1 前言

    系統(tǒng)權限管理是每個應用系統(tǒng)不可缺少的組成部分，是系統(tǒng)安全的重要保障。用戶如果要執(zhí)行某項操作，必須具備相應的權限。一旦用戶權限分配或管理不適當，必將給系統(tǒng)帶來潛在的威脅，甚至造成不可預計的損失。因此，每個系統(tǒng)都需要有一個或多個權限系統(tǒng)來實現(xiàn)訪問權限控制，讓經(jīng)過授權的用戶可以正常合法地使用已授權功能，而將那些未經(jīng)授權的“非法用戶”拒之門外，以保證系統(tǒng)操作的安全性和合法性。

2 系統(tǒng)權限管理的需求

    系統(tǒng)權限管理可以通過角色進行資源分配。基于角色的訪問控制模型已廣泛應用，它將權限一致的人員劃分為同一角色，然后對該角色進行資源分配，從而達到為用戶賦予資源的目的。系統(tǒng)權限管理應該是可擴展的。它應該可以加入到任何帶有權限管理功能的系統(tǒng)中，就像是組件一樣可以被不斷重用。

    為方便授權管理，系統(tǒng)中除設置系統(tǒng)管理員外，還在各個主要部門、科室等管理單位設置不同的二級管理員，負責本單位的資源分配。在這一過程中，要求杜絕越權行為。例如，有兩個職能部門A，B，分配了各自的管理員AA(A部門)，BB(B部門)，就要確保兩個管理員只能管理自己所轄部門的資源，AA不能通過權限管理界面篡改自己的權限來非法獲取B部門的資源，反之亦然。

3 基于角色的訪問控制模型應用

    制造執(zhí)行系統(tǒng)(manufacturing execution system，簡稱MES)是美國AMR公司(Advanced Manufacturing Research，Inc．)在上世紀90年代初提出的，旨在加強MRP計劃的執(zhí)行功能，把MRP計劃同車間作業(yè)現(xiàn)場控制通過執(zhí)行系統(tǒng)聯(lián)系起來。MES能通過信息傳遞對從訂單下達到產(chǎn)品完成的整個生產(chǎn)過程進行優(yōu)化管理。

    鋼鐵企業(yè)MES系統(tǒng)是一個用戶數(shù)量多、用戶權限相對復雜的系統(tǒng)，根據(jù)其權限管理的需求分析，采用基于角色的訪問控制(RBAC)模型，同時結合按組織結構職能進行資源劃分的原則，分配用戶權限。RBAC模型有2個顯著的特征：1)減小授權管理的復雜性，降低管理成本；2)靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

3.1 權限管理的基本元素

    在鋼鐵企業(yè)MES應用中，我們設計了用戶、角色、部門、系統(tǒng)資源和可執(zhí)行操作5個實體元素，各元素基本含義如下：

    系統(tǒng)資源：把應用系統(tǒng)中的資源分為頁面資源與按鈕資源2種，頁面資源為用戶所能使用的UI界面，實現(xiàn)信息的展示及錄入；按鈕資源為UI界面上的操作按鈕，實現(xiàn)某一功能操作，如對數(shù)據(jù)的增刪改查等功能操作。

    部門：組織結構的職能范圍，是系統(tǒng)頁面資源的所有者，系統(tǒng)中的每一個頁面資源都屬于一個或多個部門擁有，每個用戶只能使用本部門及其子部門所擁有的資源。

    角色：系統(tǒng)資源的分配手段，實現(xiàn)一組工作性質與工作職責相同的用戶其權限大小的唯一性與一致性，減少權限分配中的重復性，降低權限分配中的復雜性。

    用戶：系統(tǒng)資源的使用者，根據(jù)自己的權限大小，對系統(tǒng)資源進行合法使用。

3.2 各元素之間的關系

    各個實體元素之間的關系如圖1所示。

圖1 各個實體元素之間的關系

    說明：

    1)在分配系統(tǒng)權限時，首先將系統(tǒng)資源中的頁面資源按職能分配給各個部門和角色，再把每個頁面中的按鈕資源分配給角色。

    2)用戶在獲取自己的權限時，按照其所在部門的權限及所屬角色的權限進行分配。

    3)系統(tǒng)中部門權限由系統(tǒng)管理員統(tǒng)一分配，角色權限的分配可以由系統(tǒng)管理員下放給各個部門的管理員進行分配。

    在改進的基于角色的訪問控制中，有其獨特的特征：

    1)將系統(tǒng)資源中的頁面資源及按鈕資源進行分離，使角色可以靈活地設置頁面并與操作按鈕任意組合，實現(xiàn)不同職能人員的各種需求，提高了系統(tǒng)的靈活性與健壯性。

    2)把系統(tǒng)頁面資源按職能分配到各個職能部門，實現(xiàn)了二級(部門)管理員的系統(tǒng)管理要求，二級管理員只擁有本部門的資源配置權，使得系統(tǒng)的管理變得更加容易。

3.3 用戶權限

    當用戶需要訪問MES時，經(jīng)身份認證后，根據(jù)用戶提供的登錄信息，系統(tǒng)自動獲取用戶的所有角色信息，將所有角色的UI資源合并成一個集合，再根據(jù)用戶所在部門所擁有的Ul資源，將兩個資源集合進行交集運算得到用戶最終所擁有的UI資源：

    用戶角色所擁有的UI資源(并集)：R1=A1U A2U…UAn

    用戶部門所擁有的UI資源：R2；

    用戶最終擁有的UI資源(交集)：R=R1∩R2。

    當用戶需要對訪問的某一資源進行操作時，系統(tǒng)根據(jù)用戶角色對該UI資源所擁有的按鈕集與UI資源本身所具有的按鈕集進行交集運算得到用戶對該資源所能執(zhí)行的按鈕集：

    用戶角色對該UI所擁有的按鈕集(并集)：E1=B1U B2U…UBn；

    該UI資源本身所具有的按鈕集：E2；

    用戶對該UI所具有的按鈕集(交集)：E=E1∩E2。

4 結語

    基于角色控制模型廣泛應用于各個系統(tǒng)。在本應用中，對RBAC模型進行了改進，引入了按組織結構進行資源劃分，滿足了二級管理員對系統(tǒng)進行管理的需求。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標題：一種基于RBAC模型在鋼鐵企業(yè)MES系統(tǒng)中的應用

本文網(wǎng)址：http://m.lukmueng.com/html/consultation/1082027558.html