒng)發(fā)生變更或重新登錄后需要重新計(jì)算[7]。對(duì)于關(guān)鍵操作的權(quán)限,可以要求在每次進(jìn)行前,再次計(jì)算刷新。

      因?yàn)槟P筒捎没诮M的動(dòng)態(tài)權(quán)限,當(dāng)一個(gè)用戶(hù)所在的用戶(hù)組、擁有的角色、角色所擁有的權(quán)限、權(quán)限組任一發(fā)生變化,該用戶(hù)的權(quán)限都受到影響。如某用戶(hù)脫離了某個(gè)部門(mén)或項(xiàng)目,則自動(dòng)丟棄對(duì)應(yīng)用戶(hù)組的權(quán)利;同樣,如果一個(gè)權(quán)限組的權(quán)限減少,同樣,擁有該權(quán)限組的角色的所有用戶(hù)均減少該項(xiàng)權(quán)限。在RBAC基礎(chǔ)上,按照優(yōu)化擴(kuò)充的思想對(duì)煤礦企業(yè)ERP系統(tǒng)設(shè)計(jì)了新的權(quán)限訪(fǎng)問(wèn)控制系統(tǒng)。

      3.1 實(shí)體關(guān)系模型

      在ERP系統(tǒng)的關(guān)系模型設(shè)計(jì)時(shí),除了要將RBAC的基本元素設(shè)計(jì)為表外,還需要增加用戶(hù)組和權(quán)限組的相關(guān)表。即用戶(hù)表、角色表、資源表、操作表、權(quán)限表,而權(quán)限表實(shí)際上是資源表和操作表的組合;另外增加權(quán)限組(菜單、頁(yè)面、數(shù)據(jù)表)、用戶(hù)組(部門(mén)、項(xiàng)目、任務(wù))等表。根據(jù)分析,需要增加以下幾個(gè)關(guān)聯(lián)表:

      1)用戶(hù)角色關(guān)聯(lián)表:一個(gè)用戶(hù)可以有0~n個(gè)角色,一個(gè)角色可以0~n個(gè)用戶(hù)。

      2)角色權(quán)限關(guān)聯(lián)表:一個(gè)角色可以有0~n個(gè)權(quán)限,一個(gè)權(quán)限可以0~n個(gè)角色。

      3)用戶(hù)、用戶(hù)組關(guān)聯(lián)表:一個(gè)用戶(hù)可以屬于0~n個(gè)用戶(hù)組,一個(gè)用戶(hù)組可以0~n個(gè)用戶(hù)。

      4)權(quán)限、權(quán)限組關(guān)聯(lián)表:一個(gè)權(quán)限可以屬于0~n個(gè)權(quán)限組,一個(gè)權(quán)限組可以0~n個(gè)權(quán)限。

      經(jīng)過(guò)分析設(shè)計(jì),煤礦ERP系統(tǒng)中權(quán)限管理的表設(shè)計(jì)如圖3所示。上圖中,新增加了4個(gè)關(guān)聯(lián)表:即用戶(hù)-用戶(hù)組,角色-用戶(hù)組關(guān)聯(lián)表;權(quán)限-權(quán)限組,角色-權(quán)限組關(guān)聯(lián)表。

      圖3 基于RBAC-G模型的煤礦ERP權(quán)限管理的表設(shè)計(jì)Fig.3 Table design in a coal mine ERP rights management based on RBAC-G model

      3.2 基本元素管理

      在該設(shè)計(jì)模型中,傳統(tǒng)的RBAC仍然是基礎(chǔ),基本元素當(dāng)然需要維護(hù)。如:用戶(hù)、角色、資源、操作、權(quán)限等表的增加、刪除、修改、查詢(xún)等功能[8],此外,需要組織以下數(shù)據(jù):

      用戶(hù)組信息維護(hù):新增部門(mén)、項(xiàng)目、任務(wù)等基礎(chǔ)數(shù)據(jù),設(shè)置命名的用戶(hù)組和用戶(hù)類(lèi)型,將對(duì)應(yīng)成員用戶(hù),添加到不同的用戶(hù)組中(添加關(guān)聯(lián)記錄)。

      權(quán)限組信息維護(hù):新增菜單、頁(yè)面、數(shù)據(jù)表等基礎(chǔ)數(shù)據(jù),設(shè)置命名的權(quán)限組和權(quán)限類(lèi)型,將對(duì)應(yīng)權(quán)限,添加到不同的權(quán)限組中(添加關(guān)聯(lián)記錄)。

      3.3 授權(quán)管理

      1)授權(quán)

      系統(tǒng)仍可采用用戶(hù)、角色、權(quán)限授權(quán)模式,系統(tǒng)兼容了RBAC授權(quán)的2個(gè)步驟:把一個(gè)權(quán)限或多個(gè)權(quán)限授予一個(gè)角色,把一個(gè)或多個(gè)角色授予一個(gè)用戶(hù)。授權(quán)用戶(hù)獲得授予角色的所有權(quán)利。

      RBAC-G模型的授權(quán)還增加了2種情況:把一個(gè)或多個(gè)權(quán)限組授予一個(gè)角色,把一個(gè)或多個(gè)角色授予一個(gè)用戶(hù)組。授權(quán)用戶(hù)組中的所有用戶(hù),均獲得授予角色的所有權(quán)限組的所有權(quán)限。

      當(dāng)用戶(hù)的數(shù)量非常大時(shí),擴(kuò)充的授權(quán)方式可以極大地提高授權(quán)效率。

      2)權(quán)限計(jì)算

      每個(gè)用戶(hù)權(quán)限的多少,重點(diǎn)體現(xiàn)在6個(gè)關(guān)聯(lián)表中:以角色為中心的關(guān)聯(lián)表有:用戶(hù)-角色表、角色-用戶(hù)組表、角色-權(quán)限表、角色-權(quán)限組表;此外還有用戶(hù)-用戶(hù)組關(guān)聯(lián)表和權(quán)限-權(quán)限組關(guān)聯(lián)表。這些表的元素實(shí)質(zhì)上體現(xiàn)了整個(gè)ERP系統(tǒng)的權(quán)限管理的思想。換句話(huà)說(shuō),用戶(hù)的權(quán)限就是按照用戶(hù)標(biāo)識(shí)從上述6個(gè)表中計(jì)算出來(lái)的所有權(quán)限數(shù)據(jù)。

      4 結(jié)束語(yǔ)

      文中在研究RBAC模式的基礎(chǔ)上,提出了擴(kuò)充組功能的動(dòng)態(tài)RBAC-G權(quán)限模型,并在國(guó)有煤礦的ERP系統(tǒng)中實(shí)現(xiàn)了對(duì)統(tǒng)一資源的訪(fǎng)問(wèn)控制,優(yōu)點(diǎn)是:

      1)用戶(hù)組從用戶(hù)一側(cè)強(qiáng)化了基于角色的權(quán)限分配機(jī)制,便于對(duì)多個(gè)用戶(hù)同時(shí)授權(quán);

      2)權(quán)限組從權(quán)限一側(cè)強(qiáng)化了基于角色的權(quán)限分配機(jī)制,便于將多個(gè)權(quán)限同時(shí)指派;

      3)權(quán)限關(guān)聯(lián)計(jì)算用動(dòng)態(tài)權(quán)限代替了權(quán)限列表,適應(yīng)了權(quán)限靈活多變的要求。

      隨著系統(tǒng)的日益龐大,為了方便管理,可引入角色組對(duì)角色進(jìn)行分類(lèi)管理,與用戶(hù)組不同的是角色組不參與授權(quán)。這個(gè)思想只是本文的一個(gè)構(gòu)想,并未進(jìn)行實(shí)踐。

      [1]王成良,姜黎.B/S應(yīng)用系統(tǒng)中的細(xì)粒度權(quán)限管理模型[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2010,19(07):79-82.WANG Cheng-liang,JIANG Li. Fine-grained privilege management model and its application in B/S application system[J].Computer Systerms&Applications,2010,19(7):79-82.

      [2]董樂(lè)紅,耿國(guó)華,周明全.一種基于ASP技術(shù)的Web MIS權(quán)限控制系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程,2003,29(10):127-128.DONG Le-hong,GENG Guo-hua,ZHOU Ming-quan.Design of web MIS authority control system based on ASP[J].Computer Engineering,2003,29(10):127-129.

      [3]Gail J A,Shin M E.Role-based authorization constraints specification using object constraint language[C]//Tenth IEEE International Workshops on Enabling Technologies:Infrastructure for Collaborative Enterprises,2001:157-157.

      [4]Ravi S S,Edward J C,Hal L F,et al.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.

      [5]ZHANG Long-hua,Gail J A,Bei T C.A rule-based framework for role-based delegation[C]//Proceedings of the 6th ACM Symposium on Access Control Models and Technologies(SACMAT 2001),2001:153-162

      [6]周俊.大型信息系統(tǒng)用戶(hù)權(quán)限管理的探討與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究,2004,21(12):143-146.ZHOUJun.Discussion and realization of user power management in large information system[J].Application Research of Computers,2004,21(12):143-146.

      [7]劉佳,劉洪冰.RBAC訪(fǎng)問(wèn)控制模型的會(huì)話(huà)優(yōu)先級(jí)擴(kuò)展[J].計(jì)算機(jī)應(yīng)用與軟件,2008,25(10):30-37.LIU Jia,LIU Hong-bing.Session priority extension for rolebased access control model[J].Computer Applications and Software,2008,25(10):30-37.

      [8]Wampler B E.Java與UML面向?qū)ο蟪绦蛟O(shè)計(jì)[M].王海鵬,譯.北京:人民郵電出版社,2002.

      猜你喜歡
      用戶(hù)組訪(fǎng)問(wèn)控制關(guān)聯(lián)
      文件共享安全管理方案探討
      “一帶一路”遞進(jìn),關(guān)聯(lián)民生更緊
      奇趣搭配
      智趣
      讀者(2017年5期)2017-02-15 18:04:18
      ONVIF的全新主張:一致性及最訪(fǎng)問(wèn)控制的Profile A
      青云QingCloud發(fā)布資源協(xié)作功能實(shí)現(xiàn)資源共享與權(quán)限控制
      電腦與電信(2016年3期)2017-01-18 07:35:44
      動(dòng)態(tài)自適應(yīng)訪(fǎng)問(wèn)控制模型
      淺析云計(jì)算環(huán)境下等級(jí)保護(hù)訪(fǎng)問(wèn)控制測(cè)評(píng)技術(shù)
      大數(shù)據(jù)平臺(tái)訪(fǎng)問(wèn)控制方法的設(shè)計(jì)與實(shí)現(xiàn)
      ASP.NET中細(xì)分新聞?lì)惥W(wǎng)站的用戶(hù)對(duì)頁(yè)面的操作權(quán)限
      灌南县| 崇州市| 环江| 定结县| 阜新市| 曲阳县| 含山县| 炎陵县| 陵水| 西乡县| 深水埗区| 运城市| 大洼县| 关岭| 柯坪县| 囊谦县| 民丰县| 温泉县| 万山特区| 石城县| 达拉特旗| 社会| 新民市| 河西区| 金阳县| 炎陵县| 旅游| 富顺县| 黑河市| 乳源| 罗山县| 汾阳市| 贵定县| 泸溪县| 江城| 新余市| 正宁县| 普兰店市| 双柏县| 板桥市| 卓尼县|