(window.slotbydup=window.slotbydup || []).push({
id: '2014386',
container: s,
size: '234,60',
display: 'inlay-fix'
&&|&&0次下载&&|&&总6页&&|
您的计算机尚未安装Flash，点击安装&
阅读已结束，如需下载到电脑，请使用积分（）
下载：5积分
0人评价4页
0人评价3页
0人评价3页
0人评价6页
0人评价3页
所需积分：（友情提示：大部分文档均可免费预览！下载之前请务必先预览阅读，以免误下载造成积分浪费！）
（多个标签用逗号分隔）
文不对题，内容与标题介绍不符
广告内容或内容过于简单
文档乱码或无法正常显示
若此文档涉嫌侵害了您的权利，请参照说明。
我要评价：
下载：5积分统一权限管理与组织机构的结合（缩水版）
1. 组织模型
&在企业中，组织是为了完成企业目标而形成的具有特定结构、分工协作的团队。组织模型就是用来定义企业的组织形式的模型，用于表达企业组织机构的中的实体
间的层次和隶属。
2.1 企业组织机构类型
&迄今，企业组织结构主要的形式有：直线制，职能制，直线职能制，事业部制，模拟分权制，矩阵结构等。
2.2 组织机构建模
&从建模的角度来讲，上述各种类型中大部分都可以用树型层次机构来表示，例外的就是近年来应用越来越多的一种比较先进的管理模式－矩阵式管理。
2.2.1 组织模型中的元素单元
应用中，我们可以看到组织机构中的各种元素，如：集团、公司、区域、子公司、部门、岗位、职员、职责、权限等等。在将组织机构抽象形成组织模型的过程中，我们可以将公司、部门等等这些团体性质的单元统一抽象为"组织"，并且一般都是层次结构，可表示为图1。岗位隶属于具体的组织，表示具体组织中的分工，并且也有层次关系。职务是对组织分工的通用描述，如经理是一个职务而某部门
的经理是一个岗位。部门职能描述的是一个部门的主要工作范围和职责。岗位职责描述的是一个岗位所应该担负的责任和工作范围。
在 明确了组织模型中的元素单元之后，我们将他们组织在一起，描述他们的关系，形成组织模型。
&2.2.2 层次型组织模型
针对非矩阵式管理的组织机构提出以下的层次组织模型：
其中组织的层次比较好理解，而岗位的层次表明了不仅在某个组织下的岗位有层次，实际所有岗位组成一颗完整的岗位树，都是树状层次结构中的节点。这是由于每个岗位都有直接上级，也就是他汇报工作的对象。下图作为组织机构的一个简单实例说明了这个问题。
3. 权限模型
权限模型也就是系统访问控制模型，是系统安全方案的核心。访问控制机制可以限制对关键资
源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。
3.1 访问控制方法
目 前的主流访问控制技术有：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）。
自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要针对用户个人授予权限。大型应用系统的访问用户往往种类繁多、数量巨大、并且动态变化，使得权限管理负担巨大且易出错。因此在90年代时出现了基于角色
的访问控制方法RBAC（Role-based Access Control）。
RBAC的基本
思想是在用户和访问权限之间引入角色的概念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。角色是访问权限的集合，用户通过赋予不
同的角色获得角色所拥有的访问权限。一个用户可拥有多个角色，一个角色可授权给多个用户；一个角色可包含多个权限，一个权限可被多个角色包含。用户通过角色享有权限，它不直接与权限相关联，权限对存取对象的操作许可是通过活跃角色实现的。
3.2 基于角色的访问控制模型
在RBAC标准中，描述了RBAC的几种模型。分别是RBAC核心模型、角色层次模型、约束模型，其中约束模型又分为静态职责分离(Static
Separation of Duty Relations)模型和动态职责分离(Dynamic Separation of Duty
Relations)模型。
核心模型描述了RBAC的基本思想，是要实现RBAC的系统必须实现的最小集。给用户分配角色，给角色分配权限，用户在会话中选择要激活的角色集。其中权限定义为对受保护对象的操作的许可。受保护对象可以是系统的数据、数据载体（如某个文件、窗体、数据库表），也可以是计算机资源（如打印机）。操作就是针对这些对象执行的完成一定功能的程序。
3.3 RBAC模型的应用
基于简单、灵活、可扩展的原则，在系统中实现RBAC模型，可分为以下若干模
块：用户定义工具、角色定义工具、权限定义工具、角色分配工具、权限分配工具、角色约束规则定义工具，系统运行时的用户会话模块、约束校验模块、权限校验
模块等。可大致表示如下图。
RBAC定义的过程框架图：
中比较关键并且对扩展性影响最大的就是权限的定义，一般来说，用户、角色、约束等经抽象后在系统中都比较稳定，最容易发生的系统扩展就是系统功能的改变导致权限的定义和分配。权限的定义首先是定义受控对象，然后定义可对受控对象执行的操作。我们可以在各功能模块中描述本模块的可控制对象及其受控方法，然后
在权限定义工具中读取所有的描述，由用户映射描述生成具体的权限。然后可以使用权限分配工具分配给角色。在系统运行时，执行某个对象的方法时，都要请求权
限服务先查看此对象是否受控对象，是则查看此方法是否受控的操作，如果是则查看用户激活的角色权限中是否有此权限，有则执行操作，否则拒绝访问。
限的控制也是业务逻辑的一部分，也分为粗粒度的控制和细粒度的控制。简单的粗粒度如上只用判断用户权限集中是否存在某一权限，细粒度控制可能就会有复杂的判断规则和逻辑，基于角色的权限控制可以实现粗粒度及部分细粒度的访问控制，并且可以给具
体模块或者规则引擎提供基础的权限服务。
4. 组织模型和权限模型在MIS中的整合
多MIS中并没有组织模型，主要是用户、用户组的概念，这样可直接结合权限模型中的角色、权限等概念。但是对于大型的比较全面的管理信息系统，组织机构系统和权限系统都必须存在，两者如何结合是个值得探讨的问题。
在上面讨论组织模型的过程中，我们提到了部门职责和岗位职责的概念，但并没有体现在模型中，实际上，所谓职责也就是部门或岗位应该做哪些事、能够做哪些事，是部门和岗位的内在的固有属性，映射
到系统中，其实就是权限。如果不和权限系统结合，职责可能只表现为一段文字描述。有了权限系统，我们可以给部门、岗位分配权限，来描述他们的职责，这样组
织模型就更全面反映了用户的组织机构。
特别要说明的是给部门分配权限和给岗位分配权限是有区别的。由于用户必须隶属于岗位，而岗位隶属于部门，部门的权限用户是不能继承的，部门的权限用来影响岗位权限。部门内的岗位权限不可超出部门权限，并且部门权限可分为通用权限（部门内岗位可自动继承）和特定权限（必须分配到具体岗位）。这样也可以实现分级的权限管理，由总管理员给部门分配权限，然后各部门管理员
给本部门岗位分配权限。类似的我们也可以给职务分配权限，职务的权限将自动被关联此职务的岗位获得。
基于角色的权限模型中，我们给角色分配权限，给用户分配角色，而在组织模型中，我们也需要给组织和岗位分配权限，给用户分配岗位，对比可发现两个模型结合的关键就在岗位和角色的关系上。处理岗位和角色的关系有合并和映射两种方法。
4.1 岗位和角色的合并
由于大部分的角色就是基于实际的岗位或者职务生成的，因此可以将岗位和角色合而为
一，用组织模型的岗位同时表示权限模型的角色概念，直接给岗位、组织、职务分配权限。
&系统是否应该支持将权限直接分配到人。在现实应用中，好像总存在一些人岗位相同，但权限却稍有不同。如果按我们上面基于角色的思想，这样的情况只能新建
角色或岗位进行分配，但如果这种情况较多就会导致角色的极度膨胀。如果支持，就违背了RBAC的基本思想，也就丧失了它带来的好处。&
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。1&RBAC模型 &&&&&& 访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么[1]。&&&&&& &企业环境中的访问控制策略一般有三种：自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法（RBAC）。其中，自主式太弱，强制式太强，二者工作量大，不便于管理[1]。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：1.减小授权管理的复杂性，降低管理开销；2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。 &&&&&& NIST（The National Institute of Standards and Technology，美国国家标准与技术研究院）标准RBAC模型由4个部件模型组成，这4个部件模型分别是基本模型RBAC0（Core RBAC）、角色分级模型RBAC1（Hierarchal RBAC）、角色限制模型RBAC2（Constraint RBAC）和统一模型RBAC3（Combines RBAC）[1]。RBAC0模型如图1所示。&&&&&&&& a. RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素，权限被赋予角色,而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。 &&&&&&&& b. RBAC1引入角色间的继承关系，角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。 &&&&&&& c. RBAC2模型中添加了责任分离关系。RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。 &&&&& & d. RBAC3包含了RBAC1和RBAC2，既提供了角色间的继承关系，又提供了责任分离关系。
&2核心对象模型设计
&&&&& 根据RBAC模型的权限设计思想，建立权限管理系统的核心对象模型.对象模型中包含的基本元素主要有：用户（Users）、用户组（Group）、角色（Role）、目标（Objects）、访问模式（Access Mode）、操作（Operator）。主要的关系有：分配角色权限PA（Permission Assignment）、分配用户角色UA（Users Assignmen描述如下：
&&&&&& a .控制对象：是系统所要保护的资源（Resource），可以被访问的对象。资源的定义需要注意以下两个问题： &&&&&& 1.资源具有层次关系和包含关系。例如，网页是资源，网页上的按钮、文本框等对象也是资源，是网页节点的子节点，如可以访问按钮，则必须能够访问页面。 &&&&&& 2.这里提及的资源概念是指资源的类别（Resource Class），不是某个特定资源的实例（Resource Instance）。资源的类别和资源的实例的区分，以及资源的粒度的细分，有利于确定权限管理系统和应用系统之间的管理边界，权限管理系统需要对于资源的类别进行权限管理，而应用系统需要对特定资源的实例进行权限管理。两者的区分主要是基于以下两点考虑： &&&&&&& 一方面，资源实例的权限常具有资源的相关性。即根据资源实例和访问资源的主体之间的关联关系，才可能进行资源的实例权限判断。 例如，在管理信息系统中，需要按照营业区域划分不同部门的客户，A区和B区都具有修改客户资料这一受控的资源，这里&客户档案资料&是属于资源的类别的范畴。如果规定A区只能修改A区管理的客户资料，就必须要区分出资料的归属，这里的资源是属于资源实例的范畴。客户档案（资源）本身应该有其使用者的信息（客户资料可能就含有营业区域这一属性），才能区分特定资源的实例操作，可以修改属于自己管辖的信息内容。 &&&&&&& 另一方面，资源的实例权限常具有相当大的业务逻辑相关性。对不同的业务逻辑，常常意味着完全不同的权限判定原则和策略。&&&&&&& b.权限：对受保护的资源操作的访问许可(Access Permission)，是绑定在特定的资源实例上的。对应地，访问策略（Access Strategy）和资源类别相关，不同的资源类别可能采用不同的访问模式（Access Mode）。例如，页面具有能打开、不能打开的访问模式，按钮具有可用、不可用的访问模式，文本编辑框具有可编辑、不可编辑的访问模式。同一资源的访问策略可能存在排斥和包含关系。例如，某个数据集的可修改访问模式就包含了可查询访问模式。 &&&&&&& c.用户：是权限的拥有者或主体。用户和权限实现分离，通过授权管理进行绑定。 &&&&&&& d.用户组：一组用户的集合。在业务逻辑的判断中，可以实现基于个人身份或组的身份进行判断。系统弱化了用户组的概念，主要实现用户（个人的身份）的方式。&&&&&&&&&e.角色：权限分配的单位与载体。角色通过继承关系支持分级的权限实现。例如，科长角色同时具有科长角色、科内不同业务人员角色。 &&&&&&& f.操作：完成资源的类别和访问策略之间的绑定。 &&&&&&& g.分配角色权限PA：实现操作和角色之间的关联关系映射。 &&&&&&& h.分配用户角色UA：实现用户和角色之间的关联关系映射。
&该对象模型最终将访问控制模型转化为访问矩阵形式。访问矩阵中的行对应于用户，列对应于操作，每个矩阵元素规定了相应的角色，对应于相应的目标被准予的访问许可、实施行为。按访问矩阵中的行看，是访问能力表CL(Access Capabilities)的内容；按访问矩阵中的列看，是访问控制表ACL（Access Control Lists）的内容。数据模型图如下：
&&相关文章推荐
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：179721次
积分：3951
积分：3951
排名：第7339名
原创：207篇
评论：18条
(1)(1)(1)(2)(6)(9)(8)(4)(4)(9)(2)(15)(32)(5)(30)(27)(3)(8)(2)(10)(5)(12)(9)(3)(2)您的位置： &
基于神经网络的角色层次访问控制策略的研究
优质期刊推荐