基于角色的设计系统访问控制规则
2022-02-18
来源:好走旅游网
机械设计与制造 一222一 Machinery Design&Manufacture 第l0期 2008年l0月 文章编号:1001—3997(2008)10--0222-02 基于角色的设计系统访问控制规则水 赵博阎艳宁汝新王锋 (北京理工大学,北京100081) Role-based access control for design system ZHAO Bo,YAN Yan,NING Ru-xin,WANG Feng (Beijing Institute of Technology,Beijing 10008 1,China) ∞ ∞ . ; 【摘要】权限管理是企业门户设计系统构建过程的一项关键技术。访问控制的设计直接关系到系统; l信息的安全。在研究各种访问控制模型的基础上,采用基于角色的访问控制策略,设计了系统的访问控制l l规则,方便而高效地管理各种不同角色的用户。在利用软件SimManager--&开发的油气弹簧设计系统中l l进行了验证。 l ; 关键词:基于角色的访问控制;安全;SimManager ; ; i 【Abstract]Privilege ̄ment is口后ey technology in the process ofconstructing&sign platform.1 } esdign about access control decides the security fionformation.We use the role-based CIccess control to l ;design the regular f oaccess control in our system based on teh mechanism of MSC.SimManager. . ;ml e咖。thod Cinal- gnsau mspagrien gteh roles more conveniently and eif%iently.And it hsa been proved in our desing sys一{ 1 i 。b Key words:Role-based access control;Security;SimManager 吧雪0 , N 雪毒 , 奄毒 蝠 詹0 N 雪0 信 奢 , , , 詹 、。 l 中图分类号:TH16。TP391文献标识码:A 1引言 权限管理是产品设计系统保证数据安全的核心。权限管理是 以访问控制模型为基础的,访问控制就是通过某种途径,显式地 准许或限制用户、组或角色对信息资源的访问能力及范围的一种 方法【l】。目前各种访问控制模型都在不断的发展中,主要有自主访 问控制(Discretionary Access Control,DAC)型、强制访问控制 (Mandatory Access Control,MAC)模型和基于角色的访问控制 (Role—Based Access Control,RBAC)模型等 ;而基于角色的访问 控制更是研究的热点。本文在开发面向油气弹簧设计的系统过程 中,采用基于角色的访问控制策略,有效地控制了不同用户对数 据的访问。 表2数据对象操作说明表 操作 说明 Read 繁 显 l51} 尹对象‘当然’要读取的数据对象必须 Write 对数据对象进行写操作 Executor执行某一流程动作 Delete流程动作“删除”,删除—个数据对象 Kill 终止—个流程动作 Demote降低数据对象的ReleaseLevel等级 Release提升数据对象的ReleaseLevel等级 … 与系统权限有关的基本概念有:用户(user),用户组User profile),角色(role),操作(operation),域(Domain),发布等级(Re— leaseleve1),项目(Project)。它们之间的关系是:用户(用户组)在 2权限管理机制介绍 不同的项目中或域中,对不同发布等级的数据对象具有不同的操 作。如图1所示。这种机制解决了这样一个问题:具有不同角色的 设计系统的权限分为两大类:(1)系统管理权限:定义所有涉 用户能够对具有不同发布等级的数据对象进行何种操作。 及系统管理方面的操作;(2)数据访问权限:规定某一用户是否可 以访问系统的数据,是否能够执行系统的流程动作,限制用户对 数据的对写操作。相应的用户操作分为两大类:对于系统管理的 操作和对数据对象的操作,如表1、表2所示。 表1系统管理操作说明表 操作 createProjeet 说明 创建项目 图1权限管理机制示意图 3企业门户设计系统权限设计实例 3.1系统权限设计需求 研究企业门户设计系统基于软件SimManager进行二次开 发。MSC.SimManager是MSC公司出品的仿真数据和仿真流程管 editProject addPermission 编辑项目 添加某种许可操作 添加用户 addUser ★来稿日期:2007—12~23★基金项目:国防基础科研项目(B0920060901) 第10期 赵博等:基于角色的设计系统访问控制规则 用户 cw zIIa0bo Jin 一223一 Bom 理平台,用于对虚拟产品开发过程中海量、多样性的仿真数据和 复杂的仿真流程进行有效的管理,促进流程参与者之间的协作, 提高仿真流程和产品开发流程的效率。MSC.SimManager可以快 速建立基于Web的企业级仿真门户,创建及实施交互式自动化 表3用户在油气弹簧设计系统各个模块的操作权限表 模块(域) 任务管理模块 (I-IS_Pub) 选型设计模块 (HS_Pub) 参数计算模块 (Hs_-Pam) 读取操作{卖取操作读取操作读取操作 仿真流程,管理产品开发流程中所有的仿真任务,更快、更早地提 供仿真关键结果,为研究备选方案和设计优化争取更多的时间, 从而降低对物理试验的依赖度。MSC.SimManager超越了文件管 理方式,采用面向对象的方式管理仿真数据和流程,以全面监控 仿真过程中每一步流程,跟踪每—个对象的来源和走向。对于任 意仿真结果,可建立与其它数据的关联关系,如:模型变量、材料 数据、软件版本、平台、时间、仿真执行人、甚至是存储于PDM系 统中的几何模型。MSC.SimManager可以处理在设计研究过程中 刚度阻尼计算模 块(HS_S'nn) ,l舸模型生成模 块(HS..Mode1) 有限元分析模块 (HS_Mode1) 方案评价模块 (HS_Pub) 报告生成模块 (Hs_.Pub) 产生的大量“what-if’数据,检查、比较仿真结果,从多个仿真结果 中汇集数据,方便、快速地生成比较报告,快速进行数据挖掘。 针对企业的不同产品,我们研究与开发的企业门户设计系统 注:1代表有权限。‘读取”操作对应角色:viewer,而‘操作”对应角色:author 对于管理员用户Boma(manager),可以看到所有的数据,执 如2图所示。 由多个子系统构成,每个子系统又按照设计流程划分为不同的功 行所有的操作,能模块。因此,需要在设计系统中实现具有不同角色的用户能够 进行不同的操作。具体来说,系统由一个管理员角色,行使管理系 统的各种权利,赋予不同用户不同的操作权限。普通用户不能看 到其所属设计系统之外系统的数据,在同一个设计系统各个模块 之间,用户只能执行其所属模块的动作,对于其他模块可以看到 l l O O l 1 1 1 数据但是不能进行任何操作。以油气弹簧设计子系统各个模块为 例进行验证。 1 l i i i;I I 3-2权限设计步骤 1 l l l 0 O O l l 图2管理员用户Boma的视图 首先定义不同的角色“user”,“viewer”,“author”,“manager”o 1 i; 对于普通用户zhaobo:只能执行部分动作,可以看到其他用 User:没有任何权限,只能进入系统,普通用户进入系统默认是该 户数据。其视图如图3所示。 角色。viewer:只能看到数据不能操作;author可以看到数据也可 l l O 1 O 0 1 l 以进行一定的操作;manager是系统管理员,可以进行任何操作 包括系统设置。因此,赋予角色user只有读取ReleaseLevel等级 1 1}i 为一0’的数据对象的权限,然而由于该角色不能创建数据并且其 ; l l ;{;旨读取其他角色创建的数据,所以user几乎任何数据都看不 到。对于角色viewer设定实际读取数据的权限,即其可以看到他人 创建的数据,但是其不能对数据进行任何改动操作,也不能执行流 程动作。角色Author的权限相对大—些,可以对数据进行大部分操 作,例如读取、修改等,但是该角色可以修改的数据范围严格限制在 图3晋通用户zhaobo的视图 其创建伪 嚏旨范围内。 通过这样的权限设置,在油气弹簧设计子系统外,三个不同 4结论 提出了一种基于角色的访问控制机制,利用SimManager内 用户的角色均为user,都只有最低的权限,既不能执行系统的任 置的权限规则实现了将系统的多个用户分为不同角色,不同的角 何动作,也看不到系统的任何数据。这只是一种初始状态,为了能 色能够执行不同的系统动作,对系统的数据进行不同程度的访 够使用户在弹簧系统不同模块间具有不同的权限,设计操作权 问。通过油气弹簧设计系统进行了验证,达到了预期目的。本例只 限,如表3所示。 是从功能角度对基于角色的访问控制规则进行验证,可以根据企 3.3系统运行结果 经过这样的系统权限设计,在初始化设计系统之后,利用管 理员身份登录,在页面“编辑项目”选项中按照表3设置改变用户 的域角色,使其能够执行其他域的动作。各个用户的视图如下所 业的实际需求,进一步细分用户角色及操作权限。 参考文献 1朱羚.—种基于约束规则的访问控制模型的研究与实现:[硕士学位论文]. 上海:华东师范大学,2004 示。为了查看方便,不同的用户创建的数据对象由该澎啪 c寸京名称 2刘宏月,范九伦,马建峰.访问控制技术研究进展[J].小型微型计算机系 的最后厂L个宇訇加以区别。如taskl--zz代表zha0bo仓犍的数据。 统.2004,25(1):56 59