一种RBAC优化模型在大型煤矿ERP系统中的应用
2013-06-23刘新强曾兵义
刘新强,曾兵义
(1.西安铁路职业技术学院 电子信息系,陕西 西安 710014;2.陕西开拓者软件有限责任公司 陕西 西安 710052)
随着互联网的发展,Internet服务迅速崛起,基于Web的ERP(企业资源计划)系统以其优越的方便性和快捷性掀起了企业信息化的新潮流;另一方面,由于网络信息的共享特性,系统的安全问题变得越来越突出。在ERP综合应用系统中,对用户进行权限划分,形成有效的访问控制,是保证系统安全的重要措施之一。
在企业环境中的访问控制方法,一般有3种[1]:
1)自主型访问控制(DAC):是在确认主体身份的基础上,对访问进行限定的一种控制策略,多用于中小型软件系统,属于较弱的一种访问控制策略。
2)强制型访问控制(MAC):是指系统强制主体服从事先制订的访问控制政策,常用于多层次安全级别的军事软件系统,属于较强的一种访问控制策略。
3)基于角色的访问控制(RBAC):该技术主要研究将用户划分成与其在组织结构体系相一致的角色,这是目前公认的解决大型企业的统一资源访问控制的有效方法。
然而,ERP系统毕竟是企业综合性的信息系统,涉及大量的操作、页面和数据,几乎所有工作人员均是用户,系统的功能和人员的身份也在不断变化,权限管理的任务繁杂而且庞大[2]。基于传统的RBAC模型在ERP权限管理中难以满足轻便、快捷的权限管理性能。本文在研发一个国有大型煤矿ERP系统过程中,通过深入研究RBAC权限策略,提出了基于用户组和权限组的RBAC改进模型,通过扩充用户组、权限组来强化角色的权限分配。
1 RBAC模型设计
1.1 RBAC模型
RBAC控制模型的最小元素集合包括用户users、角色roles、目标objects、操作operations、许可permissions 5个基本数据元素[3]。权限被赋予角色而不是用户,当一个角色被赋予一个用户,该用户就拥有了该角色的所有权限[4],这就简化了对权限分配的管理。如图1所示。
图1 RBAC基本模型Fig.1 Basic model of RBAC
1)用户users:是权限的拥有者或主体,用户和权限通过角色实现分离。
2)角色roles:权限分配的单位与载体,通过继承关系支持分级的权限实现。如:科长角色同时具有科长角色、科内业务人员角色。
3)目标objects:是系统所要保护的资源(Resource),可以被访问的对象。如:网页是资源,网页上的按钮、文本框等也是资源,属于网页节点的子节点。要想访问按钮,必须要能够访问页面。
4)操作operations:完成资源的类别和访问策略之间的绑定,如:浏览、增加、删除、修改、审阅等。
5)权限permissions:对受保护的资源操作的访问许可(Access Permission),是绑定在特定的资源实例上的,不同的资源类别可能采用不同的访问模式(Access Mode)。如:页面具有能打开、不能打开的访问模式,按钮具有可用、不可用的访问模式,文本编辑框具有可编辑、不可编辑的访问模式。同一资源的访问策略可能存在排斥和包含关系,某个数据集的可修改访问模式就包含了可查询访问模式。
1.2 权限分配
在一个组织中,角色是为了完成各种工作而创造的,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依据新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。在图1中,权限的分配是通过2个步骤完成的。即为角色指派权限PA(Permission Assignment)和为用户指派角色UA(Users Assignmen)[5]。
1)分配角色权限PA:为角色指派权限,实现角色和操作之间的关联关系映射。
2)分配用户角色UA:为用户指派角色,实现用户和角色之间的关联关系映射。
该对象模型最终将访问控制模型转化为访问矩阵形式。访问矩阵中的行对应于用户,列对应于操作,每个矩阵元素规定了相应的角色,对应于相应的目标被准予的访问许可、实施行为。
按访问矩阵中的行看,是访问能力表CL(Access Capabilities)的内容;按访问矩阵中的列看,是访问控制表ACL(Access Control Lists)的内容。这种权限机制实质上仍然是一种静态权限,当资源和用户量激增时,访问矩阵的容量就变得很大,维护工作量快速上升。
2 RBAC的优化扩充模型
文中在研发一个大型国有煤矿的ERP系统时,因为资源和用户数据量的急剧增大,用户身份和业务逻辑灵活多变。在设计访问控制模型时,需要强化分层次的RBAC权限模型,本文在传统RBAC模型的基础上,引入用户组和权限组层级,并从这两个侧面来强化基于角色的三级权限机制。
2.1 用户组
在一个大型煤矿企业中,用户权限全部让管理员来一次分配是不现实的,即使要某部门领导人员为其下属的员工逐一分配操作权限,也是非常耗时和繁琐的事情。为了简单快捷的批量指定用户的角色UA,可以将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予角色,快速使某一类人具有相同的权限,来简化对用户授权。用户组的划分,可以按职位、项目或任务来实现[6]。一个用户可以属于某一个组或多个组。
2.2 权限组
常见的资源权限有菜单功能、页面功能和数据表功能。尝试对资源进行分类,进一步进行权限分组。将一个菜单、页面或一个数据表下的所有权限组合一起,形成一个“权限组”,也就是一个模块管理权限,包括所有基本权限操作。如:一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作,它自身也是一个权限。因为新的RBAC引入了用户组和权限组的层级,本文把该访问模型暂且命名为RBAC-G(Group)模型,如图2所示。用户组的设置,优化了分配用户角色UA的工作;权限组的设置,优化了分配角色权限PA的工作。
图2 RBAC-G扩充模型Fig.2 Extended model of RBAC-G
2.3 动态权限
该模型不存储任何用户权限表,每个用户在每次登录系统时需要进行权限计算。在扩充的RBAC-G模型中,权限的计算不仅依据用户、用户组、角色、权限组、权限等基本信息,而且涉及到这些基本信息的关联信息,如用户角色、用户组角色、角色权限、角色权限组、权限组权限等。计算的结果存放在个人会话Session中,当系统发生变更或重新登录后需要重新计算[7]。对于关键操作的权限,可以要求在每次进行前,再次计算刷新。
因为模型采用基于组的动态权限,当一个用户所在的用户组、拥有的角色、角色所拥有的权限、权限组任一发生变化,该用户的权限都受到影响。如某用户脱离了某个部门或项目,则自动丢弃对应用户组的权利;同样,如果一个权限组的权限减少,同样,拥有该权限组的角色的所有用户均减少该项权限。在RBAC基础上,按照优化扩充的思想对煤矿企业ERP系统设计了新的权限访问控制系统。
3.1 实体关系模型
在ERP系统的关系模型设计时,除了要将RBAC的基本元素设计为表外,还需要增加用户组和权限组的相关表。即用户表、角色表、资源表、操作表、权限表,而权限表实际上是资源表和操作表的组合;另外增加权限组(菜单、页面、数据表)、用户组(部门、项目、任务)等表。根据分析,需要增加以下几个关联表:
1)用户角色关联表:一个用户可以有0~n个角色,一个角色可以0~n个用户。
2)角色权限关联表:一个角色可以有0~n个权限,一个权限可以0~n个角色。
3)用户、用户组关联表:一个用户可以属于0~n个用户组,一个用户组可以0~n个用户。
4)权限、权限组关联表:一个权限可以属于0~n个权限组,一个权限组可以0~n个权限。
经过分析设计,煤矿ERP系统中权限管理的表设计如图3所示。上图中,新增加了4个关联表:即用户-用户组,角色-用户组关联表;权限-权限组,角色-权限组关联表。
图3 基于RBAC-G模型的煤矿ERP权限管理的表设计Fig.3 Table design in a coal mine ERP rights management based on RBAC-G model
3.2 基本元素管理
在该设计模型中,传统的RBAC仍然是基础,基本元素当然需要维护。如:用户、角色、资源、操作、权限等表的增加、删除、修改、查询等功能[8],此外,需要组织以下数据:
用户组信息维护:新增部门、项目、任务等基础数据,设置命名的用户组和用户类型,将对应成员用户,添加到不同的用户组中(添加关联记录)。
权限组信息维护:新增菜单、页面、数据表等基础数据,设置命名的权限组和权限类型,将对应权限,添加到不同的权限组中(添加关联记录)。
3.3 授权管理
1)授权
系统仍可采用用户、角色、权限授权模式,系统兼容了RBAC授权的2个步骤:把一个权限或多个权限授予一个角色,把一个或多个角色授予一个用户。授权用户获得授予角色的所有权利。
RBAC-G模型的授权还增加了2种情况:把一个或多个权限组授予一个角色,把一个或多个角色授予一个用户组。授权用户组中的所有用户,均获得授予角色的所有权限组的所有权限。
当用户的数量非常大时,扩充的授权方式可以极大地提高授权效率。
2)权限计算
每个用户权限的多少,重点体现在6个关联表中:以角色为中心的关联表有:用户-角色表、角色-用户组表、角色-权限表、角色-权限组表;此外还有用户-用户组关联表和权限-权限组关联表。这些表的元素实质上体现了整个ERP系统的权限管理的思想。换句话说,用户的权限就是按照用户标识从上述6个表中计算出来的所有权限数据。
4 结束语
文中在研究RBAC模式的基础上,提出了扩充组功能的动态RBAC-G权限模型,并在国有煤矿的ERP系统中实现了对统一资源的访问控制,优点是:
1)用户组从用户一侧强化了基于角色的权限分配机制,便于对多个用户同时授权;
2)权限组从权限一侧强化了基于角色的权限分配机制,便于将多个权限同时指派;
3)权限关联计算用动态权限代替了权限列表,适应了权限灵活多变的要求。
随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,与用户组不同的是角色组不参与授权。这个思想只是本文的一个构想,并未进行实践。
[1]王成良,姜黎.B/S应用系统中的细粒度权限管理模型[J].计算机系统应用,2010,19(07):79-82.WANG Cheng-liang,JIANG Li. Fine-grained privilege management model and its application in B/S application system[J].Computer Systerms&Applications,2010,19(7):79-82.
[2]董乐红,耿国华,周明全.一种基于ASP技术的Web MIS权限控制系统的设计[J].计算机工程,2003,29(10):127-128.DONG Le-hong,GENG Guo-hua,ZHOU Ming-quan.Design of web MIS authority control system based on ASP[J].Computer Engineering,2003,29(10):127-129.
[3]Gail J A,Shin M E.Role-based authorization constraints specification using object constraint language[C]//Tenth IEEE International Workshops on Enabling Technologies:Infrastructure for Collaborative Enterprises,2001:157-157.
[4]Ravi S S,Edward J C,Hal L F,et al.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.
[5]ZHANG Long-hua,Gail J A,Bei T C.A rule-based framework for role-based delegation[C]//Proceedings of the 6th ACM Symposium on Access Control Models and Technologies(SACMAT 2001),2001:153-162
[6]周俊.大型信息系统用户权限管理的探讨与实现[J].计算机应用研究,2004,21(12):143-146.ZHOUJun.Discussion and realization of user power management in large information system[J].Application Research of Computers,2004,21(12):143-146.
[7]刘佳,刘洪冰.RBAC访问控制模型的会话优先级扩展[J].计算机应用与软件,2008,25(10):30-37.LIU Jia,LIU Hong-bing.Session priority extension for rolebased access control model[J].Computer Applications and Software,2008,25(10):30-37.
[8]Wampler B E.Java与UML面向对象程序设计[M].王海鹏,译.北京:人民邮电出版社,2002.