《RBAC模型在U型组织结构中的应用与实现.doc》由会员分享,可在线阅读,更多相关《RBAC模型在U型组织结构中的应用与实现.doc(10页珍藏版)》请在三一文库上搜索。
1、RBAC模型在U型组织结构中的应用与实现收稿日期:20110812 李端明(1964),男,教授,研究生导师,发表论文15篇,科研著作4部。 DOI:10.3969j.issn.10080821.2011.10.042 Application and Implementation of RBAC Model in United Organization Structure Fei Shiying Li Duanming(Institute of Economics and Management,Southwest University of Science and Technology,Mia
2、nyang 621010,China) AbstractTo study the influence of the characteristics of organization structure on the RBAC model,according to the characteristics of information system in united organization structure,a new application model was presented to extend RBAC model,which introduces information-domain
3、 and operation-domain.Finally,it was applied in an information system in united organization structure to implement the universal functional modularity.It accorded with the enterprise demands and controls freely.Results showed that the method could obtain efficient access control to all kinds of res
4、ources. Key wordsRBAC model;information system;united organization structure;authorized to access control 随着企业信息化建设的发展,信息管理系统的开发和建立成为了企业实现现代化的有效途径。在企业信息管理系统中,权限认证占有核心地位,它管理所有访问资源的请求,根据安全策略的要求,对每种资源的访问做出是否许可的判断,能有效防止非法用户访问系统资源和合法用户越权使用资源。但是传统的安全模型已经不能满足信息化需求的快速变化,如今,企业信息系统对安全性提出了一个更加高的要求。在安全的信息系统中,系统
5、必须有能力判断使用者是否有权使用、修改或删除某一项资源,以防止使用者非法使用系统资源。为了让使用者在授权范围内可以享用计算机资源,系统必须实施访问控制。 现在信息系统中的访问控制主要使用RBAC访问控制模型,国内外研究人员将注意力集中到RBAC模型实现及应用的研究上,针对不同应用系统,提出了相应的实现方案。目前,国内在RBAC的应用研究中,很少考虑企业组织结构特点对RBAC实现的影响,对于应用系统中角色和权限的特点未作研究,这些情况都导致了RBAC实现起来要么难度很大,要么效果不明显。那么是否所有企业,不管什么类型的组织结构,在他的信息管理系统里,RBAC中的角色类型、权限分配都是千篇一律的呢
6、?根据这个问题,本文选择了对现在流行的U型组织结构,归纳出他的特点,进行RBAC模型的探讨,设计出U型组织结构的企业的RBAC访问控制模型的功能模块。 1 基于角色的访问控制理论 访问控制是通过某种途径显示的准许或限制访问能力及范围,从而限制对目标资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。 目前流行的访问控制模型有: (1)自主访问控制模型(Discretionary Access Control,DAC)。自主访问控制是访问控制技术中最常见的一种方法,允许资源的所有者自主地在系统中决定可存取其资源客体的主体,此模型灵活性很高,但安全级别相对较低。 (2)强制访问控制模型
7、(Mandatory Access Control,MAC)。强制访问控制是主体的权限和客体的安全属性都是固定的,由管理员通过授权决定一个主体对某个客体能否进行访问。 (3)基于角色的访问控制模型(Role-Based Access Control,RBAC)。无论是DAC还是MAC都是主体和访问权限直接发生关系,其实现工作量大、不便于管理,不适用于主体或客体经常更新的应用环境。RBAC是一种可扩展的访问控制模型,通过引入角色来对用户和权限进行解耦,简化了授权操作和安全管理,它是目前公认的解决大型企业的统一资源访问控制的有效访问方法,其两个特征是:减小授权管理的复杂性,降低管理开销;灵活地支持
8、企业的安全策略,并对企业变化有很大的伸缩性。 如今,传统的访问控制机制已经不能完全满足目前增长的应用业务的安全需求,因为传统的访问控制是对系统中的所有用户进行一维的权限管理,既不能适应粒度的控制需求,也不能快速实现,所以,访问控制目前多数采用基于角色访问控制(RBAC)模型,但对于不同组织结构,其角色类型、权限分配有所不同。 2 U型组织结构下的RBAC模型应用 RBAC是目前得到广泛关注和大量应用的访问控制模型,许多应用系统的权限设计都受到了它的影响。在客观环境下,由于不同的组织结构的存在,所以在企业环境中应用RBAC模型构建信息系统访问控制模块需要进行针对性很强的分析与设计,从而设计出能够
9、对组织结构具有很强适应性的通用授权模块,才能确保系统的完整性和强适应性。但是,在传统的RBAC模型中,并没有提到组织结构,而在实际应用中,组织结构与用户及权限都有密切的联系,同时,信息系统也需要体现出企业的组织结构,以方便用户的使用。所以,在RBAC模型中,引入组织结构,一方面可以方便用户使用信息系统;另一方面,可以减少角色的数量,简化系统管理员的工作。 虽然,在客观环境中存在这些不同的组织结构,但是现在流行的组织结构是U型结构。这种组织结构形式把管理机构和人员分为两类:一类是直线领导机构和人员,按命令统一原则对各级组织行使指挥权;另一类是职能机构和人员,按照专业化原则,从事组织的各项职能管理
10、工作1。这种组织结构的信息系统中,无论是哪一类都可以看作是由组织单元组成的,组织单元不仅是企业对人员进行管理配置的基本单位,也是企业资源的操作权限如何分配的构成依据。所以从访问控制的角度来说,企业组织单元实际是一个具有层状结构的主体和客体的集合,这个集合内的客体具有某种操作权限为这个集合内指定此操作的主体所共享,也就是信息域或者说主体可以操作的范围。信息域具有层状结构,整个系统范围是信息根域,每个下级组织单元为信息子域,分层结构构成了信息域树(如图1所示)。 在安全的信息系统中,系统必须有能力判断使用者是否有权使用、修改或复制某一项资源,防止使用者非法使用系统资源。同时,让使用者在授权范围内可
11、以享用计算机资源,系统必须实施访问控制。所以必然要对用户所访问的信息域的操作进行控制,仅仅给用户指定信息域还远远不够,还要控制他对信息域的操作。从而又构成了另一个概念:操作域。操作域就是在限定的信息域内进行增加、删除、编辑等数据操作。 因此,对于各种组织结构,虽然彼此存在差异,可是对于访问控制来说,都可以从信息域、操作域两个角度来限定各个用户对组织内部资源的使用。 3 U型组织结构的信息系统RBAC模型实例 3.1 系统访问控制的逻辑结构 在此实例系统中,采用客户端应用服务器数据库三层结构,实现信息资源的访问,其中客户端为最终用户提供访问接口,应用服务器根据客户端请求提供服务响应,通过与数据库
12、的接口连接完成在限定信息域内进行的在操作范围内的数据操作。在用户的身份被鉴别,成功登录客户端系统后,访问控制的主要任务就是为用户授权,确定用户所能操作的信息域范围以及对相应范围所能进行的操作。 用户一旦被确定了所有的角色,那么他所能操作的信息域以及操作类型在客户端都是动态加载的,信息域映射为部门辖区,操作域映射为界面上的按钮种类。这样就能够使客户端应用所显示的信息域和操作时用户可以实施的范围内,有效地防止了非法用户的入侵,使系统的安全性得到了增强。图2展示了该系统的逻辑结构。 3.2 访问控制流程 (1)用户在访问信息系统前首先要向权限管理子系统的身份认证模块请求验证身份的合法性。 (2)身份
13、认证成功后,将用户信息写入IMUser类中(该类充当Session类的作用),系统读取用户权限,加载相应模块。 (3)合法用户向应用子系统各功能模块发出各种操作请求。 (4)应用系统查询用户的操作权限。 (5)应用系统访问控制通过用户的角色表示取得对应操作权限在界面以按钮的形式显示出来。 3.3 系统框架设计 该系统分为客户端和服务器端两部分。其中,客户端处于PC机上,用户是通过客户端的窗体访问系统。 服务器端划分为3层: 3.3.1 业务逻辑层 主要用自写的网络连接管理包Midapex.Net.IM来实现,负责与客户端通信和处理业务数据等功能。 3.3.2 持久层 采用自写数据库连接管理包D
14、BInterface里面的类,负责访问数据库,提供对业务数据的保存、更新、删除和查询等操作。 3.3.3 数据库层 采用开源的关系数据库系统SQL-Server 2005。 通过以上的分层,将会提高系统的伸缩性、可维护性、可扩展性、可重用性、可管理性等性能。具体的系统框架如图3所示: 3.4 对象关系模型 3.5 系统主要模块示例 (1)服务器端界面 为了对数据进行集成,所以将数据存储在服务器端,用户通过权限访问服务器上面的数据,服务器端能够对访问者进行控制,将访问记录存储在数据库里面,从而加强安全性控制。界面如图5。 (2)为了加强安全性,用户登录系统后,只能对特定的范围信息进行操作。因此,
15、需要对用户所能操作的信息域进行规范。范围对象管理:创建、修改、删除范围对象。界面见图6。 (3)用户登录系统后,就形成了角色与用户之间的映射,因此,在注册合法用户的时候就要给用户分配合法的角色,包括:范围角色和操作角色。从而对用户的信息域和操作域进行控制。范围角色管理:创建所需要的角色,并且为角色分配所管辖的范围对象;删除、修改角色的管辖范围。界面见图7。 3.6 授权流程实例说明 下面通过实例说明授权流程。 用户名:张三,被赋予的范围角色是:成都市分公司,该角色的信息域是成都市?z监理所以及下属部门。 被赋予的操作角色是:角色1,该角色的操作域是模块管理:编辑、取消;部门管理:打印、预览;职
16、员信息:取消; 成都市1,该角色的操作域是模块管理:添加、删除、编辑、取消;部门管理:添加、编辑;职员信息:添加、删除、编辑、取消。 该用户登录系统后,客户端主界面MainForm之后,动态加载该用户所能操作的模块,他所能操作的模块为他被赋予的操作角色所能操作的模块的并集。例如该用户能操作:模块管理、部门管理、职员管理;对于每个模块的操作权限为所有操作角色对该模块的操作许可的“”运算,然后再与该模块最大许可的“&”运算,最终得出该用户对此模块的操作域。例如该用户对职员信息的操作域为:添加、删除、编辑、取消。 当然,一个用户并不是能操作所有范围的信息,所以范围角色就控制了用户所能操作的信息域。对
17、于张三用户他的信息域就由范围角色:成都市分公司控制,所以他只能操作该角色所拥有的范围信息,而且默认能够查删改所操作部门的下一级信息,但是不能进行增操作。 从上面的实例就可以看出,一个用户的权限就由范围角色和操作角色两类角色所控制。 4 结束语 RBAC模型由于其灵活性、易用性的优点,应用到大型的、结构化的企业信息系统是有优势的。为此,本文基于RBAC模型设计出了U型组织结构的企业信息系统访问控制的通用功能模块。完成的工作主要包括以下几方面:(1)完成访问控制各要素的主要逻辑关系的描述;(2)实现组织结构和人员信息管理;(3)实现功能模块管理;(4)实现可视化角色资源分配;(5)实现可视化用户授权。从总体上看,该系统实现了信息系统授权控制的基本功能。但是,系统仍然存在一些需要改进的地方,主要表现在以下几个方面:系统的角色控制的功能还不够强大,角色的继承关系也没有体现出来;系统的可扩展性和可维护性不是很好;这些问题都是将来可以改进、升级和努力改进的方向。