基于RBAC的權限管理在切削數據庫中的應用*

孟德浩，王 杰，徐鵬，付先武

(四川大學 制造科學與工程學院，成都 610000)

基于RBAC的權限管理在切削數據庫中的應用*

孟德浩，王 杰，徐鵬，付先武

(四川大學 制造科學與工程學院，成都 610000)

切削數據是衡量切削技術水平的一個基本量值。現在越來越多的公司建立切削數據庫來提高生產效率、降低生產成本等。以某汽輪機廠切削數據庫權限管理模塊為研究對象，針對其參與使用系統的部門眾多、人員角色復雜多樣以及權限劃分詳細而導致的系統中權限分配的工作量增大和操作不便的問題,采用現有RBAC權限管理方法，進行了研究，并提出了一種新的元素授權分配模型，得到一種適合的權限管理方案。在實際使用中，有效的解決了企業中并行部門眾多，管理職能重復而導致傳統授權管理僵化的問題，使用效果良好。

RBAC ; 切削數據庫;權限管理

0 引言

切削數據庫一般是根據加工工件來優化選擇刀具，包括刀具材料、刀具幾何參數、刀具結構、切削參數和機床等切削數據，可以提高生產效率、降低生產成本及保證加工質量[1]。某汽輪機廠切削數據庫系統是該企業完成CIMS進程的重要環節。該系統針對各種切削加工需要的數據和信息，按照規則存儲在計算機中，可以根據不同的角色使用不同的功能，包括打印、調用、修改和增刪等。切削數據庫中包含的內容根據加工方式的不同分為車削、銑削、磨削等加工信息，其中包括刀具的型號、材料牌號及性能；機床的型號和與性能參數；工件材料的牌號、成分、性能；切削液的類型等；并且具備專家智能推理功能，可以智能推薦適當的切削用量等。

切削數據庫系統不同于普通的管理系統，其實現功能更多樣復雜。本系統使用功能主要分為基本信息：包含機床信息，刀片信息(按照車削、銑削、磨削等加工方式進行分類)，刀體信息(按照車削、銑削、磨削等加工方式進行分類)。功能菜單：車削管理、銑削管理、磨削管理。匹配關系：刀片與刀體、機床與刀體、工件材料與刀片材料。根據企業的實際情況權限分配主要是對于用戶是否可以使用上述的具體功能。另外本數據庫系統使用的部門眾多，人員角色復雜，可以進行操作的權限劃分詳細，這都給權限分配模塊增加了困難。所以使用傳統的授權方式將難以實現。基于角色的訪問控制[2](Role-Based Access Control)—RBAC作為代替傳統強制訪問控制的一種有前景的方法，近年來受到廣泛的關注。該模型易于管理，并且將成本、錯誤發生率以及復雜性都降到了最低[3]。RBAC管理模型的基本思想是根據企業中對于職能崗位的劃分，進行不同角色的賦予，并且通過控制角色的權限來進行用戶對系統資源訪問的間接控制。而通過用戶和角色之間的聯系來降低大量用戶和權限分配系統的管理復雜性[4]。

1 基于角色的用戶權限管理模型

1．1 RBAC基本原理

現在普遍使用的RBAC版本是基于Sandhu等人提出的RBAC96模型[5]，包括3個基本實體用戶(user)、角色(role)和權限(permissions)[6]。它強調用戶的權限不是由用戶而是由用戶在組織中的角色決定的[7]。角色是指一個組織或任務中的某一特定的工作或職能崗位[8]。針對權限我們把一個用戶所擁有的權限定義為由角色權限(Permission of Role)、個人權限(Permission of Person)、授權權限(Permission of Authorization)三個部分組成的集合：用戶權限集合P[9]。每個用戶都擁有這三種權限。這樣的基于角色訪問，使得授權管理更加簡潔，靈活更符合現如今企業的用戶、組織、數據及特征之間的關系。

1．2 切削數據庫系統權限管理模型的建立

本系統根據企業的應用要求及管理特點同時提出三種授權方式:角色授權，個人授權，授權權限授權。如圖1所示。

圖1 授權流程

(1)角色授權：對于分配給用戶的權限通過授權給特定的角色(如部門主管、技術員、操作員等)來實現。角色具有使用系統特定功能的權限，如打開系統中不同的庫(刀具庫、刀體庫等)。用戶被分配某一角色或者在某一角色中選擇了某一個用戶，則該用戶具備該角色所擁有的權限。

(2)個人授權：對于分配給用戶的權限通過直接對該用戶授予具體的某個權限來實現。上級可以對自己部門的下級進行他可以操作系統的某個具體權限。個人權限是個人通過系統直接授予而獲得的具體功能權限[10-12]。由于工作職能劃分越來越詳細，所以相同角色的情況下也可能出現所擁有權限不同的情況。

(3)授權權限授權：分配給用戶的權限可以對其他用戶再次進行授權而得到的權限。對用戶的授權通過其他用戶授權來實現。

在系統的權限分配實現中，會把三種授權方式相結合。根據實際情況創建部門，并且分配上下級關系，然后根據不同的職能在相應部門下創建出不同的角色，給不同的角色分配以不同的角色權限。角色與用戶的建立一定是建立于部門的基礎上的，只有用戶是某個部門的職員該用戶才可以被加入到數據庫系統中，同時只有具體部門下的角色才會被創立。不存在不屬于任何部門的用戶與角色。將用戶分配給某角色或者在角色中選擇不同的用戶。當需要對相同角色的不同用戶進行權限區分時，則需要對用戶進行個人授權。而當被授權用戶需要可以對其他用戶進行授權時，則需要對被授權用戶進行授權權限授權。通過以上步驟則初步完成系統的權限分配。

1．3 改進的用戶與角色授權

由于在系統實際使用中，會出現希望某個用戶或角色可以進行查看和查詢某一個庫卻不能對其資料進行修改的情況，比如技術員可以修改加工信息，而操作人員只可以對于加工信息進行使用或者打印出來但是不能修改加工流程。所以我們針對功能分配進行了細化處理。即將功能劃分建立在不僅僅可以使用某一個庫而是具體到是否可以使用該庫中的某個按鈕的基礎上。在用戶及角色授權中加入了用戶和角色的元素授權。針對系統使用中頁面上的具體按鍵將其作為權限進行分配，如在機床信息中某些用戶或者角色只可以看到現有的機床信息而不能對其進行修改和刪除，則我們可以通過對該用戶在機床信息中的修改及刪除元素進行權限管理進行控制。這樣有效的解決了只希望禁用系統中一個功能的一部分子功能的問題。

2 角色權限管理在實際項目中的應用

在本切削數據庫系統中，我們采用了在上述第二節介紹的模型。在實際應用中得到了良好的應用和驗證。開發環境如下：采用了Strusts + Spring+ Ibatis + Ajax 框架，Microsoft SQL5.5數據庫。以下是實際開發權限管理模塊的主要過程：

2.1 數據庫設計

圖2 數據庫模型設計

系統權限模型的關鍵表如圖2所示。用戶表(user)存儲用戶的基本信息如用戶名、密碼、所屬部門等。角色表(role)存儲創建的角色信息。部門表(dept)存儲部門信息，并且包含上下級部門關系的處理。通過部門表來實現用戶與角色之間的管理，例如同是技術員但是分別屬于不同的部門那么則是不同的角色。這樣也方便了部門主管對于下屬的管理。用戶角色授權表(userauthorize)則實現了用戶與角色之間的多對多關系，角色授權以及授權權限授權都是通過這個表進行的。功能表(menu)存儲具體的功能。分別通過角色授權表(roleauthorize)以及用戶授權表(userauthorize)實現功能與用戶和功能與角色之間的多對多關系。

2.2 改進的用戶與角色授權數據庫設計

為了實現對于元素的權限分配，我們在以上的表的基礎上增加了一些關鍵表，如圖3所示。元素功能表(menupart)存儲了上述功能表中所存儲功能中的元素功能(如功能表中存儲了機床信息功能，則在元素功能表中存儲有機床信息中的新增，修改，刪除等元素功能)。用戶元素授權表(usermenupart)實現了用戶與元素功能的多對多關系。角色元素授權表(rolemenupart)實現了角色與元素功能的多對多關系。

圖3 元素授權數據庫模型設計

2.3 實體類設計舉例

下面以角色管理與授權的實現代碼進行簡單的介紹。

public class RoleAction extends BizAction{

private RoleService roleService = (RoleService) super.getService("roleService");

Public：

//構造函數

UserInfo (userid username roleid deptid…)

//獲取用戶信息空間

Dto getUserInfo (Dto pDto) {}

//角色管理與授權界面初始化

Public ActionForward RoleInit (deptid…)

//查詢角色列表

public ActionForward queryRolesForManage ()

//管理權限授權

public ActionForward managerTabInit

return

mapping.findForward("managerTabView")

//保存權限授權

public ActionForward saveGrant()

}

本系統采用登錄驗證的方法進行權限的初始化，即用戶登錄后則用戶類型以及權限已經通過后臺自定義代碼進行確定。系統再根據用戶、角色與功能之間的關系邏輯推理出用戶所擁有的權限，然后返回到前臺實現對于系統頁面的權限控制。

2．4 授權模型應用效果與用戶反饋

應用本授權模型后，大大減輕了系統管理員的工作負擔，簡化了授權的流程。

(1)增加了管理的安全性。本系統按照部門進行角色分配，上級部門可以對下級部門進行權限管理，部門主管可以對其本部門下其他下級角色進行權限管理，而不能對其他部門下級角色進行管理。這樣避免了部門之間的信息泄漏，提高了系統管理的安全性。

(2)增加了系統的靈活性。管理員可以按照實際情況根據不同部門進行相應的權限分配。同時通過元素權限分配可以將權限分配細化到是否可以改動系統信息等。這樣可以隨時對權限進行添加或取消，解決了部門歸屬領導復雜的問題。

(3)減輕管理員工作量，增加授權的準確性。這種分級進行授權的方式將授權工作分配給具備權限的各級人員，這樣增加了授權的準確性，同時減輕了管理員工作量。

3 結束語

目前，本切削數據庫系統使用情況良好，授權方案取得了良好的效果。不但繼承了傳統靜態權限管理模型的有點，同時引入了部門分級操作以及元素權限分配。滿足了企業部門眾多，人員眾多同時需要使用系統的權限復雜的要求。針對企業特點而提出的改進后的模型有效的解決了復雜的權限分配問題。并且可以靈活的結合企業ERP系統以及與其他部門之間的配合。

[1] 劉戰強,黃傳真,萬熠.切削數據庫的研究現狀與發展[J]．計算機集成制造系統-CIMS,2003,9(11):937-943.

[2] OSBORN s, SANDHUR. Configuring role-based access control to enforce mandatory and discretionary access control policies [J]. ACM Transaction on Information and Sy8tan Security, 2000, 3(2):123-132．

[3] 黃益民，平玲娣，潘雪增.一種基于角色的訪問控制模型及其實現[J]．計算機研究與發展，2003，40(10)：1521-1528.

[4]LIN A, BROWN R. The application of Security policy to rose-based access control and the common data security architecture [J].Computer Communication. 2000,23(17): 1584 -1593.

[5]Sandhu R S; Coyne E J; Feinstein H L Role-based access control models. IEEE Computer, 1996,29(2): 38-47.

[6] 吳薇.基于角色的訪問控制技術的用戶權限管理及實現[J]．福建電腦，2008(11)：176-177．

[7] 蔡蘭, 郭順生, 李益兵.基于角色訪問控制的動態權限配置研究與實現 [J].組合機床與自動化加工技術，2005(3): 86-87.

[8] 閆如忠, 陸立穎.RBAC在分布式監控和故障診斷系統中應用 [J].組合機床與自動化加工技術，2007(8):56-59.

[9] 劉建圻，曾碧，鄭秀璋.基于RBAC 權限管理模型的改進與應用[J].計算機應用, 2008,28(9): 2449-2451.

[10] 楊強，王忠民.ERP系統用戶權限分配問題的實現[J]．微機發展，2004, 14(7)：16-17.

[11] 張世龍，沈玉利．一種改善RBAC模型用戶權限獲取效率的方法[J]．四川大學學報：自然科學版，2009，46(1)：69-74．

[12] 李輝，崔漢國，林積徽．RBAC優化模型在裝備保障信息系統中的應用[J]．計算機工程與設計，2008，29(6)：1450-1452．

(編輯 李秀敏)

Application of Access Control Mode in Cutting Database Based on RBAC

MENG De-hao, WANG Jie，XU Peng，FU Xian-wu

(School of Manufacturing Science and Engineering, Sichuan University, Chengdu 610000, China)

Cutting data is a basic measure of the level of cutting technology. Nowadays, an increasingly number of corporations are more apt to establish the cutting database so that they can improve production efficiency, lower production costs etc. In this dissertation, the authorization control modules in cutting database of a certain turbine factory is selected as the subject investigated. Aiming at the issues, heavy workload in systemic permission assignment and inconvenience of operation, which are caused by multi-user, multi-authority, multifunction, we adopt the existing RBAC to do the research. As a result, a brand new element authorization assignment model has been presented and an appropriate authorization control scheme comes out. In actual use, this scheme proves to be effective in eliminating the problems the rigid management in some enterprises with troubles of department redundancy.

RBAC; cutting database; authorization control

1001-2265(2014)07-0158-03

10.13462/j.cnki.mmtamt.2014.07.046

2013-11-14；

2013-12-12

四川大學校市合作重點科技計劃項目(2012GH001)

孟德浩(1990—)，男，黑龍江大慶人，四川大學碩士研究生，主要研究方向為計算機輔助設計與制造，(E-mail)531942143@qq.com；王杰(1964—)，男，成都人，四川大學教授，博士生導師，主要研究方向為計算機輔助設計與制造，計算機集成制造系統，(E-Mail)554365209@qq.com。

TH166;TG65

A