孟德浩，王 杰，徐鵬，付先武

(四川大學(xué) 制造科學(xué)與工程學(xué)院，成都 610000)

基于RBAC的權(quán)限管理在切削數(shù)據(jù)庫中的應(yīng)用*

孟德浩，王 杰，徐鵬，付先武

(四川大學(xué) 制造科學(xué)與工程學(xué)院，成都 610000)

切削數(shù)據(jù)是衡量切削技術(shù)水平的一個(gè)基本量值?，F(xiàn)在越來越多的公司建立切削數(shù)據(jù)庫來提高生產(chǎn)效率、降低生產(chǎn)成本等。以某汽輪機(jī)廠切削數(shù)據(jù)庫權(quán)限管理模塊為研究對(duì)象，針對(duì)其參與使用系統(tǒng)的部門眾多、人員角色復(fù)雜多樣以及權(quán)限劃分詳細(xì)而導(dǎo)致的系統(tǒng)中權(quán)限分配的工作量增大和操作不便的問題,采用現(xiàn)有RBAC權(quán)限管理方法，進(jìn)行了研究，并提出了一種新的元素授權(quán)分配模型，得到一種適合的權(quán)限管理方案。在實(shí)際使用中，有效的解決了企業(yè)中并行部門眾多，管理職能重復(fù)而導(dǎo)致傳統(tǒng)授權(quán)管理僵化的問題，使用效果良好。

RBAC ; 切削數(shù)據(jù)庫;權(quán)限管理

0 引言

切削數(shù)據(jù)庫一般是根據(jù)加工工件來優(yōu)化選擇刀具，包括刀具材料、刀具幾何參數(shù)、刀具結(jié)構(gòu)、切削參數(shù)和機(jī)床等切削數(shù)據(jù)，可以提高生產(chǎn)效率、降低生產(chǎn)成本及保證加工質(zhì)量[1]。某汽輪機(jī)廠切削數(shù)據(jù)庫系統(tǒng)是該企業(yè)完成CIMS進(jìn)程的重要環(huán)節(jié)。該系統(tǒng)針對(duì)各種切削加工需要的數(shù)據(jù)和信息，按照規(guī)則存儲(chǔ)在計(jì)算機(jī)中，可以根據(jù)不同的角色使用不同的功能，包括打印、調(diào)用、修改和增刪等。切削數(shù)據(jù)庫中包含的內(nèi)容根據(jù)加工方式的不同分為車削、銑削、磨削等加工信息，其中包括刀具的型號(hào)、材料牌號(hào)及性能；機(jī)床的型號(hào)和與性能參數(shù)；工件材料的牌號(hào)、成分、性能；切削液的類型等；并且具備專家智能推理功能，可以智能推薦適當(dāng)?shù)那邢饔昧康取?/p>

切削數(shù)據(jù)庫系統(tǒng)不同于普通的管理系統(tǒng)，其實(shí)現(xiàn)功能更多樣復(fù)雜。本系統(tǒng)使用功能主要分為基本信息：包含機(jī)床信息，刀片信息(按照車削、銑削、磨削等加工方式進(jìn)行分類)，刀體信息(按照車削、銑削、磨削等加工方式進(jìn)行分類)。功能菜單：車削管理、銑削管理、磨削管理。匹配關(guān)系：刀片與刀體、機(jī)床與刀體、工件材料與刀片材料。根據(jù)企業(yè)的實(shí)際情況權(quán)限分配主要是對(duì)于用戶是否可以使用上述的具體功能。另外本數(shù)據(jù)庫系統(tǒng)使用的部門眾多，人員角色復(fù)雜，可以進(jìn)行操作的權(quán)限劃分詳細(xì)，這都給權(quán)限分配模塊增加了困難。所以使用傳統(tǒng)的授權(quán)方式將難以實(shí)現(xiàn)。基于角色的訪問控制[2](Role-Based Access Control)—RBAC作為代替?zhèn)鹘y(tǒng)強(qiáng)制訪問控制的一種有前景的方法，近年來受到廣泛的關(guān)注。該模型易于管理，并且將成本、錯(cuò)誤發(fā)生率以及復(fù)雜性都降到了最低[3]。RBAC管理模型的基本思想是根據(jù)企業(yè)中對(duì)于職能崗位的劃分，進(jìn)行不同角色的賦予，并且通過控制角色的權(quán)限來進(jìn)行用戶對(duì)系統(tǒng)資源訪問的間接控制。而通過用戶和角色之間的聯(lián)系來降低大量用戶和權(quán)限分配系統(tǒng)的管理復(fù)雜性[4]。

1 基于角色的用戶權(quán)限管理模型

1．1 RBAC基本原理

現(xiàn)在普遍使用的RBAC版本是基于Sandhu等人提出的RBAC96模型[5]，包括3個(gè)基本實(shí)體用戶(user)、角色(role)和權(quán)限(permissions)[6]。它強(qiáng)調(diào)用戶的權(quán)限不是由用戶而是由用戶在組織中的角色決定的[7]。角色是指一個(gè)組織或任務(wù)中的某一特定的工作或職能崗位[8]。針對(duì)權(quán)限我們把一個(gè)用戶所擁有的權(quán)限定義為由角色權(quán)限(Permission of Role)、個(gè)人權(quán)限(Permission of Person)、授權(quán)權(quán)限(Permission of Authorization)三個(gè)部分組成的集合：用戶權(quán)限集合P[9]。每個(gè)用戶都擁有這三種權(quán)限。這樣的基于角色訪問，使得授權(quán)管理更加簡潔，靈活更符合現(xiàn)如今企業(yè)的用戶、組織、數(shù)據(jù)及特征之間的關(guān)系。

1．2 切削數(shù)據(jù)庫系統(tǒng)權(quán)限管理模型的建立

本系統(tǒng)根據(jù)企業(yè)的應(yīng)用要求及管理特點(diǎn)同時(shí)提出三種授權(quán)方式:角色授權(quán)，個(gè)人授權(quán)，授權(quán)權(quán)限授權(quán)。如圖1所示。

圖1 授權(quán)流程

(1)角色授權(quán)：對(duì)于分配給用戶的權(quán)限通過授權(quán)給特定的角色(如部門主管、技術(shù)員、操作員等)來實(shí)現(xiàn)。角色具有使用系統(tǒng)特定功能的權(quán)限，如打開系統(tǒng)中不同的庫(刀具庫、刀體庫等)。用戶被分配某一角色或者在某一角色中選擇了某一個(gè)用戶，則該用戶具備該角色所擁有的權(quán)限。

(2)個(gè)人授權(quán)：對(duì)于分配給用戶的權(quán)限通過直接對(duì)該用戶授予具體的某個(gè)權(quán)限來實(shí)現(xiàn)。上級(jí)可以對(duì)自己部門的下級(jí)進(jìn)行他可以操作系統(tǒng)的某個(gè)具體權(quán)限。個(gè)人權(quán)限是個(gè)人通過系統(tǒng)直接授予而獲得的具體功能權(quán)限[10-12]。由于工作職能劃分越來越詳細(xì)，所以相同角色的情況下也可能出現(xiàn)所擁有權(quán)限不同的情況。

(3)授權(quán)權(quán)限授權(quán)：分配給用戶的權(quán)限可以對(duì)其他用戶再次進(jìn)行授權(quán)而得到的權(quán)限。對(duì)用戶的授權(quán)通過其他用戶授權(quán)來實(shí)現(xiàn)。

在系統(tǒng)的權(quán)限分配實(shí)現(xiàn)中，會(huì)把三種授權(quán)方式相結(jié)合。根據(jù)實(shí)際情況創(chuàng)建部門，并且分配上下級(jí)關(guān)系，然后根據(jù)不同的職能在相應(yīng)部門下創(chuàng)建出不同的角色，給不同的角色分配以不同的角色權(quán)限。角色與用戶的建立一定是建立于部門的基礎(chǔ)上的，只有用戶是某個(gè)部門的職員該用戶才可以被加入到數(shù)據(jù)庫系統(tǒng)中，同時(shí)只有具體部門下的角色才會(huì)被創(chuàng)立。不存在不屬于任何部門的用戶與角色。將用戶分配給某角色或者在角色中選擇不同的用戶。當(dāng)需要對(duì)相同角色的不同用戶進(jìn)行權(quán)限區(qū)分時(shí)，則需要對(duì)用戶進(jìn)行個(gè)人授權(quán)。而當(dāng)被授權(quán)用戶需要可以對(duì)其他用戶進(jìn)行授權(quán)時(shí)，則需要對(duì)被授權(quán)用戶進(jìn)行授權(quán)權(quán)限授權(quán)。通過以上步驟則初步完成系統(tǒng)的權(quán)限分配。

1．3 改進(jìn)的用戶與角色授權(quán)

由于在系統(tǒng)實(shí)際使用中，會(huì)出現(xiàn)希望某個(gè)用戶或角色可以進(jìn)行查看和查詢某一個(gè)庫卻不能對(duì)其資料進(jìn)行修改的情況，比如技術(shù)員可以修改加工信息，而操作人員只可以對(duì)于加工信息進(jìn)行使用或者打印出來但是不能修改加工流程。所以我們針對(duì)功能分配進(jìn)行了細(xì)化處理。即將功能劃分建立在不僅僅可以使用某一個(gè)庫而是具體到是否可以使用該庫中的某個(gè)按鈕的基礎(chǔ)上。在用戶及角色授權(quán)中加入了用戶和角色的元素授權(quán)。針對(duì)系統(tǒng)使用中頁面上的具體按鍵將其作為權(quán)限進(jìn)行分配，如在機(jī)床信息中某些用戶或者角色只可以看到現(xiàn)有的機(jī)床信息而不能對(duì)其進(jìn)行修改和刪除，則我們可以通過對(duì)該用戶在機(jī)床信息中的修改及刪除元素進(jìn)行權(quán)限管理進(jìn)行控制。這樣有效的解決了只希望禁用系統(tǒng)中一個(gè)功能的一部分子功能的問題。

2 角色權(quán)限管理在實(shí)際項(xiàng)目中的應(yīng)用

在本切削數(shù)據(jù)庫系統(tǒng)中，我們采用了在上述第二節(jié)介紹的模型。在實(shí)際應(yīng)用中得到了良好的應(yīng)用和驗(yàn)證。開發(fā)環(huán)境如下：采用了Strusts + Spring+ Ibatis + Ajax 框架，Microsoft SQL5.5數(shù)據(jù)庫。以下是實(shí)際開發(fā)權(quán)限管理模塊的主要過程：

2.1 數(shù)據(jù)庫設(shè)計(jì)

圖2 數(shù)據(jù)庫模型設(shè)計(jì)

系統(tǒng)權(quán)限模型的關(guān)鍵表如圖2所示。用戶表(user)存儲(chǔ)用戶的基本信息如用戶名、密碼、所屬部門等。角色表(role)存儲(chǔ)創(chuàng)建的角色信息。部門表(dept)存儲(chǔ)部門信息，并且包含上下級(jí)部門關(guān)系的處理。通過部門表來實(shí)現(xiàn)用戶與角色之間的管理，例如同是技術(shù)員但是分別屬于不同的部門那么則是不同的角色。這樣也方便了部門主管對(duì)于下屬的管理。用戶角色授權(quán)表(userauthorize)則實(shí)現(xiàn)了用戶與角色之間的多對(duì)多關(guān)系，角色授權(quán)以及授權(quán)權(quán)限授權(quán)都是通過這個(gè)表進(jìn)行的。功能表(menu)存儲(chǔ)具體的功能。分別通過角色授權(quán)表(roleauthorize)以及用戶授權(quán)表(userauthorize)實(shí)現(xiàn)功能與用戶和功能與角色之間的多對(duì)多關(guān)系。

2.2 改進(jìn)的用戶與角色授權(quán)數(shù)據(jù)庫設(shè)計(jì)

為了實(shí)現(xiàn)對(duì)于元素的權(quán)限分配，我們?cè)谝陨系谋淼幕A(chǔ)上增加了一些關(guān)鍵表，如圖3所示。元素功能表(menupart)存儲(chǔ)了上述功能表中所存儲(chǔ)功能中的元素功能(如功能表中存儲(chǔ)了機(jī)床信息功能，則在元素功能表中存儲(chǔ)有機(jī)床信息中的新增，修改，刪除等元素功能)。用戶元素授權(quán)表(usermenupart)實(shí)現(xiàn)了用戶與元素功能的多對(duì)多關(guān)系。角色元素授權(quán)表(rolemenupart)實(shí)現(xiàn)了角色與元素功能的多對(duì)多關(guān)系。

圖3 元素授權(quán)數(shù)據(jù)庫模型設(shè)計(jì)

2.3 實(shí)體類設(shè)計(jì)舉例

下面以角色管理與授權(quán)的實(shí)現(xiàn)代碼進(jìn)行簡單的介紹。

public class RoleAction extends BizAction{

private RoleService roleService = (RoleService) super.getService("roleService");

Public：

//構(gòu)造函數(shù)

UserInfo (userid username roleid deptid…)

//獲取用戶信息空間

Dto getUserInfo (Dto pDto) {}

//角色管理與授權(quán)界面初始化

Public ActionForward RoleInit (deptid…)

//查詢角色列表

public ActionForward queryRolesForManage ()

//管理權(quán)限授權(quán)

public ActionForward managerTabInit

return

mapping.findForward("managerTabView")

//保存權(quán)限授權(quán)

public ActionForward saveGrant()

}

本系統(tǒng)采用登錄驗(yàn)證的方法進(jìn)行權(quán)限的初始化，即用戶登錄后則用戶類型以及權(quán)限已經(jīng)通過后臺(tái)自定義代碼進(jìn)行確定。系統(tǒng)再根據(jù)用戶、角色與功能之間的關(guān)系邏輯推理出用戶所擁有的權(quán)限，然后返回到前臺(tái)實(shí)現(xiàn)對(duì)于系統(tǒng)頁面的權(quán)限控制。

2．4 授權(quán)模型應(yīng)用效果與用戶反饋

應(yīng)用本授權(quán)模型后，大大減輕了系統(tǒng)管理員的工作負(fù)擔(dān)，簡化了授權(quán)的流程。

(1)增加了管理的安全性。本系統(tǒng)按照部門進(jìn)行角色分配，上級(jí)部門可以對(duì)下級(jí)部門進(jìn)行權(quán)限管理，部門主管可以對(duì)其本部門下其他下級(jí)角色進(jìn)行權(quán)限管理，而不能對(duì)其他部門下級(jí)角色進(jìn)行管理。這樣避免了部門之間的信息泄漏，提高了系統(tǒng)管理的安全性。

(2)增加了系統(tǒng)的靈活性。管理員可以按照實(shí)際情況根據(jù)不同部門進(jìn)行相應(yīng)的權(quán)限分配。同時(shí)通過元素權(quán)限分配可以將權(quán)限分配細(xì)化到是否可以改動(dòng)系統(tǒng)信息等。這樣可以隨時(shí)對(duì)權(quán)限進(jìn)行添加或取消，解決了部門歸屬領(lǐng)導(dǎo)復(fù)雜的問題。

(3)減輕管理員工作量，增加授權(quán)的準(zhǔn)確性。這種分級(jí)進(jìn)行授權(quán)的方式將授權(quán)工作分配給具備權(quán)限的各級(jí)人員，這樣增加了授權(quán)的準(zhǔn)確性，同時(shí)減輕了管理員工作量。

3 結(jié)束語

目前，本切削數(shù)據(jù)庫系統(tǒng)使用情況良好，授權(quán)方案取得了良好的效果。不但繼承了傳統(tǒng)靜態(tài)權(quán)限管理模型的有點(diǎn)，同時(shí)引入了部門分級(jí)操作以及元素權(quán)限分配。滿足了企業(yè)部門眾多，人員眾多同時(shí)需要使用系統(tǒng)的權(quán)限復(fù)雜的要求。針對(duì)企業(yè)特點(diǎn)而提出的改進(jìn)后的模型有效的解決了復(fù)雜的權(quán)限分配問題。并且可以靈活的結(jié)合企業(yè)ERP系統(tǒng)以及與其他部門之間的配合。

[1] 劉戰(zhàn)強(qiáng),黃傳真,萬熠.切削數(shù)據(jù)庫的研究現(xiàn)狀與發(fā)展[J]．計(jì)算機(jī)集成制造系統(tǒng)-CIMS,2003,9(11):937-943.

[2] OSBORN s, SANDHUR. Configuring role-based access control to enforce mandatory and discretionary access control policies [J]. ACM Transaction on Information and Sy8tan Security, 2000, 3(2):123-132．

[3] 黃益民，平玲娣，潘雪增.一種基于角色的訪問控制模型及其實(shí)現(xiàn)[J]．計(jì)算機(jī)研究與發(fā)展，2003，40(10)：1521-1528.

[4]LIN A, BROWN R. The application of Security policy to rose-based access control and the common data security architecture [J].Computer Communication. 2000,23(17): 1584 -1593.

[5]Sandhu R S; Coyne E J; Feinstein H L Role-based access control models. IEEE Computer, 1996,29(2): 38-47.

[6] 吳薇.基于角色的訪問控制技術(shù)的用戶權(quán)限管理及實(shí)現(xiàn)[J]．福建電腦，2008(11)：176-177．

[7] 蔡蘭, 郭順生, 李益兵.基于角色訪問控制的動(dòng)態(tài)權(quán)限配置研究與實(shí)現(xiàn) [J].組合機(jī)床與自動(dòng)化加工技術(shù)，2005(3): 86-87.

[8] 閆如忠, 陸立穎.RBAC在分布式監(jiān)控和故障診斷系統(tǒng)中應(yīng)用 [J].組合機(jī)床與自動(dòng)化加工技術(shù)，2007(8):56-59.

[9] 劉建圻，曾碧，鄭秀璋.基于RBAC 權(quán)限管理模型的改進(jìn)與應(yīng)用[J].計(jì)算機(jī)應(yīng)用, 2008,28(9): 2449-2451.

[10] 楊強(qiáng)，王忠民.ERP系統(tǒng)用戶權(quán)限分配問題的實(shí)現(xiàn)[J]．微機(jī)發(fā)展，2004, 14(7)：16-17.

[11] 張世龍，沈玉利．一種改善RBAC模型用戶權(quán)限獲取效率的方法[J]．四川大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，46(1)：69-74．

[12] 李輝，崔漢國，林積徽．RBAC優(yōu)化模型在裝備保障信息系統(tǒng)中的應(yīng)用[J]．計(jì)算機(jī)工程與設(shè)計(jì)，2008，29(6)：1450-1452．

(編輯 李秀敏)

Application of Access Control Mode in Cutting Database Based on RBAC

MENG De-hao, WANG Jie，XU Peng，F(xiàn)U Xian-wu

(School of Manufacturing Science and Engineering, Sichuan University, Chengdu 610000, China)

Cutting data is a basic measure of the level of cutting technology. Nowadays, an increasingly number of corporations are more apt to establish the cutting database so that they can improve production efficiency, lower production costs etc. In this dissertation, the authorization control modules in cutting database of a certain turbine factory is selected as the subject investigated. Aiming at the issues, heavy workload in systemic permission assignment and inconvenience of operation, which are caused by multi-user, multi-authority, multifunction, we adopt the existing RBAC to do the research. As a result, a brand new element authorization assignment model has been presented and an appropriate authorization control scheme comes out. In actual use, this scheme proves to be effective in eliminating the problems the rigid management in some enterprises with troubles of department redundancy.

RBAC; cutting database; authorization control

1001-2265(2014)07-0158-03

10.13462/j.cnki.mmtamt.2014.07.046

2013-11-14；

2013-12-12

四川大學(xué)校市合作重點(diǎn)科技計(jì)劃項(xiàng)目(2012GH001)

孟德浩(1990—)，男，黑龍江大慶人，四川大學(xué)碩士研究生，主要研究方向?yàn)橛?jì)算機(jī)輔助設(shè)計(jì)與制造，(E-mail)531942143@qq.com；王杰(1964—)，男，成都人，四川大學(xué)教授，博士生導(dǎo)師，主要研究方向?yàn)橛?jì)算機(jī)輔助設(shè)計(jì)與制造，計(jì)算機(jī)集成制造系統(tǒng)，(E-Mail)554365209@qq.com。

TH166;TG65

A