基于RBAC模型的雷達系統數據庫用戶管理軟件的架構設計與實現

李樹文,吳小強，盛震宇,邢 朦

(1.中國船舶重工集團公司第七二四研究所,南京 2111532.海軍駐南京地區雷達系統軍事代表室，南京 211153)

基于RBAC模型的雷達系統數據庫用戶管理軟件的架構設計與實現

李樹文1,吳小強2，盛震宇1,邢 朦1

(1.中國船舶重工集團公司第七二四研究所,南京 2111532.海軍駐南京地區雷達系統軍事代表室，南京 211153)

針對現代雷達系統綜合化和信息化的發展趨勢,分析了數據庫在雷達系統中的重要性。基于RBAC模型設計實現了雷達系統數據庫用戶管理軟件,使用后增加了數據庫的安全性,提升了相關工作人員的工作效率,在相關領域具有較好的應用價值。

數據庫;角色訪問控制;用戶權限管理;雷達系統;RBAC模型

0 引 言

目前,作為主要的探測設備,雷達已經在感知領域得到非常廣泛的應用。這些雷達在日常使用過程中會產生大量有用的目標數據、環境數據等信息。數據庫作為存儲和管理數據的軟件平臺,匯集了海量的雷達感知信息。通過對這些雷達數據常態化的收集、整理、積累和知識挖掘,可提高雷達目標感知能力和重要的數據支撐能力。在數據庫的使用中如何對數據庫用戶進行有效管理變得越來越重要。構建強健的權限管理軟件、保證管理信息系統的安全性是十分重要的。同時,各個用戶需要對數據庫操作的功能都不盡相同,如果不對用戶的操作權限作出限制,將會導致用戶對數據庫的濫用,不僅不好管理,也很難做到各司其職。另外,基于各種可能的原因,用戶的操作權限往往不是固定的,經常會發生變化。顯然,其相應的操作權限也應該隨之發生變化,所以對用戶的權限管理必須做到動態分配,這樣管理者可以根據情況來動態分配用戶的操作權限。本文基于RBAC思想設計的雷達設備系統用戶管理軟件能夠滿足上述管理的要求。

1 雷達系統數據庫用戶管理軟件原理

軍用雷達系統對安全問題有很高的要求。雷達系統數據庫是一個復雜的人機交互系統,其中每個具體環節都可能受到安全威脅。構建強健的權限管理系統、保證數據庫系統的安全性是十分重要的。傳統的訪問控制方法DAC(Discretionary Access Control,自主訪問控制模型)、MAC(Mandatory Access Control,強制訪問控制模型)難以滿足復雜的企業環境需求。因此,NIST(National Institute of Standards and Technology,美國國家標準化和技術委員會)于上世紀90年代初提出了基于角色的訪問控制方法(RBAC)。 RBAC是一種可擴展的訪問控制模型,通過引入角色來對用戶和權限進行解耦,簡化了授權操作和安全管理。它是目前公認的解決大型企業的統一資源訪問控制的有效訪問方法。角色是一系列權限的集合,也是進行用戶管理的單元。像授權一樣,可以把一個角色授予一個用戶。該用戶將從角色繼承這個角色擁有的權限。在RBAC(Role Based Access Control)中,許可Permissions(權限)就是允許對一個或多個客體執行的權力,如圖1所示。

圖1 RBAC基本模型

RBAC的基本思想就是把整個訪問過程分為兩步:訪問權限與角色關聯,角色再與用戶關聯,從而實現了用戶與訪問權限的邏輯分離。RBAC對訪問權限的授權由系統管理員統一管理。系統管理員根據單位中不同的崗位定義不同的角色,用戶根據其職能和責任被賦予相應的角色。一旦用戶成為某角色的成員,則此用戶可以完成該角色所具有的職能。由于RBAC實現了用戶與訪問權限的邏輯分離,因此它極大地方便了權限管理的復雜性。可根據用戶的實際工作崗位將用戶與角色關聯,一方面定義角色、增加刪除角色中的用戶易于操作,另一方面可以通過更改角色的權限實現大批量用戶權限的更新。在實際應用中,由于角色/權限之間的變化比用戶/角色之間的變化要慢得多,當一個用戶的職位發生了變化,只有將用戶當前的角色去掉加入代表新職務的角色即可。因此,RBAC的優點是可以大大簡化應用程序的權限管理,實現權限的動態管理。同時,這種面向對象的權限分離思想使開發出來的訪問控制軟件的通用性和可復用性更強,最大限度地避免了開發人員的重復性工作[1]。

圖1中RBAC 基本模型包括5 個基本數據元素:用戶、角色、資源、控制、授權。它們之間的關系如下:用戶被分配一定角色,角色被分配一定許可權,會話是用戶與激活的角色集合之間的映射,用戶與角色間的關系定義和角色與權限間的關系定義無關。鑒于RBAC模型的優點,本文基于上述RBAC思想進行本軟件的設計。

2 軟件設計

2.1 數據庫用戶管理軟件設計

本軟件采用3層架構模式設計。根據應用邏輯將軟件功能抽象成3層,即用戶界面層、問題領域層、數據層[2-3]。用戶界面層負責提供數據庫用戶操作和控制,同時對數據庫用戶的各類信息進行實時顯示和查詢。問題領域層主要完成用戶數據和用戶權限等信息數據的解析、轉發、加工等,同時通過數據訪問軟件單元完成對數據庫中數據的插入、更新等操作。數據層一般封裝數據庫中的選擇、添加、更新、刪除操作,同時還為用戶界面層提供訪問數據庫的接口和函數,例如數據的備份、還原、導出、導出、分析、統計等接口。其軟件架構整體示意圖如圖2所示。實際中為了提高程序的執行效率,所有的數據庫操作都是通過調用存儲過程來實現的。本文中主要設計實現的為灰色標示的軟件單元。

圖2 用戶管理軟件整體架構示意圖

2.2 數據庫用戶管理軟件內各軟件單元設計

該軟件各軟件單元組成框圖如圖3所示。

圖3 用戶管理軟件內軟件單元設計圖

數據庫用戶管理軟件主要分為用戶權限管理軟件單元和用戶數據管理軟件單元。其中用戶管理軟件子單元分為刪除用戶、查詢用戶和角色分配3個子軟件單元,主要負責各類用戶的刪除、合法性驗證及為用戶分配角色。用戶管理單元中并沒有增加用戶子單元的功能,主要是由用戶注冊單元來實現的。權限管理軟件子單元分為角色管理和訪問控制兩個子單元。角色管理單元負責管理各類角色(增加、刪除、修改),為角色授予相應信息服務單元的使用權限,刪除角色的某個單元的使用權限等。訪問控制單元是保證信息安全的關鍵,用戶登錄時經身份驗證后,系統根據用戶具有角色的信息服務單元的使用權限自動生成訪問權限集,使得用戶能夠訪問授權的信息,攔截對沒有授權信息服務的訪問。用戶數據管理軟件單元主要完成系統用戶數據的管理,其中數據格式轉換子單元提供不同數據庫間數據格式的轉換,方便不同類型數據庫對數據的共享。管理員數據維護軟件子單元完成對數據庫管理員核心數據的管理,如賬號、密碼等。 用戶數據管理軟件子單元完成用戶登錄數據庫等活動規律的統計、分析,為管理員提供決策支持。本軟件通過上述各個軟件單元協調完成雷達數據庫用戶權限和數據的管理工作,其業務處理流程如圖4所示。

3 數據庫用戶管理軟件實現

3.1 數據庫設計

為了實現基于 RBAC 的訪問控制模型,將用戶、角色、用戶和角色的關系、權限、角色和權限的關系等信息保存到數據庫中來提高軟件管理及數據庫訪問的效率[4]。在數據庫中設計了5 個權限控制相關的表。

圖4 用戶管理軟件業務流程圖

列名數據類型長度 描述備注User＿IDInt10用戶ID主鍵PKUser＿Namevarchar20用戶賬號User＿Passwordvarchar50用戶密碼User＿NumberInt20用戶部門編號User＿Emailvarchar20用戶郵箱Reservedvarchar50保留

用戶信息表用來記錄用戶相關信息，如用戶名、密碼等，權限是被分離出去了的。用戶要擁有對某種資源的權限必須通過角色(Role)去關聯，隨用戶的添加與刪除動態變化。

表2 角色信息表Globe_Roles

角色信息表存儲系統角色集，隨角色的添加與刪除動態變化。角色是使用權限的基本單位，擁有一定數量的權限，通過角色賦予用戶權限。

表3 用戶角色表Globe_User_Roles

用戶角色表就是用來描述他們之間隸屬關系的對象。用戶(User)通過角色(Role)關聯所擁有對某種資源的權限，一個用戶(User)可以隸屬于多個角色(Role)，一個角色組也可擁有多個用戶。

表4 權限表Globe_Permissions

權限表存儲系統權限集，權限指用戶根據角色獲得對系統某些資源的操作。角色權限信息表存儲角色對應的權限信息，隨角色及對應權限的變化而動態變化。

表5 角色權限表Globe_Role_Permissions

由于角色是可以繼承的,所以將軟件功能單元組織成樹形結構。每個單元對應一個菜單。菜單之間的父子關系直接反映了單元之間的父子關系。在數據庫中用一張表來存儲這種結構,5個表的ER(Entity Relationship Diagram)如圖5所示。

圖5 表之間的ER圖

3.2 核心類UML類圖設計

本軟件的核心類的UML類圖設計如圖6所示。用戶信息管理類主要完成用戶信息建立、用戶信息修改、用戶信息刪除等功能。角色信息管理類主要完成角色信息建立、角色信息刪除等功能。權限信息管理類主要完成權限信息建立、權限信息刪除等功能。用戶角色管理類主要完成用戶角色授予、用戶角色刪除等功能。角色權限管理類主要完成角色權限授予、角色權限刪除等功能。用戶權限信息管理類主要完成通過用戶ID得到用戶角色和權限集合的功能。用戶認證類主要完成認證用戶登陸、角色是否存在檢查、用戶是否有訪問權限檢查、用戶正常退出、用戶異常退出等功能。

圖6 UML類圖

4 軟件實現效果

用戶登錄采用窗體式驗證,負責提供用戶的身份驗證,如圖7所示。驗證登錄后根據用戶在系統中所扮演的角色,取出該用戶對應的權限集,動態生成該用戶對應本軟件的操作界面。

圖7 軟件登錄驗證界面

5 結束語

本文以RBAC的思想,采用多層架構設計了一個根據不同的用戶、不同的角色權限動態生成用戶權限菜單的數據庫用戶管理軟件,用戶只能操作自己有權限的模塊,無權限的模塊對用戶不可見,不同的用戶進入的界面不同。這提高了系統的安全性和可靠性。該軟件已成功運用于實際工作中,能滿足管理要求,使用后減少相關部門和相關工作人員的勞動強度,并增加工作效率,提高了數據庫的管理信息化水平,具有較好的通用性和推廣利用的價值。

[1] 溫昱.軟件架構設計[M]. 北京:電子工業出版社,2012:218-222

[2] Martin Fowler. 企業應用架構模式[M].王懷民，周斌譯.北京:機械工業出版社,2010:122-163．

[3] Martin Fowler. 重構:改善既有代碼的設計[M].熊節譯.北京:人民郵電出版社,2010:126-312

[4] 趙振平.ORACLE數據庫精講與疑難解析[M].北京:電子工業出版社,2013:439-530

Design and implementation of database user managementsoftware of radar system based on RBAC model

LI Shu-wen1, WU Xiao-qiang2,SHENG Zhen-yu1, XING Meng1

(1.No.724 Research Institute of CSIC, Nanjing 211153;2. Military Representatives Officeof Radar System of the PLA Navy in Nanjing,Nanjing 210003)

In view of the integrated and information development trends of modern radar systems, the importance of the database is analyzed in the radar system. The database user management software of the radar system is designed and realized based on the RBAC model, which can increase the security of the database and improve the working efficiency of the staff, having preferable application value in some relevant fields.

database; role access control; user permission management; radar system; RBAC model

2017-01-10；

2017-01-20

李樹文(1982-)，男，高級工程師，碩士，研究方向：雷達顯控、數據存儲；盛震寧(1989-)，男，助理工程師，碩士，研究方向：雷達顯控、數據存儲；邢朦(1988-)，女，工程師，碩士，研究方向：雷達顯控。

TP31

A

1009-0401(2017)01-0060-04