數字檔案管理系統中使用權限分配研究

張 偉，許瀛徹

（1.大連理工大學 機械工程學院，遼寧 大連 116024；2.大連育明高中，遼寧 大連 116024）

檔案作為社會信息資源的重要組成部分，日益成為國家進行經濟建設、政治建設和文化建設的重要資源。傳統的檔案管理方式導致檔案利用率低，檔案查詢繁瑣，查詢費用昂貴，因此檔案的數字化處理和基于Internet的檔案管理應運而生[1-2]。

檔案現代化管理模式及其最終目標是實現檔案信息收集、整理和開發利用的數字化。計算機網絡能有效實現資源共享，但資源共享和信息安全是一對矛盾體。目前全世界的網絡多與Internet相聯。一方面，人們希望從眾多的服務器上獲得各種各樣的有用信息，另一方面，人們又要求自身服務器的一些敏感信息不被非授權的訪問和竊取[3]。

為提高機構的安全性，安全機制必須要能控制：有“誰”能訪問機構的信息，用戶訪問的是“什么信息”，哪個用戶被授予什么樣的“權限”。一旦機構確定了權限管理和發布的方式，訪問控制系統就可根據機構發放的權限以及定義的安全策略控制用戶訪問，從而保護應用系統。

1 系統總體設計

1.1 系統方案選擇

由于B/S架構管理軟件只安裝在服務器（Server）端上，網絡管理人員只需要管理服務器就行了，用戶界面主要事務邏輯在服務器端完全通過WWW瀏覽器實現，極少部分事務邏輯在前端（Browser）實現，所有的客戶端只有瀏覽器，網絡管理人員只需要做硬件維護。而且采用C/S模式的網絡版，安裝、使用都較為不便。因此數字檔案管理系統適合采用B/S結構實現[4]。

論文采用基于角色的訪問控制模型（Role Based Access Control，RBAC），即權限被指派給角色，角色指派給用戶，從而用戶享有角色所具有的權限。如圖1所示，一個用戶可以擁有多個角色，一個角色可授權給多個用戶：一個角色可包含多個權限，一個權限可被多個角色包含。用戶通過角色享有權限，不直接和權限相關聯；權限對存取對象的操作是通過激活角色實現的。這樣大大降低了系統的安全控制的復雜度，降低了系統開銷，便于在業務活動中按照人員實際的職責分配和使用資源[5]。

圖1 客體—角色—用戶

1.2 系統總體功能

通過市場分析以及本系統開發理念，以系統實用為目標，設計出系統的總體功能，如圖2所示。

圖2 權限管理系統功能結構

1.2.1 用戶管理

用戶管理的主要功能是管理現有用戶，對現有用戶進行修改、刪除，還能添加新用戶并存入數據庫，方便系統對用戶的管理，主要包括添加用戶、修改用戶以及刪除用戶。用戶管理系統中，系統管理員可向系統中添加新用戶，并對原有用戶進行修改和刪除，若是一般成員登錄則只能查看用戶而不能對用戶進行添加、修改、刪除等操作。

1.2.2 角色分配

角色分配的主要功能是給不同的用戶賦予不同的角色，主要包括賦予角色和去除角色。在角色分配系統中，只有系統管理員可將不同角色賦予或去除給各個用戶，而一般成員登錄只能瀏覽各用戶所具有的角色而不能給用戶賦予或去除角色。

1.2.3 角色管理

角色管理的主要功能是管理現有角色，對現有角色進行修改、刪除，還可添加新角色并存入數據庫，方便系統對角色的管理，主要包括添加角色、修改角色以及刪除角色。角色管理系統中，系統管理員可向系統中添加新角色，并對原有角色進行修改和刪除，若是一般成員登錄則只能查看角色而不能對角色進行添加、修改、刪除等操作。

1.2.4 權限分配

權限分配的主要功能是給不同的角色賦予不同的權限，主要包括賦予權限和去除權限。在權限分配系統中，只有系統管理員可將不同的權限賦予或去除給各個角色，而一般成員登錄只能瀏覽各角色所具有的權限而不能給用戶賦予或去除權限。

2 系統數據庫的設計和實現

本文采用SQL Server[6]設計和實現系統的數據庫功能。

2.1 數據庫關系圖設計

系統中權限管理部分數據庫表之間的邏輯關系如圖3所示，此關系圖以員工的基本信息表（Base表）為基礎，分角色和任務給不同的職員或部門，以管理不同員工和部門使用權限，主要包括角色數據表，功能數據表以及分別對應的角色描述數據表和功能描述數據表。

圖3 邏輯關系

2.2 數據庫具體表設計

在一個關系數據庫中，表是最重要的數據庫對象，對應于關系數據庫理論中關系，與DBASE或FOXPRO中的DBF文件是類似。一切數據都存放在表中。其他數據庫對象都是為了用戶很好地操作表中的數據。表都以一張二維表的形式存在。其中，每列稱之為一個字段，或一個域；而每行稱之為一個記錄，也就是一項數據。如圖4所示，分別為Base表、BaseRoles表、FuncDic表、FuncRights表、RolesDic表。

圖4 數據庫表

2.3 數據庫視圖設計

視圖是查看一張或幾張表中的數據的一種方式。通過將一張或幾張表中的一部分數據進行組合得到視圖。視圖看上去與表非常相象，但與表還是有著本質的區別。通過視圖看到的數據實際上都是存放在表中的，在數據庫中僅存在視圖的定義。數據庫3類視圖如圖5所示，包建立角色與權限間聯系的right視圖，建立角色與用戶間聯系的vwuser視圖，建立用戶以何種角色登錄系統聯系的vw_base_role視圖。

圖5 數據庫視圖

3 系統的實現和應用

用戶權限管理界面如圖6所示，用戶管理的主要功能是管理現有用戶，對現有用戶進行修改、刪除，還能添加新用戶并存入數據庫，方便系統對用戶的管理。系統管理員修改新用戶是用戶管理中最基本的功能也是最重要的一部分功能，其操作界面如圖7所示。

圖6 用戶權限管理界面

圖7 修改用戶界面

角色分配界面如圖8所示，角色分配的主要功能是給不同的用戶賦予不同角色，或去除用戶所具有的角色。在角色分配系統中，只有系統管理員可將不同的角色賦予或去除給各個用戶，而一般成員登錄只能瀏覽各用戶所具有的角色而不能給用戶賦予或去除角色，角色管理界面如圖9所示，用戶管理的主要功能是管理現有角色，對現有角色進行修改、刪除，還能夠添加新角色并存入數據庫，方便系統對角色的管理。

圖8 角色分配界面

圖9 角色管理界面

系統管理員修改新角色是角色管理中最基本的功能也是最重要的一部分功能，其操作界面如圖10所示，權限分配界面如圖11所示，權限分配的主要功能是給不同的角色賦予不同的權限，或是去除角色所具有的權限。在權限分配系統中，只有系統管理員可以將不同的權限賦予或去除給各個角色；而一般成員登錄只能瀏覽各角色所具有的權限而不能給角色賦予或去除權限。

圖10 角色修改界面

圖11 權限分配界面

4 結語

論文基于ASP.NET的數字檔案管理系統中權限分配問題，給出了.NET框架下數字檔案管理系統中權限分配的設計與實現方法，并基于B/S結構模式搭建了系統的主要框架，設計出各子系統的主要功能。重點設計并實現了“權限分配子系統”，實現了權限的數字化存儲與動態管理。系統所采用的模塊化設計形式能很好地實現系統功能擴充和系統二次開發，具有一定的實用價值。

[參考文獻]

[1]孫慧.淺談如何提高檔案工作服務能力[J].黑龍江檔案，2010（5）：58.

[2]苗育平.開發檔案信息資源提高檔案服務質量[J].陜西檔案，2006（5）：27-28.

[3]程春雨，郝晨輝，李昕岑，等.基于云計算的檔案信息資源共享利用實踐研究[C].北京：創新：檔案與文化強國建設—2014年檔案事業發展研究報告集，2014.

[4]王化雨.一種B/S信息系統訪問控制機制的設計與實現[D].濟南：山東科技大學，2005.

[5]張昀.基于角色的訪問控制模型N-RBAC[J].軟件導刊，2010（1）：29-30.

[6]閆旭.淺談SQL Server數據庫的特點和基本功能[J].價值工程，2012（22）：229-231.