1 前言

    系統權限管理是每個應用系統不可缺少的組成部分，是系統安全的重要保障。用戶如果要執行某項操作，必須具備相應的權限。一旦用戶權限分配或管理不適當，必將給系統帶來潛在的威脅，甚至造成不可預計的損失。因此，每個系統都需要有一個或多個權限系統來實現訪問權限控制，讓經過授權的用戶可以正常合法地使用已授權功能，而將那些未經授權的“非法用戶”拒之門外，以保證系統操作的安全性和合法性。

2 系統權限管理的需求

    系統權限管理可以通過角色進行資源分配�；�于角色的訪問控制模型已廣泛應用，它將權限一致的人員劃分為同一角色，然后對該角色進行資源分配，從而達到為用戶賦予資源的目的。系統權限管理應該是可擴展的。它應該可以加入到任何帶有權限管理功能的系統中，就像是組件一樣可以被不斷重用。

    為方便授權管理，系統中除設置系統管理員外，還在各個主要部門、科室等管理單位設置不同的二級管理員，負責本單位的資源分配。在這一過程中，要求杜絕越權行為。例如，有兩個職能部門A，B，分配了各自的管理員AA(A部門)，BB(B部門)，就要確保兩個管理員只能管理自己所轄部門的資源，AA不能通過權限管理界面篡改自己的權限來非法獲取B部門的資源，反之亦然。

3 基于角色的訪問控制模型應用

    制造執行系統(manufacturing execution system，簡稱MES)是美國AMR公司(Advanced Manufacturing Research，Inc．)在上世紀90年代初提出的，旨在加強MRP計劃的執行功能，把MRP計劃同車間作業現場控制通過執行系統聯系起來。MES能通過信息傳遞對從訂單下達到產品完成的整個生產過程進行優化管理。

    鋼鐵企業MES系統是一個用戶數量多、用戶權限相對復雜的系統，根據其權限管理的需求分析，采用基于角色的訪問控制(RBAC)模型，同時結合按組織結構職能進行資源劃分的原則，分配用戶權限。RBAC模型有2個顯著的特征：1)減小授權管理的復雜性，降低管理成本；2)靈活地支持企業的安全策略，并對企業的變化有很大的伸縮性。

3.1 權限管理的基本元素

    在鋼鐵企業MES應用中，我們設計了用戶、角色、部門、系統資源和可執行操作5個實體元素，各元素基本含義如下：

    系統資源：把應用系統中的資源分為頁面資源與按鈕資源2種，頁面資源為用戶所能使用的UI界面，實現信息的展示及錄入；按鈕資源為UI界面上的操作按鈕，實現某一功能操作，如對數據的增刪改查等功能操作。

    部門：組織結構的職能范圍，是系統頁面資源的所有者，系統中的每一個頁面資源都屬于一個或多個部門擁有，每個用戶只能使用本部門及其子部門所擁有的資源。

    角色：系統資源的分配手段，實現一組工作性質與工作職責相同的用戶其權限大小的唯一性與一致性，減少權限分配中的重復性，降低權限分配中的復雜性。

    用戶：系統資源的使用者，根據自己的權限大小，對系統資源進行合法使用。

3.2 各元素之間的關系

    各個實體元素之間的關系如圖1所示。

圖1 各個實體元素之間的關系

    說明：

    1)在分配系統權限時，首先將系統資源中的頁面資源按職能分配給各個部門和角色，再把每個頁面中的按鈕資源分配給角色。

    2)用戶在獲取自己的權限時，按照其所在部門的權限及所屬角色的權限進行分配。

    3)系統中部門權限由系統管理員統一分配，角色權限的分配可以由系統管理員下放給各個部門的管理員進行分配。

    在改進的基于角色的訪問控制中，有其獨特的特征：

    1)將系統資源中的頁面資源及按鈕資源進行分離，使角色可以靈活地設置頁面并與操作按鈕任意組合，實現不同職能人員的各種需求，提高了系統的靈活性與健壯性。

    2)把系統頁面資源按職能分配到各個職能部門，實現了二級(部門)管理員的系統管理要求，二級管理員只擁有本部門的資源配置權，使得系統的管理變得更加容易。

3.3 用戶權限

    當用戶需要訪問MES時，經身份認證后，根據用戶提供的登錄信息，系統自動獲取用戶的所有角色信息，將所有角色的UI資源合并成一個集合，再根據用戶所在部門所擁有的Ul資源，將兩個資源集合進行交集運算得到用戶最終所擁有的UI資源：

    用戶角色所擁有的UI資源(并集)：R1=A1U A2U…UAn

    用戶部門所擁有的UI資源：R2；

    用戶最終擁有的UI資源(交集)：R=R1∩R2。

    當用戶需要對訪問的某一資源進行操作時，系統根據用戶角色對該UI資源所擁有的按鈕集與UI資源本身所具有的按鈕集進行交集運算得到用戶對該資源所能執行的按鈕集：

    用戶角色對該UI所擁有的按鈕集(并集)：E1=B1U B2U…UBn；

    該UI資源本身所具有的按鈕集：E2；

    用戶對該UI所具有的按鈕集(交集)：E=E1∩E2。

4 結語

    基于角色控制模型廣泛應用于各個系統。在本應用中，對RBAC模型進行了改進，引入了按組織結構進行資源劃分，滿足了二級管理員對系統進行管理的需求。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：一種基于RBAC模型在鋼鐵企業MES系統中的應用

本文網址：http://m.guhuozai8.cn/html/consultation/1082027558.html