孟德浩，王 杰，徐鵬，付先武

(四川大學(xué) 制造科學(xué)與工程學(xué)院，成都 610000)

基于RBAC的權(quán)限管理在切削數(shù)據(jù)庫中的應(yīng)用*

孟德浩，王 杰，徐鵬，付先武

(四川大學(xué) 制造科學(xué)與工程學(xué)院，成都 610000)

切削數(shù)據(jù)是衡量切削技術(shù)水平的一個基本量值。現(xiàn)在越來越多的公司建立切削數(shù)據(jù)庫來提高生產(chǎn)效率、降低生產(chǎn)成本等。以某汽輪機廠切削數(shù)據(jù)庫權(quán)限管理模塊為研究對象，針對其參與使用系統(tǒng)的部門眾多、人員角色復(fù)雜多樣以及權(quán)限劃分詳細(xì)而導(dǎo)致的系統(tǒng)中權(quán)限分配的工作量增大和操作不便的問題,采用現(xiàn)有RBAC權(quán)限管理方法，進行了研究，并提出了一種新的元素授權(quán)分配模型，得到一種適合的權(quán)限管理方案。在實際使用中，有效的解決了企業(yè)中并行部門眾多，管理職能重復(fù)而導(dǎo)致傳統(tǒng)授權(quán)管理僵化的問題，使用效果良好。

RBAC ; 切削數(shù)據(jù)庫;權(quán)限管理

0 引言

切削數(shù)據(jù)庫一般是根據(jù)加工工件來優(yōu)化選擇刀具，包括刀具材料、刀具幾何參數(shù)、刀具結(jié)構(gòu)、切削參數(shù)和機床等切削數(shù)據(jù)，可以提高生產(chǎn)效率、降低生產(chǎn)成本及保證加工質(zhì)量[1]。某汽輪機廠切削數(shù)據(jù)庫系統(tǒng)是該企業(yè)完成CIMS進程的重要環(huán)節(jié)。該系統(tǒng)針對各種切削加工需要的數(shù)據(jù)和信息，按照規(guī)則存儲在計算機中，可以根據(jù)不同的角色使用不同的功能，包括打印、調(diào)用、修改和增刪等。切削數(shù)據(jù)庫中包含的內(nèi)容根據(jù)加工方式的不同分為車削、銑削、磨削等加工信息，其中包括刀具的型號、材料牌號及性能；機床的型號和與性能參數(shù)；工件材料的牌號、成分、性能；切削液的類型等；并且具備專家智能推理功能，可以智能推薦適當(dāng)?shù)那邢饔昧康取?/p>

切削數(shù)據(jù)庫系統(tǒng)不同于普通的管理系統(tǒng)，其實現(xiàn)功能更多樣復(fù)雜。本系統(tǒng)使用功能主要分為基本信息：包含機床信息，刀片信息(按照車削、銑削、磨削等加工方式進行分類)，刀體信息(按照車削、銑削、磨削等加工方式進行分類)。功能菜單：車削管理、銑削管理、磨削管理。匹配關(guān)系：刀片與刀體、機床與刀體、工件材料與刀片材料。根據(jù)企業(yè)的實際情況權(quán)限分配主要是對于用戶是否可以使用上述的具體功能。另外本數(shù)據(jù)庫系統(tǒng)使用的部門眾多，人員角色復(fù)雜，可以進行操作的權(quán)限劃分詳細(xì)，這都給權(quán)限分配模塊增加了困難。所以使用傳統(tǒng)的授權(quán)方式將難以實現(xiàn)?；诮巧脑L問控制[2](Role-Based Access Control)—RBAC作為代替?zhèn)鹘y(tǒng)強制訪問控制的一種有前景的方法，近年來受到廣泛的關(guān)注。該模型易于管理，并且將成本、錯誤發(fā)生率以及復(fù)雜性都降到了最低[3]。RBAC管理模型的基本思想是根據(jù)企業(yè)中對于職能崗位的劃分，進行不同角色的賦予，并且通過控制角色的權(quán)限來進行用戶對系統(tǒng)資源訪問的間接控制。而通過用戶和角色之間的聯(lián)系來降低大量用戶和權(quán)限分配系統(tǒng)的管理復(fù)雜性[4]。

1 基于角色的用戶權(quán)限管理模型

1．1 RBAC基本原理

現(xiàn)在普遍使用的RBAC版本是基于Sandhu等人提出的RBAC96模型[5]，包括3個基本實體用戶(user)、角色(role)和權(quán)限(permissions)[6]。它強調(diào)用戶的權(quán)限不是由用戶而是由用戶在組織中的角色決定的[7]。角色是指一個組織或任務(wù)中的某一特定的工作或職能崗位[8]。針對權(quán)限我們把一個用戶所擁有的權(quán)限定義為由角色權(quán)限(Permission of Role)、個人權(quán)限(Permission of Person)、授權(quán)權(quán)限(Permission of Authorization)三個部分組成的集合：用戶權(quán)限集合P[9]。每個用戶都擁有這三種權(quán)限。這樣的基于角色訪問，使得授權(quán)管理更加簡潔，靈活更符合現(xiàn)如今企業(yè)的用戶、組織、數(shù)據(jù)及特征之間的關(guān)系。

1．2 切削數(shù)據(jù)庫系統(tǒng)權(quán)限管理模型的建立

本系統(tǒng)根據(jù)企業(yè)的應(yīng)用要求及管理特點同時提出三種授權(quán)方式:角色授權(quán)，個人授權(quán)，授權(quán)權(quán)限授權(quán)。如圖1所示。

圖1 授權(quán)流程

(1)角色授權(quán)：對于分配給用戶的權(quán)限通過授權(quán)給特定的角色(如部門主管、技術(shù)員、操作員等)來實現(xiàn)。角色具有使用系統(tǒng)特定功能的權(quán)限，如打開系統(tǒng)中不同的庫(刀具庫、刀體庫等)。用戶被分配某一角色或者在某一角色中選擇了某一個用戶，則該用戶具備該角色所擁有的權(quán)限。

(2)個人授權(quán)：對于分配給用戶的權(quán)限通過直接對該用戶授予具體的某個權(quán)限來實現(xiàn)。上級可以對自己部門的下級進行他可以操作系統(tǒng)的某個具體權(quán)限。個人權(quán)限是個人通過系統(tǒng)直接授予而獲得的具體功能權(quán)限[10-12]。由于工作職能劃分越來越詳細(xì)，所以相同角色的情況下也可能出現(xiàn)所擁有權(quán)限不同的情況。

(3)授權(quán)權(quán)限授權(quán)：分配給用戶的權(quán)限可以對其他用戶再次進行授權(quán)而得到的權(quán)限。對用戶的授權(quán)通過其他用戶授權(quán)來實現(xiàn)。

在系統(tǒng)的權(quán)限分配實現(xiàn)中，會把三種授權(quán)方式相結(jié)合。根據(jù)實際情況創(chuàng)建部門，并且分配上下級關(guān)系，然后根據(jù)不同的職能在相應(yīng)部門下創(chuàng)建出不同的角色，給不同的角色分配以不同的角色權(quán)限。角色與用戶的建立一定是建立于部門的基礎(chǔ)上的，只有用戶是某個部門的職員該用戶才可以被加入到數(shù)據(jù)庫系統(tǒng)中，同時只有具體部門下的角色才會被創(chuàng)立。不存在不屬于任何部門的用戶與角色。將用戶分配給某角色或者在角色中選擇不同的用戶。當(dāng)需要對相同角色的不同用戶進行權(quán)限區(qū)分時，則需要對用戶進行個人授權(quán)。而當(dāng)被授權(quán)用戶需要可以對其他用戶進行授權(quán)時，則需要對被授權(quán)用戶進行授權(quán)權(quán)限授權(quán)。通過以上步驟則初步完成系統(tǒng)的權(quán)限分配。

1．3 改進的用戶與角色授權(quán)

由于在系統(tǒng)實際使用中，會出現(xiàn)希望某個用戶或角色可以進行查看和查詢某一個庫卻不能對其資料進行修改的情況，比如技術(shù)員可以修改加工信息，而操作人員只可以對于加工信息進行使用或者打印出來但是不能修改加工流程。所以我們針對功能分配進行了細(xì)化處理。即將功能劃分建立在不僅僅可以使用某一個庫而是具體到是否可以使用該庫中的某個按鈕的基礎(chǔ)上。在用戶及角色授權(quán)中加入了用戶和角色的元素授權(quán)。針對系統(tǒng)使用中頁面上的具體按鍵將其作為權(quán)限進行分配，如在機床信息中某些用戶或者角色只可以看到現(xiàn)有的機床信息而不能對其進行修改和刪除，則我們可以通過對該用戶在機床信息中的修改及刪除元素進行權(quán)限管理進行控制。這樣有效的解決了只希望禁用系統(tǒng)中一個功能的一部分子功能的問題。

2 角色權(quán)限管理在實際項目中的應(yīng)用

在本切削數(shù)據(jù)庫系統(tǒng)中，我們采用了在上述第二節(jié)介紹的模型。在實際應(yīng)用中得到了良好的應(yīng)用和驗證。開發(fā)環(huán)境如下：采用了Strusts + Spring+ Ibatis + Ajax 框架，Microsoft SQL5.5數(shù)據(jù)庫。以下是實際開發(fā)權(quán)限管理模塊的主要過程：

2.1 數(shù)據(jù)庫設(shè)計

圖2 數(shù)據(jù)庫模型設(shè)計

系統(tǒng)權(quán)限模型的關(guān)鍵表如圖2所示。用戶表(user)存儲用戶的基本信息如用戶名、密碼、所屬部門等。角色表(role)存儲創(chuàng)建的角色信息。部門表(dept)存儲部門信息，并且包含上下級部門關(guān)系的處理。通過部門表來實現(xiàn)用戶與角色之間的管理，例如同是技術(shù)員但是分別屬于不同的部門那么則是不同的角色。這樣也方便了部門主管對于下屬的管理。用戶角色授權(quán)表(userauthorize)則實現(xiàn)了用戶與角色之間的多對多關(guān)系，角色授權(quán)以及授權(quán)權(quán)限授權(quán)都是通過這個表進行的。功能表(menu)存儲具體的功能。分別通過角色授權(quán)表(roleauthorize)以及用戶授權(quán)表(userauthorize)實現(xiàn)功能與用戶和功能與角色之間的多對多關(guān)系。

2.2 改進的用戶與角色授權(quán)數(shù)據(jù)庫設(shè)計

為了實現(xiàn)對于元素的權(quán)限分配，我們在以上的表的基礎(chǔ)上增加了一些關(guān)鍵表，如圖3所示。元素功能表(menupart)存儲了上述功能表中所存儲功能中的元素功能(如功能表中存儲了機床信息功能，則在元素功能表中存儲有機床信息中的新增，修改，刪除等元素功能)。用戶元素授權(quán)表(usermenupart)實現(xiàn)了用戶與元素功能的多對多關(guān)系。角色元素授權(quán)表(rolemenupart)實現(xiàn)了角色與元素功能的多對多關(guān)系。

圖3 元素授權(quán)數(shù)據(jù)庫模型設(shè)計

2.3 實體類設(shè)計舉例

下面以角色管理與授權(quán)的實現(xiàn)代碼進行簡單的介紹。

public class RoleAction extends BizAction{

private RoleService roleService = (RoleService) super.getService("roleService");

Public：

//構(gòu)造函數(shù)

UserInfo (userid username roleid deptid…)

//獲取用戶信息空間

Dto getUserInfo (Dto pDto) {}

//角色管理與授權(quán)界面初始化

Public ActionForward RoleInit (deptid…)

//查詢角色列表

public ActionForward queryRolesForManage ()

//管理權(quán)限授權(quán)

public ActionForward managerTabInit

return

mapping.findForward("managerTabView")

//保存權(quán)限授權(quán)

public ActionForward saveGrant()

}

本系統(tǒng)采用登錄驗證的方法進行權(quán)限的初始化，即用戶登錄后則用戶類型以及權(quán)限已經(jīng)通過后臺自定義代碼進行確定。系統(tǒng)再根據(jù)用戶、角色與功能之間的關(guān)系邏輯推理出用戶所擁有的權(quán)限，然后返回到前臺實現(xiàn)對于系統(tǒng)頁面的權(quán)限控制。

2．4 授權(quán)模型應(yīng)用效果與用戶反饋

應(yīng)用本授權(quán)模型后，大大減輕了系統(tǒng)管理員的工作負(fù)擔(dān)，簡化了授權(quán)的流程。

(1)增加了管理的安全性。本系統(tǒng)按照部門進行角色分配，上級部門可以對下級部門進行權(quán)限管理，部門主管可以對其本部門下其他下級角色進行權(quán)限管理，而不能對其他部門下級角色進行管理。這樣避免了部門之間的信息泄漏，提高了系統(tǒng)管理的安全性。

(2)增加了系統(tǒng)的靈活性。管理員可以按照實際情況根據(jù)不同部門進行相應(yīng)的權(quán)限分配。同時通過元素權(quán)限分配可以將權(quán)限分配細(xì)化到是否可以改動系統(tǒng)信息等。這樣可以隨時對權(quán)限進行添加或取消，解決了部門歸屬領(lǐng)導(dǎo)復(fù)雜的問題。

(3)減輕管理員工作量，增加授權(quán)的準(zhǔn)確性。這種分級進行授權(quán)的方式將授權(quán)工作分配給具備權(quán)限的各級人員，這樣增加了授權(quán)的準(zhǔn)確性，同時減輕了管理員工作量。

3 結(jié)束語

目前，本切削數(shù)據(jù)庫系統(tǒng)使用情況良好，授權(quán)方案取得了良好的效果。不但繼承了傳統(tǒng)靜態(tài)權(quán)限管理模型的有點，同時引入了部門分級操作以及元素權(quán)限分配。滿足了企業(yè)部門眾多，人員眾多同時需要使用系統(tǒng)的權(quán)限復(fù)雜的要求。針對企業(yè)特點而提出的改進后的模型有效的解決了復(fù)雜的權(quán)限分配問題。并且可以靈活的結(jié)合企業(yè)ERP系統(tǒng)以及與其他部門之間的配合。

[1] 劉戰(zhàn)強,黃傳真,萬熠.切削數(shù)據(jù)庫的研究現(xiàn)狀與發(fā)展[J]．計算機集成制造系統(tǒng)-CIMS,2003,9(11):937-943.

[2] OSBORN s, SANDHUR. Configuring role-based access control to enforce mandatory and discretionary access control policies [J]. ACM Transaction on Information and Sy8tan Security, 2000, 3(2):123-132．

[3] 黃益民，平玲娣，潘雪增.一種基于角色的訪問控制模型及其實現(xiàn)[J]．計算機研究與發(fā)展，2003，40(10)：1521-1528.

[4]LIN A, BROWN R. The application of Security policy to rose-based access control and the common data security architecture [J].Computer Communication. 2000,23(17): 1584 -1593.

[5]Sandhu R S; Coyne E J; Feinstein H L Role-based access control models. IEEE Computer, 1996,29(2): 38-47.

[6] 吳薇.基于角色的訪問控制技術(shù)的用戶權(quán)限管理及實現(xiàn)[J]．福建電腦，2008(11)：176-177．

[7] 蔡蘭, 郭順生, 李益兵.基于角色訪問控制的動態(tài)權(quán)限配置研究與實現(xiàn) [J].組合機床與自動化加工技術(shù)，2005(3): 86-87.

[8] 閆如忠, 陸立穎.RBAC在分布式監(jiān)控和故障診斷系統(tǒng)中應(yīng)用 [J].組合機床與自動化加工技術(shù)，2007(8):56-59.

[9] 劉建圻，曾碧，鄭秀璋.基于RBAC 權(quán)限管理模型的改進與應(yīng)用[J].計算機應(yīng)用, 2008,28(9): 2449-2451.

[10] 楊強，王忠民.ERP系統(tǒng)用戶權(quán)限分配問題的實現(xiàn)[J]．微機發(fā)展，2004, 14(7)：16-17.

[11] 張世龍，沈玉利．一種改善RBAC模型用戶權(quán)限獲取效率的方法[J]．四川大學(xué)學(xué)報：自然科學(xué)版，2009，46(1)：69-74．

[12] 李輝，崔漢國，林積徽．RBAC優(yōu)化模型在裝備保障信息系統(tǒng)中的應(yīng)用[J]．計算機工程與設(shè)計，2008，29(6)：1450-1452．

(編輯 李秀敏)

Application of Access Control Mode in Cutting Database Based on RBAC

MENG De-hao, WANG Jie，XU Peng，F(xiàn)U Xian-wu

(School of Manufacturing Science and Engineering, Sichuan University, Chengdu 610000, China)

Cutting data is a basic measure of the level of cutting technology. Nowadays, an increasingly number of corporations are more apt to establish the cutting database so that they can improve production efficiency, lower production costs etc. In this dissertation, the authorization control modules in cutting database of a certain turbine factory is selected as the subject investigated. Aiming at the issues, heavy workload in systemic permission assignment and inconvenience of operation, which are caused by multi-user, multi-authority, multifunction, we adopt the existing RBAC to do the research. As a result, a brand new element authorization assignment model has been presented and an appropriate authorization control scheme comes out. In actual use, this scheme proves to be effective in eliminating the problems the rigid management in some enterprises with troubles of department redundancy.

RBAC; cutting database; authorization control

1001-2265(2014)07-0158-03

10.13462/j.cnki.mmtamt.2014.07.046

2013-11-14；

2013-12-12

四川大學(xué)校市合作重點科技計劃項目(2012GH001)

孟德浩(1990—)，男，黑龍江大慶人，四川大學(xué)碩士研究生，主要研究方向為計算機輔助設(shè)計與制造，(E-mail)531942143@qq.com；王杰(1964—)，男，成都人，四川大學(xué)教授，博士生導(dǎo)師，主要研究方向為計算機輔助設(shè)計與制造，計算機集成制造系統(tǒng)，(E-Mail)554365209@qq.com。

TH166;TG65

A