RBAC模型在U型組織結構中的應用與實現

〔摘要〕為了研究企業組織結構特點對RBAC訪問控制模型實現的影響，針對U型組織結構中信息系統的特點，引入信息域和操作域，擴展RBAC訪問控制模型。最后，通過將此模型應用于某U型組織結構下的信息系統，設計出了符合企業需求特點、復雜性可控的實現訪問控制的功能模塊。結果證明，本文所提出的方法能夠對資源的訪問權限進行有效地控制。

〔關鍵詞〕RBAC模型；信息系統；U型組織結構；授權控制

收稿日期：2011－08－12

作者簡介：費世英（1987－），女，碩士生，研究方向：信息系統與信息技術、商務智能、圖像內容情報檢索。

李端明（1964－），男，教授，研究生導師，發表論文15篇，科研著作4部。

DOI：10.3969／j.issn.1008－0821.2011.10.042

〔中圖分類號〕TP309 〔文獻標識碼〕B 〔文章編號〕1008－0821（2011）10－0173－05

Application and Implementation of RBAC Model in United Organization Structure

Fei Shiying Li Duanming（Institute of Economics and Management，Southwest University of Science and Technology，Mianyang 621010，China）

〔Abstract〕To study the influence of the characteristics of organization structure on the RBAC model，according to the characteristics of information system in united organization structure，a new application model was presented to extend RBAC model，which introduces information-domain and operation-domain.Finally，it was applied in an information system in united organization structure to implement the universal functional modularity.It accorded with the enterprise demands and controls freely.Results showed that the method could obtain efficient access control to all kinds of resources.

〔Key words〕RBAC model;information system;united organization structure;authorized to access control

隨著企業信息化建設的發展，信息管理系統的開發和建立成為了企業實現現代化的有效途徑。在企業信息管理系統中，權限認證占有核心地位，它管理所有訪問資源的請求，根據安全策略的要求，對每種資源的訪問做出是否許可的判斷，能有效防止非法用戶訪問系統資源和合法用戶越權使用資源。但是傳統的安全模型已經不能滿足信息化需求的快速變化，如今，企業信息系統對安全性提出了一個更加高的要求。在安全的信息系統中，系統必須有能力判斷使用者是否有權使用、修改或刪除某一項資源，以防止使用者非法使用系統資源。為了讓使用者在授權范圍內可以享用計算機資源，系統必須實施訪問控制。

現在信息系統中的訪問控制主要使用RBAC訪問控制模型，國內外研究人員將注意力集中到RBAC模型實現及應用的研究上，針對不同應用系統，提出了相應的實現方案。目前，國內在RBAC的應用研究中，很少考慮企業組織結構特點對RBAC實現的影響，對于應用系統中角色和權限的特點未作研究，這些情況都導致了RBAC實現起來要么難度很大，要么效果不明顯。那么是否所有企業，不管什么類型的組織結構，在他的信息管理系統里，RBAC中的角色類型、權限分配都是千篇一律的呢？根據這個問題，本文選擇了對現在流行的U型組織結構，歸納出他的特點，進行RBAC模型的探討，設計出U型組織結構的企業的RBAC訪問控制模型的功能模塊。

1 基于角色的訪問控制理論

訪問控制是通過某種途徑顯示的準許或限制訪問能力及范圍，從而限制對目標資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作所造成的破壞。

目前流行的訪問控制模型有：

（1）自主訪問控制模型（Discretionary Access Control，DAC）。自主訪問控制是訪問控制技術中最常見的一種方法，允許資源的所有者自主地在系統中決定可存取其資源客體的主體，此模型靈活性很高，但安全級別相對較低。

（2）強制訪問控制模型（Mandatory Access Control，MAC）。強制訪問控制是主體的權限和客體的安全屬性都是固定的，由管理員通過授權決定一個主體對某個客體能否進行訪問。

（3）基于角色的訪問控制模型（Role-Based Access Control，RBAC）。無論是DAC還是MAC都是主體和訪問權限直接發生關系，其實現工作量大、不便于管理，不適用于主體或客體經常更新的應用環境。RBAC是一種可擴展的訪問控制模型，通過引入角色來對用戶和權限進行解耦，簡化了授權操作和安全管理，它是目前公認的解決大型企業的統一資源訪問控制的有效訪問方法，其兩個特征是：①減小授權管理的復雜性，降低管理開銷；②靈活地支持企業的安全策略，并對企業變化有很大的伸縮性。

如今，傳統的訪問控制機制已經不能完全滿足目前增長的應用業務的安全需求，因為傳統的訪問控制是對系統中的所有用戶進行一維的權限管理，既不能適應粒度的控制需求，也不能快速實現，所以，訪問控制目前多數采用基于角色訪問控制（RBAC）模型，但對于不同組織結構，其角色類型、權限分配有所不同。

2 U型組織結構下的RBAC模型應用

RBAC是目前得到廣泛關注和大量應用的訪問控制模型，許多應用系統的權限設計都受到了它的影響。在客觀環境下，由于不同的組織結構的存在，所以在企業環境中應用RBAC模型構建信息系統訪問控制模塊需要進行針對性很強的分析與設計，從而設計出能夠對組織結構具有很強適應性的通用授權模塊，才能確保系統的完整性和強適應性。但是，在傳統的RBAC模型中，并沒有提到組織結構，而在實際應用中，組織結構與用戶及權限都有密切的聯系，同時，信息系統也需要體現出企業的組織結構，以方便用戶的使用。所以，在RBAC模型中，引入組織結構，一方面可以方便用戶使用信息系統；另一方面，可以減少角色的數量，簡化系統管理員的工作。

雖然，在客觀環境中存在這些不同的組織結構，但是現在流行的組織結構是U型結構。這種組織結構形式把管理機構和人員分為兩類：一類是直線領導機構和人員，按命令統一原則對各級組織行使指揮權；另一類是職能機構和人員，按照專業化原則，從事組織的各項職能管理工作［1］。這種組織結構的信息系統中，無論是哪一類都可以看作是由組織單元組成的，組織單元不僅是企業對人員進行管理配置的基本單位，也是企業資源的操作權限如何分配的構成依據。所以從訪問控制的角度來說，企業組織單元實際是一個具有層狀結構的主體和客體的集合，這個集合內的客體具有某種操作權限為這個集合內指定此操作的主體所共享，也就是信息域或者說主體可以操作的范圍。信息域具有層狀結構，整個系統范圍是信息根域，每個下級組織單元為信息子域，分層結構構成了信息域樹（如圖1所示）。

在安全的信息系統中，系統必須有能力判斷使用者是否有權使用、修改或復制某一項資源，防止使用者非法使用系統資源。同時，讓使用者在授權范圍內可以享用計算機資源，系統必須實施訪問控制。所以必然要對用戶所訪問的信息域的操作進行控制，僅僅給用戶指定信息域還遠遠不夠，還要控制他對信息域的操作。從而又構成了另一個概念：操作域。操作域就是在限定的信息域內進行增加、刪除、編輯等數據操作。

因此，對于各種組織結構，雖然彼此存在差異，可是對于訪問控制來說，都可以從信息域、操作域兩個角度來限定各個用戶對組織內部資源的使用。

3 U型組織結構的信息系統RBAC模型實例

3.1 系統訪問控制的邏輯結構

在此實例系統中，采用客戶端——應用服務器——數據庫三層結構，實現信息資源的訪問，其中客戶端為最終用戶提供訪問接口，應用服務器根據客戶端請求提供服務響應，通過與數據庫的接口連接完成在限定信息域內進行的在操作范圍內的數據操作。在用戶的身份被鑒別，成功登錄客戶端系統后，訪問控制的主要任務就是為用戶授權，確定用戶所能操作的信息域范圍以及對相應范圍所能進行的操作。

用戶一旦被確定了所有的角色，那么他所能操作的信息域以及操作類型在客戶端都是動態加載的，信息域映射為部門轄區，操作域映射為界面上的按鈕種類。這樣就能夠使客戶端應用所顯示的信息域和操作時用戶可以實施的范圍內，有效地防止了非法用戶的入侵，使系統的安全性得到了增強。圖2展示了該系統的邏輯結構。

3.2 訪問控制流程

（1）用戶在訪問信息系統前首先要向權限管理子系統的身份認證模塊請求驗證身份的合法性。

（2）身份認證成功后，將用戶信息寫入IMUser類中（該類充當Session類的作用），系統讀取用戶權限，加載相應模塊。

（3）合法用戶向應用子系統各功能模塊發出各種操作請求。

（4）應用系統查詢用戶的操作權限。

（5）應用系統訪問控制通過用戶的角色表示取得對應操作權限在界面以按鈕的形式顯示出來。

3.3 系統框架設計

該系統分為客戶端和服務器端兩部分。其中，客戶端處于PC機上，用戶是通過客戶端的窗體訪問系統。

服務器端劃分為3層：

3.3.1 業務邏輯層

主要用自寫的網絡連接管理包Midapex.Net.IM來實現，負責與客戶端通信和處理業務數據等功能。

3.3.2 持久層

采用自寫數據庫連接管理包DBInterface里面的類，負責訪問數據庫，提供對業務數據的保存、更新、刪除和查詢等操作。

3.3.3 數據庫層

采用開源的關系數據庫系統SQL-Server 2005。

通過以上的分層，將會提高系統的伸縮性、可維護性、可擴展性、可重用性、可管理性等性能。具體的系統框架如圖3所示：

3.4 對象——關系模型

3.5 系統主要模塊示例

（1）服務器端界面

為了對數據進行集成，所以將數據存儲在服務器端，用戶通過權限訪問服務器上面的數據，服務器端能夠對訪問者進行控制，將訪問記錄存儲在數據庫里面，從而加強安全性控制。界面如圖5。

（2）為了加強安全性，用戶登錄系統后，只能對特定的范圍信息進行操作。因此，需要對用戶所能操作的信息域進行規范。范圍對象管理：創建、修改、刪除范圍對象。界面見圖6。

（3）用戶登錄系統后，就形成了角色與用戶之間的映射，因此，在注冊合法用戶的時候就要給用戶分配合法的角色，包括：范圍角色和操作角色。從而對用戶的信息域和操作域進行控制。范圍角色管理：創建所需要的角色，并且為角色分配所管轄的范圍對象；刪除、修改角色的管轄范圍。界面見圖7。

3.6 授權流程實例說明

下面通過實例說明授權流程。

用戶名：張三，被賦予的范圍角色是：成都市分公司，該角色的信息域是成都市監理所以及下屬部門。

被賦予的操作角色是：角色1，該角色的操作域是模塊管理：編輯、取消；部門管理：打印、預覽；職員信息：取消； 成都市1，該角色的操作域是模塊管理：添加、刪除、編輯、取消；部門管理：添加、編輯；職員信息：添加、刪除、編輯、取消。

該用戶登錄系統后，客戶端主界面MainForm之后，動態加載該用戶所能操作的模塊，他所能操作的模塊為他被賦予的操作角色所能操作的模塊的并集。例如該用戶能操作：模塊管理、部門管理、職員管理；對于每個模塊的操作權限為所有操作角色對該模塊的操作許可的“｜”運算，然后再與該模塊最大許可的“”運算，最終得出該用戶對此模塊的操作域。例如該用戶對職員信息的操作域為：添加、刪除、編輯、取消。

當然，一個用戶并不是能操作所有范圍的信息，所以范圍角色就控制了用戶所能操作的信息域。對于張三用戶他的信息域就由范圍角色：成都市分公司控制，所以他只能操作該角色所擁有的范圍信息，而且默認能夠查刪改所操作部門的下一級信息，但是不能進行增操作。

從上面的實例就可以看出，一個用戶的權限就由范圍角色和操作角色兩類角色所控制。

4 結束語

RBAC模型由于其靈活性、易用性的優點，應用到大型的、結構化的企業信息系統是有優勢的。為此，本文基于RBAC模型設計出了U型組織結構的企業信息系統訪問控制的通用功能模塊。完成的工作主要包括以下幾方面：（1）完成訪問控制各要素的主要邏輯關系的描述；（2）實現組織結構和人員信息管理；（3）實現功能模塊管理；（4）實現可視化角色資源分配；（5）實現可視化用戶授權。從總體上看，該系統實現了信息系統授權控制的基本功能。但是，系統仍然存在一些需要改進的地方，主要表現在以下幾個方面：系統的角色控制的功能還不夠強大，角色的繼承關系也沒有體現出來；系統的可擴展性和可維護性不是很好；這些問題都是將來可以改進、升級和努力改進的方向。

參考文獻

［1］李端明，李宇翔.U型組織中信息系統擴展訪問控制模型的研究［J］.圖書情報工作，2009，53（24）:46-50.

［2］韓毅，張克菊，金碧輝.競爭情報的開放存取模型與角色控制機制［J］.圖書情報工作，2009，53（6）:66-69.

［3］樊振佳.政府在公共信息資源管理中的角色定位［J］.圖書情報工作，2007，51（4）:45-47.

［4］沈海波，洪帆.基于企業環境的訪問控制模型［J］.計算機工程，2005，31（14）:144-146.

［5］徐震，李斕，馮登國.基于角色的受限委托模型［J］.軟件學報，2005，16（5）:970-978.

［6］黃益民，平玲娣，潘雪增.一種基于角色的訪問控制擴展模型及其實現［J］.計算機研究與發展，2003，40（10）:1521-1527.

［7］D.F.Ferraiolo， et al.Proposed NIST Standard for Role-Based Access Control［J］.ACM Transactions on Information and System Security，2001，4（3）:224-274.

［8］S.Osborn，R.Sandhu.Q.Munawer.Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies［J］.ACM Transactions on Information and System Security，May 2000，3（2）:85-106.