1 前言
系統(tǒng)權(quán)限管理是每個(gè)應(yīng)用系統(tǒng)不可缺少的組成部分,是系統(tǒng)安全的重要保障。用戶如果要執(zhí)行某項(xiàng)操作,必須具備相應(yīng)的權(quán)限。一旦用戶權(quán)限分配或管理不適當(dāng),必將給系統(tǒng)帶來(lái)潛在的威脅,甚至造成不可預(yù)計(jì)的損失。因此,每個(gè)系統(tǒng)都需要有一個(gè)或多個(gè)權(quán)限系統(tǒng)來(lái)實(shí)現(xiàn)訪問(wèn)權(quán)限控制,讓經(jīng)過(guò)授權(quán)的用戶可以正常合法地使用已授權(quán)功能,而將那些未經(jīng)授權(quán)的“非法用戶”拒之門外,以保證系統(tǒng)操作的安全性和合法性。
2 系統(tǒng)權(quán)限管理的需求
系統(tǒng)權(quán)限管理可以通過(guò)角色進(jìn)行資源分配。基于角色的訪問(wèn)控制模型已廣泛應(yīng)用,它將權(quán)限一致的人員劃分為同一角色,然后對(duì)該角色進(jìn)行資源分配,從而達(dá)到為用戶賦予資源的目的。系統(tǒng)權(quán)限管理應(yīng)該是可擴(kuò)展的。它應(yīng)該可以加入到任何帶有權(quán)限管理功能的系統(tǒng)中,就像是組件一樣可以被不斷重用。
為方便授權(quán)管理,系統(tǒng)中除設(shè)置系統(tǒng)管理員外,還在各個(gè)主要部門、科室等管理單位設(shè)置不同的二級(jí)管理員,負(fù)責(zé)本單位的資源分配。在這一過(guò)程中,要求杜絕越權(quán)行為。例如,有兩個(gè)職能部門A,B,分配了各自的管理員AA(A部門),BB(B部門),就要確保兩個(gè)管理員只能管理自己所轄部門的資源,AA不能通過(guò)權(quán)限管理界面篡改自己的權(quán)限來(lái)非法獲取B部門的資源,反之亦然。
3 基于角色的訪問(wèn)控制模型應(yīng)用
制造執(zhí)行系統(tǒng)(manufacturing execution system,簡(jiǎn)稱MES)是美國(guó)AMR公司(Advanced Manufacturing Research,Inc.)在上世紀(jì)90年代初提出的,旨在加強(qiáng)MRP計(jì)劃的執(zhí)行功能,把MRP計(jì)劃同車間作業(yè)現(xiàn)場(chǎng)控制通過(guò)執(zhí)行系統(tǒng)聯(lián)系起來(lái)。MES能通過(guò)信息傳遞對(duì)從訂單下達(dá)到產(chǎn)品完成的整個(gè)生產(chǎn)過(guò)程進(jìn)行優(yōu)化管理。
鋼鐵企業(yè)MES系統(tǒng)是一個(gè)用戶數(shù)量多、用戶權(quán)限相對(duì)復(fù)雜的系統(tǒng),根據(jù)其權(quán)限管理的需求分析,采用基于角色的訪問(wèn)控制(RBAC)模型,同時(shí)結(jié)合按組織結(jié)構(gòu)職能進(jìn)行資源劃分的原則,分配用戶權(quán)限。RBAC模型有2個(gè)顯著的特征:1)減小授權(quán)管理的復(fù)雜性,降低管理成本;2)靈活地支持企業(yè)的安全策略,并對(duì)企業(yè)的變化有很大的伸縮性。
3.1 權(quán)限管理的基本元素
在鋼鐵企業(yè)MES應(yīng)用中,我們?cè)O(shè)計(jì)了用戶、角色、部門、系統(tǒng)資源和可執(zhí)行操作5個(gè)實(shí)體元素,各元素基本含義如下:
系統(tǒng)資源:把應(yīng)用系統(tǒng)中的資源分為頁(yè)面資源與按鈕資源2種,頁(yè)面資源為用戶所能使用的UI界面,實(shí)現(xiàn)信息的展示及錄入;按鈕資源為UI界面上的操作按鈕,實(shí)現(xiàn)某一功能操作,如對(duì)數(shù)據(jù)的增刪改查等功能操作。
部門:組織結(jié)構(gòu)的職能范圍,是系統(tǒng)頁(yè)面資源的所有者,系統(tǒng)中的每一個(gè)頁(yè)面資源都屬于一個(gè)或多個(gè)部門擁有,每個(gè)用戶只能使用本部門及其子部門所擁有的資源。
角色:系統(tǒng)資源的分配手段,實(shí)現(xiàn)一組工作性質(zhì)與工作職責(zé)相同的用戶其權(quán)限大小的唯一性與一致性,減少權(quán)限分配中的重復(fù)性,降低權(quán)限分配中的復(fù)雜性。
用戶:系統(tǒng)資源的使用者,根據(jù)自己的權(quán)限大小,對(duì)系統(tǒng)資源進(jìn)行合法使用。
3.2 各元素之間的關(guān)系
各個(gè)實(shí)體元素之間的關(guān)系如圖1所示。
圖1 各個(gè)實(shí)體元素之間的關(guān)系
說(shuō)明:
1)在分配系統(tǒng)權(quán)限時(shí),首先將系統(tǒng)資源中的頁(yè)面資源按職能分配給各個(gè)部門和角色,再把每個(gè)頁(yè)面中的按鈕資源分配給角色。
2)用戶在獲取自己的權(quán)限時(shí),按照其所在部門的權(quán)限及所屬角色的權(quán)限進(jìn)行分配。
3)系統(tǒng)中部門權(quán)限由系統(tǒng)管理員統(tǒng)一分配,角色權(quán)限的分配可以由系統(tǒng)管理員下放給各個(gè)部門的管理員進(jìn)行分配。
在改進(jìn)的基于角色的訪問(wèn)控制中,有其獨(dú)特的特征:
1)將系統(tǒng)資源中的頁(yè)面資源及按鈕資源進(jìn)行分離,使角色可以靈活地設(shè)置頁(yè)面并與操作按鈕任意組合,實(shí)現(xiàn)不同職能人員的各種需求,提高了系統(tǒng)的靈活性與健壯性。
2)把系統(tǒng)頁(yè)面資源按職能分配到各個(gè)職能部門,實(shí)現(xiàn)了二級(jí)(部門)管理員的系統(tǒng)管理要求,二級(jí)管理員只擁有本部門的資源配置權(quán),使得系統(tǒng)的管理變得更加容易。
3.3 用戶權(quán)限
當(dāng)用戶需要訪問(wèn)MES時(shí),經(jīng)身份認(rèn)證后,根據(jù)用戶提供的登錄信息,系統(tǒng)自動(dòng)獲取用戶的所有角色信息,將所有角色的UI資源合并成一個(gè)集合,再根據(jù)用戶所在部門所擁有的Ul資源,將兩個(gè)資源集合進(jìn)行交集運(yùn)算得到用戶最終所擁有的UI資源:
用戶角色所擁有的UI資源(并集):R1=A1U A2U…UAn
用戶部門所擁有的UI資源:R2;
用戶最終擁有的UI資源(交集):R=R1∩R2。
當(dāng)用戶需要對(duì)訪問(wèn)的某一資源進(jìn)行操作時(shí),系統(tǒng)根據(jù)用戶角色對(duì)該UI資源所擁有的按鈕集與UI資源本身所具有的按鈕集進(jìn)行交集運(yùn)算得到用戶對(duì)該資源所能執(zhí)行的按鈕集:
用戶角色對(duì)該UI所擁有的按鈕集(并集):E1=B1U B2U…UBn;
該UI資源本身所具有的按鈕集:E2;
用戶對(duì)該UI所具有的按鈕集(交集):E=E1∩E2。
4 結(jié)語(yǔ)
基于角色控制模型廣泛應(yīng)用于各個(gè)系統(tǒng)。在本應(yīng)用中,對(duì)RBAC模型進(jìn)行了改進(jìn),引入了按組織結(jié)構(gòu)進(jìn)行資源劃分,滿足了二級(jí)管理員對(duì)系統(tǒng)進(jìn)行管理的需求。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:一種基于RBAC模型在鋼鐵企業(yè)MES系統(tǒng)中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1082027558.html