一个通用的权限管理模型的设计方案.pdfVIP

一个通用的权限管理模型的设计方案 1) 2) 3) 林伟炬 刘列根 张宇 1) 2)3) （华南理工大学计算机应用工程研究所广州 510641 ） 摘 要：本文提出了一种集成功能权限和数据权限的通用的权限管理模型，该模型在主要对 角色授权的基础上加入了对用户直接授权和屏蔽部分角色权限的机制，丰富了传统模型对功 能权限的控制，并且增加了数据权限的管理，有效地解决了各种管理系统中复杂的访问控制 问题。 关键词：RBAC ，功能权限，数据权限 中图分类号：TP31 文献标识码：A A Universal Scheme of Authority Management Model LIN Wei-ju LIU Lie-gen ZHANGYu (Research Institution of Computer Application, South China University of Technology, Guangzhou, 510641) Abstract ：In this paper, a universal scheme of authority management model integrates function permission and data permission is put forward. The model, manily based on the role authorization, has added the mechanism of user authorization and shielding part of authorization. It enriches function permission and adds the management of data permission，as well as solves the complex access control problems of a variety of management systems effectively. Key words ：RBAC ，function permission，data permission 前言 对于权限管理，国外学术界已经作了大量的理论研究工作，提出了许多种模型。目前主 流的访问控制策略主要有自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制 (RBAC)三种。前两种均属于传统的访问控制策略，既工作量大，又不便于管理。RBAC 是当 前信息系统资源访问控制公认的有效方法。但在实际应用中，RBAC 模型过于简单，难以适 应复杂情况的需求。本文提出了一种更有效的集成功能权限和数据权限的通用的权限管理模 型，扩展了 RBAC 的功能权限部分，增加了数据权限，满足多层次的要求。 1 基于角色的权限控制模型 基于角色的访问控制模型(RBAC)是由 David Fenaiol Richard Kuhn 等提出的。RBAC包 含三个实体:用户、角色和权限。用户是对数据对象进行操作的主体,可以是人、机器人和计 算机等。权限是对某一数据对象可操作的权利。角色的概念源于实际工作中的职务。一个具 体职务代表了在工作中处理某些事务的权利。把这个概念引入授权管理中,则角色作为中间 桥梁把用户和权限联系起来。 传统的企业权限系统设计一般由系统功能、系统角色、系统用户、角色功能关联和用户 角色关联五部分构成,其具体实现是用户被分配角色,角色来具体访问系统功能的权限。即其 数据库的 ER关系表示为图 1。 图 1 2 改进后通用的权限管理模型方案 改进后的 ER图如下： 图2 这个模型有八个实体，下面对其作一些解释： 1). 资源：系统中的资源，主要是各种业务对象，如销售单、付款单等。 2). 操作类型：对资源可能的访问方法，如查询、增加、删除、修改等。