试述管理系统基于WEB经费预算管理系统中角色设计
本站原创 摘 要:在管理信息系统中,权限管理访问控制系统是代码重用性能最高的模块之一。强健系统的构建及对管理系统安全性的保证显得尤为重要。本文简述了RBAC的原理,然后分析了经费预算管理系统用户、组织结构和角色关系,最后进行了经费预算管理系统系统BRAC设计。
关键词:RBAC;经费管理;角色会计专业毕业设计
1007-9599 (2013) 04-0000-03
1 引言
作为互联网信息安全的重要管理战略,访问控制是通过一种途径显式地准许或者限制用户、组或者角色对相关信息资源访问能力和范围的方法。访问控制技术的种类很多,如强制访问控制、自主访问控制以及基于角色的访问控制(RBAC)等等,其中业内公认基于角色访问控制较为适合在大企业的计算机网络管理中进行实施。最早提出基于角色的思想是在二十世纪六十年代,但是RBAC模型直到九十年代才被给予足够的重视并开始研究,词汇“基于角色的访问控制”最早的使用者是Ferraiolo和Kuhn[3][4],此后,Sandhu等人对它进行了更为深入的探索和研究,在此基础上提出了RBAC96模型,在学术界获得了广泛的认同,模型见图1[4][5]。RBAC96模型的基本特征就是将角色这个概念引入用户和访问权限之间,并将角色按照安全策略进行划分,同时将操作允许分配给每个角色。还可以将角色指派给用户,用户可以经过角色来间接地访问信息资源。角色访问控制有效地降低了安全管理成本和管理的复杂性,将传统的自主访问控制和强制访问控制所体现出来的管理困难的问题加以解决。因此,基于角色的访问控制能够有效对大型网络系统访问控制的问题进行解决[5][6]。
高校的经费预算系统会对财务管理过程中信息进行收集、整合和发布,使教职员工可以经过管理平台来进行利用和查询,因此推动了高校财务管理信息化、电子化应用水平。在平台上,扩展了系统的功能,使得各功能模块的设置更加灵活,与基于角色的访问控制技术整合。
2 RBAC原理
RBAC包含3个实体:权限Privilege、用户User和角色Role。见图1。
用户作为操作主题来操作数据对象摘自:毕业论文选题http://www.328tibet.cn
,可以为人、计算机甚至机器人。权限为对某一数据的可操作的权利,通常数据对象可以为表、视图、字段甚至记录。对上述某特定的数据对象进行修改、读写、删除等某一特定操作的权利,就是一项权限。
角色的提出是基于工作职务的,在日常的工作中,一个具体的职务由处理事务的权利来表现。而在授权管理中引入角色的概念,可以将用户和权限联系起来,起到桥梁的作用。角色与权限关联好似其所拥有的权限集合,而用户与它的关联则好似有同样身份的众多用户的集合。
用户与角色呈现多对多的关系,一个角色可以赋予众多用户,同样一个用户也能被赋予众多不同角色。同理,角色与权限也呈现多对多的关系,一个权限可以被赋给众多不同角色,同样一个角色也可以拥有众多项权限。RBAC最基本的工作理论就是:用户登陆某个系统,是否可以进行访问以及访问的资源信息量等都可以通过其拥有的角色权限来进行判断。
从图1中能够看出,角色可以分为不同等级,不同等级的角色可以通过继承产生偏序关系。同时可以将约束机制引入BRAC中,并限制授权过程。相对常见的约束是赋予特殊或定义互斥角色用户量的限制。
3 经费预算管理系统用户、组织结构和角色关系
该系统的组成对象有角色、系统管理员、用户、分系统管理员、组织结构、总系统管理员。其中,用户和系统管理员分别是特殊角色和特殊用户,用户隶属某一组织结构,根据它拥有的权限划将系统管理员分为总系统管理员及分系统管理员,它们呈现出特殊和一般的举例联系,如图2。
对于这个权限模型还要实现以下功能:
A.系统的登录:用户只要有和相应的口令就能够成功地登录该系统。
B.角色的建立:管理员均可以建立角色,因为他是上述被赋予建立角色权限的特殊用户。
C.用户的建立:只要是管理员均可以建立用户,因为他是上述被赋予建立用户权限的特殊用户。
D.建立用户角色关系:只要是管理员就可以建立用户角色关系。
E.用户权限范围的设置:管理员是拥有设置用户权限范围的特殊用户,因此,只要是管理员就能进行用户权限的设置。
F.分配角色权限:(即拥有分配角色权限的特殊用户)就可以分配角色权限。
G.建立组织结构:只要是管理员(即拥有建立组织结构权限的特殊用户)就可以建立组织结构。
4 经费预算管理系统BRAC设计
在经费预算管理系统设计中,为了对访问权限信息进行管理,为授权系统建立主要基表如下:
(2)为了与系统名称不相冲突,所以在所有属性名之后均加_;
(3)以下为主要属性说明:
①CLASS_用于标识用户和角色,当CLASS_为“U”时表示用户,当CLASS_为“R”时则表示角色;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
③ACCOUNT_本属性用于保存用户的登陆帐户;
④NAME_用来表示角色及用户的名称;
⑤SEX_本属性用来记录用户的性别;
⑥PASSWORD_属性用来保存用户登录系统时的口令;⑦DESCRIBE_用来保存对用户或角色的普通说明;
⑧BIRTHDAY_用来保存用户的的出生日期;
⑨SORT_用来对角色或用户进行排序;会计论文范文
⑩STATUS_用来标识角色或用户的权限状态;
?REMARK_用来保存对用户或角色的补充说明;
以字段CLASS_进行区分,当CLASS_为“U”时就表示用户,当CLASS_为“R”时则表示角色;
(2)为了防止与系统名称的冲突,要在每个属性的名称后都加上“_”;会计电算化专业毕业论文范文
(3)表中的属性说明:
①CLASS_用于标识数据为模块还是部门,CLASS为“M”时就表示模块,为“D”时表示部门;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
③PARENT_用来标识部门的父部门和模块的父模块,以方便完成权限的继承;
④NAME_用来说明模块及部门的名称;
⑤DESCRIBE_用来保存对部门及模块的普通说明;
⑥TYPE_用来标志部门的类型及模块的功能;
⑦SORT_用来排序部门及模块;
⑧STATUS_用来标识对部门及模块权限状态;
⑨REMARK_用来保存对部门及模块的补充说明;
(2)表中的主要属性说明:
①NAME_名称能够为空也能为用户或部门名称或角色;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
③USER_是用户的名称;
④ROLER_是角色的名称;
⑤DESCRIBE_用来保存对用户关系或部门、用户关系和角色的普通说明;
⑥GROUP_是部门的名称;
⑦SORT_用来对记录进行排序;
⑧STATUS_用来标识关系的可用状态;
⑨REMARK_用来保存对用户关系或部门、用户关系和角色的补充说明;
(2)主要属性的说明如下:
①ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
②NAME说明权限的名称;
REMARK_用来保存对权限的补充说明;
DESCRIBE_用来保存对权限的普通说明;
STATUS_用来标志权限状态;会计系论文范文
SORT_用来排序权限;
(2)以下为主要属性的说明:
①CLASS_用以区分权限是用于角色还是用户,当CLASS_为“U”时就表示用户,当CLASS_为“R”时则表示角色;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;学年论文
③SCOPE_用来保存本权限所适用的用户范围;
④ENTITY_用来保存用户或角色的ID_;
⑤ACTION_用来表示用户或角色所拥有那些权限;
⑥MODULE_用来保存模块的ID;
⑦REMARK_用来保存对权限的补充说明;
⑧DESCRBIE_用来保存对权限的普通说明;
⑨STATUS_用来标志权限状态;
⑩SORT_用来排序权限;
在经费管理系统中,系统的权限管理界面仅仅是系统功能的一个小部分,除此之外,经费管理系统的安全管理模块还为系统的二次开发人员提供了丰富的支撑接口函数,这些接口函数可以实现对经费管理子系统中数据的访问和操作,从而对系统的安全实现了统一管理。具体流程如下:
(1)用户登录经费管理系统的安全管理模块;
(2)使用接口函数提供的功能,获取访问子系统的角色权限;
(3)实现访问控制。毕业论文会计
5 总结
对于角色的RBAC模型,经过引入角色,作为被访问的客体和用户(资源或数据)的中间媒介,使得管理成本和安全的授权管理复杂度得到显著提高,今后的研究可以在IHRBAC的基础上,进一步深入研究用户角色同新型约束机制的委派关系,从而从根本上统一IHRBAC模型,在动态授权管理方面具有良好的功能和效果。
参考文献:
杨亚平,李伟琴,刘怀宇.基于角色的细粒度的访问控制系统的研究与实现[J].北京航空航天大学学报,2001,27(2):178-181.
黄益民,杨子江,平玲娣,潘雪增.安全管理系统中基于角色访问控制的实施方法[J].浙江大学学报(工学版),2004,38(4).
[3]DID Ferraiolo,RICHARD Kuhn. Role-based access controls[EB/OL]. In:Proceedings of the 15thNationalComputer Security Conference,Baltimore,MD,1992,554-563.http://csrc. nist. gov/s源于:本科http://www.328tibet.cn
taff/kuhn/rkhome. html
[4]刘斌,李瑞芳,刘东苏.信息系统中的访问控制模型研究[J].情报杂志,2003,1
[作者简介]赵伦(1976.3-),男,汉族,云南昭通人,硕士,主要研究方向:数据库技术、图形图像技术。
关键词:RBAC;经费管理;角色会计专业毕业设计
1007-9599 (2013) 04-0000-03
1 引言
作为互联网信息安全的重要管理战略,访问控制是通过一种途径显式地准许或者限制用户、组或者角色对相关信息资源访问能力和范围的方法。访问控制技术的种类很多,如强制访问控制、自主访问控制以及基于角色的访问控制(RBAC)等等,其中业内公认基于角色访问控制较为适合在大企业的计算机网络管理中进行实施。最早提出基于角色的思想是在二十世纪六十年代,但是RBAC模型直到九十年代才被给予足够的重视并开始研究,词汇“基于角色的访问控制”最早的使用者是Ferraiolo和Kuhn[3][4],此后,Sandhu等人对它进行了更为深入的探索和研究,在此基础上提出了RBAC96模型,在学术界获得了广泛的认同,模型见图1[4][5]。RBAC96模型的基本特征就是将角色这个概念引入用户和访问权限之间,并将角色按照安全策略进行划分,同时将操作允许分配给每个角色。还可以将角色指派给用户,用户可以经过角色来间接地访问信息资源。角色访问控制有效地降低了安全管理成本和管理的复杂性,将传统的自主访问控制和强制访问控制所体现出来的管理困难的问题加以解决。因此,基于角色的访问控制能够有效对大型网络系统访问控制的问题进行解决[5][6]。
高校的经费预算系统会对财务管理过程中信息进行收集、整合和发布,使教职员工可以经过管理平台来进行利用和查询,因此推动了高校财务管理信息化、电子化应用水平。在平台上,扩展了系统的功能,使得各功能模块的设置更加灵活,与基于角色的访问控制技术整合。
2 RBAC原理
RBAC包含3个实体:权限Privilege、用户User和角色Role。见图1。
用户作为操作主题来操作数据对象摘自:毕业论文选题http://www.328tibet.cn
,可以为人、计算机甚至机器人。权限为对某一数据的可操作的权利,通常数据对象可以为表、视图、字段甚至记录。对上述某特定的数据对象进行修改、读写、删除等某一特定操作的权利,就是一项权限。
角色的提出是基于工作职务的,在日常的工作中,一个具体的职务由处理事务的权利来表现。而在授权管理中引入角色的概念,可以将用户和权限联系起来,起到桥梁的作用。角色与权限关联好似其所拥有的权限集合,而用户与它的关联则好似有同样身份的众多用户的集合。
用户与角色呈现多对多的关系,一个角色可以赋予众多用户,同样一个用户也能被赋予众多不同角色。同理,角色与权限也呈现多对多的关系,一个权限可以被赋给众多不同角色,同样一个角色也可以拥有众多项权限。RBAC最基本的工作理论就是:用户登陆某个系统,是否可以进行访问以及访问的资源信息量等都可以通过其拥有的角色权限来进行判断。
从图1中能够看出,角色可以分为不同等级,不同等级的角色可以通过继承产生偏序关系。同时可以将约束机制引入BRAC中,并限制授权过程。相对常见的约束是赋予特殊或定义互斥角色用户量的限制。
3 经费预算管理系统用户、组织结构和角色关系
该系统的组成对象有角色、系统管理员、用户、分系统管理员、组织结构、总系统管理员。其中,用户和系统管理员分别是特殊角色和特殊用户,用户隶属某一组织结构,根据它拥有的权限划将系统管理员分为总系统管理员及分系统管理员,它们呈现出特殊和一般的举例联系,如图2。
对于这个权限模型还要实现以下功能:
A.系统的登录:用户只要有和相应的口令就能够成功地登录该系统。
B.角色的建立:管理员均可以建立角色,因为他是上述被赋予建立角色权限的特殊用户。
C.用户的建立:只要是管理员均可以建立用户,因为他是上述被赋予建立用户权限的特殊用户。
D.建立用户角色关系:只要是管理员就可以建立用户角色关系。
E.用户权限范围的设置:管理员是拥有设置用户权限范围的特殊用户,因此,只要是管理员就能进行用户权限的设置。
F.分配角色权限:(即拥有分配角色权限的特殊用户)就可以分配角色权限。
G.建立组织结构:只要是管理员(即拥有建立组织结构权限的特殊用户)就可以建立组织结构。
4 经费预算管理系统BRAC设计
在经费预算管理系统设计中,为了对访问权限信息进行管理,为授权系统建立主要基表如下:
4.1 角色表、用户(RBAC-ID-SER)
(1)用户与角色拥有部分相同的结构,在赋于权限的时候要要使用同一个ID,因此,要将用户和角色这两个对象置于同一物理表,以字段CLASS_进行区分,当CLASS_为“U”时就表示用户,当CLASS_为“R”时则表示角色;(2)为了与系统名称不相冲突,所以在所有属性名之后均加_;
(3)以下为主要属性说明:
①CLASS_用于标识用户和角色,当CLASS_为“U”时表示用户,当CLASS_为“R”时则表示角色;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
③ACCOUNT_本属性用于保存用户的登陆帐户;
④NAME_用来表示角色及用户的名称;
⑤SEX_本属性用来记录用户的性别;
⑥PASSWORD_属性用来保存用户登录系统时的口令;⑦DESCRIBE_用来保存对用户或角色的普通说明;
⑧BIRTHDAY_用来保存用户的的出生日期;
⑨SORT_用来对角色或用户进行排序;会计论文范文
⑩STATUS_用来标识角色或用户的权限状态;
?REMARK_用来保存对用户或角色的补充说明;
4.2 组织结构(RBAC_ID_GROUP)
(1)部门与功能模块拥有部分相同结构,在权限赋于时要合用一个ID,因此要将部门与功能模块这两个对象放于一个物理表中,以字段CLASS_进行区分,当CLASS_为“M”时就表示功能模块,当CLASS_为“D”时则表示部门;以字段CLASS_进行区分,当CLASS_为“U”时就表示用户,当CLASS_为“R”时则表示角色;
(2)为了防止与系统名称的冲突,要在每个属性的名称后都加上“_”;会计电算化专业毕业论文范文
(3)表中的属性说明:
①CLASS_用于标识数据为模块还是部门,CLASS为“M”时就表示模块,为“D”时表示部门;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
③PARENT_用来标识部门的父部门和模块的父模块,以方便完成权限的继承;
④NAME_用来说明模块及部门的名称;
⑤DESCRIBE_用来保存对部门及模块的普通说明;
⑥TYPE_用来标志部门的类型及模块的功能;
⑦SORT_用来排序部门及模块;
⑧STATUS_用来标识对部门及模块权限状态;
⑨REMARK_用来保存对部门及模块的补充说明;
4.3 成员关系
(1)本张表主要保存角色、部门和用户之间的关系;(2)表中的主要属性说明:
①NAME_名称能够为空也能为用户或部门名称或角色;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
③USER_是用户的名称;
④ROLER_是角色的名称;
⑤DESCRIBE_用来保存对用户关系或部门、用户关系和角色的普通说明;
⑥GROUP_是部门的名称;
⑦SORT_用来对记录进行排序;
⑧STATUS_用来标识关系的可用状态;
⑨REMARK_用来保存对用户关系或部门、用户关系和角色的补充说明;
4.4 权限
(1)这表用来保存角色、用户权限;(2)主要属性的说明如下:
①ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;
②NAME说明权限的名称;
REMARK_用来保存对权限的补充说明;
DESCRIBE_用来保存对权限的普通说明;
STATUS_用来标志权限状态;会计系论文范文
SORT_用来排序权限;
4.5 权限集
(1)这表用来保存用户及角色的权限;(2)以下为主要属性的说明:
①CLASS_用以区分权限是用于角色还是用户,当CLASS_为“U”时就表示用户,当CLASS_为“R”时则表示角色;
②ID_为数据唯一的标识,表中的主键同对象表中的ID相对应,采用了目前最长的19位长度设置,目的是保证后期的角色和用户扩展;学年论文
③SCOPE_用来保存本权限所适用的用户范围;
④ENTITY_用来保存用户或角色的ID_;
⑤ACTION_用来表示用户或角色所拥有那些权限;
⑥MODULE_用来保存模块的ID;
⑦REMARK_用来保存对权限的补充说明;
⑧DESCRBIE_用来保存对权限的普通说明;
⑨STATUS_用来标志权限状态;
⑩SORT_用来排序权限;
在经费管理系统中,系统的权限管理界面仅仅是系统功能的一个小部分,除此之外,经费管理系统的安全管理模块还为系统的二次开发人员提供了丰富的支撑接口函数,这些接口函数可以实现对经费管理子系统中数据的访问和操作,从而对系统的安全实现了统一管理。具体流程如下:
(1)用户登录经费管理系统的安全管理模块;
(2)使用接口函数提供的功能,获取访问子系统的角色权限;
(3)实现访问控制。毕业论文会计
5 总结
对于角色的RBAC模型,经过引入角色,作为被访问的客体和用户(资源或数据)的中间媒介,使得管理成本和安全的授权管理复杂度得到显著提高,今后的研究可以在IHRBAC的基础上,进一步深入研究用户角色同新型约束机制的委派关系,从而从根本上统一IHRBAC模型,在动态授权管理方面具有良好的功能和效果。
参考文献:
杨亚平,李伟琴,刘怀宇.基于角色的细粒度的访问控制系统的研究与实现[J].北京航空航天大学学报,2001,27(2):178-181.
黄益民,杨子江,平玲娣,潘雪增.安全管理系统中基于角色访问控制的实施方法[J].浙江大学学报(工学版),2004,38(4).
[3]DID Ferraiolo,RICHARD Kuhn. Role-based access controls[EB/OL]. In:Proceedings of the 15thNationalComputer Security Conference,Baltimore,MD,1992,554-563.http://csrc. nist. gov/s源于:本科http://www.328tibet.cn
taff/kuhn/rkhome. html
[4]刘斌,李瑞芳,刘东苏.信息系统中的访问控制模型研究[J].情报杂志,2003,1
1.毕业论文范文 会计
[5]RI Sandhu and EDWARD Coyne. Role-based AccessControlModels[J].IEEE Computer.1996,29(2):38-47.[作者简介]赵伦(1976.3-),男,汉族,云南昭通人,硕士,主要研究方向:数据库技术、图形图像技术。