基于角色的用户权限管理方法的设计与实现

1、第26卷第4期2005年12月华 北 水 利 水 电 学 院 学 报Journal of North China Insti tute of Water Conservancy and Hydroelectric Power Vol 26No 4Dec 2005 收稿日期:2005-05-10;修订日期:2005-07-20作者简介:徐 启(1977-,男,河南上蔡人,华北水利水电学院动力系助教,主要从事火电厂自动控制、信息安全方面的研究.文章编号:1002-5634(200504-0028-03基于角色的用户权限管理方法的设计与实现徐 启1,刘清欣1,张相州2(1.华北水利水电学院动力系,河

2、南郑州450011; 2.河北工程学院动力系,河北邯郸056021摘 要:在信息系统开发过程中,关键的技术问题之一是用户权限的管理问题.针对以往信息管理系统安全管理中出现的弊端,提出了一种基于岗位角色的用户权限管理方法.描述了用户、岗位角色和权限的关系,通过分配和取消岗位角色来完成用户权限的控制,较好地解决了系统用户权限管理方面的问题.关键词:系统安全;岗位角色;用户权限中图分类号:TN915 04 文献标识码:A在任何一个信息管理系统开发过程中,都要涉及到对人员操作的管理,因此用户权限管理方法的设计与实现非常重要.在开发鹤壁火电厂信息管理系统中,由于公司人员多,部门多,系统比较庞大,要保证系

3、统的正常运行,需实施用户权限控制,在对系统用户、操作权限进行动态管理的同时,必须实现用户菜单定制,且实现与用户无关,避免因人设岗.以往单一的权限管理方法很难满足系统的要求,在此借鉴SQL Server 数据库的权限管理,利用Delphi 作为开发工具,引入了岗位角色的思想,提出用户密码、岗位角色、功能模块的操作权限和数据库安全性几个方面协调统一的设计思想,较好地解决了系统安全性方面的权限分配和管理.1 信息系统安全性分析与设计1.1 系统权限管理的需求信息用户权限的管理一般包括用户密码、岗位角色、操作权限等,主要涉及数据库的安全使用和对功能模块的操作权限.不同的用户具有不同的权限,同时,随着用

4、户的变化,其权限也需要变化,这就要求系统具有动态可变性和柔性.另外,在实际工作中,功能的使用权限与相应的工作岗位密切相关.无论何人,只要在此工作岗位,都有相应的操作权限,并且一个岗位可能对应多个人,一个人也可能有多个岗位.为了适应企业中人员变动的灵活性,提高系统的安全性和自适应性,并且保持系统操作的继承性,采用用户/岗位角色/操作权限模型来实现系统的用户权限管理.1.2 系统用户权限管理设计用户可以对系统用户赋予一种或几种岗位,从而易于分配拥有该岗位的用户的操作权限,即增加了一些管理使系统更规范且不破坏其灵活性,并保持系统的继承操作的性质以使管理更方便1.用户与岗位角色、岗位角色与操作权限之间

5、皆为多对多的关系.其关系如图1所示.图1 用户、岗位角色和操作权限关系图一般信息系统用户权限管理的实现,是直接在用户和数据之间或者用户在处理子模块之间进行权限配置,例如权限矩阵模型的研究2.这些方法不能提供对一组用户的权限配置,使系统过于固定,模型过于复杂.针对这些弊端,系统以岗位角色为基础,进行设计的步骤为:1 通过统一的界面把所有的处理模块以菜单方式集成为一个统一的系统,并且将每一个处理模块按需要分割为若干独立的操作区域,即在一个窗体上的功能可以让不同的操作人员进入,并且拥有不同的操作权限.在用户使用时按其角色配置其可操作的真实界面,不可操作的处理模块可以不显示或虚显示,以使其有此项任务处

6、理功能但此操作人无权对其操作,实现用户菜单的定制;2 企业和下设部门、岗位和用户之间的关系如图2所示,考虑到继承性、灵活性和易分配性等问题的处理,先进行岗位职责的分配和管理;3 定义、分配和管理每个部门下的用户的实际岗位和对应于该岗位的操作权限;4 编制统一的系统使用入口界面;5 对每一个用户设置密码,并对每个用户进行加锁.用户启动系统,输入密码、口令和其他信息,以便进行数据库合法用户的身份认证;6 系统根据预先对用户(组所对应的岗位的权限分配进行其操作的配置,实现与用户无关性,避免因人设岗;7 用户可以按需进行实际工作,其对应的岗位的可操作项是预先分配好的 .图2 岗位、部门和用户(人员的E

7、-R 图1.3 系统数据库设计基于岗位角色的系统设计中,系统仅存在一个系统管理员,其他人员的全部信息都由系统管理员统一管理,为了更好体现系统的灵活性,设计了岗位角色、用户、用户职务表、功能和权限5个数据表来支持管理:1 用户表(yhgl.用来存储系统用户信息,其中包含的信息项主要有:用户名(YH M、口令(KL、职务名称(ZW MC和身份证号(SFZ H 等信息;2 用户职务表(zw.用来存储用户状态信息,主要信息项有:编号(B H、用户名(YHM、处室名称(CSMC、岗位角色名称(JSDM、当前状态(DQZT、起始时间(QSSJ和终止时间(ZZSJ等;3 功能项表(qx .用来存储系统的操作

8、权限,主要信息项有:权限代码(QXD M 和权限名称(QXMC等信息项;4 岗位角色表(gwjs.用来管理各个部门的基本信息,主要信息项有:角色名称(JSMC、角色代码(JSDM和权限代码(QXDM等信息项;5 用户权限表(yhqx.用来存储某一用户对应的操作权限,主要信息项有:用户名(YHM、权限代码(QXDM等信息项.各数据表之间的关系如图3 所示.图3 数据表关系图1.4 系统权限控制设计系统是用Delphi 6.0进行程序设计的,程序在启动每一个窗体之前都要触发FormShow 事件,因此在FormSho w 事件中将对象的Enabled 属性设为False,即可实现其Button 的

9、隐藏或不可用,结合数据库权限集来实现控制.在程序上可以通过2个过程来实现:1 在应用程序输入用户名和口令通过验证后,即获得了系统的用户名和口令.2 在FormSho w 事件中嵌入权限控制代码.procedureTstock xtgnkzfor m interface.FormSho w(Sender:TO bject;var c gnnum:string; i,j,n num:integer;begins datalink manage.ADODs gnkz common.active:=false;s da talink mana ge.ADODs gnkz common.Com mand

10、Text:=selec t * fromSYS YHGL C OMMON where xtm= + + stock + + order by gnnum ;s datalink manage.ADODs gnkz common.active:=true;addstring(s datalink manage.ADODs gnkz common,checklistbox1,checklistbox2, gnmc , gnnum , stock ;if stock xtgnkzform.b flag then begindblookupcombobox1.ListSource:=s datalin

11、k man age.DataS yhgl;s datalink manage.ADODs yhgnkz.First; j:=1;while nots datalink manage.ADODs yhgnkz.Eof do beginc gnnum:=s datalink manage.ADODs yhgnkz.fieldbyname( xtgnnum .AsString;=c hecklistbox1.I tems.C ount;29第26卷第4期 徐 启等: 基于角色的用户权限管理方法的设计与实现for i:=j to n num do beginif checklistbox2.Items

12、i-1=c gnnum then begin j:=i;checklistbox1.Checkedi-1:=true; end; end;s datalink manage.ADODs yhgnkz.Ne xt;end;edit1.Text:=s datalink manage.ADODs yhgnkz.fieldbyname( yhm .AsString;endelse beginedit1.Text:= ;dblookupcombobox1.ListSource:=s datalink man age.DataS GNYHCX;end;end;1.5 系统功能结构设计根据需求,系统功能结构

13、设计如图4所示 .图4 系统功能结构图增加岗位角色:当应用系统发生变化时,在应用系统上创建一个岗位角色来适应系统的需求;修改岗位角色:部门中由于人员的变更对岗位角色信息进行修改;删除岗位:由于精简机构,删除作废的岗位;增加用户:在应用系统上创建一个普通用户,给用户设置一个操作口令、所在部门和岗位角色;删除用户:删除一个用户,回收用户的操作口令;修改口令:修改某一用户的操作口令;权限设置:给某一用户分配若干功能项的操作权限,或回收该用户的某若干功能项的操作权限;增加功能项:当系统结构发生变化时,将新增的功能加到功能项列表中;删除功能项:从功能项列表中删除不使用的功能3.2 系统实现为了方便进行用

14、户操作权限的管理,特统一设计成窗口方式,且在功能权限设计时采用树形菜单的方式.界面提供了系统功能控制及其功能信息设置.权限设置默认岗位角色的权限,可以通过权限前面的选择框进行调整.修改口令可以在专门设计的窗体上进行,系统登录时,用户名、口令提供2级安全保密措施.当某一用户进入系统时,先输入用户名,系统从密码库中取出该用户的用户名、口令、所在单位、职务名称及权限字符串备用.如果是没有注册的用户,系统提示出错,3次后自动退出系统.3 结 语在基于角色的基础上提出了一种信息管理系统动态安全性管理的实现方案.该方案在开发鹤壁火电厂信息管理系统中得以实现,使用方便、安全、有效,可满足用户的各种需求.参

15、考 文 献1邵秀丽,董沙莎,刘明铭,等.CSC W 集成系统中用户权限安全管理方法的研究J.计算机工程,2003,29(3:66-672史美林,向勇,杨光信,等.计算机支持的协同工作理论与应用M .北京:电子工业出版社,20023石双元,蔡淑琴,鲁耀斌,等.Client/Server 环境下信息系统安全性研究J.计算机工程与应用,1998,(5:7-8Design and Realization of User Power Management Measure Based on Post RoleXU Qi 1,LI U Qing_xin 1,Z HANG Xiang_zhou 2(1 Nor

16、th China Institute of Water Conservancy and Hyd roelectric Power,Zhengzhou 450011,China;2 Hebei Engineering Ins titute,Handan 056021,ChinaAbstract:The management of user power is one of the most i mportant technical issues in the exploitation of a information system.Everyone in a system has his own pri vilege,which is different from each other.The scheme of user power management is put forward,Based on the post role against the malpractice of system security managemen t in the previous information systems,the scheme describes t