领域驱动EIS访问控制系统研究.docVIP

领域驱动EIS访问控制系统研究 　　[摘 要] 访问控制是保证EIS（企业信息系统）安全的主要方法之一。目前主流的EIS系统多采用基于RBAC的访问控制机制。其功能的充分发挥依赖于良好的权限分配设计，而一般的企业用户不具备相关的知识和能力，难以长期持续保持系统用户权限和企业实际工作需要的有效对应，使其往往达不到应有的安全效果。针对这一问题，本文基于领域驱动设计思想，使用企业管理者熟悉的概念，设计了一种新的企业信息系统访问控制模型，与基于RBAC的访问控制模型相比，其更容易被一般企业管理者理解和使用。在该模型的基础上，进一步使用Java语言实现了权限管理系统的demo，证明了该模型的可行性。 　　[关键词] 软件工程；企业信息系统；领域驱动设计；系统安全 　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 17. 037 　　[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194（2016）17- 0077- 03 　　1 前 言 　　访问控制（Access Control）是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法，是保证企业信息系统（Enterprise Information Systems， EIS）信息安全的主要方法之一。目前主流EIS多采用基于RBAC模型的访问控制机制，其具有灵活性强等特点，被广泛应用于各类信息系统中。 　　但基于RBAC模型的访问控制机制也存在一些问题，主要表现在：①为了保证控制的效果，在系统实施时需要对权限和角色进行精心的设计，即所谓的角色工程，成本较高；②访问控制机制与企业人力资源管理机制脱节，随着系统的运行，企业出现大量的人员和岗位变动后，系统中用户的权限往往未能得到及时和正确的更新。 　　为了解决上述问题，本文提出了一种基于领域驱动设计思想的EIS访问控制模型，并讨论了其具体的实现方法。 　　2 RBAC权限模型及其局限 　　RBAC模型（Role-Based Access Control，基于角色的权限管理模型）是目前各类软件和信息系统实现访问控制的主流模型。2004年，美国国际信息技术标准委员会（International Committee for Information Technology Standards）颁布了INCITS 359-2004，是目前最权威、最规范的RBAC参考模型。 　　INCITS 359-2004 中的RBAC参考模型由4大构件（Component）组成，分别是RBAC核心（Core RBAC）、层次RBAC（Hierarchical RBAC）、静态职责分离关系（Static SoD relations）和动态职责分离关系（Dynamic SoD relations）。其中，核心RBAC是RBAC参考模型最基本的模块，其组成如图1所示。 　　在核心RBAC中，主体（Subject）是使用系统功能的一个实体，可以是一个现实中的人，也可以是一个其他的计算机程序等。每个角色（Role）对应多个具体的权限（Permissions），每个用户（User）可以具有多个不同的角色。当某个主体需要执行某项操作时，其首先被映射为系统中的特定用户，然后根据该用户具有的角色被分配相应的权限。系统通过实时检查主体被分配的权限来决定是否允许其进行执行的操作。 　　为了使RBAC模型能够最大程度的适用于各类系统，它本身是一个高度抽象的模型，其所采用的概念和术语也是业务领域里中立的。这是它的优点，但也导致了一般的业务人员难于理解和维护一个良好的权限系统，特别是在企业信息系统领域。 　　企业信息系统为了适应业务的需要，多具备复杂的功能；而为了满足系统安全的要求，在系统实施时需要复杂的权限设计。更大的问题在于，随着企业本身管理规则和流程的变化，以及企业中人员和岗位的不断变化，权限和角色的设计也应该随之变化。而大多数企业管理人员并不具备这一能力，难以充分发挥访问控制系统的作用，导致企业信息系统的安全性无法得到保障。 　　3 领域驱动的企业信息系统权限管理模型 　　3.1 设计思路 　　领域驱动设计（Domain-Driven Design）以业务领域为核心，将领域模型作为系统分析和设计的工具。通过使用业务人员熟悉的领域概念和术语来构建领域模型，业务人员、分析人员和设计人员可以使用领域模型来进行有效的沟通，最大程度地保证用户需求、设计和代码实现之间的一致性。 　　如上一节所述，基于RBAC的访问控制系统最大的缺陷来自于其业务领域的中立性。因此，本文采用领域设计思想，重新设计适用于企业信息系统的访问控制模型。其核心思路是，从企业信息系统的主要用户―企业管