數(shù)字檔案管理系統(tǒng)中使用權(quán)限分配研究

張 偉，許瀛徹

（1.大連理工大學(xué) 機(jī)械工程學(xué)院，遼寧 大連 116024；2.大連育明高中，遼寧 大連 116024）

檔案作為社會(huì)信息資源的重要組成部分，日益成為國家進(jìn)行經(jīng)濟(jì)建設(shè)、政治建設(shè)和文化建設(shè)的重要資源。傳統(tǒng)的檔案管理方式導(dǎo)致檔案利用率低，檔案查詢繁瑣，查詢費(fèi)用昂貴，因此檔案的數(shù)字化處理和基于Internet的檔案管理應(yīng)運(yùn)而生[1-2]。

檔案現(xiàn)代化管理模式及其最終目標(biāo)是實(shí)現(xiàn)檔案信息收集、整理和開發(fā)利用的數(shù)字化。計(jì)算機(jī)網(wǎng)絡(luò)能有效實(shí)現(xiàn)資源共享，但資源共享和信息安全是一對(duì)矛盾體。目前全世界的網(wǎng)絡(luò)多與Internet相聯(lián)。一方面，人們希望從眾多的服務(wù)器上獲得各種各樣的有用信息，另一方面，人們又要求自身服務(wù)器的一些敏感信息不被非授權(quán)的訪問和竊取[3]。

為提高機(jī)構(gòu)的安全性，安全機(jī)制必須要能控制：有“誰”能訪問機(jī)構(gòu)的信息，用戶訪問的是“什么信息”，哪個(gè)用戶被授予什么樣的“權(quán)限”。一旦機(jī)構(gòu)確定了權(quán)限管理和發(fā)布的方式，訪問控制系統(tǒng)就可根據(jù)機(jī)構(gòu)發(fā)放的權(quán)限以及定義的安全策略控制用戶訪問，從而保護(hù)應(yīng)用系統(tǒng)。

1 系統(tǒng)總體設(shè)計(jì)

1.1 系統(tǒng)方案選擇

由于B/S架構(gòu)管理軟件只安裝在服務(wù)器（Server）端上，網(wǎng)絡(luò)管理人員只需要管理服務(wù)器就行了，用戶界面主要事務(wù)邏輯在服務(wù)器端完全通過WWW瀏覽器實(shí)現(xiàn)，極少部分事務(wù)邏輯在前端（Browser）實(shí)現(xiàn)，所有的客戶端只有瀏覽器，網(wǎng)絡(luò)管理人員只需要做硬件維護(hù)。而且采用C/S模式的網(wǎng)絡(luò)版，安裝、使用都較為不便。因此數(shù)字檔案管理系統(tǒng)適合采用B/S結(jié)構(gòu)實(shí)現(xiàn)[4]。

論文采用基于角色的訪問控制模型（Role Based Access Control，RBAC），即權(quán)限被指派給角色，角色指派給用戶，從而用戶享有角色所具有的權(quán)限。如圖1所示，一個(gè)用戶可以擁有多個(gè)角色，一個(gè)角色可授權(quán)給多個(gè)用戶：一個(gè)角色可包含多個(gè)權(quán)限，一個(gè)權(quán)限可被多個(gè)角色包含。用戶通過角色享有權(quán)限，不直接和權(quán)限相關(guān)聯(lián)；權(quán)限對(duì)存取對(duì)象的操作是通過激活角色實(shí)現(xiàn)的。這樣大大降低了系統(tǒng)的安全控制的復(fù)雜度，降低了系統(tǒng)開銷，便于在業(yè)務(wù)活動(dòng)中按照人員實(shí)際的職責(zé)分配和使用資源[5]。

圖1 客體—角色—用戶

1.2 系統(tǒng)總體功能

通過市場(chǎng)分析以及本系統(tǒng)開發(fā)理念，以系統(tǒng)實(shí)用為目標(biāo)，設(shè)計(jì)出系統(tǒng)的總體功能，如圖2所示。

圖2 權(quán)限管理系統(tǒng)功能結(jié)構(gòu)

1.2.1 用戶管理

用戶管理的主要功能是管理現(xiàn)有用戶，對(duì)現(xiàn)有用戶進(jìn)行修改、刪除，還能添加新用戶并存入數(shù)據(jù)庫，方便系統(tǒng)對(duì)用戶的管理，主要包括添加用戶、修改用戶以及刪除用戶。用戶管理系統(tǒng)中，系統(tǒng)管理員可向系統(tǒng)中添加新用戶，并對(duì)原有用戶進(jìn)行修改和刪除，若是一般成員登錄則只能查看用戶而不能對(duì)用戶進(jìn)行添加、修改、刪除等操作。

1.2.2 角色分配

角色分配的主要功能是給不同的用戶賦予不同的角色，主要包括賦予角色和去除角色。在角色分配系統(tǒng)中，只有系統(tǒng)管理員可將不同角色賦予或去除給各個(gè)用戶，而一般成員登錄只能瀏覽各用戶所具有的角色而不能給用戶賦予或去除角色。

1.2.3 角色管理

角色管理的主要功能是管理現(xiàn)有角色，對(duì)現(xiàn)有角色進(jìn)行修改、刪除，還可添加新角色并存入數(shù)據(jù)庫，方便系統(tǒng)對(duì)角色的管理，主要包括添加角色、修改角色以及刪除角色。角色管理系統(tǒng)中，系統(tǒng)管理員可向系統(tǒng)中添加新角色，并對(duì)原有角色進(jìn)行修改和刪除，若是一般成員登錄則只能查看角色而不能對(duì)角色進(jìn)行添加、修改、刪除等操作。

1.2.4 權(quán)限分配

權(quán)限分配的主要功能是給不同的角色賦予不同的權(quán)限，主要包括賦予權(quán)限和去除權(quán)限。在權(quán)限分配系統(tǒng)中，只有系統(tǒng)管理員可將不同的權(quán)限賦予或去除給各個(gè)角色，而一般成員登錄只能瀏覽各角色所具有的權(quán)限而不能給用戶賦予或去除權(quán)限。

2 系統(tǒng)數(shù)據(jù)庫的設(shè)計(jì)和實(shí)現(xiàn)

本文采用SQL Server[6]設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)的數(shù)據(jù)庫功能。

2.1 數(shù)據(jù)庫關(guān)系圖設(shè)計(jì)

系統(tǒng)中權(quán)限管理部分?jǐn)?shù)據(jù)庫表之間的邏輯關(guān)系如圖3所示，此關(guān)系圖以員工的基本信息表（Base表）為基礎(chǔ)，分角色和任務(wù)給不同的職員或部門，以管理不同員工和部門使用權(quán)限，主要包括角色數(shù)據(jù)表，功能數(shù)據(jù)表以及分別對(duì)應(yīng)的角色描述數(shù)據(jù)表和功能描述數(shù)據(jù)表。

圖3 邏輯關(guān)系

2.2 數(shù)據(jù)庫具體表設(shè)計(jì)

在一個(gè)關(guān)系數(shù)據(jù)庫中，表是最重要的數(shù)據(jù)庫對(duì)象，對(duì)應(yīng)于關(guān)系數(shù)據(jù)庫理論中關(guān)系，與DBASE或FOXPRO中的DBF文件是類似。一切數(shù)據(jù)都存放在表中。其他數(shù)據(jù)庫對(duì)象都是為了用戶很好地操作表中的數(shù)據(jù)。表都以一張二維表的形式存在。其中，每列稱之為一個(gè)字段，或一個(gè)域；而每行稱之為一個(gè)記錄，也就是一項(xiàng)數(shù)據(jù)。如圖4所示，分別為Base表、BaseRoles表、FuncDic表、FuncRights表、RolesDic表。

圖4 數(shù)據(jù)庫表

2.3 數(shù)據(jù)庫視圖設(shè)計(jì)

視圖是查看一張或幾張表中的數(shù)據(jù)的一種方式。通過將一張或幾張表中的一部分?jǐn)?shù)據(jù)進(jìn)行組合得到視圖。視圖看上去與表非常相象，但與表還是有著本質(zhì)的區(qū)別。通過視圖看到的數(shù)據(jù)實(shí)際上都是存放在表中的，在數(shù)據(jù)庫中僅存在視圖的定義。數(shù)據(jù)庫3類視圖如圖5所示，包建立角色與權(quán)限間聯(lián)系的right視圖，建立角色與用戶間聯(lián)系的vwuser視圖，建立用戶以何種角色登錄系統(tǒng)聯(lián)系的vw_base_role視圖。

圖5 數(shù)據(jù)庫視圖

3 系統(tǒng)的實(shí)現(xiàn)和應(yīng)用

用戶權(quán)限管理界面如圖6所示，用戶管理的主要功能是管理現(xiàn)有用戶，對(duì)現(xiàn)有用戶進(jìn)行修改、刪除，還能添加新用戶并存入數(shù)據(jù)庫，方便系統(tǒng)對(duì)用戶的管理。系統(tǒng)管理員修改新用戶是用戶管理中最基本的功能也是最重要的一部分功能，其操作界面如圖7所示。

圖6 用戶權(quán)限管理界面

圖7 修改用戶界面

角色分配界面如圖8所示，角色分配的主要功能是給不同的用戶賦予不同角色，或去除用戶所具有的角色。在角色分配系統(tǒng)中，只有系統(tǒng)管理員可將不同的角色賦予或去除給各個(gè)用戶，而一般成員登錄只能瀏覽各用戶所具有的角色而不能給用戶賦予或去除角色，角色管理界面如圖9所示，用戶管理的主要功能是管理現(xiàn)有角色，對(duì)現(xiàn)有角色進(jìn)行修改、刪除，還能夠添加新角色并存入數(shù)據(jù)庫，方便系統(tǒng)對(duì)角色的管理。

圖8 角色分配界面

圖9 角色管理界面

系統(tǒng)管理員修改新角色是角色管理中最基本的功能也是最重要的一部分功能，其操作界面如圖10所示，權(quán)限分配界面如圖11所示，權(quán)限分配的主要功能是給不同的角色賦予不同的權(quán)限，或是去除角色所具有的權(quán)限。在權(quán)限分配系統(tǒng)中，只有系統(tǒng)管理員可以將不同的權(quán)限賦予或去除給各個(gè)角色；而一般成員登錄只能瀏覽各角色所具有的權(quán)限而不能給角色賦予或去除權(quán)限。

圖10 角色修改界面

圖11 權(quán)限分配界面

4 結(jié)語

論文基于ASP.NET的數(shù)字檔案管理系統(tǒng)中權(quán)限分配問題，給出了.NET框架下數(shù)字檔案管理系統(tǒng)中權(quán)限分配的設(shè)計(jì)與實(shí)現(xiàn)方法，并基于B/S結(jié)構(gòu)模式搭建了系統(tǒng)的主要框架，設(shè)計(jì)出各子系統(tǒng)的主要功能。重點(diǎn)設(shè)計(jì)并實(shí)現(xiàn)了“權(quán)限分配子系統(tǒng)”，實(shí)現(xiàn)了權(quán)限的數(shù)字化存儲(chǔ)與動(dòng)態(tài)管理。系統(tǒng)所采用的模塊化設(shè)計(jì)形式能很好地實(shí)現(xiàn)系統(tǒng)功能擴(kuò)充和系統(tǒng)二次開發(fā)，具有一定的實(shí)用價(jià)值。

[參考文獻(xiàn)]

[1]孫慧.淺談如何提高檔案工作服務(wù)能力[J].黑龍江檔案，2010（5）：58.

[2]苗育平.開發(fā)檔案信息資源提高檔案服務(wù)質(zhì)量[J].陜西檔案，2006（5）：27-28.

[3]程春雨，郝晨輝，李昕岑，等.基于云計(jì)算的檔案信息資源共享利用實(shí)踐研究[C].北京：創(chuàng)新：檔案與文化強(qiáng)國建設(shè)—2014年檔案事業(yè)發(fā)展研究報(bào)告集，2014.

[4]王化雨.一種B/S信息系統(tǒng)訪問控制機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[D].濟(jì)南：山東科技大學(xué)，2005.

[5]張昀.基于角色的訪問控制模型N-RBAC[J].軟件導(dǎo)刊，2010（1）：29-30.

[6]閆旭.淺談SQL Server數(shù)據(jù)庫的特點(diǎn)和基本功能[J].價(jià)值工程，2012（22）：229-231.