RBAC 维度权限管理模型在货物进出口系统的应用
2016年6月06日 16:49 作者:张晓宁 王 帆 李 娜 石家庄铁道大学四张晓宁 王 帆 李 娜 石家庄铁道大学四方学院计算机系河北石家庄 050043
【文章摘要】
提出了基于RBAC 的维度权限管理模型的设计思想,讨论了权限管理系统中用户的属性维的设计,以及角色的分配,权限访问控制和访问控制模式等关键技术。并阐述了进出口系统通用的维度建模技术及模型的实现方法,重点解决了维度模型的创建、数据的多维分析及模型的可扩展性问题,为企业的决策支持提供了帮助。
【关键词】
维度模型; 角色;RBAC; 权限
0 引言
数据仓库的数据建模方法主要有Inmon 倡导的第三范式建模方法和Kimball 提出的维度建模方法 。其中维度建模方法可以更好地展现多维数据关系,因此本系统采用维度建模方法进行数据建模。此外,数据库安全一直都受到广泛关注,基于角色的访问权限管理(RBAC, role based access controls) 被普遍认为是当前最具有发展潜力的访问控制策略。因此,在数据建模过程中以RBAC 为基础进行系统权限管理模型的设计。
1 货物进出口系统维度建模设计
维度建模是一种逻辑设计技术,本系统采用雪花型模型和星型模型来建立数据仓库的逻辑模型,在数据模型中主要设计两类表。
(1)维度表:描述主题的特征信息。在系统分析模型中,企业关心产品销售量随时间推移而发生的变化,时间就是一个维。系统中比较规则的分析角度主要包括:时间维表,月份维表,年度维表,计量单位维表,商品代码变化维度表,贸易方式维表,经营单位维表,进出口类别维表等。
(2)事实表:维度模型的基本表,存放业务性能度量值。事实表主要包括进出口事实表和汇总表。
系统的设计除了要考虑业务数据建模之外,还要考虑系统的安全性。一个大型系统要求RBAC 模型能够支持集团下的多级管理员体系,自上而下的逐级授权。由一个系统管理员给所有操作员逐一定义角色,分配权限,这在实际工作中是不可现实的[4]。因此,在基于RBAC 模型基础上结合系统权限控制需求,提出了基于RBAC 的维度权限管理模型。
2 权限管理模型设计
基于RBAC 模型的维度权限管理模型主要完成对角色、权限、权限- 角色指派和用户- 角色指派的管理。其主要思想是通过用户与权限的分离, 使权限管理方便灵活[5-7]。通过用户与角色的指定, 角色与权限的配置, 使RBAC 达到所需的安全要求。基于RBAC 的维度权限管理模型,将每个属性定义为一个属性维。每个资源都可以在每个属性维上描述其具有的权限。对某一资源对象的权限操作和该权限操作所在的维有关。例如,该系统需要按照营业区域划分不同部门的管理员权限,如果规定X 区只能管理X 区的业务数据资料,就必须要区分资料的归属地。操作员本身应该有其业务数据资料的信息,才能管理属于自己管辖的信息内容,那么就将归属地定义为一个客体属性维,将其和用户进行关联。因此,给角色分配权限,实现权限操作和角色之间的关联关系映射,必须涉及角色,权限操作、属性维和资源几个要素。
另外,业务资源的权限具有业务逻辑相关性。对不同的业务逻辑,有着完全不同的权限判定策略。在判定时,用户常需要检查是否有“河北省”、“总经理” 2 个角色,那么,业务资源属性分为“归属地( 河北省)、公司组织结构(总经理)”等判定条件,权限检查是否为“读”或“写”,并将每个属性定义为一个属性维。
从分析看到, RBAC 对资源的权限管理是通过角色来指派的,因此业务资源在属性上的权限问题就转化为业务资源的属性维度问题,进而转化为角色的多维问题。
3 结语
本文介绍了货物进出口系统的维度建模技术的实现方法,并在此基础上研究了基于RBAC 的维度权限管理模型。该模型对保障数据库的数据安全、保障管理信息系统的正常运行和防止用户越权访问数据具有重要意义。
【参考文献】
[1] 王超.Dimensional Modeling of the Migrant Workers Medical Data Analysis System[J], 计算机系统应用. 2013,22(4)
[2] Sandhu R S,Coyne E J,Feinsteinh L,et a1.Role-based access models[J]. IEEEComputer,1996,29(2) :38—47.
[ 3 ] C r o o k R , I n c e D , N u s e i b e h B .Modeling access policies using roles in requirements engineering[J]. Information and Software Technology, 2003,45(14) :979—991.
[4] Sheng-Yin Huang. Multidimensional data mining for healthcare service portfolio management[J] . Computer Medical Applications (ICCMA), 2013 International Conference on 20-22 Jan. 2013
[5] Li Dequan, Ruan Yuzhi, Yang Runzhi, Ma Tinghuai. Privilege M anagement M odel Based on RBAC for Meteorological Data Resource Service[J]. Journal of Applied Meteorological Science. Vo1. 23.NO.5 October 2012
[6] WU Jiang-dong, LI Wei-hua, AN Xi-feng. Method of Finely Granular Access Control Based on RBAC[J]. COMPUTER ENGINEERING. 2008, 34(20)
[7] 严骏. 苏正炼. 凌海风. 朱亮. 张蕉蕉 MIS 中基于部门和角色的细粒度访问控制模型[J]. 计算机应用 2011(2)
[8] LIU Qiang WANG Lei HE Lin. Research on a Series of Problems in RBAC Model[J]. Computer Science.Vo1.39 No.11 Nov 2012
【作者简介】
张晓宁(1981.6),女,辽宁锦州人,讲师。028
智能应用
Intelligence Application