RBAC模型在工程建設(shè)項(xiàng)目管理中的應(yīng)用研究

蘇登信

（南充職業(yè)技術(shù)學(xué)院，四川 南充 637000）

RBAC模型在工程建設(shè)項(xiàng)目管理中的應(yīng)用研究

蘇登信

（南充職業(yè)技術(shù)學(xué)院，四川 南充 637000）

近年來，我國建筑工程的飛速發(fā)展為我國的經(jīng)濟(jì)注入了活力。但從建筑工程的發(fā)展中不難看出，工程項(xiàng)目管理具有任務(wù)多、責(zé)任重、信息龐雜、安全保密性高等特點(diǎn)，角色的訪問控制是簡化工程項(xiàng)目信息系統(tǒng)訪問控制的一個(gè)有效策略，它能保證信息的完整、準(zhǔn)確、不外泄。本文重點(diǎn)闡述RBAC模型在工程建設(shè)項(xiàng)目管理中的應(yīng)用。

RBAC模型；工程；項(xiàng)目管理；應(yīng)用研究

隨著經(jīng)濟(jì)全球化、市場化、信息化的不斷發(fā)展，傳統(tǒng)的工程建設(shè)項(xiàng)目管理方式已經(jīng)不能適應(yīng)社會發(fā)展的需要，并阻礙了建設(shè)企業(yè)的發(fā)展。由于建設(shè)項(xiàng)目具有建設(shè)周期長，耗用資源量大的特點(diǎn)，傳統(tǒng)觀念把項(xiàng)目建設(shè)過程作為項(xiàng)目管理重點(diǎn)；人為的把項(xiàng)目投資全過程進(jìn)行割裂，使工程的整個(gè)項(xiàng)目設(shè)計(jì)、計(jì)劃、策劃、施工、維護(hù)和運(yùn)營等方面彼此脫節(jié)，導(dǎo)致工程建設(shè)中前后信息斷裂，信息篡改，信息不全，造成企業(yè)在決策上不能做出正確的判斷和設(shè)計(jì)的合理性，以及監(jiān)理的有效性。工程項(xiàng)目管理表現(xiàn)出的全方位性，具有其重要性，保密性與特殊性，所以擁有組織項(xiàng)目管理能力，才能成為工程建設(shè)企業(yè)參與市場競爭最重要的戰(zhàn)略策略。基于角色的訪問控制（Role-Based Access Control，RBAC）是目前主流的權(quán)限控制模型，能夠解決在工程建設(shè)項(xiàng)目管理中企業(yè)進(jìn)行統(tǒng)一資源訪問控制的有效措施。本文將對RBAC模型在工程建設(shè)項(xiàng)目管理中的應(yīng)用研究。

1　RBAC模型的概述

基于角色的訪問控制RBAC，是一種介于自主訪問控制和強(qiáng)制訪問控制之間的訪問控制技術(shù)。其中:對象模型中基本元素包含有:客體（Object）、用戶（Users）、訪問模式（Access Mode）、目標(biāo)（Objects）、用戶組（Group）、角色（Role）和操作（Operator）。用戶就是正在登陸系統(tǒng)的人或主機(jī)，而且每個(gè)用戶都有唯一的用戶標(biāo)識（UID）。客體就是接受其他實(shí)體動作的被動實(shí)體。角色就是用戶在系統(tǒng)與組織中參與執(zhí)行的操作大集合，也可以理解為用戶和權(quán)限的集合，執(zhí)行這些操作時(shí)就代表著系統(tǒng)和組織的一個(gè)角色。權(quán)限就是主體訪問受系統(tǒng)保護(hù)客體時(shí)的認(rèn)可，并且代表了主體能否進(jìn)行對客體進(jìn)行某一種操作。權(quán)限角色指派就是建立權(quán)限與角色相互的多對多關(guān)系，通過角色能夠把用戶和權(quán)限之間關(guān)聯(lián)在一起，這就使得用戶擁有了所屬角色的所有權(quán)限的總和。隨著計(jì)算機(jī)技術(shù)的發(fā)展，基于角色的訪問控制RBAC技術(shù)在信息系統(tǒng)安全控制方面已經(jīng)得到了廣泛的應(yīng)用。

2　RBAC控制模型在工程建設(shè)項(xiàng)目管理中應(yīng)用

工程建設(shè)項(xiàng)目管理系統(tǒng)設(shè)計(jì)應(yīng)該是一個(gè)高度集成，使用靈活快速方便的綜合管理信息系統(tǒng)，才能滿足市場化，信息社會發(fā)展的需要。而針對工程建設(shè)項(xiàng)部門的實(shí)際情況，工程建設(shè)項(xiàng)目管理系統(tǒng)采用客戶/服務(wù)器C/S體系結(jié)構(gòu)，以NET為平臺My SQL為數(shù)據(jù)庫采用C語言在安全性相對較高的C/S模式中，設(shè)計(jì)了關(guān)于RBAC控制的工程建設(shè)項(xiàng)目管理系統(tǒng)。

2.1權(quán)限管理的基本要素

在工程建設(shè)企業(yè)應(yīng)用中，基于角色的訪問控制RBAC一般包括用戶、角色、權(quán)限，以及角色層次和角色約束等機(jī)制。

2.1.1用戶分析

用戶是工程建設(shè)項(xiàng)目管理系統(tǒng)中擁有賬號的使用者，一個(gè)用戶在平臺里可以擁有多個(gè)角色，一個(gè)角色也可以擁有多個(gè)用戶。同理，RBAC基本模型一個(gè)角色可以被賦予多項(xiàng)權(quán)限，一個(gè)權(quán)限可以被分配給不同種類的角色。基于這個(gè)特點(diǎn)，工程建設(shè)項(xiàng)目管理系統(tǒng)管理員可以采取對用戶職務(wù)的不同，職務(wù)就代表了在建設(shè)工程工作中處理某項(xiàng)事務(wù)的權(quán)利，進(jìn)而對角色分配也為之不同。這樣設(shè)計(jì)的優(yōu)點(diǎn)就是可以讓用戶所具有的角色權(quán)限來判斷他所訪問的系統(tǒng)里面資源，才能對該資源相對應(yīng)的操作過程。把訪問權(quán)限與角色進(jìn)行相關(guān)聯(lián)，然后給用戶分配一定相關(guān)的角色使用戶和訪問權(quán)限有一定的必然關(guān)系，達(dá)到了用戶與訪問權(quán)限邏輯分離目的。

2.1.2角色分析

角色就是用戶在系統(tǒng)與組織中參與執(zhí)行的操作大集合，對一種工作性質(zhì)和工作職責(zé)相同的用戶實(shí)現(xiàn)其權(quán)限大小的唯一相同性，對權(quán)限分配中的重復(fù)性有減少作用，對權(quán)限分配的復(fù)雜性有降低作用。也可以理解為用戶和權(quán)限的集合，執(zhí)行這些操作時(shí)就代表著系統(tǒng)和組織的一個(gè)角色。

2.1.3權(quán)限分析

權(quán)限就是主體訪問受系統(tǒng)保護(hù)客體時(shí)的認(rèn)可，并且代表了主體能否進(jìn)行對客體進(jìn)行某一種操作。在RBAC中角色是用戶與權(quán)限間的溝通橋梁，當(dāng)某個(gè)用戶的職能存在改變時(shí)只要將該用戶從一個(gè)角色轉(zhuǎn)變到另一個(gè)角色的過程，就能實(shí)現(xiàn)權(quán)限的協(xié)調(diào)轉(zhuǎn)換，這樣改變了以往在用戶的職能改變后，使得直接相關(guān)聯(lián)的用戶與權(quán)限就要進(jìn)行大量權(quán)限更改工作，而RBAC中發(fā)生職能性改變，只需對角色進(jìn)行重新授權(quán)或者是取消其中的一些權(quán)限就可以使系統(tǒng)重新適應(yīng)設(shè)計(jì)的需要，降低了權(quán)限管理與系統(tǒng)維護(hù)的復(fù)雜多樣性。

在權(quán)限管理中，用戶在獲取自己的權(quán)限后應(yīng)該按照其所在項(xiàng)目部門的權(quán)限及所屬角色的權(quán)限采取分配措施。對于分配系統(tǒng)權(quán)限，應(yīng)該是把系統(tǒng)資源中的頁面資源按不同的職能分配給不同項(xiàng)目部門和角色，最后是對每個(gè)頁面中的按鈕資源再分配給角色。系統(tǒng)管理員對系統(tǒng)中部門權(quán)限進(jìn)行統(tǒng)一分配，并且對于角色權(quán)限的分配可以放給各個(gè)部門的管理員，然后再進(jìn)行分配的過程。

2.2RBAC控制模型工程建設(shè)項(xiàng)目管理系統(tǒng)的應(yīng)用分析

工程建設(shè)項(xiàng)目管理是工期、質(zhì)量、費(fèi)用等方面的綜合性管理，在工程建設(shè)項(xiàng)目管理系統(tǒng)中，就需用進(jìn)行多用戶性、復(fù)雜性、多功能性、安全性本系統(tǒng)的設(shè)計(jì)應(yīng)用。

2.2.1用戶權(quán)限設(shè)計(jì)

用戶權(quán)限系統(tǒng)的核心設(shè)計(jì)主要包括三部分:創(chuàng)造權(quán)限、分配權(quán)限、使用權(quán)限。在工程建設(shè)項(xiàng)目管理系統(tǒng)中設(shè)計(jì)。

在權(quán)限系統(tǒng)中User（用戶表）是保存用戶信息的地方，Role（角色表）是用來保存角色信息的地方。UserInRole（用戶角色映射表）是保存用戶與角色的對就關(guān)系，兩者可以多對應(yīng)多相關(guān)，同時(shí)，一個(gè)用戶能對多個(gè)不同角色，以及不同的角色擁有一同的權(quán)限。權(quán)限表（Permissions）也就是不同的角色對多種不一樣的權(quán)限，字段flag表示權(quán)限信息。對于工程建設(shè)項(xiàng)目管理系統(tǒng)中用戶權(quán)限系統(tǒng)的核心設(shè)計(jì)，首先是由Creator創(chuàng)造權(quán)限，并且在存儲過程中創(chuàng)建權(quán)限信息，指定工程建設(shè)項(xiàng)目管理系統(tǒng)模塊具有哪些權(quán)限；其次，由系統(tǒng)管理（Administrator）進(jìn)行創(chuàng)建用戶（User）與角色（Role），并且指用戶（User）角色（Role）和角色權(quán)限（Role-Permission）的關(guān)聯(lián)性。在存儲過程中，具有創(chuàng)建用戶信息、修改用戶信息、創(chuàng)建角色信息、刪除角色信息、刪除用戶和角色的關(guān)聯(lián)關(guān)系等功能；最后，用戶使用Administrator分配里的權(quán)限對各個(gè)系統(tǒng)模塊的使用權(quán)限。

2.2.2工程建設(shè)項(xiàng)目管理系統(tǒng)中角色添加

角色添加是在角色用戶權(quán)限管理設(shè)計(jì)中添加和設(shè)置角色對應(yīng)的功能。工程建設(shè)項(xiàng)目管理系統(tǒng)主要由前期管理、合同項(xiàng)目管理、建設(shè)管理、招投標(biāo)管理等業(yè)務(wù)子系統(tǒng)組成。每個(gè)模塊系統(tǒng)分別相對應(yīng)著查詢?yōu)g覽、錄入修改、打印下載等基本的功能。如（管理員/用戶）訪問前期管理記錄時(shí)，就需要讀取該子系統(tǒng)訪問的記錄ID，再通過這個(gè)ID查詢記錄文檔表獲得前期管理記錄TAXONOMY-ID，工程建設(shè)項(xiàng)目管理系統(tǒng)就會通過保存在Session的用戶ID查詢管理或者用戶表。通過分析比對，確定當(dāng)前查詢的用戶是否是管理員/用戶，并獲得該查詢用戶在這機(jī)構(gòu)的所有Role屬性值，并且在角色權(quán)限表中，是通過Role屬性值、TAXONOMY-ID值、AGENCYID值來確定訪問權(quán)限。

3　結(jié)　語

基于RBAC模型的工程建設(shè)項(xiàng)目管理系統(tǒng)是一門應(yīng)用科學(xué)，控制了不同級別的用戶對系統(tǒng)應(yīng)用程序和數(shù)據(jù)的訪問，反映了工程建設(shè)項(xiàng)目運(yùn)作與項(xiàng)目管理的客觀規(guī)律，屬于數(shù)據(jù)庫權(quán)限管理機(jī)制，能進(jìn)行對工程建設(shè)項(xiàng)目進(jìn)行有效的管理控制。但是在計(jì)算機(jī)技術(shù)不斷發(fā)展中，該技術(shù)也會存在不足，需要進(jìn)一步彌補(bǔ)。

主要參考文獻(xiàn)

［1］施旸.基于RBAC模型的高職院校教務(wù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.成都：電子科技大學(xué)，2012.

［2］馬麗紅，蔡東宏.高校科技管理信息系統(tǒng)中RBAC模型的應(yīng)用［J］.中小企業(yè)管理與科技. 2007（9）.

［3］向奎.基于RBAC的用戶權(quán)限管理系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)［D］.武漢：武漢理工大學(xué)，2013.

［4］王彬彬.基于B/S結(jié)構(gòu)的計(jì)算機(jī)考試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.長春：吉林大學(xué)，2010.

［5］閆季鴻，蔣文蓉，王帥，等.基于XACML的RBAC職責(zé)分離策略研究［J］.計(jì)算機(jī)應(yīng)用與軟件，2010（3）.

10.3969/j.issn.1673 - 0194.2015.04.082

F272.92；TP193.0

A

1673-0194（2015）04-0105-02

2015-01-13

蘇登信（1973-），男，四川南充人，南充職業(yè)技術(shù)學(xué)院講師，工程師，主要研究方向:建筑設(shè)計(jì)與施工、建筑組織與管理。