（计算机应用技术专业论文）企业知识管理系统的研究与开发.pdf

企业知识管理系统的研究与开发 摘要 随着i n t e r n e t 和信息技术的迅猛发展，给现代企业带来了一种新的挑战。那就是面 对越来越多的各种类型的信息、资料、文件和档案，如何有效的保护和利用它们并为 企业提高生产力和竞争力服务。 企业知识管理系统正是为现代企业解决上述挑战而出现的。因而作为e r p 系统的 一部分，企业知识管理系统的研究与开发必然成为能否应对这种挑战的关键所在。 本论文针对研究与开发企业知识管理系统的内容和功能进行了全面系统的研究 与探讨。本论文的第一章对企业知识管理系统研究与开发的目的、意义、内容和需要 解决的一些关键技术等做了概括性介绍，并介绍了本系统所采用的体系结构和所要实 现的功g 模块。第二章则对权限管理系统的现状、主要访问控制策略进行了介绍，并 根据本系统的实际情况提出了一种改进的访问控制策略。第三章首先对文件与档案管 理系统的现状、作用、目标和功能进行了介绍，然后详细论述了文件管理涉及的内容： 文件权限管理、目录与检索管理、文档信息管理、文件上传管理、文档版本管理、日 志管理。第四章则对在线申请与数字签名技术的原理与实现方法进行了介绍。第五章 对本系统中涉及的一个技术难点和重点文件只读控制的技术进行了论述，包括 文件只读控制的现状和采用的主要技术以及各自面临的优缺点。本文的最后讨论了企 业知识管理系统的重要组成部分用户管理，主要介绍了用户管理的内容和方 法。 关键词：企业知识管理访问控制在线申请数字签名只读控制 r e s e a r c ha n d d e v e l o p m e n t o f e n t e r p r i s ek n o w l e d g e m a n a g e m e n ts y s t e m a b s t r a e t w i mt h er a p i dd e v e l o p i n go f t h ei n t e r n e ta n di n f o r m a t i o n t e c h n o l o g y 。t h e r ei sa k i n do f c h a l l e n g ef o rm o d e r ne n t e r p r i s e t h ec h a l l e n g ei sh o w t op r o t e c ta n du s em o r ea n dm o r ea l l k i n d so fi n f o r m a t i o n ，d a t aa n dd o c u m e n tt oi m p r o v ep r o d u c t i v i t ya n dc o m p e t i t i o n t h ec h a l l e n g ei ss o l v e db ye n t e r p r i s ek n o w l e d g em a n a g e m e n ts y s t e m a sap a r to f e n t e r p r i s e r e s o u r c e s p l a n n i n g ，i t i sak e yt os u c c e e di nt h e c h a l l e n g e r e s e a r c ha n d d e v e l o p m e n t o f e n t e r p r i s ek n o w l e d g em a n a g e m e n ts y s t e m t h ec o n t e n ta n df u n c t i o no fe n t e r p r i s e k n o w l e d g em a n a g e m e n ts y s t e mh a sb e e n c o m p r e h e n s i v ea n ds y s t e m i cs t u d i e da n dd i s c u s s e di nt h i sp a p e r t h ef i r s tc h a p t e ro ft h i s p a p e rg i v e sr e c a p i t u l a t i v ei n t r o d u c t i o no fa i m ，m e a n i n g ，c o n t e n ta n dp i v o t a lt e c h n o l o g y t h a t n e e dt ob es o l v e do f e n t e r p r i s ek n o w l e d g em a n a g e m e n ts y s t e m t h es e c o n dc h a p t e ro f t h i s p a p e ri n t r o d u c t i o no fs t a t u sq u oo fa u t h o r i t ym a n a g e m e n ta n dt a c t i c o ff a m i l i a ra c c e s s c o n t r o l ，t h e np r o v i d e rai m p r o v ea c c e s sc o n t r o la c c o r d i n gt ot h ef a c t t h et h i r dc h a p t e ro f t h i sp a p e r , a tf i r s t ，i n t r o d u c e ss t a t u sq u o ，e f f e c t ，a i ma n df u n c t i o no fd o c u m e n t m a n a g e m e n t s y s t e m ，t h e n d e t a i l e dd i s c u s s e s m a n a g e m e n t o fd o c u m e n t a u t h o r i t y , m a n a g e m e n t o f d i r e c t o r ya n ds e a r c h e s ，m a n a g e m e n to fd o c u m e n ti n f o r m a t i o n ，m a n a g e m e n to fd o c u m e n t u p l o a d ，m a n a g e m e n to fd o c u m e n te d i t i o na n dm a n a g e m e n to fl o g t h ef o u r t hc h a p t e ro f t h i s p a p e rm a i nd i s c u s s e st h et h e o r ya n dr e a l i z a t i o no fo n l i n ea p p l i c a t i o na n dd i g i t a l s i g n a t u r e t h e f i f t h c h a p t e r o ft h i s p a p e r m a i nd i s c u s s e sad i f f i c u l ta n d i m p o r t a n t t e c h n o l o g yo ft h i ss y s t e m t e c h n o l o g yo fd o c u m e n tr e a d o n l yc o n t r o l ，i n c l u d i n gs t a t u s q u oo fd o c u m e n tr e a d o n l yc o n t r o la n da d o p tm a i nt e c h n o l o g ya n dt h e i rr e s p e c t i v em e r i t a n dd e f e c t a n dt h el a s to ft h i sp a p e rd i s c u s s e su s e r s m a n a g e m e n t t h a ti st h ei m p o r t a n t p a r t o fe n t e r p r i s ek n o w l e d g em a n a g e m e n ts y s t e ma n dm a i ni n c l u d i n gc o n t e n ta n dm e t h o do f u s e r sm a n a g e m e n t k e yw o r d s ：e n t e r p r i s ek n o w l e d g em a n a g e m e n ta c c e s sc o n t r o l o n l i n e a p p l i c a t i o nd i g i t a ls i g n a t u r e r e a d - o n l y c o n t r o l 合肥工业大学 本论文经答辩委员会全体委员审查，确认符合合肥工业大学 硕士学位论文质量要求。 答辩委员会签名：( 工作单位、职称) 主席： 委员： 导师： 孪匆由蟛伽膳教梭 独创性声明 本人声明所呈交的学位论文是本人在导师指导f 进行的研究工作及取得的研究成果。据 我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰写过的 研究成果，也不包含为获得盒目兰些态堂或其他教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 学位论文作者签字：揣立茗签字日期：劬牛年f 月钼 学位论文版权使用授权书 本学位论文作者完全了解盒胆王些盍堂有关保留、使用学位论文的规定，有权保留 并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人授权金 蠼王些太堂可以将学位论文的全部或部分论文内容编入有关数据库进行检索，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名：粕老 导师签名 甲丧7 n 签字目期：抛牛年月心日签字日期0 声中年，月，孑日 学位论文作者毕业后专向： 三誓姜鬟：浙江工囟取删辱9 电 通讯地址： ” 。 电话 邮编 致谢 本论文是在导师陆阳研究员的悉心教诲和无微不至的关怀下完成的。从论 文的选题，论文的架构及写作等方面，无不凝聚着陆老师的心血。在研究生学 习期间，陆老师不仅授业，更是传道、解惑：始终给予我严格的要求、充分的 信任、热情的鼓励和全面锻炼的诸多机会。陆老师渊博的知识、严谨的治学态度、 敏锐的学术思想、以及积极进取的科研精神是我终生学习的楷模。在此谨向陆老师致 以衷心的感谢和崇高的敬意! 感谢微机所的程磊，尹皖临等共事过的朋友，谢谢他们在我做项目研究与开发过 程中所提供的诸多指导和帮助，对此我表示衷心的感谢! 此外，在论文的写作过程中，还受到了王超，陈世兴，杨冬虎，陆文星、 夏俊、万鹏、费爱蓉、王长宁等多位同学的无私帮助，在此，对他们表示最诚 挚的感谢。 同时，我要感谢我的父母、弟弟等关心我的家人，没有他们的支持和鼓励，也就 没有我今天所取得的成绩。 最后，我还要衷心地感谢合肥工业大学传授我知识的老师们，微型计算机研究所 的领导和老师，计算机与信息学院的领导和老师，研究生院的领导和老师，以及其他 帮助和支持过我的朋友们! 作者：杨立春 2 0 0 4 年5 月 第一章企业知识管理系统概述 1 1 企业知识管理系统的定义 1 。1 ，le r p 概述 e r p ( e n t e r p r i s e r e s o u r c e sp l a n n i n g ) 企业资源计划是由美国著名计算机技 术咨询和评估集团g a r t e rg r o u pi n c 提出的一整套企业管理体系标准“i 。它是由 物料需求计划m r p ( m a t e r i a lr e q u i r e m e n tp l a n n i n g ) 、制造资源计划m r p i i ( m a n u f a c t u r i n gr e s o u r c ep l a n n i n g ) 逐步演变并结合信息技术发展的最新成就而 发展起来的。e r p 是一个面向供应链管理s c m ( s u p p l yc h a i nm a n a g e m e n t ) 的管 理信息集成。它把客户需求和企业内部的经营活动以及供应商的资源整合在一 起。除了传统m r p i i 系统的制造、供销、财务功能外，它还集成了企业其他管 理功能，如质量管理、实验室管理、设备维修管理、仓库管理、运输管理、项 目管理、市场信息管理，支持远程通信、w e b i n t e r n e t i n t r a n e t e x t r a n e t 、电子 商务( e l e c t r o n i cc o m m e r c e ) 、电子数据交换e d i ( e l e c t r o n i c d a t a i n t e r c h a n g e ) ，支 持工作流动态模型变化与信息处理程序命令的集成等。当前一些e r p 的功能已 经远远超出了制造业的应用范围，成为一种适应性强、具有广泛应用意义的企 业管理信息系统弘j 。 当今国际管理信息发展的三个趋势是：从信息管理走向知识管理、从信息 资源开发走向知识资源开发、由c s 结构走向b s 结构。知识管理并不是一个新 概念，企业高级管理人员始终都想解决的一个问题是究竟如何传递和获取知识。 早在8 0 年代，保罗罗默教授就曾提出了经济增长四要素理论，其核心思想是 把知识作为经济增长最重要的要素。如今，人们越来越认识到：企业的价值不 在于拥有多少厂房、设备和产品，而在于知识产权、客户的信赖程度、与商业 伙伴合作的能力、电信基础结构以及雇员的创造潜力和技能等，知识资源将成 为公司中最大的资源之一。而e r p 本身就是一种企业资源规划系统，因此，e r p 在2 1 世纪的知识经济社会环境下，企业知识管理必然成为其重要的管理内容和 发展方向 3 】。 1 1 2 知识管理与信息管理 应该说知识管理与信息管理具有相同的作用，都是社会技术系统，都是对 信息和信息技术、管理科学的综合运用，并能相互促进。但两者在产生背景、 内涵、研究内容范围上又有一定的区别【4 】【5 1 ： ( 1 ) 信息管理是知识管理的基础，知识管理是信息管理的新发展。 知识管理是在信息管理的基础上发展的，它的产生和发展都离不丌信息管 理的理论。信息管理通常是知识管理重要的组成部分。可以说知识管理是在知 识经济的环境下对信息管理的新发展。 ( 2 、知识管理与信息管理在内涵、内容范围上存在区别。 与信息管理相比，知识管理在管理对象、管理方式和技术以及管理目的上 有所拓展、改进和深化。信息管理局限于可编码知识的外在信息的管理，而知 识管理则关注知识本质内容的表达、交流，尤其是有目的的应用，它不但涉及 可编码知识的管理，更重视人脑知识的挖掘、引导、共享并服务于组织的目标。 1 1 3 企业知识管理系统的定义 对企业知识管理系统目前尚无统一的定义，一般认为企业知识管理系统是 指以人和信息为基础，以整合组织知识学习过程、实现组织竞争力的提高为目 的，利用先进的信息技术建立起来的企业网络系统。企业知识管理系统被用来 实现知识表示、传递、利用和发现等过程的信息系统【6 j 。而这些工作通常可以 借助于以下一些手段：文件管理、目录服务、工作流系统、协同工作管理、决 策支持、数据挖掘、专家系统、智能代理等先进的计算机信息技术。 人是实现知识、运用知识的主体，从这个角度看，再先进的技术和设备只 不过是更好利用知识的工具，因此，企业知识管理重视对人的管理。这个侧面 关注对员工和组织层次的学习能力和管理方面的研究。 企业知识管理不仅要对知识和人进行管理，还要将知识和人结合起来进行 管理：企业知识管理要将知识处理能力和人的创新能力相互结合，增强组织对 环境的适应能力。 由于切的知识包括各种文件、档案、有形资产、无形资产以及其他各种 信息都可以使用文件的形式表达和存储，因而我们对知识进行管理可以转化为 对文件和人员的管理。 总之，企业知识管理是种综合了多学科知识与方法的，系统管理知识资 源的理论与方法。 1 2 国内外相关发展情况 9 0 年代中期，随着i n t e r n e t 技术的普及，知识管理开始大面积推广和普及。1 9 8 9 年成立于欧洲的国际知识管理网络( t h ei n t e r n a t i o n a l k n o w l e d g em a n a g e m e n t n e t w o r k ，简称i k m n ) 于1 9 9 4 年在网上建立主页，不久美国的知识管理论坛( k n o w l e d g e m a n a g e m e n tf o r u m ) 和其他一些相关组织与出版物也纷纷加盟该网络，该网络一度成 为知识管理界的旗手。与此同时，由于各大公司意识到管理和利用知识资源对增强公 司竞争优势的重要性，有关知识管理的会议和形形色色的研讨会遍地开花。1 9 9 4 年 i k m n 发表了其对欧渊公司知识管理活动的调查报告，1 9 9 5 年欧盟通过e s p r i t 计划首 次资助知识管理类研究项目【7 1 。如今发达国家的公司普遍都建立了自己的知识管理系 统，成为其不断进行知识积累与发展的重要平台。 知识管理的思想与概念是在1 9 9 8 年才开始进入中国的，但由于我国企业的 整体管理水平较低，在企业知识管理。k 存在着一定的困难。普遍说来，主要存 在着如下四个问题： f 1 ) 对知识管理了解不够，不能进行有效的知识管理。 我国许多企业还以传统的经验式的模式进行生产、经营和管理，管理手段、 经营方式落伍。对知识管理理念以及如何实施知识管理了解不够。 f 2 ) 对知识员工不够重视，无法调动其创新的积极性。 企业中论资排辈、任人唯亲现象依然十分突出，年富力强、富有开拓和创 新精神的专业人才得不到有效利用和发挥，甚至有些企业至今还存在打压挤排 的现象，造成人力资源和智力资源的严重浪费与流失。 f 3 ) 组织结构僵硬、激励制度陈旧、领导者行为缺乏民主性、企业文化滞 后。使得企业不能适应知识经济时代快速变化的市场环境、不能有效地运用和 创新知识。 ( 4 ) 企业信息技术水平低。 我国企业信息采集手段普遍落后，对运用现代化信息手段重视不够，导致 一些企业对市场反应迟钝，灵敏度不高，坐失发展良机。 1 3 企业知识管理系统研究与开发的目的与意义 企业知识管理系统研究与开发的目的主要有以下几方面【8 ： ( 1 ) 有利于提高企业员工技能水平和知识水平。 员工是创造知识、利用知识主体，一个企业要保持竞争力，就必须提高现 有员工和新雇佣员工的技能素质。而企业知识管理系统的建立与使用，为员工 学习相关技术与知识提供了一个便捷的平台。 ( 2 ) 便于对企业的资料和信息的管理以及安全性保护。 一个企业内部有大量的资料、文档等各种信息，有必要对其进行管理，并 制定一定的使用方法和安全措施，防止企业的资料和技术流失以及合法的利益 被侵犯。 ( 3 ) 有利于提高资料信息的使用效率和优化资源利用。 如果员工们总是在重复地劳动，而不能充分利用已有的教训、已有的实践 经验和专业技能，必将使得生产效率低下，劳动成本增加，企业竞争能力降低。 ( 4 ) 可以使企业实时了解自身实际情况，从而加以改进和弥补。 面对日益增长的非连续性的环境变化，企业环境中经常出现无法预测的事 件。为了把突发事件对自身的影响减少到最低限度和更快地解决各种突发灾害 问题，就要求企业能对环境的变化做出快速的反应，具有较强的应变能力。 由此可见，企业知识管理系统研究与开发的意义主要有以下几个方面： f 1 ) 是企业规范化管理，实现企业信息化的重要过程。 f 2 1 有效维护自身的合法权益和知识产权的手段。 ( 3 1 促进各类知识信息的不断积累和鼓励员工的创新。 ( 4 ) 促进企业核，心能力的形成，提高企业应付外界环境变化的适应、生存 和竞争能力，实现企业的可持续发展。 1 4 企业知识管理系统研究与开发的主要内容 企业知识管理系统主要的功能就是为了实现企业对文件、档案以及各种有 形和无形资产进行有效管理，并使之有效和合理的被利用，以有利于提高企业 使用资源的效率。为了实现这些功能必须实现如下几个方面的内容： ( 1 ) 权限管理：权限决定了用户对系统访问的能力，也是系统安全性的重 要保证。权限管理包括权限的分配与控制，以及权限的增加、修改与删除。 ( 2 ) 文件管理：知识是人创造的，但知识最主要的目的是与他人交流和共 享，从而为提高整个企业员工的素质和促进企业核心竞争力的形成与提高服务。 然而为了达到这个目的以及保持知识的积累和防止知识的流失，必须对知识进 行保存，那应当采用什么方式来保存昵? 答案是文件以及使用数据库形式保存 的信息。因此对文件及信息的管理变得极其重要，包括文件和信息的查询、访 问、上传、下载以及日志管理等内容。 ( 3 ) 文件只读控制：文件的访问类型虽然有多种，包括浏览、下载以及修改 与删除等，但这些技术已是比较成熟的，因此没有必要详细介绍。而文件只读 控制是一项比较新兴而复杂的技术，并且对于保护企业的知识产权和防止重要 信息的无意泄漏具有重要的意义，因而有必要对其技术进行阐述。 ( 4 ) 用户管理：企业知识的创造与使用的主体是用户，因而对用户的管理就 成为比较重要的内容。用户管理包括用户的注册、登录、用户信息的访问、修 改、删除以及用户权限的设置。 ( 5 ) 网上签名与授权管理：能够把企业内部员工申请权限的信息自动发送至 授权者，授权者签名后传到服务器，服务器根据签名对申请者授权。 1 5 面临和需要解决的问题 本课题主要有以下几个主要问题需要解决： ( 1 ) 如何设计一个高效而简单的权限系统来满足系统的需要。 ( 2 ) 如何保证服务器端的文件系统安全，即不能被客户端非法访闯到。 ( 3 ) 如何做到只读控制，即做到只能通过浏览器浏览，而不能被复制、下载、 打印、保存、修改或删除。 ( 4 ) 如何控制上传文件，并对上传的文件进行管理。 ( 5 ) 如何实现网上自动通知与系统自动认证功能。 1 6 系统体系结构 由于知识管理系统是运行于企业级的网络中的，因而为了维护和管理的方 便，当前的趋势主要都是采用b s 结构。而当前支持企业级b s 结构的主要 是n e t 和j 2 e e 技术。 作为微软推出的n e t 只能在w n d o w s 上运行，并且其主要核心技术为微软一家把 持，容易受到限制。而j 2 e e 贝j 可以在任何有j v m 的平台上执行，只要有兼容的服务器 ( 例如e j b 容器、j m s 等) 即可。j 2 e e 的一切标准都是公开的，许多厂商都提供兼容的产 品和开发工具。因此使用j 2 e e 技术可以降低风险以及易于向其他平台的扩展p j 。 另p - j 2 e e 技术还有如下优点；j 2 e e 已被市场证明是成功的平台；j 2 e e 具有更先进 的编程模型，开发者可以创建更先进的对象模型以及获得更好的平台性能：使用j 2 e e 结构可以利用现有的硬件；j 2 e e 具有平台中立性，因而具有良好的平台移植性：j 2 e e 通过j c a ( j 2 e ec o n n e c t o ra r c h i t e c t u r e ) 具有更好的遗留系统集成性能；j 2 e e 使用j a v a 语言，使其具有更好的市场接受度以及成熟度i l 。 由于以上原因，本系统采用采用j 2 e e 体系结构，其结构如图1 1 所示： 企 - 业 笔 z 一 有无 单 要 信 一k 实 状状 上k 莹 _ k 厂 兰 息 1r体 态态 t 1 董 可1 r b e a n 会会 管 页 系话话 三 面 b e a nb e a n 驾 统 图1 1 系统体系结构 从图l 一1 可以看出，采用j 2 e e 体系结构的系统从逻辑上分为四层：后台是 企业信息系统e i s ( e n t e r p r i s ei n f o r m a t i o ns y s t e m ) ，中间是应用服务器层和w e b 服务器层，前端是客户端浏览器。 ( 1 ) 对于本系统来说，企业信息系统指的知识数据库服务器，在这罩数据 库采用的是s q cs e r v e r 2 0 0 0 ； ( 2 ) 应用服务器层其实也就是e j b ( e n t e r p r i s ej a v a b e a n ) 层，它包括实体 b e a n ，有状态会话b e a n 以及无状态会话b e a n ，他们主要的作用是处理商业逻辑， 包括对数据库的操作以及对系统功能的处理： ( 3 ) w e b 服务器层包括j s p s e r v l e t j a v a b e a n 等，它们主要的作用是凋用e j b 层的商业逻辑以及对网页显示的逻辑处理： ( 4 ) 对于客户端来说，其主要的任务也就是通过浏览器访问w e b 服务器中 的网页。 1 7 系统功能模块 1 7 1 功能模块种类 本系统按功能模块分类，可分为两类：系统管理员界面系统和用户界面系 统。如图l 一2 所示： 用 声 鹭 录 系统 管理 员界 面系 统 文件 系统 文件及信息管理 文件访闻 人员 i 1墨笪皇笪望 管理i = 二二 司一臣盈 篡i 一窭 一一臣西 1 7 2 系统管理员界面系统 权限管理 系统管理员界面系统的功能主要包括两类：对文件系统部分和对人员的管 理部分。 ( 1 ) 文件系统部分：包括对文件目录与检索管理；文件密级管理：文件上 传下载：文件及其信息的查询、添加、修改与删除；文件的只读、浏览、修改 与删除。 ( 2 ) 人员管理：查询、增加、修改与删除用户信息：对用户访问文件及上 传下载权限的查询、增加、修改与删除。 1 7 3 用户界面系统 本系统主要是与用户有关的功能，包括：用户登录与验证；用户注册与密 6 码修改：用户权限申请；用户上传与添加文件信息：用户浏览、下载、修改与 删除文件及其信息。 1 8 本章小结 本章主要介绍了企业知识管理系统的相关发展情况及主要研究内容，最后介绍了 本系统的体系结构及其功能模块。 2 ，1 权限系统简介 211 权限系统的定义 第二章权限管理系统及其研究 在当今社会中，信息管理系统的使用已起着越来越重要的作用，对于任何 一个信息系统，健壮有效的安全管理机制是合法的使用信息，防i e 非法获得或 破坏信息的基本保障。一个信息系统的安全管理可分为两个方面【】i i ：一个是系 统级的数据库安全管理，这种安全管理是由数据库系统保障的：另一个是应用 级安全管理，其主要决定于应用系统的构成。一个大型的应用系统均会具有许 多功能和许多用户，这些用户处于不同的岗位、具有不同的级别，他们从系统 中获取信息与处理信息的职权亦不同，这就要求应用系统提供一种权限管理机 制，控制各种用户使用系统的权力访问。 由此，权限系统应运而生。权限就是对计算机系统中的数据或者用数据表示的 其它资源进行访问的许可。我们用p e r m i s s i o n 表示一个权限集合。可分为对象访问控 制和数据访问控制两种。 由于系统和人员结构的复杂性决定了权限系统往往也是一个极其复杂的问 题，不过我们可用一个简单的逻辑表达式表示：判断“w h o 对w h a t ( w h i c h ) 进行h o w 的操作”的逻辑表达式是否为真。其中： w h o ：权限的拥用者或主体； w h a t ( w h i c h ) ：权限针对的对象或资源； h o w ：具体的权限。 针对不同的应用，需要根据项目的实际情况和具体架构，在维护性、灵活性、完 整性等n 多个方案之间比较权衡，选择符合的方案。 2 1 2 权限系统的目标 权限的设计应当遵循如下几个目标； ( 1 ) 直观，因为系统最终会由最终用户来维护，权限分配的直观和容易理解，也 是一个系统是否友好的一个方面。 ( 2 ) 简单，包括概念数量上的简单和意义上的简单还有功能上的简单。 ( 3 ) 易扩展，设计的权限系统应具有可扩展性。 为了实现权限系统的功能与目标，我们必须设计一种决定用户访问权利的依据。 这种依据的一个普遍的原则是“需者方知策略”( t h en e e d - t o k n o w ) 。也就是说，只有 一个工作需要的，才是他应该知道的。它从原则上限制了用户不必要的访问权利，从 而堵截了许多破坏与泄露数据信息的途经。这一依据我们称之为访问控制方法。按照 访问控制方法的原则授予用户的权利，是用户能完成工作的最小权利集合，故也称之 为“最少特权策略”。 2 1 3 常用的访问控制方法 对于在企业环境中的访问控制方法，根据权限的控制方法不同一般有三种 ( 1 ) 自主访问控制d a c ( d i s c r e t i o n a l a c c e sc o n t r 0 1 ) ( 2 ) 强制访问控i 制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) ( 3 ) 基于角色的访问控带i r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 2 2 名词解释 为了便于理解和无歧义发生，以下对本章将要使用的术语或词组，定义如 下： f 1 1 属主：资源对象的创造者或拥有者。 ( 2 ) 主体：即可以像应用系统发出应用请求的任何实体，包括各种用户、其它与 本系统有接口的应用程序、非法入侵者。系统必须具有识别主体的能力，接口实际上 也是由用户登记的，故主要问题是校验用户身份的合法性，系统应建立用户鉴别机构 以验证用户身份。 ( 3 ) 客体：被访问的资源对象。 ( 4 ) 粗粒度：表示类别级，即仅考虑对象的类别( t h et y p eo f o b j e c t ) ，不考虑对象 的某个特定实例。比如，用户管理中，创建、删除，对所有的用户都一视同仁，并不 区分操作的具体对象实例。 ( 5 ) 细粒度；表示实例级，即需要考虑具体对象的实例( t h ei n s t a n c eo fo b j e c t ) ， 当然，细粒度是在考虑粗粒度的对象类别之后才会去考虑的。比如，文件管理中，修 改、删除，需要区分该文件实例是否为当前用户所创建。 ( 6 ) 角色：指一个组织或任务中的工作或职务，它代表了一种资格、权利和责任， 是权限的集合。我们用r o l e s 表示一个角色集合。 ( 7 ) 用户：用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其 它资源的主体，我们用u s e r s 表示个用户集合。用户在一般情况下是指人。 ( 8 ) 组：一般指若干用户的集合。在本系统中也是权限与目录的集合。 ( 9 ) 用户委派：用户委派是用户与角色或组之间的一个二元关系，我们用( u ，r ) 来 表示用户u 被委派了个角色r 或组r 。 ( 1 0 ) 权限配置：权限配置是r o l e s 与p e r m i s s i o n 之间的一个二元关系，我们用( r ，p ) 来表示角色r 拥有个权限p 。 9 2 3 自主访问控制 2 31 自主访问控制的定义 自主访问控制d a c ( d i s c r e t i o n a la c c e sc o n t r 0 1 ) 可以追溯到上世纪七十年 代，是由那时院校和研究机构的分时系统的研制人员提出的，l a m p s o n 在他的 一篇文章中阐述了自主访问控制策略的基本思想【l 2 1 。 自主访问控制指文件的属主可以按自己的意愿对系统的参数做适当修改以决定 哪些用户可以访问他们的文件，也就是说一个用户可以有选择的与其他用户共享他的 文件。用户有自主的决定权。 2 3 2 自主访问控制的设计思想 自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常通过授权 列表( 或访问控制列表) 来限定哪些主体针对哪些客体可以执行什么操作。如此将可 以非常灵活地对策略进行调整。以下是自主访问控制的设计思想 1 3 j ： ( 1 ) 自主访问控制中，用户可以针对被保护对象制定自己的保护策略。 ( 2 ) 每个主体拥有一个用户名并属于一个组或具有一个角色。 ( 3 ) 每个客体都拥有一个限定主体对其访问权限的访问控制列表。 ( 4 ) 每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的 控制。 自主访问控制是一个安全的操作系统需要具备访问的控制机制。它基于对主体及 主体所属的主体组的识别，来限制对客体的访问，还要校验主体对客体的访问请求是 否符合存取控制规定来决定对客体访问的执行与否，因而具有相当的灵活性，能够 适合许多不同的系统和应用进行访问控制的需要。 这里所谓的自主访问控制是指主体可以自主的( 也可能是单位方式) 将访问权， 或访问权的某个子集授予其它主体。 2 3 3 自主访问控制的应用领域 由于自主访问控制的易用性、易于扩展和便于理解，所以自主访问控制机制经 常被用于商业系统。大多数系统往往只基于自主访问控制机制来实现访问控制，如主 流操作系统( w i n d o w s n t s e r v e r ，u n i x 系统) ，防火墙，以及数据库等。 2 3 4 自主访问控制的缺陷 自主访问控制有一个与生俱来的弱点就是它不能对信息在系统中的流动做 出真正的保护，用户可以很容易的绕过自主访问控制的访问限制。例如，假设 有两个对象o 和0 ，分别属于用户a $ i j b ，当a 赋予了b 读取对象o 的权限，而b 赋予了用户c 读取对象o ，的权限，并且a 并没有将读取对象o 的权限赋予用户c ， 现在如果b 将对象o 中的信息读出，并拷贝到对象o 中，那么c 间接的也读到对 象o 中的信息。 这样的缺陷容易受到特洛伊木马的攻击。引起这种情况的原因就是自主访 问控制策略中的主体权限太大，对于主体如何处理他能得到的信息并没有施加任 何限制。 2 4 强制访问控制 2 4 1 定义 强制访问控带i j m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) 是一种由系统管理员从全系统的 角度定义和实施的访问控制【1 4 。它通过标记系统中的主客体，强制性地限制信息的共 事和流动，使不同的用户只能访问到与其有关的、指定范围的信息。这样就从根本上 防止了特洛伊木马和和访问混乱的现象，因而具有更高的安全性。 强制访问控制策略将系统中的访问主体和客体进行分类，每个用户和客体 对象都被赋予了一个安全级别，用户的安全级别反映了用户相对于其要访问信 息的可信任程度，客体对象的安全级别反映了客体对象所包含的信息的敏感性， 敏感性越强，其信息被泄漏后所造成的潜在的危害也就越大。 2 42 强制访问控制的设计思想 在强制访问控制系统中对象用户不能更改保护系统确定的对象。也就是浇，系统 独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属 性。这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通 过比较安全标签来确定授予还是拒绝用户对资源的访问。在强伟4 访问控制系统中，所 有主体( 用户，进程) 和客体( 文件，数据) 都被分配了安全标签，安全标签标识一 个安全等级。主体( 用户，进程) 被分配一个安全等级客体( 文件，数据) ，同时也被分 配一个安全等级访问控制执行时对主体和客体的安全级别进行比较。 用个例子来说明强制访问控制规则的应用，如服务以“秘密”的安全级别运行。 假如服务器被攻击，攻击者在目标系统中只能以“秘密”的安全级别进行操作，他将 不能访问系统中安全级别为“机密”及“高密”的数据。 访问主体和客体具有各自的安全级别，只有当两者的安全级别满足一定的 关系对，主体才能成功的访问客体，通常情况下，在强制访问控制系统中下面的 两条规则是必须遵守的： ( 1 ) 向下读原则：访问主体的安全级别在等级关系上不能低于其要以读方 式访问的客体的安全级别。 ( 2 ) 向上写原则：访问主体的安全级别在等级关系上不能高于其想要以写 方式访问的客体的安全级别。 遵守这两条规则就可以防止安全级别高( 即敏感性强) 的客体中的信息流向 安全级别低的客体中。如图2 一l 所示，系统中的信息流只能是平行的( 同一安全 等级之间) 或向上的( 流向高安全等级) 。 主体 产1 f 绝d l 读机密i i 公r 读 上 士 客体 绝密 刳l 盔 公开 图2 - 1m a c 中信息流动机密性控制 2 4 ，3 强制访问控制的应用领域 帷 强制访问控制策略是在特洛伊木马的威胁下被发明用来加强数据机密性保 护的，后来的研究表明，强制访问控制策略也可以用来保护数据的完整性，强 制访问控制进行了很强的等级划分，所以经常用于军事用途。 强制访问控制策略被经常用在军事领域中文档的分类。 许多系统经常同时使用自主访问控制和强制访问控制策略，而且这两种控 制策略已经得到官方标准的承认其中最显著的就是被称为橙皮书的美国国防 部标准1 15 1 。 2 4 4 缺点 强制访问控制策略产生于军队这样刻板的工作环境，美国国防部标准的橙 皮书中的自主访问控制策略对于有效的控制对关键性信息的访问显得力不从 心，而其中的强制访问策略则致力于对分类信息的机密性的保护，实际上，就 是美国军方也常常会为强制访问策略太严格和死板而不得不违背其某些规则以 满足实际应用的需要 1 6 1 。 2 5 基于角色的访问控制 2 5 1 定义 基于角色的访问控制r b a c ( r o l e - b a s e da c c e s sc o n t r o i ) 的基本思想是通过用 户与权限的分离，使得权限管理方便灵活；通过用户与角色的指定，角色与权 限的配置，又可使r b a c 达到所需的安全要求。由此可见r b a c 是一中性策略m 它可依据具体系统环境进行动态配置。r b a c 的基本思想可用如图2 _ 2 描述： 蜀田昼 图2 - 2r b a c 的基本思想 基于角色访问控制r b a c 的定义已经在2 0 0 0 年8 月的第十五届国际信息安全会议 ( t h e1 5 t hi n t e m a t i o n a li n f o r m a t i o ns e c u r i t yc o n f e r e n c e ) _ k 集合的形式给出。其定义如 下： 对于每一主体，激活角色是当前使用的主体： a r ( s ：s u b j e c t ) = f 主体s 的激活角色) ； 每一主体可被授权扮演一个或更多角色： r a ( s ：s u b j e c t ) = 主体s 的授权角色 ： 每一角色可被授权执行一个或更多事务： t a ( r ：r o l e ) = f 授权给角色r 的事务) ； 主体可以执行事务。如果主体s 可以在当前时间执行事务t ，则预n e j e x e c ( s ，t ) 是 真，否则为假： 如果e x e c ( s ；s u b j e c t ，t ：t r m a ) - 一t r u e ，则主体s 可以执行事务t 。 2 5 2 基于角色的访问控制的设计思想 r b a c 设计遵循以下四个个规则： ( 1 ) 角色分配：仅当主体选择或被赋予一个角色，主体才能执行一个事务。 v s ：s “b e c t ，r ：t r a n ( e x e c ( s ，f ) j a g ( s ) o ) 身份证明和鉴别过程( 例如登录) 不是一个事务。其他用户的所有在系统上的活动 都可通过事务处理。因此要求所有激活用户具有某个激活角色。 ( 2 ) 角色授权：主体的激活角色必须是被授权的； v s ：剐如e c t ( a r ( s ) 尼q ( s ) ) 同上面的( 1 ) 一起，规则保证用户只能接收他们授予的角色。 ( 3 ) 事务授权：仅当事务被授权给主体激活角色时，主体才能执行该事务。 ：删印o c z ，f ：t r a n ( , x , c ( s ，f ) 兮f 姐( 翩( s ) ) ) 同( 1 ) 和( 2 ) 一起，规则保证主体只可执行授权给他们的事务。注意，因为条件是“仅 当”事务被授权给主体激活角色时，主体才能执行该事务，所以本规则允许事务执行 时出现附加限制的可能性。也就是说规则不保证一个事务只是因为它在t a ( a r ( s 、 中就是可执行的，t a ( a r ( s ) ) 是由主体激活角色执行的潜在事务集合。例如，一个 主管角色的实习生通过用户委派可被赋予“主管”角色，但是在运用用户角色时有限 制，即对一主管可正常访问的子集，实习生可能受到限制。 上文中，“事务”的定义是变换过程( t r a n s f o r m a t i o n ) 加上一个由变换过程访问 的数据项集。因为数据访问已被构建到事务中，所以上面规则的访问控制不要求对用 户访问数据目标的权利或变换程序访问数据项的权利作任何检查。由于在设计阶段将 操作和数据绑定为一个事务，因而在访问事务时，可能获得一些机密或隐私的数据， 所以存在安全性问题。 ( 4 1 当规则中事务只指变换程序时，需重新定义事务的含义，即不包含对目标的 绑定。在模型中用户通过事务程序访问目标，定义对象访问函数a e c e s s ( r ，i ，o ，x ) ： v s ：“卸g o ，：f m w ，。：o b j e c t ( e x e c ( s ，f ) ja c c e s s ( a r ( s ) ，o ，x ) ) 它表明了是否允许角色r 的主体利用事务t 以x 的方式来访问对象o ，其中x 是已 经缩小的模式的集合。例如：读、写等。 第四项规则可适用于医院配置。一位医生可被提供读写药方的访问控制，而医院 的药剂师可能只具有读的访