RBAC維度權限管理模型在貨物進出口系統的應用

張曉寧　王　帆　李　娜　石家莊鐵道大學四方學院計算機系　河北石家莊　050043

?

RBAC維度權限管理模型在貨物進出口系統的應用

張曉寧王帆李娜石家莊鐵道大學四方學院計算機系河北石家莊050043

【文章摘要】

提出了基于RBAC的維度權限管理模型的設計思想，討論了權限管理系統中用戶的屬性維的設計，以及角色的分配，權限訪問控制和訪問控制模式等關鍵技術。并闡述了進出口系統通用的維度建模技術及模型的實現方法，重點解決了維度模型的創建、數據的多維分析及模型的可擴展性問題，為企業的決策支持提供了幫助。

【關鍵詞】

維度模型; 角色;RBAC;權限

0　引言

數據倉庫的數據建模方法主要有Inmon倡導的第三范式建模方法和Kimball提出的維度建模方法 。其中維度建模方法可以更好地展現多維數據關系，因此本系統采用維度建模方法進行數據建模。此外，數據庫安全一直都受到廣泛關注，基于角色的訪問權限管理(RBAC，role based access controls)被普遍認為是當前最具有發展潛力的訪問控制策略 。因此，在數據建模過程中以RBAC為基礎進行系統權限管理模型的設計。

1　貨物進出口系統維度建模設計

維度建模是一種邏輯設計技術，本系統采用雪花型模型和星型模型來建立數據倉庫的邏輯模型，在數據模型中主要設計兩類表。

（1）維度表：描述主題的特征信息。在系統分析模型中，企業關心產品銷售量隨時間推移而發生的變化，時間就是一個維。系統中比較規則的分析角度主要包括：時間維表，月份維表，年度維表，計量單位維表，商品代碼變化維度表，貿易方式維表，經營單位維表，進出口類別維表等。

（2）事實表：維度模型的基本表，存放業務性能度量值。事實表主要包括進出口事實表和匯總表。

系統的設計除了要考慮業務數據建模之外，還要考慮系統的安全性。一個大型系統要求RBAC模型能夠支持集團下的多級管理員體系，自上而下的逐級授權。由一個系統管理員給所有操作員逐一定義角色，分配權限，這在實際工作中是不可現實的[4]。因此，在基于RBAC模型基礎上結合系統權限控制需求，提出了基于RBAC的維度權限管理模型。

2　權限管理模型設計

基于RBAC模型的維度權限管理模型主要完成對角色、權限、權限-角色指派和用戶-角色指派的管理。其主要思想是通過用戶與權限的分離,使權限管理方便靈活[5-7]。通過用戶與角色的指定,角色與權限的配置,使RBAC達到所需的安全要求。基于RBAC的維度權限管理模型，將每個屬性定義為一個屬性維。每個資源都可以在每個屬性維上描述其具有的權限。對某一資源對象的權限操作和該權限操作所在的維有關。例如，該系統需要按照營業區域劃分不同部門的管理員權限，如果規定X區只能管理X區的業務數據資料，就必須要區分資料的歸屬地。操作員本身應該有其業務數據資料的信息，才能管理屬于自己管轄的信息內容，那么就將歸屬地定義為一個客體屬性維，將其和用戶進行關聯。因此，給角色分配權限，實現權限操作和角色之間的關聯關系映射，必須涉及角色，權限操作、屬性維和資源幾個要素。

另外，業務資源的權限具有業務邏輯相關性。對不同的業務邏輯，有著完全不同的權限判定策略。在判定時，用戶常需要檢查是否有“河北省”、“總經理”2個角色，那么，業務資源屬性分為“歸屬地(河北省)、公司組織結構（總經理）”等判定條件，權限檢查是否為“讀”或“寫”，并將每個屬性定義為一個屬性維。

從分析看到，RBAC對資源的權限管理是通過角色來指派的，因此業務資源在屬性上的權限問題就轉化為業務資源的屬性維度問題，進而轉化為角色的多維問題。

3　結語

本文介紹了貨物進出口系統的維度建模技術的實現方法，并在此基礎上研究了基于RBAC的維度權限管理模型。該模型對保障數據庫的數據安全、保障管理信息系統的正常運行和防止用戶越權訪問數據具有重要意義。

【參考文獻】

[1]王超.Dimensional Modeling of the Migrant Workers Medical Data Analysis System[J],計算機系統應用. 2013，22（4）

[2] Sandhu R S，Coyne E J，Feinsteinh L，et a1．Role-based access models[J]．IEEEComputer，1996，29(2)：38—47．

[3] Crook R，Ince D，Nuseibeh B ．Modeling access policies using roles in requirements engineering[J]．Information and Software Technology，2003，45(14)：979—991．

[4] Sheng-Yin Huang. Multidimensional data mining for healthcare service portfolio management[J] . Computer Medical Applications (ICCMA), 2013 International Conference on 20-22 Jan. 2013

[5] Li Dequan, Ruan Yuzhi, Yang Runzhi, Ma Tinghuai. Privilege M anagement M odel Based on RBAC for Meteorological Data Resource Service[J]. Journal of Applied Meteorological Science. Vo1．23．NO．5 October 2012

[6] WU Jiang-dong,LI Wei-hua,AN Xifeng. Method of Finely Granular Access Control Based on RBAC[J]. COMPUTER ENGINEERING. 2008, 34(20)

[7]嚴駿.蘇正煉.凌海風.朱亮.張蕉蕉MIS中基于部門和角色的細粒度訪問控制模型[J]. 計算機應用 2011(2)

[8] LIU Qiang WANG Lei HE Lin. Research on a Series of Problems in RBAC Model[J]. Computer Science.Vo1．39 No．11 Nov 2012

張曉寧(1981．6)，女，遼寧錦州人，講師。

【作者簡介】