［劉智瓊 華竹軒 黎莎菲］

面向BSS系統(tǒng)的權(quán)限管理模型研究

［劉智瓊 華竹軒 黎莎菲］

隨著信息技術(shù)的不斷發(fā)展，從獨(dú)立平臺(tái)到綜合系統(tǒng)集成，從單一服務(wù)到業(yè)務(wù)融合，實(shí)現(xiàn)統(tǒng)一框架中的縱向、橫向管理，是電信行業(yè)IT系統(tǒng)架構(gòu)發(fā)展規(guī)律。系統(tǒng)整合的一個(gè)重要基礎(chǔ)是用戶賬號(hào)數(shù)據(jù)的統(tǒng)一、授權(quán)的集中、單點(diǎn)登錄認(rèn)證、安全操作審計(jì)。文章深入分析了電信企業(yè)信息化BSS系統(tǒng)的權(quán)限管理現(xiàn)狀及不足，詳細(xì)介紹了權(quán)限管理的理論和方法，提出了一種以用戶—崗位—角色—權(quán)限為核心的三級(jí)訪問(wèn)控制授權(quán)模型，實(shí)現(xiàn)權(quán)限的多維度私有授權(quán)，為電信BSS業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、靈活多樣化的賬號(hào)、認(rèn)證、授權(quán)和審計(jì)的安全服務(wù)。

BSS系統(tǒng) RBAC模型 三級(jí)授權(quán)模型

劉智瓊

高級(jí)工程師，碩士，現(xiàn)任職于中國(guó)電信股份有限公司廣州研究院，長(zhǎng)期從事電信IT支撐系統(tǒng)的設(shè)計(jì)與研發(fā)工作。

華竹軒

通信工程師，碩士，現(xiàn)任職于中國(guó)電信股份有限公司廣州研究院，長(zhǎng)期從事電信IT支撐系統(tǒng)的設(shè)計(jì)與研發(fā)工作。

黎莎菲

工程師，現(xiàn)就職于深圳市遠(yuǎn)行科技有限公司，一直從事數(shù)據(jù)分析及IT支撐系統(tǒng)設(shè)計(jì)與研發(fā)等方面的工作。

1 引言

為了應(yīng)對(duì)全球背景下業(yè)務(wù)迅猛增長(zhǎng)和規(guī)模急速擴(kuò)大運(yùn)營(yíng)需求，電信運(yùn)營(yíng)商堅(jiān)持“以客戶為中心”的理念全面推動(dòng)業(yè)務(wù)和運(yùn)營(yíng)的結(jié)合，經(jīng)過(guò)近十幾年逐步的演進(jìn)，建設(shè)了當(dāng)前較為成熟的BOSS(Business Operation Support System)系統(tǒng)，通過(guò)不斷完善的IT 管控制度和流程，提升IT 管控的技術(shù)支撐水平，促使企業(yè)信息化成為企業(yè)的核心競(jìng)爭(zhēng)力，推動(dòng)企業(yè)的可持續(xù)發(fā)展。

在電信企業(yè)信息系統(tǒng)BSS、OSS、MSS三大領(lǐng)域中，從獨(dú)立平臺(tái)到綜合系統(tǒng)集成，從單一服務(wù)到業(yè)務(wù)融合，實(shí)現(xiàn)統(tǒng)一框架中的縱向、橫向管理，是電信行業(yè)IT系統(tǒng)架構(gòu)發(fā)展規(guī)律[1]。如何進(jìn)行系統(tǒng)整合，是擺在企業(yè)面前的一個(gè)重要問(wèn)題。系統(tǒng)整合的一個(gè)重要基礎(chǔ)是用戶賬號(hào)數(shù)據(jù)的統(tǒng)一、授權(quán)的集中、單點(diǎn)登錄認(rèn)證、安全操作審計(jì)。

權(quán)限管理的應(yīng)用一直是BSS系統(tǒng)安全研究和應(yīng)用的熱點(diǎn)之一。對(duì)于BSS系統(tǒng)來(lái)說(shuō)，需要統(tǒng)一用戶權(quán)限管理，解決不同人員、部門對(duì)資源、功能、數(shù)據(jù)等的訪問(wèn)需求的復(fù)雜性，確保系統(tǒng)的服務(wù)和數(shù)據(jù)是被適當(dāng)?shù)娜藛T查看和操作的，防止因?yàn)楸O(jiān)管不利而導(dǎo)致的功能范圍過(guò)大、系統(tǒng)數(shù)據(jù)泄露。因此，一種靈活的支持多級(jí)訪問(wèn)控制策略的權(quán)限管理模型也成為IT研究關(guān)注的新課題。本文深入分析了電信企業(yè)信息化BSS系統(tǒng)的權(quán)限管理現(xiàn)狀及不足，詳細(xì)介紹了權(quán)限管理的理論和方法，最后設(shè)計(jì)并實(shí)現(xiàn)了三級(jí)訪問(wèn)控制授權(quán)模型，并給出了系統(tǒng)的應(yīng)用實(shí)例。

2 現(xiàn)狀分析

近年來(lái)，隨著信息技術(shù)的迅速發(fā)展，在電信企業(yè)信息系統(tǒng)中，各種支撐應(yīng)用和用戶數(shù)量的不斷增加，以某電信省公司為例子，業(yè)務(wù)支撐系統(tǒng)的總用戶數(shù)達(dá)到八千多人，這些用戶包括營(yíng)業(yè)員、大客戶代表、客服人員、渠道代理商等。網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，信息安全問(wèn)題愈見突出，對(duì)系統(tǒng)之間的整合也就提出了不同以往的、更高的要求。而原有各自為政的賬號(hào)、權(quán)限、認(rèn)證、審計(jì)等方面已不能滿足目前及未來(lái)信息系統(tǒng)發(fā)展的要求。主要問(wèn)題表現(xiàn)在以下方面：

（1）用戶權(quán)限缺乏統(tǒng)一管理。大量應(yīng)用系統(tǒng)存在于企業(yè)信息化BSS域中，它們各自一套獨(dú)立而自成體系的賬號(hào)、認(rèn)證、授權(quán)以及審計(jì)機(jī)制，并且每個(gè)賬號(hào)認(rèn)證授權(quán)審計(jì)機(jī)制都由本系統(tǒng)的管理員負(fù)責(zé)維護(hù)和管理，這種方式缺乏集中統(tǒng)一的用戶權(quán)限管理，系統(tǒng)的安全性無(wú)法得到充分保證，無(wú)法有針對(duì)性地進(jìn)行安全預(yù)警和數(shù)據(jù)責(zé)任追蹤。

（2）數(shù)據(jù)權(quán)限很多通過(guò)應(yīng)用固化無(wú)模型支撐。應(yīng)用系統(tǒng)數(shù)據(jù)權(quán)限多是通過(guò)程序特殊處理，可擴(kuò)展性差，當(dāng)維護(hù)人員同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度不僅會(huì)成倍增加，有的時(shí)候甚至根本無(wú)法完成管理。

（3）嚴(yán)格分級(jí)授權(quán)模式導(dǎo)致運(yùn)營(yíng)配置工作量巨大。在電信企業(yè)現(xiàn)有的BSS業(yè)務(wù)支撐系統(tǒng)中，用戶（自然人）和系統(tǒng)崗位/角色間是采用直接對(duì)應(yīng)的方式。同一用戶在系統(tǒng)崗位/角色完全一樣的情況下，由于不同的組織使用，權(quán)限集合有差異，需要配置多個(gè)系統(tǒng)崗位，系統(tǒng)崗位的多重化、復(fù)雜化，帶來(lái)了大量的交叉關(guān)系，運(yùn)營(yíng)清理困難，權(quán)限管理任務(wù)越來(lái)越重。

總結(jié)來(lái)講，隨著業(yè)務(wù)支撐系統(tǒng)的發(fā)展及內(nèi)部用戶的增加，一方面系統(tǒng)維護(hù)和管理人員的工作負(fù)擔(dān)增加，工作效率無(wú)法提高；另一方面無(wú)法對(duì)各業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)統(tǒng)一的安全策略，從而在實(shí)質(zhì)上降低了業(yè)務(wù)系統(tǒng)的安全性。因此，迫切需要一個(gè)統(tǒng)一的權(quán)限管理模型為各應(yīng)用系統(tǒng)提供員工的多級(jí)授權(quán)與統(tǒng)一入口管理，提升業(yè)務(wù)系統(tǒng)安全性和可管理能力。

3 BSS融合模型權(quán)限設(shè)計(jì)解決方案

3.1 核心概念

目前，以角色為核心的訪問(wèn)控制模型（Role-Based Access Control，RBAC）在電信企業(yè)BSS業(yè)務(wù)支撐系統(tǒng)中得到了廣泛的使用，成為主流的安全訪問(wèn)控制方式。在模型中，引入了角色的概念，這些角色是根據(jù)企業(yè)的業(yè)務(wù)內(nèi)容的需要來(lái)設(shè)置的。系統(tǒng)管理員將資源的訪問(wèn)權(quán)限分配給相應(yīng)的角色，即系統(tǒng)管理員將這些權(quán)限封裝在相應(yīng)的角色中。每個(gè)角色可被授予多個(gè)權(quán)限，而一個(gè)權(quán)限可被授予多個(gè)角色，即角色與權(quán)限之間是多對(duì)多的關(guān)系。系統(tǒng)再將這些角色授予相應(yīng)工作崗位的用戶，用戶便得到了資源訪問(wèn)的權(quán)限。一個(gè)用戶可被授予多個(gè)角色。

RBAC模型[2]是一個(gè)定義完整的數(shù)學(xué)模型，體現(xiàn)了角色控制的思想，其中的術(shù)語(yǔ)定義如下：

用戶（User）：指可以獨(dú)立訪問(wèn)系統(tǒng)的人員。是指具有使用系統(tǒng)用戶名和密碼的人員。

角色（Role）：指在一個(gè)組織或者企業(yè)中的工作崗位或者在企業(yè)中的地位，它可以代表一種權(quán)利和責(zé)任。體現(xiàn)在系統(tǒng)中是指營(yíng)業(yè)員、代理商、系統(tǒng)管理員等工作崗位。

權(quán)限（Permission）：指對(duì)某些實(shí)體資源對(duì)象操作許可的集合，它包括控制對(duì)象和操作，控制對(duì)象一般為資源，包括菜單、頁(yè)面、文件等資源，而操作一般包括查看、修改、刪除等操作。權(quán)限的類型可以是功能權(quán)限、數(shù)據(jù)權(quán)限、混合權(quán)限。功能權(quán)限的構(gòu)成可以是功能菜單、功能組件；而數(shù)據(jù)權(quán)可以基于元數(shù)據(jù)中定義的業(yè)務(wù)對(duì)象實(shí)例進(jìn)行配置；混合權(quán)限可以是功能權(quán)或數(shù)據(jù)權(quán)中的一種或多種。

會(huì)話（Session）：用于表示用戶與角色的映射，一個(gè)用戶與一個(gè)角色的子集相對(duì)應(yīng)。會(huì)話是動(dòng)態(tài)術(shù)語(yǔ)，會(huì)話是由用戶發(fā)起的，是用戶與系統(tǒng)的交互，會(huì)話發(fā)起后會(huì)激活用戶所屬的一個(gè)角色的子集，這些激活的角色所具有的權(quán)限的并集為該用戶的權(quán)限。

圖1 RBAC模型

RBAC 雖然簡(jiǎn)單而且易用，但是在實(shí)際應(yīng)用中仍然存在一些問(wèn)題[3]，比如簡(jiǎn)單的將角色與崗位等同起來(lái)；沒(méi)有對(duì)數(shù)據(jù)權(quán)限對(duì)象進(jìn)行詳細(xì)的劃分；用戶被指定為某個(gè)角色后，在不影響其他用戶的訪問(wèn)權(quán)限的前提下，要添加或者刪除其對(duì)某個(gè)資源的訪問(wèn)權(quán)限，其過(guò)程是比較麻煩的。

3.2 三級(jí)授權(quán)模型

結(jié)合電信行業(yè)IT集約云化架構(gòu)的發(fā)展[4]，針對(duì)現(xiàn)網(wǎng)權(quán)限管理工作存在的不足，以下分別從統(tǒng)一組織入口、集中管理員工全集、統(tǒng)一授權(quán)模型等方面提出優(yōu)化建議，為提升現(xiàn)網(wǎng)認(rèn)證授權(quán)機(jī)制，降低運(yùn)營(yíng)成本提供有價(jià)值的技術(shù)參考。

（1）通過(guò)統(tǒng)一的三級(jí)授權(quán)模型，為電信BSS業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、靈活多樣化的賬號(hào)、認(rèn)證、授權(quán)和審計(jì)的安全服務(wù)[5]。

作者通過(guò)對(duì)組織、組織結(jié)構(gòu)和崗位的深入分析可以發(fā)現(xiàn)，基于角色的訪問(wèn)控制模型RBAC單純從技術(shù)角度看待安全問(wèn)題，缺少?gòu)慕M織的整體性角度出發(fā)的思想理念，忽略了權(quán)限管理工作所具有的組織性和崗位在組織結(jié)構(gòu)中所具有的重要意義。實(shí)際上，電信BSS業(yè)務(wù)支撐系統(tǒng)中所有的認(rèn)證、授權(quán)、訪問(wèn)控制和權(quán)限管理工作都是源于組織，并由組織來(lái)進(jìn)行仲裁的，崗位作為組織中權(quán)力的標(biāo)準(zhǔn)執(zhí)行單元和組織結(jié)構(gòu)的基本節(jié)點(diǎn)具有其不可替代的作用?；诖?，我們提出了一種以用戶—崗位—角色—權(quán)限為核心的三級(jí)訪問(wèn)控制授權(quán)模型。

① 系統(tǒng)用戶

記錄員工登錄系統(tǒng)使用的系統(tǒng)帳戶；系統(tǒng)用戶除了擁有系統(tǒng)崗位所帶的角色和權(quán)限，也可以擁有私有的角色和權(quán)限。

② 系統(tǒng)崗位

記錄員工在系統(tǒng)內(nèi)所擔(dān)任的一個(gè)或數(shù)個(gè)任務(wù)的集合。系統(tǒng)崗位除了擁有角色所帶的權(quán)限，也可以擁有私有的多個(gè)權(quán)限。

圖2 三級(jí)訪問(wèn)控制授權(quán)模型

③ 角色

記錄員工操作系統(tǒng)的權(quán)限集合。系統(tǒng)崗位可以包含多個(gè)角色，系統(tǒng)崗位除了擁有角色所帶的權(quán)限，也可以擁有私有的多個(gè)權(quán)限。

④ 權(quán)限

記錄員工在系統(tǒng)內(nèi)的可被賦予的最小功能單元和數(shù)據(jù)訪問(wèn)權(quán)利。

通過(guò)以上改進(jìn)的RBAC——三級(jí)授權(quán)模型可以看出，支持系統(tǒng)用戶、系統(tǒng)崗位、系統(tǒng)角色三級(jí)授權(quán)，實(shí)現(xiàn)權(quán)限的多維度私有授權(quán)[6]，減少運(yùn)營(yíng)維護(hù)人員的配置復(fù)雜度，很多權(quán)限可通過(guò)私有授權(quán)快捷分配，進(jìn)一步減少了系統(tǒng)崗位、系統(tǒng)角色的數(shù)量。從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施。

（2）電信業(yè)務(wù)支撐系統(tǒng)權(quán)限管理工作從組織的整體角度出發(fā)，統(tǒng)一組織入口維護(hù)管理，實(shí)現(xiàn)組織、渠道、經(jīng)營(yíng)主體的融合，如圖3。

三級(jí)授權(quán)模型通過(guò)新增“電信組織”等實(shí)體，將渠道視圖的“渠道”、“經(jīng)營(yíng)主體”和原有的“組織”統(tǒng)一管理，實(shí)現(xiàn)渠道視圖與組織機(jī)構(gòu)的融合；一個(gè)“電信組織”可以有多種組織角色，管理方式簡(jiǎn)單、靈活，電信組織為渠道角色時(shí)，“渠道”表記錄渠道相關(guān)信息；為經(jīng)營(yíng)主體角色時(shí)，“經(jīng)營(yíng)主體”記錄經(jīng)營(yíng)主體相關(guān)信息。

（3）完善員工等實(shí)體，集中管理BSS融合系統(tǒng)的員工全集，如圖4。

三級(jí)授權(quán)模型通過(guò)修訂“員工”等實(shí)體，將渠道視圖的銷售員與“員工”融合，員工可以來(lái)源于MSS系統(tǒng)，也可在BSS側(cè)增加，以實(shí)現(xiàn)管理使用BSS融合系統(tǒng)的員工全集，避免相同數(shù)據(jù)多系統(tǒng)分散帶來(lái)的應(yīng)用處理、運(yùn)營(yíng)維護(hù)的困難。

（4）系統(tǒng)崗位作為組織間業(yè)務(wù)協(xié)作的支點(diǎn)，區(qū)分系統(tǒng)崗位的管理組織、使用組織。

圖3 電信組織、渠道、經(jīng)營(yíng)主體實(shí)體統(tǒng)一管理

圖4 完善“員工”等實(shí)體

三級(jí)授權(quán)模型通過(guò)新增“系統(tǒng)崗位”實(shí)體，用于設(shè)置操作BSS系統(tǒng)時(shí)在任職組織內(nèi)角色及權(quán)限的關(guān)聯(lián)體。區(qū)分系統(tǒng)崗位的管理組織、使用組織，能夠在滿足業(yè)務(wù)需要的情況下，減少系統(tǒng)崗位的數(shù)量；可進(jìn)行集團(tuán)、省、市三級(jí)運(yùn)營(yíng)方式，減少運(yùn)營(yíng)管理的混亂，提升運(yùn)營(yíng)效率。

（5）完善權(quán)限等實(shí)體，對(duì)權(quán)限的種類進(jìn)行了分類管理，實(shí)現(xiàn)權(quán)限的靈活統(tǒng)一配置

① 功能是基于新增“功能菜單”、“功能組件”實(shí)體，記錄系統(tǒng)各模塊、菜單、頁(yè)面及子元素的集合；

② 數(shù)據(jù)是基于元數(shù)據(jù)的業(yè)務(wù)對(duì)象作為其構(gòu)成元素。

③ 數(shù)據(jù)權(quán)限授權(quán)[7]給具體的對(duì)象之后，可指定作用在具體的功能權(quán)限。

統(tǒng)一的權(quán)限模型，解決目前現(xiàn)網(wǎng)中權(quán)限分配入口分散、運(yùn)營(yíng)管理困難、需要應(yīng)用特殊處理、程序擴(kuò)展性差等問(wèn)題，達(dá)到了快速配置、授權(quán)統(tǒng)一、應(yīng)用開發(fā)靈活的目標(biāo)。

（6）擴(kuò)充授權(quán)中的“關(guān)聯(lián)功能權(quán)限標(biāo)識(shí)”。支持將權(quán)限授權(quán)之后，可指定數(shù)據(jù)權(quán)限是作用于某一功能授權(quán)的。

圖5 新增系統(tǒng)崗位等實(shí)體，管理系統(tǒng)崗位與組織的多種關(guān)系

圖6完善權(quán)限等實(shí)體，實(shí)現(xiàn)權(quán)限的靈活統(tǒng)一配置

3.3 應(yīng)用場(chǎng)景：權(quán)限多級(jí)分配

3.3.1 場(chǎng)景描述

在接受一療程治療后,患兒咳嗽、喘憋、氣促及肺部哮鳴音完全消失為顯效;患兒咳嗽,喘憋有明顯改善,氣促有所緩解,肺部哮鳴音顯著減少為有效;患兒癥狀及體征沒(méi)有好轉(zhuǎn)甚至加重則為無(wú)效。

河北三河市燕郊某營(yíng)業(yè)廳的營(yíng)業(yè)員張?？梢赞k理燕郊和北京的業(yè)務(wù)，由于工作的需要，該營(yíng)業(yè)員張希被借調(diào)到河北石家莊某營(yíng)業(yè)廳，但在該營(yíng)業(yè)廳的張希只辦理石家莊的業(yè)務(wù)。營(yíng)業(yè)員的功能權(quán)限包括：訂單受理、營(yíng)業(yè)扎帳、重打發(fā)票。

場(chǎng)景一：在燕郊任職時(shí)，張希被授權(quán)可以“訂單受理”北京業(yè)務(wù)，在石家莊任職時(shí)，不能辦理北京業(yè)務(wù)；

場(chǎng)景二：要求只有燕郊營(yíng)業(yè)廳的營(yíng)業(yè)員才能“訂單受理”北京業(yè)務(wù)，石家莊的營(yíng)業(yè)員不能辦理北京業(yè)務(wù)；

場(chǎng)景三：張希被授權(quán)可以辦理北京業(yè)務(wù)，不管是在燕郊還是北京任職。

3.3.2 模型的處理原則及要點(diǎn)

（1.1）處理原則

（1）系統(tǒng)用戶分配系統(tǒng)崗位之后，系統(tǒng)用戶就擁有了該系統(tǒng)崗位下的角色和權(quán)限；

（2）系統(tǒng)崗位自身（非分配角色）也可以有私有的權(quán)限；

（3）系統(tǒng)用戶自身（非分配系統(tǒng)崗位）也可以有私有的角色和權(quán)限；

（4）一個(gè)權(quán)限可以屬于多個(gè)角色，一個(gè)角色包含多種權(quán)限；

（5）為系統(tǒng)用戶的單個(gè)功能權(quán)限可以設(shè)置單獨(dú)的數(shù)據(jù)權(quán)限；

（6）考慮到分級(jí)運(yùn)營(yíng)需要，數(shù)據(jù)權(quán)限的地域維度分配需要按本地網(wǎng)、省級(jí)、集團(tuán)的分別控制，集團(tuán)超級(jí)管理員能夠給所有的員工進(jìn)行授權(quán)；省級(jí)管理員能夠給所屬省份的員工進(jìn)行授權(quán)；本地網(wǎng)管理員只能給所屬本地網(wǎng)的員工進(jìn)行授權(quán)；如果需要跨級(jí)授權(quán)，需要找上一級(jí)管理員進(jìn)行授權(quán)；

（2.1）處理要點(diǎn)

（1）已分配系統(tǒng)賬號(hào)：已為張希分配BSS集中系統(tǒng)用戶賬號(hào)"zhangxi"。

（2）已有的系統(tǒng)崗位：“三河營(yíng)業(yè)員”的管理組織為“三河電信”，“石家莊營(yíng)業(yè)員”的管理組織為“石家莊電信”。

（3）授予系統(tǒng)用戶對(duì)應(yīng)系統(tǒng)崗位：

① 三河系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”分配系統(tǒng)崗位“三河營(yíng)業(yè)員”

② 集團(tuán)系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”分配系統(tǒng)崗位“石家莊營(yíng)業(yè)員”。

（4）授予“北京”的數(shù)據(jù)權(quán)限：

圖7 新增授權(quán)對(duì)象，實(shí)現(xiàn)權(quán)限的多維度私有授權(quán)

圖8 權(quán)限多級(jí)分配-場(chǎng)景示意圖

① 場(chǎng)景一：集團(tuán)系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”的任職崗位“三河營(yíng)業(yè)員”授予數(shù)據(jù)權(quán)限“北京”；

② 場(chǎng)景二：集團(tuán)系統(tǒng)管理員為系統(tǒng)崗位“三河營(yíng)業(yè)員”授予數(shù)據(jù)權(quán)限“北京”；

③ 場(chǎng)景三：集團(tuán)系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”授予數(shù)據(jù)權(quán)限“北京”。

3.3.3 參考實(shí)現(xiàn)

（1）概念示意（如圖8）

（2）數(shù)據(jù)驗(yàn)證（如表1～7）

表1 系統(tǒng)用戶【SYSTEM_USER】

表2 電信組織【ORGANIZATION】

表3 系統(tǒng)崗位【SYSTEM_POST】

表4 系統(tǒng)用戶任職崗位

表5 系統(tǒng)角色【SYSTEM_ROLE】

表6 系統(tǒng)崗位對(duì)應(yīng)角色【SYSTEM_POST_ROLE】

表7 授權(quán)【PRIV_GRANT】

4 小結(jié)

隨著信息技術(shù)的不斷發(fā)展，各種訪問(wèn)控制技術(shù)的集成以及統(tǒng)一授權(quán)管理是訪問(wèn)控制技術(shù)的一種發(fā)展趨勢(shì)。本文提出的一種以用戶—崗位—角色—權(quán)限為核心的三級(jí)訪問(wèn)控制授權(quán)模型，實(shí)現(xiàn)權(quán)限的多維度私有授權(quán)，為電信BSS業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、靈活多樣化的賬號(hào)、認(rèn)證、授權(quán)和審計(jì)的安全服務(wù)，減少運(yùn)營(yíng)維護(hù)人員的配置復(fù)雜度，通過(guò)私有授權(quán)快捷分配，進(jìn)一步減少了系統(tǒng)崗位、系統(tǒng)角色的數(shù)量。從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施，同時(shí)，降低了系統(tǒng)維護(hù)和管理人員的工作負(fù)擔(dān)，提高了工作效率。

1 劉南海,雷蕾,王睿．大數(shù)據(jù)時(shí)代運(yùn)營(yíng)商分析支撐域轉(zhuǎn)型的實(shí)踐與思考．電信科學(xué),2016,（8）：147－148

2 任偉,秦進(jìn)．RBAC模型在信息化平臺(tái)建設(shè)的權(quán)限管理中的研究與應(yīng)用．電腦知識(shí)與技術(shù)，2016,(1)：9－10

3 信科,楊峰,楊光旭,馬媛媛．基于RBAC權(quán)限管理系統(tǒng)的優(yōu)化設(shè)計(jì)與實(shí)現(xiàn)．計(jì)算機(jī)技術(shù)與發(fā)展，2011（7）：172－173

4 王超．IT集約云化架構(gòu)與演進(jìn)探討．電信技術(shù)，2016,(3)：87－90

5 劉智,吳剛．一種面向PDM系統(tǒng)基于權(quán)限位的訪問(wèn)控制方法．計(jì)算機(jī)工程與科學(xué)，2013,(1)：73－76

6 靳丹,張小東,劉少博．電力企業(yè)統(tǒng)一權(quán)限管理系統(tǒng)的研究與應(yīng)用．電力信息與通信技術(shù)，2013,(10)：98－100

7 趙靜,楊蕊,姜灤生．基于數(shù)據(jù)對(duì)象的RBAC權(quán)限訪問(wèn)控制模型．計(jì)算機(jī)工程與設(shè)計(jì)，2010,(15)：3353－3355

10.3969/j.issn.1006-6403.2016.11.006

（2016-10-10）