基于角色管理的系统访问控制1.引言（introduction）1.1.核心词定义（definitions）有关定义阐明如下：安全管理：计算机技术安全管理的范畴很广，可以涉及网络安全性、数据安全性、操作系统安全性以及应用程序安全性等。诸多方面的安全性管理大都已有成熟的产品了，我们只需根据自己需要有选择性的使用就可达到自己的目的了。本文中有关关波及"安全管理"一词均只针对我司推出的应用中有关对象与数据而言范畴有限。主体：即可以象应用系统发出应用祈求任何实体，涉及多种顾客、其他与本系统有接口的应用程序、非法入侵者。系统必须具有辨认主体的能力，接口事实上也是由顾客登记的，故重要问题是校验顾客身份的合法性，系统应建立顾客鉴别机构以验证顾客身份。顾客：顾客就是一种可以独立访问计算机系统中的数据或者用数据表达的其他资源的主体，我们用users表达一种顾客集合。顾客在一般状况下是指人。权限：权限是对计算机系统中的数据或者用数据表达的其他资源进行访问的许可。我们用permission表达一种权限集合。可分为对象访问控制和数据访问控制两种。对象访问控制：用一种二元组来表达：（控制对象，访问类型）。其中的控制对象表达系统中一切需要进行访问控制的资源。我们将引入一套完整的资源表达措施来对系统中浮现的各类资源进行定义和引用（详见后述）。访问类型是指对于相应的受控对象的访问控制，如：读取、修改、删除等等。数据访问控制：如果不对数据访问加以控制，系统的安全性是得不到保证的，容易发生数据泄密事件。因此在权限中必须对对象可访问的数据进行按不同的级别予以加密保护。我们同样用一种二元组来表达：（控制对象，谓词）。权限最后可以组合成如下形式：（控制对象，访问类型，谓词）。角色：角色是指一种组织或任务中的工作或位置，它代表了一种资格、权利和责任。我们用roles表达一种角色集合。顾客委派：顾客委派是users与roles之间的一种二元关系，我们用（u,r）来表达顾客u被委派了一种角色r。权限配备：权限配备是roles与permission之间的一种二元关系，我们用（r,p）来表达角色r拥有一种权限p。2.需求分析根据我们在本行业近年积累下来的经验，参照了其他同行的成功经验整合了先进的思想，我们有能力为我们自己的应用系统开发一套功能完善并且又灵活以便的安全管理系统。使开发人员从权限管理反复劳动的承当中解放出来,用心致力于应用程序的功能上的开发。通过收集公司从事mis项目开发经验丰富的软件工程师对在多种状况下的相应系统的安性提出的需求做出了如下的总结。本系统在安全管理方面要考虑如下几种方面问题。2.1.角色与顾客需求：角色由顾客(这个顾客与下一行的"顾客"应当不是同一种定义,"客户"仿佛合适某些@不错，此处的顾客确是有些偏于指向我们合批准义的客户,但是我觉得与下面定义的"顾客"不存在什么本质上的区别,由于客户最后也是以在系统中登记的顾客身份来使用本系统，顾客所能完毕的功能也就是客户的需求。两者之间的细微区别读者可自己通过上下文加辨别)自行定义，根据业务岗位不同可以定义多种角色。登录系统，一方面需要向系统申请注册，同一种顾客只能在系统中登记一次。顾客是登录系统的楔子，角色是顾客权限的基本。顾客可以扮演多种角色。将某一角色授予某一顾客时，权限不能超越该角色权限，但可以不不小于该角色权限。顾客口令与数据库访问口令加密分析阐明每个顾客在系统中由一种唯的userid标记。顾客通过系统登录界面登录系统,系统通过加密算法验证顾客身份和判断顾客与否已经登录系统。如果登录成功告知applicationpreferenceservice和安全管理系统保存顾客登录信息。角色由顾客根据自己的设想的组织机构进行添加设立，提供一种专门的模块用来设立组织机构，顾客通过组织机构(定义@部门机构还是背面提到的"机构是实现和执行多种方略的功能的集合")以便地进行角色管理。例如：顾客可以通过部门机构来进行角色的管理，部门采用编号分层的方式,编号的每两位为一种层次。例如一级部门编号为两位，二级部门编号为四位依此类推下去直到将全厂部门机构建立树状构造图。此类数据仅为以便顾客管理角色而存在，在系统的其她方面不存在任何意义。每个角色在系统中也是由一种唯一角色编号来标记，同步必须保存顾客所设立的机构信息，一般来说每个角色只需要保存自己所在机构的代码即可。2.2.菜单控制需求此菜单乃系统业务功能菜单。由业务功能模块列表和顾客菜单定制共同构成。每个顾客可以拥有自己的菜单，也可以直接采用角色缺省菜单（当顾客同步充当多种角色并且权限反复时，反复的权限仅一次有效）分析阐明为了以便顾客进行权限组织管理，需要在系统中建立一张业务功能模块列表，在顾客界面上表达为树状分层构造。业务功能模块以顾客定制菜单来体现，仍然采用编号分层方式，编号