張少應，燕敏

基于RBAC權限管理在生產管理系統(tǒng)中的應用與實現(xiàn)

張少應，燕敏

基于角色的訪問控制（RBAC）簡化了權限管理，實現(xiàn)了責任分離，提高了開發(fā)效率和系統(tǒng)數(shù)據(jù)的安全性能。分析了基于用戶控制方式的缺陷，闡述了基于RBAC權限管理在生產管理系統(tǒng)中的應用與實現(xiàn)。采用訪問資源編碼的機制，設計了基于RBAC的資源訪問控制；采用基于SSH2框架集成技術，實現(xiàn)了生產管理系統(tǒng)中資源信息的兩級權限控制。

RBAC；權限管理；框架集成；濾波器

0 引言

在管理信息系統(tǒng)開發(fā)中，考慮到數(shù)據(jù)的安全性、完整性及獨立性，要求對用戶訪問頁面設置權限，控制不同類型用戶的操作，以此提高系統(tǒng)的整體性能。而傳統(tǒng)的基于用戶控制方式，通常將用戶分為幾類，不同類的用戶，訪問不同頁面，實現(xiàn)對用戶權限訪問控制。該方式中用戶就是一個可以獨立訪問計算機應用系統(tǒng)的主體，當用戶訪問管理信息系統(tǒng)時，首先需要對用戶進行認證，通過認證后方可訪問系統(tǒng)特定的資源。

傳統(tǒng)的基于用戶訪問控制方式，存在如下缺陷：

（1）系統(tǒng)開發(fā)和維護工作量大。系統(tǒng)開發(fā)中需要針對不同類型的用戶，開發(fā)不同的訪問頁面。系統(tǒng)開發(fā)和維護工作量大，開發(fā)效率低。當用戶權限發(fā)生變化時，管理員需要重新給該用戶授權，增加了管理員權限管理的復雜度。

（2）權限分配過于單一?；谟脩粼L問控制中，用戶之間的權限相互獨立，彼此之間不存在關聯(lián)。這種權限分配方式，雖然控制簡單，但在實際使用中，這種分散的權限管理機制、不統(tǒng)一的權限管理策略，使得整個系統(tǒng)的安全策略不一致，系統(tǒng)中容易產生安全漏洞。

1 基于角色的訪問控制基本原理

基于角色的訪問控制[1-3]（Role-Based Access Control，簡稱為RBAC）模型是20世紀90年代研究出的一種新模型。該模型的基本思想在用戶和權限之間引入角色概念，權限與角色（Role）聯(lián)系在一起。用戶通過充當合適的角色而獲取該角色的權限，以此實現(xiàn)對系統(tǒng)資源的訪問。角色是訪問權限的集合，用戶通過賦予不同的角色獲得角色所擁有的權限。

RBAC模型包括用戶信息、角色信息、功能及權限授權三部分內容，實現(xiàn)了權限的最小化、批量定制功能[4,5]。通過在完成重要任務過程中分配兩個責任上互相約束的兩個角色來實現(xiàn)責任分離；借助于抽象許可權實現(xiàn)數(shù)據(jù)抽象；通過分配給角色權限的大小和多少控制用戶的最小特權等原則，極大地簡化了用戶權限的管理。

2 RBAC權限管理在生產管理系統(tǒng)中的設計

2.1 需求分析

企業(yè)生產管理系統(tǒng)中涉及不同角色的用戶：管理員、采購員、領導、生產人員、技術員等，企業(yè)在生產過程中，生產報表中的某些數(shù)據(jù)（例如“金額”、“緩沖大小”等信息）對某一類角色的用戶是公開的，對其他用戶是保密的；不同角色的用戶在生產管理系統(tǒng)中可訪問特定的資源信息；對于同一用戶來說，具有不同角色（“領導”和“技術員”），在應用系統(tǒng)中訪問的資源信息也有差異；同一角色的用戶，基于安全性的考慮，動態(tài)設置不同用戶訪問權限，實現(xiàn)同一角色不同用戶資源訪問信息的有所區(qū)別。

2.2 相關數(shù)據(jù)庫表的設計

考慮到系統(tǒng)可維護性和可擴展性，為了實現(xiàn)上述權限控制，需要對資源信息按照內容分類并編碼，實現(xiàn)所有系統(tǒng)資源在特定編碼規(guī)則下有唯一的編碼；對訪問資源完成編碼之后，通過對不同角色授予不同資源訪問編碼，實現(xiàn)對資源信息大類（訪問頁面）的訪問控制；當該角色的用戶擁有大類訪問信息時，通過處理小類編碼來實現(xiàn)對用戶訪問控制（頁面上具體功能的控制）。采用該方式，可以有效控制不同角色用戶訪問資源的權限控制，也方便實現(xiàn)同一角色不同用戶訪問信息的權限控制。

系統(tǒng)設置用戶管理表、角色管理表、用戶權限表和角色權限表，其中用戶管理表（表1）和角色管理表（表2）分別用于存儲用戶和角色基本信息，角色權限表（表3）用于管理不同角色訪問資源（即實現(xiàn)大類的訪問控制），用戶權限表（表4）用于管理特定角色下不同用戶訪問資源（即實現(xiàn)資源小類的訪問控制）。

表1 用戶管理表

表2 角色管理表

表3 角色權限表

表4 用戶權限表

2.3 操作界面設計

基于安全性能的考慮，角色權限和用戶權限的設置均由系統(tǒng)管理員分配。系統(tǒng)管理員給不同的角色分配不同的資源訪問權限如圖1所示：

圖1 技術員角色權限設置

然后通過動態(tài)創(chuàng)建用戶的方式，設置用戶訪問生產管理系統(tǒng)的角色和初始密碼，在角色相同前提下，針對不同用戶分配不同的訪問權限如圖2所示：

圖2 用戶（技術員角色）權限設置

實現(xiàn)更加靈活的權限控制，提高系統(tǒng)的整體性能。

在角色權限設置中，系統(tǒng)管理員通過對不同角色授予不同權限，以此修改角色權限表，實現(xiàn)資源大類（頁面級別）信息的訪問控制。

在角色權限已分配前提下，系統(tǒng)管理員有選擇性的對該角色下不同用戶設置權限，實現(xiàn)同一角色下，不同用戶訪問資源小類（頁面功能模塊）的控制。在圖2中，角色為技術員的用戶均可以訪問生產管理系統(tǒng)中的“緩沖報表”，而在緩沖報表頁面有諸如“緩沖大小設置”、“紅黑原因設置”等重要的參數(shù)，而這些參數(shù)的設置往往會影響整個生產的進度和流程，因此管理員可以針對部分用戶開啟重要參數(shù)的設置功能，其他用戶僅提供“查看”或者“信息屏蔽”功能。通過細化訪問資源控制，實現(xiàn)企業(yè)生產數(shù)據(jù)安全性能。

3 RBAC權限管理在生產管理系統(tǒng)的實現(xiàn)

基于生產管理系統(tǒng)數(shù)據(jù)安全性、可維護性考慮，系統(tǒng)采用基于Struts2.3、Spring4.0和Hibernate4.3的框架集成來實現(xiàn)如圖3所示：

圖3 基于SSH2的生產管理系統(tǒng)的權限實現(xiàn)

Struts2.x框架中提供的Filter過濾器[6]，可以實現(xiàn)對用戶請求進行預處理，將請求交給Servlet進行處理并生成響應，最后Filter再對服務器響應進行后處理。利用該工作機制可以實現(xiàn)用戶權限的一級控制，通過處理Filter提供的用戶授權的Filter，檢查用戶請求，過濾掉用戶的非法請求。在具體實現(xiàn)中，通常通過編寫對應的Filter類，在配置文件web.xml中完成Filter類的配置，即可實現(xiàn)用戶權限的一級控制。

在訪問系統(tǒng)資源中，通過驗證用戶角色，控制用戶訪問資源對應的菜單項（動態(tài)菜單項），實現(xiàn)大類（頁面級別）信息的訪問控制，然后根據(jù)用戶具體權限，實現(xiàn)小類的控制（頁面功能），完成生產管理系統(tǒng)資源的二級控制。在基于SSH2的框架集成實現(xiàn)中，采用分層結構的思想實現(xiàn)系統(tǒng)的各個功能模塊。在具體實現(xiàn)中Struts2作為表示層，負責業(yè)務邏輯層和表示層的交互，調用業(yè)務邏輯層，將業(yè)務數(shù)據(jù)返回給表示層；Spring負責業(yè)務邏輯的具體處理，借助于Spring的依賴注入技術，各組件以松散耦合的方式組合，Service組件和DAO對象都采用面向接口變成的方式，降低了系統(tǒng)重構的成本；Hibernate作為持久層，負責將關系數(shù)據(jù)庫的數(shù)據(jù)映射為Java的對象，以便開發(fā)人員使用面向對象的思想實現(xiàn)對數(shù)據(jù)庫的操作，通過對象與對象之間的關聯(lián)操作數(shù)據(jù)庫，為底層DAO對象的實現(xiàn)提供了支持。采用這種開發(fā)方式，提高了系統(tǒng)的開發(fā)和維護效率，也便于對整個訪問資源的統(tǒng)一管理和控制，提高了系統(tǒng)的整體安全性能。

4 總結

訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎，是網(wǎng)絡安全防范和資源保護的關鍵策略之一[7]。基于角色的訪問控制支持動態(tài)改變用戶權限；提供了方便的授權、取消和檢查機制；簡化了權限管理，實現(xiàn)了開發(fā)過程中責任分離，提高了開發(fā)效率和系統(tǒng)數(shù)據(jù)的安全性能。本文主要闡述了基于RBAC模型的用戶權限管理在生產管理系統(tǒng)中的應用與實現(xiàn)，采用訪問資源編碼的機制，設計了生產管理系統(tǒng)中基于BRAC的資源訪問控制；使用角色權限控制頁面級的系統(tǒng)資源，用戶權限控制功能模塊的權限的方法，設計實現(xiàn)了同一角色不同用戶訪問資源的限制；采用基于SSH2框架集成技術，實現(xiàn)了生產管理系統(tǒng)中資源信息的兩級權限控制?；赗BAC權限管理在生產管理系統(tǒng)中應用，有效地管理了企業(yè)在生產過程的數(shù)據(jù)信息，實現(xiàn)了企業(yè)的管理需求。文中解決問題思路和方法可為開發(fā)同類管理信息系統(tǒng)提供參考，具有實踐開發(fā)價值。

[1] D.R. Kuhn, E.J. Coyne, T.R. Weil. Adding attributes to role based access control[J], IEEE Trans. on Computer, 2010(6): 79-81.

[2] NIST/ITL Bulletin. An introduction to rolebased access control[EB/OL].[1995-12]. http:// csrc.nist.gov/groups/SNS/rbac/documents/design_implem entation/Intro_role_based_access.htm.

[3] 吳嬌.基于RBAC的權限管理研究與設計[J].現(xiàn)代機械，2014(1):91-94.

[4] 鞠宏軍，杜麗娟.RBAC權限管理在教務管理系統(tǒng)中的應用與實現(xiàn)[J].華北科技學院學報，2014,11(5):70-73.

[5] 夏文忠，單長吉.RBAC在圖書館門戶網(wǎng)站訪問控制中的應用[J].重慶科技學院學報（自然科學版），2014，16(4):137-139.

[6] 李剛.輕量級JavaEE企業(yè)應用實戰(zhàn)（第4版）[M].北京：電子工業(yè)出版社，2014.04-15.

[7] 訪問控制技術[EB/OL]. [2016-09-15]http://baike.haosou. com/doc/7044679-7267585.html.

圖6 特征提取

（3）模型訓練。模型訓練使用newpnn函數(shù)創(chuàng)建概率神經(jīng)網(wǎng)絡，特征提取的目的是尋找某種變換規(guī)則，得到規(guī)律,從中提取所需要的規(guī)則方便后期進行識別操作。從而在不影響識別精度的前提下將n維或nxn維的對象類別空間轉換為更小的特征空間。提取的特征是用來進行模式識別的關鍵特征,去除冗余特征之后的特征空間較原先低了許多，從而降低了計算的復雜度。代碼如圖7所示：

圖7 模型訓練

（4）測試部分。測試時，首先使用原有訓練數(shù)據(jù)進行測試，再對讀入的圖像添加一定強度的噪聲，觀察算法的抗干擾性質。

概率神經(jīng)網(wǎng)絡構成的分類器能完全區(qū)分訓練樣本（正確率100%），且在強度為0.4的椒鹽噪聲下能獲得98%的識別正確率。修改nois變量的值，對不同強度的椒鹽噪聲做測試，如椒鹽噪聲強度為0.3、0.4、0.45、0.5時的圖像如圖8所示：

圖8 椒鹽噪聲

4 總語

本文針對概率神經(jīng)網(wǎng)絡手寫體數(shù)字的特點，采用了多特征融合的方法，進行特征提取，避免了有效信息的丟失；并利用三層BP神經(jīng)網(wǎng)絡進行訓練與識別，提高了系統(tǒng)的自適應性。與傳統(tǒng)方法相比，大大提高了準確性。本系統(tǒng)具有較好的可靠性和較高的正識率，具有較好的應用推廣能力。概率神經(jīng)網(wǎng)絡形成的分類器具有較高的準確程度，能夠在一定噪聲情況下獲得令人滿意的準確度。

參考文獻

[1] 陳明.Matllab神經(jīng)網(wǎng)絡原理與實例[M].北京:清華大學出版社,2013.

[2] 張婷,王卓英.手寫體數(shù)字計算機識別系統(tǒng)的應用研究[J].微型電腦應用,2016(01): 19-21.

[3] 劉朝陽,陳以,李少博.概率神經(jīng)網(wǎng)絡在手寫漢字識別中的應用[J].電子設計工程,2016(02):32-34.

[4] 胡迪雨.手寫體數(shù)字識別的方法與應用研究[D].南昌:南昌大學,2012.

[5] SeongHun Lee，JaeHyun Seok，KyungMin Min，JinHyung Kim.Scene Text Extraction using Image Intensity and Color Information[M].Pattern Recognition,2009.

[6] 白天毅.基于神經(jīng)網(wǎng)絡的手寫體數(shù)字識別關鍵技術研究[D].西安:西安工業(yè)大學,2014.

（收稿日期：2016.03.12）

Application and Implementation of Production Management System Based on RBAC Authorization Management

Zhang Shaoying1, Yan Min2
(1.Xi’an Aeronautical University, Xi’an 710077, China; 2. Information Center, Xi'an Shiyou University, Xi’an 710065, China)

The role-based access control (RBAC) simplifies the rights management, realizes the separation of duties, and improves the development efficiency and security performance of the system data. This paper analyzes the defects based on the user control mode, expounds the application and implementation of the production management system based on RBAC authorization management. With access to the resource coding mechanism, We design a resource based on RBAC access control. Based on an SSH2 framework integration technology, it achieves the information resources in the production management system of two levels of access control.

Role-based access control; Authorization management; Integrated framework; Filter

TP311

A

1007-757X(2016)10-0019-03

2016.04.05）

陜西省教育廳自然科學項目（12JK0951）

西安航空學院2014年度校級高等教育教學改革研究項目（2014Z010）

張少應（1976-），男，陜西航空學院，碩士，講師，研究方向：管理信息系統(tǒng)，西安 710077

燕 敏（1978-），女，西安人，西安石油大學，碩士，研究方向：計算機網(wǎng)絡，西安 710065