张少应，燕敏

基于RBAC权限管理在生产管理系统中的应用与实现

张少应，燕敏

基于角色的访问控制（RBAC）简化了权限管理，实现了责任分离，提高了开发效率和系统数据的安全性能。分析了基于用户控制方式的缺陷，阐述了基于RBAC权限管理在生产管理系统中的应用与实现。采用访问资源编码的机制，设计了基于RBAC的资源访问控制；采用基于SSH2框架集成技术，实现了生产管理系统中资源信息的两级权限控制。

RBAC；权限管理；框架集成；滤波器

0 引言

在管理信息系统开发中，考虑到数据的安全性、完整性及独立性，要求对用户访问页面设置权限，控制不同类型用户的操作，以此提高系统的整体性能。而传统的基于用户控制方式，通常将用户分为几类，不同类的用户，访问不同页面，实现对用户权限访问控制。该方式中用户就是一个可以独立访问计算机应用系统的主体，当用户访问管理信息系统时，首先需要对用户进行认证，通过认证后方可访问系统特定的资源。

传统的基于用户访问控制方式，存在如下缺陷：

（1）系统开发和维护工作量大。系统开发中需要针对不同类型的用户，开发不同的访问页面。系统开发和维护工作量大，开发效率低。当用户权限发生变化时，管理员需要重新给该用户授权，增加了管理员权限管理的复杂度。

（2）权限分配过于单一。基于用户访问控制中，用户之间的权限相互独立，彼此之间不存在关联。这种权限分配方式，虽然控制简单，但在实际使用中，这种分散的权限管理机制、不统一的权限管理策略，使得整个系统的安全策略不一致，系统中容易产生安全漏洞。

1 基于角色的访问控制基本原理

基于角色的访问控制[1-3]（Role-Based Access Control，简称为RBAC）模型是20世纪90年代研究出的一种新模型。该模型的基本思想在用户和权限之间引入角色概念，权限与角色（Role）联系在一起。用户通过充当合适的角色而获取该角色的权限，以此实现对系统资源的访问。角色是访问权限的集合，用户通过赋予不同的角色获得角色所拥有的权限。

RBAC模型包括用户信息、角色信息、功能及权限授权三部分内容，实现了权限的最小化、批量定制功能[4,5]。通过在完成重要任务过程中分配两个责任上互相约束的两个角色来实现责任分离；借助于抽象许可权实现数据抽象；通过分配给角色权限的大小和多少控制用户的最小特权等原则，极大地简化了用户权限的管理。

2 RBAC权限管理在生产管理系统中的设计

2.1 需求分析

企业生产管理系统中涉及不同角色的用户：管理员、采购员、领导、生产人员、技术员等，企业在生产过程中，生产报表中的某些数据（例如“金额”、“缓冲大小”等信息）对某一类角色的用户是公开的，对其他用户是保密的；不同角色的用户在生产管理系统中可访问特定的资源信息；对于同一用户来说，具有不同角色（“领导”和“技术员”），在应用系统中访问的资源信息也有差异；同一角色的用户，基于安全性的考虑，动态设置不同用户访问权限，实现同一角色不同用户资源访问信息的有所区别。

2.2 相关数据库表的设计

考虑到系统可维护性和可扩展性，为了实现上述权限控制，需要对资源信息按照内容分类并编码，实现所有系统资源在特定编码规则下有唯一的编码；对访问资源完成编码之后，通过对不同角色授予不同资源访问编码，实现对资源信息大类（访问页面）的访问控制；当该角色的用户拥有大类访问信息时，通过处理小类编码来实现对用户访问控制（页面上具体功能的控制）。采用该方式，可以有效控制不同角色用户访问资源的权限控制，也方便实现同一角色不同用户访问信息的权限控制。

系统设置用户管理表、角色管理表、用户权限表和角色权限表，其中用户管理表（表1）和角色管理表（表2）分别用于存储用户和角色基本信息，角色权限表（表3）用于管理不同角色访问资源（即实现大类的访问控制），用户权限表（表4）用于管理特定角色下不同用户访问资源（即实现资源小类的访问控制）。

表1 用户管理表

表2 角色管理表

表3 角色权限表

表4 用户权限表

2.3 操作界面设计

基于安全性能的考虑，角色权限和用户权限的设置均由系统管理员分配。系统管理员给不同的角色分配不同的资源访问权限如图1所示：

图1 技术员角色权限设置

然后通过动态创建用户的方式，设置用户访问生产管理系统的角色和初始密码，在角色相同前提下，针对不同用户分配不同的访问权限如图2所示：

图2 用户（技术员角色）权限设置

实现更加灵活的权限控制，提高系统的整体性能。

在角色权限设置中，系统管理员通过对不同角色授予不同权限，以此修改角色权限表，实现资源大类（页面级别）信息的访问控制。

在角色权限已分配前提下，系统管理员有选择性的对该角色下不同用户设置权限，实现同一角色下，不同用户访问资源小类（页面功能模块）的控制。在图2中，角色为技术员的用户均可以访问生产管理系统中的“缓冲报表”，而在缓冲报表页面有诸如“缓冲大小设置”、“红黑原因设置”等重要的参数，而这些参数的设置往往会影响整个生产的进度和流程，因此管理员可以针对部分用户开启重要参数的设置功能，其他用户仅提供“查看”或者“信息屏蔽”功能。通过细化访问资源控制，实现企业生产数据安全性能。

3 RBAC权限管理在生产管理系统的实现

基于生产管理系统数据安全性、可维护性考虑，系统采用基于Struts2.3、Spring4.0和Hibernate4.3的框架集成来实现如图3所示：

图3 基于SSH2的生产管理系统的权限实现

Struts2.x框架中提供的Filter过滤器[6]，可以实现对用户请求进行预处理，将请求交给Servlet进行处理并生成响应，最后Filter再对服务器响应进行后处理。利用该工作机制可以实现用户权限的一级控制，通过处理Filter提供的用户授权的Filter，检查用户请求，过滤掉用户的非法请求。在具体实现中，通常通过编写对应的Filter类，在配置文件web.xml中完成Filter类的配置，即可实现用户权限的一级控制。

在访问系统资源中，通过验证用户角色，控制用户访问资源对应的菜单项（动态菜单项），实现大类（页面级别）信息的访问控制，然后根据用户具体权限，实现小类的控制（页面功能），完成生产管理系统资源的二级控制。在基于SSH2的框架集成实现中，采用分层结构的思想实现系统的各个功能模块。在具体实现中Struts2作为表示层，负责业务逻辑层和表示层的交互，调用业务逻辑层，将业务数据返回给表示层；Spring负责业务逻辑的具体处理，借助于Spring的依赖注入技术，各组件以松散耦合的方式组合，Service组件和DAO对象都采用面向接口变成的方式，降低了系统重构的成本；Hibernate作为持久层，负责将关系数据库的数据映射为Java的对象，以便开发人员使用面向对象的思想实现对数据库的操作，通过对象与对象之间的关联操作数据库，为底层DAO对象的实现提供了支持。采用这种开发方式，提高了系统的开发和维护效率，也便于对整个访问资源的统一管理和控制，提高了系统的整体安全性能。

4 总结

访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一[7]。基于角色的访问控制支持动态改变用户权限；提供了方便的授权、取消和检查机制；简化了权限管理，实现了开发过程中责任分离，提高了开发效率和系统数据的安全性能。本文主要阐述了基于RBAC模型的用户权限管理在生产管理系统中的应用与实现，采用访问资源编码的机制，设计了生产管理系统中基于BRAC的资源访问控制；使用角色权限控制页面级的系统资源，用户权限控制功能模块的权限的方法，设计实现了同一角色不同用户访问资源的限制；采用基于SSH2框架集成技术，实现了生产管理系统中资源信息的两级权限控制。基于RBAC权限管理在生产管理系统中应用，有效地管理了企业在生产过程的数据信息，实现了企业的管理需求。文中解决问题思路和方法可为开发同类管理信息系统提供参考，具有实践开发价值。

[1] D.R. Kuhn, E.J. Coyne, T.R. Weil. Adding attributes to role based access control[J], IEEE Trans. on Computer, 2010(6): 79-81.

[2] NIST/ITL Bulletin. An introduction to rolebased access control[EB/OL].[1995-12]. http:// csrc.nist.gov/groups/SNS/rbac/documents/design_implem entation/Intro_role_based_access.htm.

[3] 吴娇.基于RBAC的权限管理研究与设计[J].现代机械，2014(1):91-94.

[4] 鞠宏军，杜丽娟.RBAC权限管理在教务管理系统中的应用与实现[J].华北科技学院学报，2014,11(5):70-73.

[5] 夏文忠，单长吉.RBAC在图书馆门户网站访问控制中的应用[J].重庆科技学院学报（自然科学版），2014，16(4):137-139.

[6] 李刚.轻量级JavaEE企业应用实战（第4版）[M].北京：电子工业出版社，2014.04-15.

[7] 访问控制技术[EB/OL]. [2016-09-15]http://baike.haosou. com/doc/7044679-7267585.html.

图6 特征提取

（3）模型训练。模型训练使用newpnn函数创建概率神经网络，特征提取的目的是寻找某种变换规则，得到规律,从中提取所需要的规则方便后期进行识别操作。从而在不影响识别精度的前提下将n维或nxn维的对象类别空间转换为更小的特征空间。提取的特征是用来进行模式识别的关键特征,去除冗余特征之后的特征空间较原先低了许多，从而降低了计算的复杂度。代码如图7所示：

图7 模型训练

（4）测试部分。测试时，首先使用原有训练数据进行测试，再对读入的图像添加一定强度的噪声，观察算法的抗干扰性质。

概率神经网络构成的分类器能完全区分训练样本（正确率100%），且在强度为0.4的椒盐噪声下能获得98%的识别正确率。修改nois变量的值，对不同强度的椒盐噪声做测试，如椒盐噪声强度为0.3、0.4、0.45、0.5时的图像如图8所示：

图8 椒盐噪声

4 总语

本文针对概率神经网络手写体数字的特点，采用了多特征融合的方法，进行特征提取，避免了有效信息的丢失；并利用三层BP神经网络进行训练与识别，提高了系统的自适应性。与传统方法相比，大大提高了准确性。本系统具有较好的可靠性和较高的正识率，具有较好的应用推广能力。概率神经网络形成的分类器具有较高的准确程度，能够在一定噪声情况下获得令人满意的准确度。

参考文献

[1] 陈明.Matllab神经网络原理与实例[M].北京:清华大学出版社,2013.

[2] 张婷,王卓英.手写体数字计算机识别系统的应用研究[J].微型电脑应用,2016(01): 19-21.

[3] 刘朝阳,陈以,李少博.概率神经网络在手写汉字识别中的应用[J].电子设计工程,2016(02):32-34.

[4] 胡迪雨.手写体数字识别的方法与应用研究[D].南昌:南昌大学,2012.

[5] SeongHun Lee，JaeHyun Seok，KyungMin Min，JinHyung Kim.Scene Text Extraction using Image Intensity and Color Information[M].Pattern Recognition,2009.

[6] 白天毅.基于神经网络的手写体数字识别关键技术研究[D].西安:西安工业大学,2014.

（收稿日期：2016.03.12）

Application and Implementation of Production Management System Based on RBAC Authorization Management

Zhang Shaoying1, Yan Min2
(1.Xi’an Aeronautical University, Xi’an 710077, China; 2. Information Center, Xi'an Shiyou University, Xi’an 710065, China)

The role-based access control (RBAC) simplifies the rights management, realizes the separation of duties, and improves the development efficiency and security performance of the system data. This paper analyzes the defects based on the user control mode, expounds the application and implementation of the production management system based on RBAC authorization management. With access to the resource coding mechanism, We design a resource based on RBAC access control. Based on an SSH2 framework integration technology, it achieves the information resources in the production management system of two levels of access control.

Role-based access control; Authorization management; Integrated framework; Filter

TP311

A

1007-757X(2016)10-0019-03

2016.04.05）

陕西省教育厅自然科学项目（12JK0951）

西安航空学院2014年度校级高等教育教学改革研究项目（2014Z010）

张少应（1976-），男，陕西航空学院，硕士，讲师，研究方向：管理信息系统，西安 710077

燕 敏（1978-），女，西安人，西安石油大学，硕士，研究方向：计算机网络，西安 710065