基于細粒度權(quán)限質(zhì)檢管理系統(tǒng)的研究與設(shè)計

涂小琴，吳 晟

（1. 云南師范大學(xué)文理學(xué)院，云南 昆明 650222；2. 昆明理工大學(xué)，云南 昆明 650222）

基于細粒度權(quán)限質(zhì)檢管理系統(tǒng)的研究與設(shè)計

涂小琴，吳 晟

（1. 云南師范大學(xué)文理學(xué)院，云南 昆明 650222；2. 昆明理工大學(xué)，云南 昆明 650222）

本文首先針對現(xiàn)行RBAC模型的角色管理權(quán)限粒度不夠細化的特點，提出了一種改進的細粒度權(quán)限模型，并詳細描述了該改進模型的特點和身份驗證的具體過程。并結(jié)合實際的質(zhì)量檢測管理系統(tǒng)，從數(shù)據(jù)庫設(shè)計和角色管理兩個方面，闡述了改進的細粒度權(quán)限控制在.NET中的設(shè)計與實現(xiàn)的具體過程。

權(quán)限粒度；細粒度；身份驗證；訪問控制

0 引言

數(shù)據(jù)庫權(quán)限設(shè)計是管理信息系統(tǒng)的一個重要組成部分。合理的權(quán)限設(shè)置可以有效地保護數(shù)據(jù)，方便用戶操作。依據(jù)員工的工作崗位及業(yè)務(wù)操作的不同來設(shè)置權(quán)限，可以防止無關(guān)人員的越權(quán)操作，從而保護數(shù)據(jù)庫安全，防止信息泄露。

本文應(yīng)云南省信息檢測中心的實際需求，以質(zhì)量檢測綜合信息管理系統(tǒng)為背景，開發(fā)了一個集樣品信息錄入、檢測結(jié)果登記、審核、批準、報表生成等為一體的信息管理系統(tǒng)，實現(xiàn)了分析測試管理工作的網(wǎng)絡(luò)化無紙化辦公，使分析測試中心的樣品檢測工作更加高效便捷。該系統(tǒng)在權(quán)限訪問控制方面，采用細粒度與現(xiàn)行的 RBAC[2],[5](基于角色的訪問控制)相結(jié)合，一方面提高了授權(quán)工作的靈活性和高效性，另一方面又能根據(jù)具體的實際需要分配“最小化”[1,5]的用戶權(quán)限集，實現(xiàn)了細粒度權(quán)限控制的需求。

1 問題的提出

1.1 現(xiàn)存訪問控制模型

訪問控制（Access Control）[3]是從計算機系統(tǒng)的處理功能方面對數(shù)據(jù)提供保護，其目標是為了防止非法用戶進入系統(tǒng)或合法用戶對系統(tǒng)資源非法使用。

RBAC基于角色的權(quán)限訪問控制（Role-Based Access Control），這種方式可以靈活的設(shè)置用戶角色，靈活的設(shè)置用戶的權(quán)限，可以人為的對很多的頁面進行保護，彌補了自主訪問的不足點。同時，用戶并不直接對功能模塊，而是由用戶所賦予的角色來定，角色確定了用戶能夠訪問的權(quán)限。這樣就大大的提高了授權(quán)的效率。

1.2 RBAC模型存在的問題

由于RBAC是基于角色的訪問控制，而“角色”是一系列權(quán)限的集合。因此，該訪問方式將權(quán)限的集合作為分配的基本單元。管理員授予用戶固定服務(wù)器角色或固定數(shù)據(jù)庫角色，以執(zhí)行特定的操作，但這些角色的權(quán)限通常會遠遠超出簡單任務(wù)的需要?！白钌偬貦?quán)”的原則，要求用戶只能擁有完成工作所需的最低權(quán)限，因此，為達到小目標而分配用戶高級角色就違背了該原則。

這就給更細化的授權(quán)問題帶來了不便。因此，需要一種改進的更細分的訪問控制方式來解決實際的問題。

2 細粒度訪問控制的引入

2.1 概念介紹

粗粒度：僅在類別層面上關(guān)注對象，不關(guān)注對象的特定的實例；例如，本系統(tǒng)中，對檢測樣品的查詢，統(tǒng)計等操作，對所有的用戶都一視同仁，并不具體區(qū)分用戶的級別，是普通用戶還是特殊用戶。

細粒度：是對粗粒度的進一步補充，是在考慮粗粒度的基礎(chǔ)上，進一步關(guān)注具體對象的實例，屬于業(yè)務(wù)邏輯的一部分。

簡單來說，細粒度權(quán)限問題就是判斷操作者在何種情況下對某種資源進行了怎樣的操作。權(quán)限控制過程，就是判斷該問題是否滿足的過程。

操作者：權(quán)限的所有者和使用者（包括用戶，群組，角色等）。

資源：權(quán)限針對的具體對象（資源，模塊等）操作：具體的操作權(quán)限[7,8]。

操作環(huán)境；權(quán)限正常使用的環(huán)境和上下文（滿足身份驗證或是滿足操作條件）。

操作者，角色，用戶、資源之間的關(guān)系如圖 1所示。

2.2 細粒度權(quán)限的身份驗證過程

在細粒度權(quán)限中，用戶的身份驗證是一個復(fù)雜的過程。如圖2所示。在細粒度身份驗證的過程中，根據(jù)實際需要，我們把用戶分成不同的角色，或者用戶組，身份驗證的過程，不但要驗證該用戶本身的身份，還要驗證它是屬于哪個角色，屬于哪個具體的群組。而訪問授權(quán)是根據(jù)角色來設(shè)置的，該角色可以訪問哪些資源，不可以訪問哪些資源。因此還要進一步判斷，該角色或是該群組是否具有某種操作權(quán)限，針對具體的模塊是否具備某種操作權(quán)限。只有當所有的判斷均為真，系統(tǒng)才允許該用戶登陸。這個過程需要適時地查看數(shù)據(jù)表，只有所有的信息都驗證通過，才允許用戶進行操作。

圖1 細粒度權(quán)限模型各概念的關(guān)系圖Fig.1 Relation diagrams of fine grained permission model concepts

2.3 細粒度權(quán)限的不足

細粒度的權(quán)限控制與業(yè)務(wù)邏輯具有很大的相關(guān)性。針對不同的業(yè)務(wù)邏輯，常常使用不同的權(quán)限控制策略。因此，從這種意義上講，粗粒度的權(quán)限控制更有通用性，便于將其形成為一個模型架構(gòu)，更有重用價值；而將細粒度的權(quán)限控制就不行。因此細粒度控制一般與粗粒度相結(jié)合，才能更高效地解決權(quán)限控制問題。

3 細粒度權(quán)限控制在.NET中的設(shè)計與實現(xiàn)

權(quán)限設(shè)計的過程主要包括兩個部分：正向授權(quán)和負向授權(quán)。正向授權(quán)，指在開始時，假定主體沒有任何權(quán)限，然后根據(jù)需求授予權(quán)限，適用于權(quán)限要求嚴格的系統(tǒng)。負向授權(quán)，指在開始時，假定主體有所有權(quán)限，然后將某些特殊權(quán)限收回。正向授權(quán)包括三個步驟：創(chuàng)造權(quán)限、分配權(quán)限、使用權(quán)限[6]。

1. 正向授權(quán)

（1）創(chuàng)造權(quán)限

在權(quán)限設(shè)計和實現(xiàn)的過程中，設(shè)計者會將整個系統(tǒng)劃分為不同的功能模塊，每個不同的模塊應(yīng)該分配哪些權(quán)限。在本系統(tǒng)中以其它管理中的科室管理為例，該模塊用戶應(yīng)該具備查看、增加、修改、刪除等某一具體科室的權(quán)限，在創(chuàng)造權(quán)限時，還沒有將權(quán)限與具體的角色用戶綁定，只是邏輯意義上的權(quán)限。

（2）配權(quán)限

在RBAC模型中，權(quán)限是與角色對應(yīng)起來的。將固定的權(quán)限授予某個角色，該角色就擁有了一系列的操作許可。分配權(quán)限正是管理員將邏輯意義上權(quán)限具體化的過程。本系統(tǒng)中，仍以其他管理中的科室管理為例，管理員將修改某一科室的操作權(quán)限授予計量所所長，那么計量所所長就擁有了修改本科室的權(quán)限。

（3）使用權(quán)限

用戶使用管理者分配的權(quán)限可以訪問系統(tǒng)的某個具體模塊。用戶是權(quán)限的具體使用者，只有管理員設(shè)置過的權(quán)限，用戶才可以使用，只有用戶所在的角色擁有的權(quán)限才可以使用。本系統(tǒng)例如只有特殊用戶（管理員）才能對某個數(shù)據(jù)信息進行刪除操作，普通的用戶未經(jīng)授權(quán)是不允許的。

圖2 細粒度身份驗證的具體流程Fig.2 The specific process of fine-grained authentication

2. 負向授權(quán)：收回權(quán)限。

用戶的操作權(quán)限（增加、刪除、修改、查找）的控制，主要通過以下幾個方面來實現(xiàn)：數(shù)據(jù)庫權(quán)限設(shè)計、角色管理。以下就分兩個方面來具體闡述細粒度權(quán)限在.NET中的設(shè)計和實現(xiàn)。

3.1 數(shù)據(jù)庫權(quán)限設(shè)計

根據(jù)本系統(tǒng)的實際需求，我們設(shè)計了8個數(shù)據(jù)表來進行數(shù)據(jù)庫的權(quán)限設(shè)計：角色權(quán)限表、角色表、用戶角色表、用戶表、科室表、角色功能表、功能說明表、功能模塊表。在這幾個數(shù)據(jù)表中，科室表對應(yīng)于細粒度模型中的群組表（Group），功能模塊表和功能應(yīng)用表兩部分對應(yīng)于模型中的資源（Resource）。各數(shù)據(jù)表的具體字段及對應(yīng)關(guān)系如圖3。

在設(shè)計數(shù)據(jù)表時，設(shè)計特定的字段，通過修改特定字段的值來實現(xiàn)權(quán)限控制。比如，角色權(quán)限表中的Value字段和角色表中的Power字段，都是一個由0或1組成的字符串。而功能模塊表中的功能ID字段表示該功能在角色表的Value字段中位置，如果該位置對應(yīng)的數(shù)值是0，表示該角色無此權(quán)限，如果值為 1，則表示該角色擁有此權(quán)限。角色權(quán)限表中的 value值顯示了角色是否擁有該操作權(quán)限的情況。通過數(shù)據(jù)表的這種字段設(shè)置，在用戶登錄時，系統(tǒng)通過檢測該角色的Power值，便可對用戶進行權(quán)限控制。

3.2 角色管理

角色的添加、刪除、修改等是實現(xiàn)權(quán)限控制的重要方面。通過角色管理，實現(xiàn)權(quán)限的授予，修改，回收等，以此控制用戶的操作。

圖3 數(shù)據(jù)表具體字段與關(guān)聯(lián)Fig.3 Specific fields and associations of data tables

在添加新角色時，先將角色值置 0，然后利用.NET類庫中自帶的Replace函數(shù)將角色值中的對應(yīng)的功能編號位的值修改為 1。則該角色就具備了對特定模塊的特定操作權(quán)限，角色與用戶對應(yīng)，當添加新用戶時，為用戶授予相應(yīng)的角色，該用戶就具備了該角色所有的操作權(quán)限。例如，在本系統(tǒng)中，實驗室管理模塊有四個主要功能：增加、修改、刪除、查看。每個功能對應(yīng)唯一的ID功能代號；建立一個角色（計量所所長），把上面的功能代碼加到這個角色擁有的權(quán)限中，并保存到數(shù)據(jù)庫中；添加一個員工的賬號，并把一種或幾種角色賦給這個員工。這樣他登錄到系統(tǒng)中將會只看到他擁有權(quán)限的那些模塊。在刪除角色時，由于角色與用戶對應(yīng)，角色被刪除后，擁有該角色的用戶的相應(yīng)權(quán)限也被收回。修改角色時，進入該角色的權(quán)限列表，根據(jù)需要對相應(yīng)權(quán)限進行選擇或修改。

4 總結(jié)

本文從數(shù)據(jù)訪問控制的現(xiàn)狀出發(fā)，分析了現(xiàn)行訪問控制的不足，提出了一種改進的細粒度的角色訪問控制方法。并以現(xiàn)實中的質(zhì)量檢測信息管理系統(tǒng)為原型，在此基礎(chǔ)上闡述了細粒度權(quán)限控制在.NET中的設(shè)計與實現(xiàn)。

[1] Offer, J. A. Modern Database Management[M]. Beijing: Publishing House of Electronic Industry: 2014: P165-207.

[2] 王靜宇, 董景楠, 譚躍生. 滿足靜態(tài)角色分離約束的角色劃分方法[J]. 計算機工程, 2017-11.

[3] 陳彥竹, 郝天曙. 基于角色信任度動態(tài)監(jiān)控的訪問控制研究[J]. 計算機技術(shù)與發(fā)展; 2017-7.

[4] 李戰(zhàn)懷等. 對象—關(guān)系數(shù)據(jù)庫管理系統(tǒng)原理與實現(xiàn)[M].北京: 清華大學(xué)出版社; 2014.

[5] 孟憲虎. 馬雪英, 鄧緒斌.大型數(shù)據(jù)庫系統(tǒng)管理、設(shè)計與實例分析—基于SQL Server[M]. 北京: 電子工業(yè)出版社;2014: P273-397.

Research and Design of Fine Grained Permission Based Quality Inspection Management System

TU Xiao-qin1, WU Sheng2
(1. The college of arts and sciences Yunnan normal university Kunming 650222;2. kunming university of science and technology 650222 Kunming China)

Firstly, an improved fine-grained permissions model is offered in this thesis, in view of that current role model for RBAC permissions granularity is not enough detailed. And the detailed description of the characteristics and the specific procedure of fine-grained authentication to the improved model is also given.Then,based on the actual Quality Detection Management System, the specific process of design and implementation to improved fine-grained permissions control in . NET are described ,from both Database design and roles management.

Granular permission; Fine-grained permission; Verification of identity; Access control

TP319

A

10.3969/j.issn.1003-6970.2017.12.016

本文著錄格式：涂小琴，吳晟. 基于細粒度權(quán)限質(zhì)檢管理系統(tǒng)的研究與設(shè)計[J]. 軟件，2017，38（12）：87-89

云南省教育廳科學(xué)研究基金項目(No:2016ZDX253)

涂小琴(1981-)，女，講師，主要研究方向：軟件工程及數(shù)據(jù)分析。