基于组织架构的数据权限模型 OBAC设计与实现.pdfVIP

基于组织架构的数据权限模型OBAC设计与实现

摘要：本文针对基于角色的功能权限管理模型RBAC控制粒度粗，不足以满足现代

MIS系统复杂、精细的数据权限管理需求，而参考其设计思想设计出一种基于组织架构的

权限管理模型策略OBAC(Organization-BasedAccessControl)。该策略创新性地引入组织架

构数据信息，配合传统RBAC权限管理策略，实现了功能权限加数据权限的双重管理和过

滤，达到了数据精细化管理要求，能够满足复杂环境下企业对敏感信息数据权限的管理要

求，能够提高系统数据的安全性和灵活性。本文给出了该模型的设计和实现方法，对于具

有多层次数据权限管理需求的系统软件权限管理的设计和开发具有参考价值。

1.前言

随着我国信息化产业的高速发展，信息系统覆盖的领域广泛，涉及到各行各业。同时

信息系统的功能愈加复杂，使用的客户群愈加庞大，客户需求愈加复杂，随之而来的问题

就是针对系统数据安全的管理愈加困难和复杂。因此，信息系统引入访问控制功能将是一

个不可或缺的步骤，尤其是在金融、国防、能源、民生等行业，保证信息系统的安全将是

首要考虑的问题，利用访问控制极大降低了系统的安全风险，同时监管对敏感信息的访问

以及防止非法用户的入侵。

[1]

目前信息系统主要是通过用户、角色、资源三方面来实现系统的访问控制。具体来

说，就是赋予用户某个角色，角色能访问及操作不同范围的资源。通过建立角色系统，将

用户和资源进行分离，以保证权限分配的实施。根据系统设置的安全规则或者安全策略，

用户可以访问而且只能访问自己被授权的资源。从控制类型来看，可以将权限管理分为两

大类：功能级权限管理与数据级权限管理。功能级权限与数据级权限协同才能实现完整、

精细的权限管理功能。目前功能级权限有多种成熟方案可供选择，但数据级权限管理方

面，一直没有统一的技术方案。本文将介绍一种数据权限实现技术方案，并且通过在多个

信息系统上的应用得到论证。

2.访问控制系统与RBAC简介

访问控制（RAM）是信息系统提供的管理用户身份与资源访问权限的服务，信息系统

可以创建并管理多个身份，并允许给单个身份或一组身份分配不同的权限，从而实现不同

用户拥有不同资源访问权限的目的。要实现访问控制，需要有主体，客体，还有一定的策

略或者叫机制。

主体：访问的发起者，可以是访问系统的某个用户也可以是调用系统的外部服务。

客体：可供访问的各种软硬件资源，如文件、数据库数据、服务资源等。

策略：定义了主体对于客体的访问权限策略，不同的策略模型下有不同的访问控制管

理模式。常见策略有自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控

制（RBAC）。

DAC允许合法用户以用户或用户组的身份访问策略规定的客体，同时组织非授权用户

访问客体，某些用户还可以把自己拥有的客体的访问权限授予其他用户；MAC按照系统级

策略限制主体对客体的访问。用户所创建的资源，也拒绝用户的完全控制。系统的安全策

略完全取决于权限，权限由管理员设置。RBAC是将权限与角色相关联，用户通过成为适

[2]

当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级

相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来

很方便，因而信息系统大多使用RBAC模式作为功能级权限实现策略。

[3]

图1RBAC设计模式

RBAC设计模式如图1所示，每个用户关联一个或多个角色，每个角色关联一个或多

个权限，从而可以实现非常灵活的权限管理。角色可以根据实际业务需求灵活创建，这样

就省去了每新增一个用户就要关联一遍所有权限的麻烦。简单来说RBAC就是：用户关联

角色，角色关联权限。

RBAC的缺点也比较明显：RBAC只关心在用户和权限之间的关系设计，并没有考虑到

用户和权限之间的判断，恰恰这种情况在在实际的MIS系统中非常常见，比如在销售领域

华东区域经理无权查看华北区域销售数据虽然都是区域经理角色，其只拥有查看本地区销

售数据权限，又比如在管道信息化系统中各个油气场站只能查看各自场站的生产数据，