基于RBAC的用戶權限數據模型在信息系統的研究與設計

摘要：根據RBAC模型的基本思想，設計用于指導開發用戶權限管理的參考模型。該模型引入了職位和組織機構對象，解決對用戶進行直接和間接授權的問題，并對用戶的權限進行精確的差異化管理。關鍵詞：RBAC；用戶權限；數據模型；信息系統

信息資源安全的保護以及不泄露成為企事業單位推廣信息化過程中最重要的一環，因此權限系統模型成為信息系統分析和設計階段的重要組成部分。成功的權限系統設計對信息系統的安全性和用戶的職權責任起著極其重要的作用，權限系統的最終目的是保護軟件系統的安全、保護信息的安全、按照實際角色對應相應權限。本文基于RBAC的基本思想研究與設計信息系統中的用戶權限數據模型。

1 RBAC模型簡介

基于角色管理權限的思想早在70年代就已經出現，其基本指導思想（見圖1）是通過引入了角色（role）的新概念來實施訪問控制策略，不同的角色和它所具有的權限許可相互聯系。整個系統的訪問控制分兩步實現：首先對角色進行分配，將用戶與角色聯系起來，通過角色將用戶與訪問權限從邏輯上分離開；然后指定權限，將角色與訪問權限聯系起來。用戶（user）作為某些角色的成員，獲得角色所擁有的權限。角色可以根據實際的職位、崗位、單位和組織來劃分，而用戶根據所承擔的不同權利和義務來結合實際情況授權相應的角色。從用戶到角色的管理，簡化了權限分配的復雜性，提高了安全管理的效率和質量。角色代表了訪問主體所具有的職權和責任，系統管理員負責將訪問許可權分配給一定的角色，每個用戶可以扮演不同的角色，這樣就使得每一個用戶都能夠獲得所扮演角色所擁有的訪問許可權。

2 數據模型詳細設計

2.1建模工具的選擇 Power Designer是Sybase公司的CASE工具集，使用它可以方便地對管理信息系統進行分析設計，他幾乎包括了數據庫模型設計的全過程。利用Power Designer可以制作數據流程圖、概念數據模型、物理數據模型，還可以為數據倉庫制作結構模型，也能對團隊設計模型進行控制。他可以與許多流行的軟件開發工具，例如PowerBuilder、Delphi、VB等相配合使開發時間縮短和使系統設計更優化。

2.2權限模型設計方案的基本思路 根據RBAC的基本思想，同時借助Power Designer提供的建模工具，設計出可以用于信息管理系統的用戶權限模型。該模型由用戶表、權限表、權限分組表、用戶權限表、角色表、角色權限表、組織機構表、區域表、職位表、用戶職位表、職位權限表、職位角色表、員工表構成。

2.2.1用戶的權限 分為直接授權和間接授權，直接授予的權限來自于系統管理員將系統中的功能權限賦予指定的用戶；間接授予的權限來自于給用戶賦予的職位而獲得的權限，而職位的權限又來自于其對應的角色。職位必須建立在對應的組織機構指定節點上面，其權限來源也分為直接授權和間接授權：直接授予的權限來自于系統管理員直接把系統中功能權限賦予組織機構上面指定的職位；間接授予的權限來自于給職位賦予的角色而獲得的權限（角色沒有和對應組織機構相對應）。圖2顯示了用戶、職位、角色、權限的關系。

2.2.2用戶和職位的權限 分為直接授予和間接授予，該方法可以對用戶、職位的權限進行細微精確的控制，從而達到對用戶、職位進行差異化管理。

在信息管理系統的使用過程中，要對擁有相同職位用戶中的部分用戶功能權限進行修改，而又不能影響該職位下到其他用戶的權限，對用戶直接授予權限就體現出其靈活性。這種情況下，該職位下的所有用戶的權限都得到了修改，而沒達到修改該職位下部分用戶權限的要求。由于在該權限模型下角色和職位是一對多的關系，角色權限的修改，還會影響到擁有此角色其他職位對應用戶的權限，更加沒達到實際的目的。當對組織機構上的某一職位下的所有用戶的權限進行修改，而又不能影響系統中其他用戶的權限，只能對該職位的權限進行直接授予，如果通過間接授予權限的方式修改職位的權限，必定需要修改職位對應角色的權限，此方式極有可能會造成系統中其他用戶權限的變化。

在實際的信息管理系統項目開發中，用戶的權限包括授予用戶的直接權限和間接權限的并集，而用戶的間接權限來至于用戶對應職位擁有的直接權限和間接權限，通過這樣的方法獲得用戶權限才是用戶最終擁有的所有權限集[1]。

2.3權限模型數據字典的設計 用戶表（xt_user）主要由用戶ID（主鍵）、員工ID、登錄名稱、創建者ID、登錄密碼五個字段構成。員工與用戶的關系為一對多。

權限表（action_limit）主要由權限ID（主鍵）、權限分組ID、權限名稱、權限描述、狀態五個字段構成。權限名稱里面儲存的是展現層視圖控件的ID或一個網頁URL，可以根據實際情況決定存儲相關值。權限分組ID表示的是權限的分類，比如多個權限屬于系統維護類。

權限分組表（action_column）主要是由權限分組ID（主鍵）、分組名稱、狀態三個字段組成。

用戶權限表（action_xt_user）主要由用戶ID、權限ID、狀態三個字段構成，用戶ID和權限ID構成聯合主鍵。該表存儲的是直接授予用戶的權限。

角色表（group_manager）主要由角色ID（主鍵）、角色名稱、角色描述、狀態四個字段構成。

角色權限表（action_group）主要由權限ID、角色ID、狀態三個字段構成，角色ID和權限ID構成聯合主鍵。

組織機構表（bss_org）主要由機構ID（主鍵）、機構名稱、上級機構ID、地區ID、狀態五個字段構成。在實際軟件設計開發中可以對該表進行擴展，比如添加機構類型字段，用于區分每個機構屬于哪種類型的機構（如行政、后勤、臨床等）。

區域表（area_info）主要由地區ID（主鍵）、上級地區ID、地區名稱、地區代碼、狀態五個字段構成。

職位表（job）主要由職位ID（主鍵）、機構ID、職位名稱、狀態四個字段構成。

用戶職位表（xt_user_job）主要由用戶ID、職位ID、狀態三個字段構成，用戶ID和職位ID構成聯合主鍵。

職位權限表（action_job）主要由職位ID、權限ID、狀態三個字段構成，職位ID和權限ID構成聯合主鍵。表中存儲的事直接授予職位的權限

職位角色表（job_group_manager）主要由職位ID、角色ID、狀態三個字段構成，職位ID和角色ID構成聯合主鍵。

員工表（staff）主要由員工ID（主鍵）、機構ID、員工編碼、員工名稱、聯系電話、地址、性別、身份證號碼構成。在實際軟件設計開發中可以對該表進行擴展以滿足實際需要。

3 結束語

本文根據RBAC模型的基本思想，設計出用于指導開發信息系統用戶權限的參考模型，能夠應用于基于B/S或C/S架構的信息管理系統項目開發中，并且可以和實際的項目情況相結合，對該模型進行擴展，開發出符合數據庫設計要求，同時和實際業務相符合的應用系統。

參考文獻：

[1]劉曉林，郭龍.基于RBAC的用戶權限管理的研究與實現[C].安微省合肥市：電腦知識與技術，2013.

編輯/成森