基于RBAC通用权限模型分析精选.docxVIP

浙江大学统一授权解决方案版 本：V0.1文档编号ZDTYSF2_RD_TEM_03必威体育官网网址等级作者吉日嘎拉编写日期2008-10-30审核人审核日期批准人批准日期修订记录日期版本修订说明修订人2008-10-30V0.1初稿吉日嘎拉权限的可行性分析我们开发各种软件项目过程中，经常需要开发配套的后台管理程序。通过后台权限设置，控制前台业务逻辑。当你开发的软件项目越来越多时，你需要开发的后台管理也会越来越多，这时有统一的权限后台来管理业务系统，实现系统有统一的帐号，由统一的授权体系来管理多个后台。1.1?理论基础参考标准：NIST （The National Institute of Standards and Technology，美国国家标准与技术研究院）基本模型RBAC0（Core RBAC）1.2?核心概念Access Control Objects (ACOs) 权限控制对象（ACO对象）是我们想要控制的事物（如网页，数据库，房间等）Access Request Objects (AROs) 权限需求对象（ARO对象）是要求权限的事物（如用户，远程计算机等），ARO tree ARO树则定义了ARO对象及组的级别，组可以包含其他组和ARO对象。ARO树缺省的catch-all（全部阻止了）策略总是拒绝所有权限的。自顶向下的权限系统，权限有权限分组，请求对象有请求对象分组，users是请求对象的分组。在ARO树上按照你的想法自顶向下明确地为每一个ACO对象分配所需的权限给组和ARO对象。Access eXtention Object (AXO) 权限扩展对象可以通过配置AXO对象为第三方添加权限。用最通俗的话来讲，权限要实现2个核心功能，一个是：谁（什么）有哪种权限？这个是属于操作权限范畴，另一个是：谁（什么）对什么（谁）有哪种权限？这个属于数据集权限范畴。从严格意义上来讲，操作权限属于数据集权限的一个特例，是在全数据集范围内的权限限制。图表表示：什么资源（例如用户、角色、计算机）有什么权限（操作权限）。图表表示：什么资源（例如用户、角色、计算机）对什么资源（例如用户、角色、计算机）有什么权限（操作权限），以上是实现权限域的功能。1.3?权限分类当一个系统权限问题考虑的比较多因素时，头脑就会有点乱，所以是需要简化权限系统配置，理清思路。业务系统按权限的定位策略，可以分为2大类，开放性业务系统、封闭性业务系统。开放性业务系统：如新闻类网站，用户不受限制访问网站上的所有信息。封闭性业务系统：例如要求严格的业务管理系统，操作人员的每步操作都需要进行权限认证，不能访问未经授权的资源，也不能有越权的处理能力。权限从可配置的角度，可分为：可配置权限、固化到业务流程中的个性化权限。权限大体上可以分为2大类，操作权限（对于用户具有的关于功能模块入口和界面上的功能。操作方面的权限,称之为功能性权限）、数据集权限。操作权限：用户拥有某些具体操作，例如帐户审核权限、校园卡充值权限。数据集权限：用户对特定数据集合上，拥有相应的操作权限。以下以2个实例来表示出操作权限及数据集权限。1.4?组织机构的数据集权限体系目前传统的权限分配是以基于组织机构体系的业务分管体系为主。业务系统以某些特定的工作分工领域、例如业务、财务、人事等划分上级管理下级组织的逐级管理体系。权限体系是IT与管理相结合的一个问题，所以不光是IT的实现方式，重要的是，管理的一些思想已经在未来软件方面的不断变化的需求的方式。以组织机构为管理体系的实例超级管理员管理范围C管理员管理范围A管理员管理范围B管理员管理范围用户、角色及组织机构的关系体系示意图：组织机构为树形结构，方便递归计算权限范围，不用将每个权限范围都要标示出来，只标示根节点，子节点自动计算为有权限的范围内。角色依附于组织机构，这样方便分级管理时实现角色管理的分级授权管理。角色也是组织结构的末端叶子节点。用户依附于组织结构，是组织机构的末端叶子节点。用户用户组、岗位、角色子组织机构基于组织机构的业务数据图实例：实例图各字段说明：ID：数据表主键。CompanyID：公司主键。DepartmentID：部门主键。UserID：用户主键。CreateUserID：由谁创建数据。CreateDate：什么时候创建的数据。ModifyUserID：由谁最后修改数据。ModifyDate：最后修改时间。业务数据中，应该有该数据属于哪个组织机构、者哪个用户或者属于那个角色的标示，以实现业务数据过滤的通用性算法，由可以产生一组通用的简化的数据集权限体系，来实现通用的数据权限功能。通过组织机构的管理体系，可以自动推算出某个用户可以管理哪些数据范围。例如，某个用户可以管理哪些可以管理哪些组织（IDa, IDb,IDc…），同样也可以推算出被