吴家菊+李龚亮+朱行林+蒙立荣+余容+马永起

摘 要： 针对交互式电子技术手册应用中的管理和安全保密需求，在分析传统访问控制模型的基础上，提出基于型号裝备?角色的访问控制模型。该模型包括用户、型号装备、装备用户、角色、权限、操作访问控制规则、数据访问控制规则等，支持功能操作权限和数据权限分离，支持以型号装备结构为基础的细粒度数据访问控制以及以角色、装备用户为基础的功能操作访问控制定义和管理，给出了权限定义和权限计算方法。根据IETM的功能及数据访问控制需求，对交互式电子技术手册访问控制进行软件功能、控制流程及数据模型设计。采用J2EE及Web Service技术开发模块组件，实现交互式电子技术手册层级式、细粒度访问控制。

关键词： 交互式电子技术手册； 访问控制； 型号装备； 基于型号装备?角色的访问控制模型； 权限； 细粒度

中图分类号： TN99?34； TP391 文献标识码： A 文章编号： 1004?373X（2018）01?0147?05

Abstract： Aiming at the management， security and secrecy requirements of interactive electrical technical manual （IETM） application， on the basis of analyzing the traditional access control model， an equipment?role based access control （ERBAC） model is put forward. This model includes the user， equipment， equipment user， role， permission， operation access control rule and data access control rule. The model supports the separation of functional operation permission and data permission， and definition and management of the fine?grained data access control based on equipment structure and functional operation access control based on role and equipment user. The permission definition and calculation methods are given in this paper. According to the IETM function and requirements of data access control， the software function， control flow and data model were designed for IETM access control. The J2EE and Web Service technologies are used to develop the module assembly， and realize the hierarchical and fine?grained access control of IETM.

Keywords： IETM； access control； equipment； equipment?role based access control model； permission； fine grit

0 引 言

随着高科技装备陆续装备部队，武器系统性能越来越先进，产品维护维修水平要求逐渐增高，传统的装备维修保障技术已经不能适应新的发展形势需要，保障信息化技术成为未来产品维护和装备保障的必然趋势[1]。交互式电子技术手册（Interactive Electrical Technical Manual，IETM）综合应用专家系统、多媒体信息处理、数据库管理以及电子出版等技术， 将操作使用说明、维修过程指导、技术图纸资料、元器件更换要求以及备件储备等信息精炼组织并有机地结合为一体，构成基于电磁介质、具有高度交互能力的数字化技术手册[2]，为装备的训练、使用和保障活动提供了有效的技术支持，是装备保障的关键技术。IETM涉及到武器装备各种技术图纸、文档、手册以及工程、使用和维修数据等，涉及到武器装备核心技术资料，信息安全事关国家战略全局，访问控制关系到整个系统的安全性和数据访问级别，是IETM安全管控的关键点。为了实现信息的可用性，保证合法用户能够访问到资源，可以采用访问控制对系统权限进行设定[3]。

1 交互式电子技术手册访问控制需求

1.1 功能操作访问控制需求

GJB6600系列国家军用标准是在以欧洲S1000D技术规范为主体，部分引进美军标基础上，结合我国、我军的实际情况编制的。目前国内装备IETM基本参照S1000D，遵循GJB6600标准。GJB6600[4]对IETM的功能做了规定，包括手册数据的校验、上传、存储、管理及显示、出版物选择、手册目录导航、手册结构导航、全文搜索、历史记录、意见、备注、书签、适用性、图文热点交互、三维动画、多媒体播放、故障诊断、维修记录、上一步、下一步、故障流程图、用户管理、系统管理、安全管理等功能操作。IETM功能操作访问控制需求主要是针对这些功能进行控制，某个登录用户只能使用权限范围内的功能进行相关操作。

1.2 数据访问控制需求

S1000D 4.0定义IETM数据类型已增加至17种[5]，以我国目前的国情来说，其中的某些模块并不适用，因此，GJB6600将IETM数据的类型裁剪为8类，具体包括描述类、程序类、故障类、维修计划类、操作类、接线类、图解零件类和过程类数据信息[6?7]，每一类数据模块又定义了上百类数据标签，例如描述类数据模块定义了167个数据描述标签。这些数据标签通过文字、表格、图形、图像、动画、音频和视频等格式描述装备的结构、性能和操作步骤等技术信信息。各类数据模块信息通过型号装备SNS结构，具体手册的各类数据通过装备结构树SNS进行组织及展示，PM通常就是SNS结构。同时，IETM在使用过程中还会产生一些意见、备注、历史记录、维修记录等数据。IETM的数据访问控制需求是实现以装备结构为组织核心的描述类、程序类、故障类、维修计划类、操作类、接线类、图解零件类和过程类装备技术数据相关的文字、表格、图形、图像、动画、音频和视频等多种格式的数据的访问控制。endprint

2 传统访问控制模型概述

传统的访问控制模型包括：自主访问控制（DAC）、强制访问控制（MAC）[8]，由于其安全性和实施性方面的缺陷，不利于在大型信息系统中使用。基于角色的访问控制模型（RBAC）[9]在用户和权限之间加入角色，不再直接将权限与用户相连，而是通过将权限赋予角色，再将角色分配给用户这一过程对用户进行访问控制，大大简化访问控制的复杂度，减少在大型信息系统中访问控制的工作量，同时符合人们在日常工作中的习惯，易于理解，是目前计算机系统普遍使用的访问控制模型。基于角色的访问控制模型如图1所示。

基于角色的访问控制模型由用户集合（Users Set）、角色集合（Roles Set）、会话集合（Sessions Set）、权限集合（Permission Set）和约束集合（Constraint Set）五个基础元素和用户角色分配、角色权限分配两个映射构成。

1） U（用户集合）、R（角色集合）、S（会话集合）、P（权限集合）、O（操作集合）、T（客体集合）；

2） [UA?U×R]用户角色权限分配权限，是一个二元映射关系，用户与角色之间是一个多对多的关系；

3） [PA?P×R]角色权限分配权限，是一个二元映射关系，角色与权限之间是一个多对多的关系；

4） users：[S→U，]会话映射到用户；

5） roles：[S→R，]会话映射到角色；

6） RH：[?R×R，]描述角色间的继承关系。

基于角色的访问控制模型中权限包括操作权限及客体权限，约束主要用来判断各部分的取值是否合法，如职责分离、前提角色约束、互斥角色约束、用户密级约束等。基于角色的访问控制模型实现了基于用户、角色、权限的基本访问控制，但是未考虑型号装备对不同用户的权限分配以及基于型号装备结构为基础的各类数据对于不同用户及角色的权限分配。

3 基于型号装备?角色的访问控制模型

为了适应IETM功能操作及数据访问控制需求，本文在基于角色访问控制的基础上引入型号装备元素，对基于角色的访问控制模型进行扩展，形成基于型号装备?角色的访问控制模型，实现型号用户分配，用户角色分配、角色操作权限分配及用户数据权限分配。基于型号装备?角色的访问控制模型如图2所示。

基于型号装备?角色的访问控制模型由型号装备集合（Equipments Set）、用户集合（Users Set）、角色集合（Roles Set）、会话集合（Sessions Set）、权限集合（Permission Set）和约束集合（Constraint Set）六个基础元素和装备用户分配、用户角色分配、角色权限分配、用户数据分配四个映射构成。

1） E（型号装备集合）、U（用户集合）、R（角色集合）、S（会话集合）、P（权限集合）、O（操作集合）、D（装备数据集合）。

2） [EA?E×U]型号装备用户分配，是一个二元映射关系，型号装备与用户之间是一个多对多的关系。IETM中的型号装备以树形结构模式进行组织，包括型号、系统、分系统、分分系统、部件、组件及零件。依据工作最小化原则进行装备用户分配形成型号装备团队，例如，部分用户工作范围是某型号装备的某零件或部件，那么就将型号装备结构中的某零件或者部件授权给某个用户，某个用户就拥有该子装备的手册操作授权权限。

3） [UA?U×R]用户角色分配，是一个二元映射关系，用户与角色之间是一个多对多的关系。IETM中角色包括系统管理员、系统安全员、系统审计员、手册数据管理员、手册数据授权人员、手册浏览员、维修操作人员、故障隔离人员、检测检查人员、装配人员等，不同的用户根据工作性质的不同分配不同的角色。

4） [PA?P×R]角色操作权限分配，是一个二元映射关系，角色与操作权限之间是一个多对多的关系。IETM中操作包括手册数据管理、出版物选择、手册目录导航、手册结构导航、全文搜索、历史记录、意见、备注、书签、适用性、图文热点交互、三维动画、多媒体播放、故障诊断、维修记录、上一步、下一步、故障流程图等带Web页面的菜单功能操作以及具体功能中的增、删、改、查、上传、下载、图文交互控制、拒绝操作等详细操作。角色操作权限分配主要实现具体角色对于功能操作权限的分配。

5） EUDA[?E×U×D]型号装备用户数据权限分配，是一个三元映射关系，用户在授权装备的数据基础上进行数据权限分配。IETM中数据的组织是以型号装备结构树作为基础组织各类技术数据，包括描述类、程序类、故障类、维修计划类、操作类、接线类、图解零件类和过程类数据信息相关的文字、表格、图形、图像、动画、音频和视频数据，这些数据都是通过装备SNS编码与装备进行关联，这些数据之间本身也相互关联，例如，数据模块信息通过DMC数据模块编码与图形、图像、动画、音频和视频等实体数据进行关联。用户数据权限就是用户具有装备的相关数据的具体权限，包括：读、写、拒绝三种权限。

6） users：[S→U，]會话映射到用户。

7） roles：[S→R，]会话映射到角色。

8） RH：[?R×R，]角色间的继承关系。

基于型号装备?角色的访问控制模型中，权限包括功能操作权限及数据权限，约束主要用来判断各部分的取值是否合法，如用户密级与数据密级的匹配性约束，装备密级与用户密级匹配性约束、系统级装备权限包含子系统级权限约束、前提用户约束（例如，数据用户必须是型号装备用户等）、互斥角色约束（系统三元必须分离）、前提角色约束、用户密级约束等。用户对IETM的访问控制权限为[UA?（E×U）×（U×R）×（P×R）×（E×U×D）。]基于型号装备?角色的访问控制模型实现了基于型号装备、用户、角色、操作权限、数据权限的访问控制，能够满足IETM的访问控制需求。endprint

4 基于型号装备?角色的IETM访问控制

4.1 基于型号装备?角色的IETM访问控制软件功能

根据基于型号装备?角色的访问控制模型的定义，结合IETM访问控制需求，将需求中的功能操作及数据进行抽象，IETM访问控制详细功能如图3所示，包括用户认证、元素管理、权限分配及数据分配四大功能模块。

用户认证根据手册数据的密级不同，包括用户名密码认证、证书认证及生理特征身份认证功能，在具体部署实施时根据需要配置。元素管理实现访问控制各元素的维护与管理，包括组织机构管理、用户管理、角色管理、菜单管理、策略管理功能，具体管理功能中包括元素增加、删除、修改、查看、导入等操作，用户管理中还包括用户密码修改功能。权限分配模块实现用户角色、角色用户、功能角色、角色功能、角色策略、策略角色的多对多授权。数据分配模块实现基于SNS的型号装备用户授权、PM手册用户授权、数据模块授权及实体授权。其中基于SNS的型号装备用户授权是基础和前提，必须先进行基于装备结构树的型号装备授权才能进行相应的手册数据授权。在授权过程中装备数据密级应不高于用户密级。

4.2 基于型号装备?角色的IETM访问控制流程

基于型号装备?角色的访问控制模型在IETM中的访问控制工作流程如图4所示。

IETM系统管理员登录系统进行角色、用户、菜单、策略维护，安全管理员登录系统进行角色、用户、功能及操作授权，IETM数据管理员通过特定的地址登录系统后选择需要上传的数据包，系统在解析数据包时判断所选的数据包是否符合上传条件。如果数据包不符合上传条件，中断上传；数据授权人员登录系统后，通过“数据分配”为普通用户进行数据类型授权分配。然后，通过“DM授权”“实体授权”功能，为用户进行基于SNS权限的“数据模块授权”及实体授权，系统自动判断用户密级与选择的DM密级的关系。如果用户密级不完全大于或等于所选的DM密级，系统弹出提示框提示是否强制授权。普通用户在登录系统后只能看到有权限的SNS树、PM树、有权限SNS树及与PM树相关的数据模块及实体。

4.3 基于型号装备?角色的IETM访问控制数据模型

基于型号装备?角色的访问控制模型主要包括型号装备、用户、角色、菜单、策略、装备用户权限、角色用户权限、角色菜单、角色策略，IETM数据。IETM数据主要由各类DM数据、实体数据、PM数据、意见、备注、历史记录、维修记录等数据组成。用户浏览手册所产生的意见、备注、历史记录、维修记录数据访问控制的原则是谁产生、谁查看。因此，IETM数据访问控制主要集中在装备SNS数据、PM数据、DM数据及实体数据访问控制。IETM访问控制数据模型如图5所示，整个IETM访问控制流程是在功能操作访问控制的基础上进行数据访问控制。

4.4 基于型号装备?角色的IETM访问控制软件实现

为满足自主可控IETM浏览使用需求，方便网络及单机部署，IETM访问控制模块软件采用B/S模式设计，J2EE MVC技术架构，采用Web Service技术以组件方式实现，便于与IETM浏览业务功能集成，软件实现技术架构如图6所示。IETM访问控制模块技术架构分为视图层、控制层、业务层、数据访问层和数据库。其中，视图层使用MiniUI，JSP，HTML，CSS和XSL等相关前端框架和技术；控制层使用开源MVC框架Spring MVC和Servlet；业务层封装相关的公共类库、业务对象定义以及业务逻辑处理；数据库访问层使用Hibernate持久化框架，底层数据库采用国产达梦、金仓数据库，针对数据密级的要求适时采用国产安全数据库。

Web Service[9]是一个自包含、自描述、模块化的应用程序标准机制，是一种基于透明标准体系的组件化松散耦合技术，其目标是实现不同系统间跨平台、跨编程语言的可互操作性。其技术特点为：互操作性、通用性、易实现性、广泛的支持性以及良好的封装性等。Web服务核心技术体系包括：XML，WSDL，SOAP，UDDI。IETM访问控制模块采用Web Service技术实现用户认证、组织结构、用户管理、角色管理、功能操作权限分配及数据权限分配等功能，对外提供组织结构、用户认证、数据权限控制、功能操作权限控制集成接口，方便IETM业务功能调用及集成，实现IETM功能操作及数据访问控制。

5 结 语

本文在分析交互式电子技术手册应用过程中的功能访问控制需求及数据访问控制需求的基础上，对传统基于角色的访问控制模型进行改进，引入型号装备元素，在传统访问控制的基础上加强了手册数据的访问控制。武器相关的核心技术资料数据能够控制到型号装备特定人员的行级控制及标签控制。IETM访问控制软件模块采用构件化软件开发技术，以与平台无关的J2EE技术架构进行实现，采用Web Service技术对外提供权限控制服务接口，满足国家安全保密及自主可控要求。采用本文设計的访问控制模型已经在单位研制的IETM浏览平台进行实现，并且已经在多种型号的IETM手册中进行应用，支持用户、角色、资源及策略的灵活配置及授权，支持以型号装备为基础的IETM数据的细粒度授权，能够保障IETM手册数据安全可控。

参考文献

[1] 邵红伟，黄银秋，沈耀程.IETM在装备信息化保障中的应用研究[J].中国舰船研究，2008，3（3）：74?76.

SHAO Hongwei， HUANG Yinqiu， SHEN Yaocheng. Application of IETM in the digital equipment support [J]. Chinese journal of ship research， 2008， 3（3）： 74?76.

[2] 程远斌，王斌，王满林.IETM技术在武器装备维修领域的应用研究[J].四川兵工学报，2007，28（1）：11?13.

CHENG Yuanbin， WANG Bin， WANG Manlin. Research on the application of IETM technology in the field of weapon equipment maintenance [J]. Journal of Sichuan ordnance， 2007， 28（1）： 11?13.

[3] 郭亚军，宋建华，李莉，等.信息安全原理与技术[M].2版.北京：清华大学出版社，2013.

GUO Yajun， SONG Jianhua， LI Li， et al. Principles and techniques of information security [M]. 2nd ed. Beijing： Tsinghua University Press， 2013.

[4] 總装电子信息基础部.GJB6600.1?2008 装备交互式电子技术手册[S].北京：总装电子信息基础部，2008.

General Electronic Information Base Department. GJB6600.1?2008： equipment interactive electronic technical manual [S]. Beijing： General Electronic Information Base Department， 2008.

[5] AECMA. S1000D?2008： international specification for technical publications using a common source database [S/OL]. [2008?07?13]. http：//www.s1000D.org， 2008.

[6] 都业涛，和应民，冯伟强，等.基于GJB6600B标准的IETM系统研究与应用[J].信息技术，2012（3）：141?145.

DU Yetao， HE Yingmin， FENG Weiqiang， et al. Research and application of IETM system based on GJB6600 [J]. Information technology， 2012（3）： 141?145

[7] 高万春，史凤隆，方平.基于GJB6600的协同性IETM结构模型[J].计算机与现代化，2014（1）：222?225.

GAO Wanchun， SHI Fenglong， FANG Ping. Cooperative IETM model based on GJB6600 [J]. Computer and modernization， 2014（1）： 222?225.

[8] 郑宇.基于角色的访问控制模型改进研究[J].软件导刊，2014，13（1）：32?33.

ZHENG Yu. Research on improvement of role based access control model [J]. Software guide， 2014， 13（1）： 32?33.

[9] 信科，杨峰，杨光旭.基于RBAC权限管理系统的优化设计与实现[J].计算机技术与发展，2011，21（7）：172?174.

XIN Ke， YANG Feng， YANG Guangxu. Optimum design and realization of privilege management based on RBAC [J]. Computer technology and development， 2011， 21（7）： 172?174.

[10] 吴家菊，郑翠芳，刘刚，等.基于Web Service的面向服务架构研究[C]//四川省电子学会电子测量与仪器专委会2005年学术年会论文集.攀枝花：中国电子学会，2005：236?242.

WU Jiaju， ZHENG Cuifang， LIU Gang， et al. Study on service oriented architecture based on Web service [C]// Proceedings of 2005 Sichuan Electronics Institute Conference on Electronic Measurement and Instrument. Panzhihua： Chinese Institute of Electronics， 2005： 236?242.endprint