基于RBAC企業通用用戶權限管理模型設計與應用

夏冬梅

廣東松山職業技術學院 廣東 512126

0 前言

從上世紀六十年代起，人們開始研究計算機信息系統訪問控制技術，先后出現了各種各樣的權限管理模型，確保只有被授權的用戶才能訪問某些敏感的數據和信息。它們的基本目標都是防止非法用戶進行系統和合法用戶對系統資源的非法使用。

本文在原RBAC模型基礎上提出以用戶組為授權中心的授權模式，即：在權限管理系統中引入組織機構，當某機構的所有人員職能相同時，則將看作一組，創建一個角色授予這個組，則整個組的人員都獲得了權限，以用戶組為中心授權的模式既簡化了授權管理，系統又有較大的靈活度。

1 模型的設計

面向企業的訪問控制的設計目標：支持大量的用戶和訪問客體，使角色、用戶、任務、權限的分配、變化比較容易控制；支持企業間信息的安全共享與權限的簡便管理；支持主動和被動的訪問控制，適應動態的業務流程中權限與客體的快速變更等。

面向企業的訪問控制解決方案：采用基于角色的訪問控制，利用角色特點把權限與用戶邏輯分離方便了用戶權限的管理；采用角色匹配規則，通過人事管理為載體實現企業間信息的共享；采用角色與任務結合的觀點，利用角色的易管理性及任務的動態性實現對工作流業務流程進行動、靜態的訪問控制。方案的總體模型如圖1。

圖1 企業訪問控制總體框架圖

本系統充分考慮企業單位人事特點后，對RBAC模型中用戶與角色的映射做了改進，改換成職位與角色的映射（如圖2）。企業中的每名員工都有它對應的職位，把不同員工但職能相同的職員看成一個用戶組，針對用戶組來分配角色，這樣做的好處是：

圖2 基于角色的授權的結構

（1）授權、權限分配和改變簡單方便。如：某一員工職位變更，只需在用戶信息中修改其職位，則用戶自動轉換到該職位對應角色，相應擁有新權限；

（2）設計中便于類的繼承。高級權限的某些屬性可以直接從一個或幾個低級職位中繼承過來；

（3）更好的保證用戶對信息對象的訪問權限是限制在他的工作范圍之內。

2 模型的應用

本文實現的是企業門戶系統、辦公自動化系統和綜合報表系統中統一使用的系統管理和人事管理部分。在兩個系統管理模塊中體現了這種基于RBAC企業通用用戶權限管理模型的設計思想。

涉及的主要功能包括：

（1）人員基本信息的添加、修改、刪除；

（2）角色的添加、修改、刪除；

（3）角色組的添加、修改、刪除；

（4）職位的添加、修改、刪除。

2.1 系統管理模塊功能設計

基于角色的權限管理：包括用戶管理、角色管理、系統功能管理、角色具有的系統功能管理4個模塊。

（1）用戶管理模塊的主要功能是身份認證，這是基于角色訪問控制的基礎。

用戶管理的UML用例圖（如圖3所示）。

圖3 用戶管理的UML用例圖

（2）角色管理是通過用戶管理中身份認證的用戶被創建一個角色，它代表了一個獨立訪問權限實體，登錄系統時根據角色信息來進一步判定登錄用戶擁有使用特定系統功能的權限。

角色管理的UML用例圖（如圖4所示）。

圖4 角色管理的UML用例圖

（3）系統功能管理包括添加系統功能、查詢系統功能、修改系統功能和刪除系統功能。系統功能信息是系統中進行操作的獨立功能單位。

系統功能管理的UML用例圖（如圖5所示）。

圖5 系統功能管理的UML用例圖

（4）角色具有的系統功能管理包括查詢角色具有的系統功能、添加角色具有的系統功能和刪除角色具有的系統功能。

角色具有的系統功能管理的UML用例圖（如圖6所示）。

圖6 角色具有的系統功能管理的UML用例圖

2.2 人事管理模塊功能設計

人事管理模塊是通用辦公系統中進行人事組織管理要實現的功能模塊，為系統管理模塊提供用戶的相關信息，如用戶的真實姓名、身份證號以及其職位、機構信息等。人事管理模塊具有機構管理、職位管理、職員管理、職位分配的角色管理、職員擔任的職位管理5個子模塊。

人事管理模塊功能設計的思路大致與系統管理模塊功能設計相同，故略去。

2.3 系統管理模塊與人事管理模塊的依存關系

系統管理與人事管理的依存關系（如圖7所示）。

綜合以上系統管理模塊和人事管理模塊的用戶需求分析，職位管理依存于機構管理，職員管理依存于職位管理，用戶管理依存于職員管理，職員擔任的職位管理依存于職員管理和職位管理，職位分配的角色管理依存于職位管理和角色管理，角色具有的系統功能管理依存于角色管理和系統功能管理。

圖7 系統管理與人事管理的依賴關系

3 結語

在權限管理模型的基礎上，提出用戶組為授權中心的授權模式，解決了RBAC中訪問效率低的不足，提高了權限訪問速度，降低了權限管理的復雜度。通過對系統管理及人事管理模塊的功能設計，明確了本企業通用權限管理系統需要實現的基本功能，并通過分析兩模塊之間的依存關系，確定了其內部子模塊的設計方向。

[1]M.Nyanchama and S.L.Osborn Access Rights Administration in Role-Based Security Systems Database Security VIII Status and Prospects Joachim Biskup，Matthew Morgenstern Carl E Landwehr（Eds.）North-Holland 1994.

[2]FerraioloDavid，Kuhn Richard.Role_basedaccess controls of 15thNIsT—NcscNational[A].Proceedings computersecurityconference [C].Baitimore，MaryIand 1992.

[3]Ravisandhu，EdwardJ basedaccess comfolmod—coyne.Roleels[J].IEEEcomputer.1996.

[4]黃大足.基于RBAC的網絡數據庫訪問控制[J].南華大學學報（理工版）.2004.

[5]夏冬梅.通用用戶權限管理模型的研究與應用[D].華南理工大學.碩士學位論文.2007.

[6]鞠成東，廖明宏.基于RBAC模型的角色權限及層次關系研究[J].哈爾濱理工大學學報.2005.

[7]曹天杰，張水平.管理信息系統中基于角色的訪問控制[J].計算機應用.2001.