一种基于RBAC模型在钢铁企业MES系统中的应用

1 前言

    系统权限管理是每个应用系统不可缺少的组成部分，是系统安全的重要保障。用户如果要执行某项操作，必须具备相应的权限。一旦用户权限分配或管理不适当，必将给系统带来潜在的威胁，甚至造成不可预计的损失。因此，每个系统都需要有一个或多个权限系统来实现访问权限控制，让经过授权的用户可以正常合法地使用已授权功能，而将那些未经授权的“非法用户”拒之门外，以保证系统操作的安全性和合法性。

2 系统权限管理的需求

    系统权限管理可以通过角色进行资源分配。基于角色的访问控制模型已广泛应用，它将权限一致的人员划分为同一角色，然后对该角色进行资源分配，从而达到为用户赋予资源的目的。系统权限管理应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中，就像是组件一样可以被不断重用。

    为方便授权管理，系统中除设置系统管理员外，还在各个主要部门、科室等管理单位设置不同的二级管理员，负责本单位的资源分配。在这一过程中，要求杜绝越权行为。例如，有两个职能部门A，B，分配了各自的管理员AA(A部门)，BB(B部门)，就要确保两个管理员只能管理自己所辖部门的资源，AA不能通过权限管理界面篡改自己的权限来非法获取B部门的资源，反之亦然。

3 基于角色的访问控制模型应用

    制造执行系统(manufacturing execution system，简称MES)是美国AMR公司(Advanced Manufacturing Research，Inc．)在上世纪90年代初提出的，旨在加强MRP计划的执行功能，把MRP计划同车间作业现场控制通过执行系统联系起来。MES能通过信息传递对从订单下达到产品完成的整个生产过程进行优化管理。

    钢铁企业MES系统是一个用户数量多、用户权限相对复杂的系统，根据其权限管理的需求分析，采用基于角色的访问控制(RBAC)模型，同时结合按组织结构职能进行资源划分的原则，分配用户权限。RBAC模型有2个显著的特征：1)减小授权管理的复杂性，降低管理成本；2)灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

3.1 权限管理的基本元素

    在钢铁企业MES应用中，我们设计了用户、角色、部门、系统资源和可执行操作5个实体元素，各元素基本含义如下：

    系统资源：把应用系统中的资源分为页面资源与按钮资源2种，页面资源为用户所能使用的UI界面，实现信息的展示及录入；按钮资源为UI界面上的操作按钮，实现某一功能操作，如对数据的增删改查等功能操作。

    部门：组织结构的职能范围，是系统页面资源的所有者，系统中的每一个页面资源都属于一个或多个部门拥有，每个用户只能使用本部门及其子部门所拥有的资源。

    角色：系统资源的分配手段，实现一组工作性质与工作职责相同的用户其权限大小的唯一性与一致性，减少权限分配中的重复性，降低权限分配中的复杂性。

    用户：系统资源的使用者，根据自己的权限大小，对系统资源进行合法使用。

3.2 各元素之间的关系

    各个实体元素之间的关系如图1所示。

图1 各个实体元素之间的关系

    说明：

    1)在分配系统权限时，首先将系统资源中的页面资源按职能分配给各个部门和角色，再把每个页面中的按钮资源分配给角色。

    2)用户在获取自己的权限时，按照其所在部门的权限及所属角色的权限进行分配。

    3)系统中部门权限由系统管理员统一分配，角色权限的分配可以由系统管理员下放给各个部门的管理员进行分配。

    在改进的基于角色的访问控制中，有其独特的特征：

    1)将系统资源中的页面资源及按钮资源进行分离，使角色可以灵活地设置页面并与操作按钮任意组合，实现不同职能人员的各种需求，提高了系统的灵活性与健壮性。

    2)把系统页面资源按职能分配到各个职能部门，实现了二级(部门)管理员的系统管理要求，二级管理员只拥有本部门的资源配置权，使得系统的管理变得更加容易。

3.3 用户权限

    当用户需要访问MES时，经身份认证后，根据用户提供的登录信息，系统自动获取用户的所有角色信息，将所有角色的UI资源合并成一个集合，再根据用户所在部门所拥有的Ul资源，将两个资源集合进行交集运算得到用户最终所拥有的UI资源：

    用户角色所拥有的UI资源(并集)：R1=A1U A2U…UAn

    用户部门所拥有的UI资源：R2；

    用户最终拥有的UI资源(交集)：R=R1∩R2。

    当用户需要对访问的某一资源进行操作时，系统根据用户角色对该UI资源所拥有的按钮集与UI资源本身所具有的按钮集进行交集运算得到用户对该资源所能执行的按钮集：

    用户角色对该UI所拥有的按钮集(并集)：E1=B1U B2U…UBn；

    该UI资源本身所具有的按钮集：E2；

    用户对该UI所具有的按钮集(交集)：E=E1∩E2。

4 结语

    基于角色控制模型广泛应用于各个系统。在本应用中，对RBAC模型进行了改进，引入了按组织结构进行资源划分，满足了二级管理员对系统进行管理的需求。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：一种基于RBAC模型在钢铁企业MES系统中的应用

本文网址：http://www.toberp.com/html/consultation/1082027558.html