［劉智瓊 華竹軒 黎莎菲］

面向BSS系統(tǒng)的權(quán)限管理模型研究

［劉智瓊 華竹軒 黎莎菲］

隨著信息技術(shù)的不斷發(fā)展，從獨立平臺到綜合系統(tǒng)集成，從單一服務(wù)到業(yè)務(wù)融合，實現(xiàn)統(tǒng)一框架中的縱向、橫向管理，是電信行業(yè)IT系統(tǒng)架構(gòu)發(fā)展規(guī)律。系統(tǒng)整合的一個重要基礎(chǔ)是用戶賬號數(shù)據(jù)的統(tǒng)一、授權(quán)的集中、單點登錄認(rèn)證、安全操作審計。文章深入分析了電信企業(yè)信息化BSS系統(tǒng)的權(quán)限管理現(xiàn)狀及不足，詳細(xì)介紹了權(quán)限管理的理論和方法，提出了一種以用戶—崗位—角色—權(quán)限為核心的三級訪問控制授權(quán)模型，實現(xiàn)權(quán)限的多維度私有授權(quán)，為電信BSS業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、靈活多樣化的賬號、認(rèn)證、授權(quán)和審計的安全服務(wù)。

BSS系統(tǒng) RBAC模型 三級授權(quán)模型

劉智瓊

高級工程師，碩士，現(xiàn)任職于中國電信股份有限公司廣州研究院，長期從事電信IT支撐系統(tǒng)的設(shè)計與研發(fā)工作。

華竹軒

通信工程師，碩士，現(xiàn)任職于中國電信股份有限公司廣州研究院，長期從事電信IT支撐系統(tǒng)的設(shè)計與研發(fā)工作。

黎莎菲

工程師，現(xiàn)就職于深圳市遠(yuǎn)行科技有限公司，一直從事數(shù)據(jù)分析及IT支撐系統(tǒng)設(shè)計與研發(fā)等方面的工作。

1 引言

為了應(yīng)對全球背景下業(yè)務(wù)迅猛增長和規(guī)模急速擴(kuò)大運(yùn)營需求，電信運(yùn)營商堅持“以客戶為中心”的理念全面推動業(yè)務(wù)和運(yùn)營的結(jié)合，經(jīng)過近十幾年逐步的演進(jìn)，建設(shè)了當(dāng)前較為成熟的BOSS(Business Operation Support System)系統(tǒng)，通過不斷完善的IT 管控制度和流程，提升IT 管控的技術(shù)支撐水平，促使企業(yè)信息化成為企業(yè)的核心競爭力，推動企業(yè)的可持續(xù)發(fā)展。

在電信企業(yè)信息系統(tǒng)BSS、OSS、MSS三大領(lǐng)域中，從獨立平臺到綜合系統(tǒng)集成，從單一服務(wù)到業(yè)務(wù)融合，實現(xiàn)統(tǒng)一框架中的縱向、橫向管理，是電信行業(yè)IT系統(tǒng)架構(gòu)發(fā)展規(guī)律[1]。如何進(jìn)行系統(tǒng)整合，是擺在企業(yè)面前的一個重要問題。系統(tǒng)整合的一個重要基礎(chǔ)是用戶賬號數(shù)據(jù)的統(tǒng)一、授權(quán)的集中、單點登錄認(rèn)證、安全操作審計。

權(quán)限管理的應(yīng)用一直是BSS系統(tǒng)安全研究和應(yīng)用的熱點之一。對于BSS系統(tǒng)來說，需要統(tǒng)一用戶權(quán)限管理，解決不同人員、部門對資源、功能、數(shù)據(jù)等的訪問需求的復(fù)雜性，確保系統(tǒng)的服務(wù)和數(shù)據(jù)是被適當(dāng)?shù)娜藛T查看和操作的，防止因為監(jiān)管不利而導(dǎo)致的功能范圍過大、系統(tǒng)數(shù)據(jù)泄露。因此，一種靈活的支持多級訪問控制策略的權(quán)限管理模型也成為IT研究關(guān)注的新課題。本文深入分析了電信企業(yè)信息化BSS系統(tǒng)的權(quán)限管理現(xiàn)狀及不足，詳細(xì)介紹了權(quán)限管理的理論和方法，最后設(shè)計并實現(xiàn)了三級訪問控制授權(quán)模型，并給出了系統(tǒng)的應(yīng)用實例。

2 現(xiàn)狀分析

近年來，隨著信息技術(shù)的迅速發(fā)展，在電信企業(yè)信息系統(tǒng)中，各種支撐應(yīng)用和用戶數(shù)量的不斷增加，以某電信省公司為例子，業(yè)務(wù)支撐系統(tǒng)的總用戶數(shù)達(dá)到八千多人，這些用戶包括營業(yè)員、大客戶代表、客服人員、渠道代理商等。網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，信息安全問題愈見突出，對系統(tǒng)之間的整合也就提出了不同以往的、更高的要求。而原有各自為政的賬號、權(quán)限、認(rèn)證、審計等方面已不能滿足目前及未來信息系統(tǒng)發(fā)展的要求。主要問題表現(xiàn)在以下方面：

（1）用戶權(quán)限缺乏統(tǒng)一管理。大量應(yīng)用系統(tǒng)存在于企業(yè)信息化BSS域中，它們各自一套獨立而自成體系的賬號、認(rèn)證、授權(quán)以及審計機(jī)制，并且每個賬號認(rèn)證授權(quán)審計機(jī)制都由本系統(tǒng)的管理員負(fù)責(zé)維護(hù)和管理，這種方式缺乏集中統(tǒng)一的用戶權(quán)限管理，系統(tǒng)的安全性無法得到充分保證，無法有針對性地進(jìn)行安全預(yù)警和數(shù)據(jù)責(zé)任追蹤。

（2）數(shù)據(jù)權(quán)限很多通過應(yīng)用固化無模型支撐。應(yīng)用系統(tǒng)數(shù)據(jù)權(quán)限多是通過程序特殊處理，可擴(kuò)展性差，當(dāng)維護(hù)人員同時對多個系統(tǒng)進(jìn)行維護(hù)時，工作復(fù)雜度不僅會成倍增加，有的時候甚至根本無法完成管理。

（3）嚴(yán)格分級授權(quán)模式導(dǎo)致運(yùn)營配置工作量巨大。在電信企業(yè)現(xiàn)有的BSS業(yè)務(wù)支撐系統(tǒng)中，用戶（自然人）和系統(tǒng)崗位/角色間是采用直接對應(yīng)的方式。同一用戶在系統(tǒng)崗位/角色完全一樣的情況下，由于不同的組織使用，權(quán)限集合有差異，需要配置多個系統(tǒng)崗位，系統(tǒng)崗位的多重化、復(fù)雜化，帶來了大量的交叉關(guān)系，運(yùn)營清理困難，權(quán)限管理任務(wù)越來越重。

總結(jié)來講，隨著業(yè)務(wù)支撐系統(tǒng)的發(fā)展及內(nèi)部用戶的增加，一方面系統(tǒng)維護(hù)和管理人員的工作負(fù)擔(dān)增加，工作效率無法提高；另一方面無法對各業(yè)務(wù)系統(tǒng)實現(xiàn)統(tǒng)一的安全策略，從而在實質(zhì)上降低了業(yè)務(wù)系統(tǒng)的安全性。因此，迫切需要一個統(tǒng)一的權(quán)限管理模型為各應(yīng)用系統(tǒng)提供員工的多級授權(quán)與統(tǒng)一入口管理，提升業(yè)務(wù)系統(tǒng)安全性和可管理能力。

3 BSS融合模型權(quán)限設(shè)計解決方案

3.1 核心概念

目前，以角色為核心的訪問控制模型（Role-Based Access Control，RBAC）在電信企業(yè)BSS業(yè)務(wù)支撐系統(tǒng)中得到了廣泛的使用，成為主流的安全訪問控制方式。在模型中，引入了角色的概念，這些角色是根據(jù)企業(yè)的業(yè)務(wù)內(nèi)容的需要來設(shè)置的。系統(tǒng)管理員將資源的訪問權(quán)限分配給相應(yīng)的角色，即系統(tǒng)管理員將這些權(quán)限封裝在相應(yīng)的角色中。每個角色可被授予多個權(quán)限，而一個權(quán)限可被授予多個角色，即角色與權(quán)限之間是多對多的關(guān)系。系統(tǒng)再將這些角色授予相應(yīng)工作崗位的用戶，用戶便得到了資源訪問的權(quán)限。一個用戶可被授予多個角色。

RBAC模型[2]是一個定義完整的數(shù)學(xué)模型，體現(xiàn)了角色控制的思想，其中的術(shù)語定義如下：

用戶（User）：指可以獨立訪問系統(tǒng)的人員。是指具有使用系統(tǒng)用戶名和密碼的人員。

角色（Role）：指在一個組織或者企業(yè)中的工作崗位或者在企業(yè)中的地位，它可以代表一種權(quán)利和責(zé)任。體現(xiàn)在系統(tǒng)中是指營業(yè)員、代理商、系統(tǒng)管理員等工作崗位。

權(quán)限（Permission）：指對某些實體資源對象操作許可的集合，它包括控制對象和操作，控制對象一般為資源，包括菜單、頁面、文件等資源，而操作一般包括查看、修改、刪除等操作。權(quán)限的類型可以是功能權(quán)限、數(shù)據(jù)權(quán)限、混合權(quán)限。功能權(quán)限的構(gòu)成可以是功能菜單、功能組件；而數(shù)據(jù)權(quán)可以基于元數(shù)據(jù)中定義的業(yè)務(wù)對象實例進(jìn)行配置；混合權(quán)限可以是功能權(quán)或數(shù)據(jù)權(quán)中的一種或多種。

會話（Session）：用于表示用戶與角色的映射，一個用戶與一個角色的子集相對應(yīng)。會話是動態(tài)術(shù)語，會話是由用戶發(fā)起的，是用戶與系統(tǒng)的交互，會話發(fā)起后會激活用戶所屬的一個角色的子集，這些激活的角色所具有的權(quán)限的并集為該用戶的權(quán)限。

圖1 RBAC模型

RBAC 雖然簡單而且易用，但是在實際應(yīng)用中仍然存在一些問題[3]，比如簡單的將角色與崗位等同起來；沒有對數(shù)據(jù)權(quán)限對象進(jìn)行詳細(xì)的劃分；用戶被指定為某個角色后，在不影響其他用戶的訪問權(quán)限的前提下，要添加或者刪除其對某個資源的訪問權(quán)限，其過程是比較麻煩的。

3.2 三級授權(quán)模型

結(jié)合電信行業(yè)IT集約云化架構(gòu)的發(fā)展[4]，針對現(xiàn)網(wǎng)權(quán)限管理工作存在的不足，以下分別從統(tǒng)一組織入口、集中管理員工全集、統(tǒng)一授權(quán)模型等方面提出優(yōu)化建議，為提升現(xiàn)網(wǎng)認(rèn)證授權(quán)機(jī)制，降低運(yùn)營成本提供有價值的技術(shù)參考。

（1）通過統(tǒng)一的三級授權(quán)模型，為電信BSS業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、靈活多樣化的賬號、認(rèn)證、授權(quán)和審計的安全服務(wù)[5]。

作者通過對組織、組織結(jié)構(gòu)和崗位的深入分析可以發(fā)現(xiàn)，基于角色的訪問控制模型RBAC單純從技術(shù)角度看待安全問題，缺少從組織的整體性角度出發(fā)的思想理念，忽略了權(quán)限管理工作所具有的組織性和崗位在組織結(jié)構(gòu)中所具有的重要意義。實際上，電信BSS業(yè)務(wù)支撐系統(tǒng)中所有的認(rèn)證、授權(quán)、訪問控制和權(quán)限管理工作都是源于組織，并由組織來進(jìn)行仲裁的，崗位作為組織中權(quán)力的標(biāo)準(zhǔn)執(zhí)行單元和組織結(jié)構(gòu)的基本節(jié)點具有其不可替代的作用?；诖耍覀兲岢隽艘环N以用戶—崗位—角色—權(quán)限為核心的三級訪問控制授權(quán)模型。

① 系統(tǒng)用戶

記錄員工登錄系統(tǒng)使用的系統(tǒng)帳戶；系統(tǒng)用戶除了擁有系統(tǒng)崗位所帶的角色和權(quán)限，也可以擁有私有的角色和權(quán)限。

② 系統(tǒng)崗位

記錄員工在系統(tǒng)內(nèi)所擔(dān)任的一個或數(shù)個任務(wù)的集合。系統(tǒng)崗位除了擁有角色所帶的權(quán)限，也可以擁有私有的多個權(quán)限。

圖2 三級訪問控制授權(quán)模型

③ 角色

記錄員工操作系統(tǒng)的權(quán)限集合。系統(tǒng)崗位可以包含多個角色，系統(tǒng)崗位除了擁有角色所帶的權(quán)限，也可以擁有私有的多個權(quán)限。

④ 權(quán)限

記錄員工在系統(tǒng)內(nèi)的可被賦予的最小功能單元和數(shù)據(jù)訪問權(quán)利。

通過以上改進(jìn)的RBAC——三級授權(quán)模型可以看出，支持系統(tǒng)用戶、系統(tǒng)崗位、系統(tǒng)角色三級授權(quán)，實現(xiàn)權(quán)限的多維度私有授權(quán)[6]，減少運(yùn)營維護(hù)人員的配置復(fù)雜度，很多權(quán)限可通過私有授權(quán)快捷分配，進(jìn)一步減少了系統(tǒng)崗位、系統(tǒng)角色的數(shù)量。從技術(shù)上保證支撐系統(tǒng)安全策略的實施。

（2）電信業(yè)務(wù)支撐系統(tǒng)權(quán)限管理工作從組織的整體角度出發(fā)，統(tǒng)一組織入口維護(hù)管理，實現(xiàn)組織、渠道、經(jīng)營主體的融合，如圖3。

三級授權(quán)模型通過新增“電信組織”等實體，將渠道視圖的“渠道”、“經(jīng)營主體”和原有的“組織”統(tǒng)一管理，實現(xiàn)渠道視圖與組織機(jī)構(gòu)的融合；一個“電信組織”可以有多種組織角色，管理方式簡單、靈活，電信組織為渠道角色時，“渠道”表記錄渠道相關(guān)信息；為經(jīng)營主體角色時，“經(jīng)營主體”記錄經(jīng)營主體相關(guān)信息。

（3）完善員工等實體，集中管理BSS融合系統(tǒng)的員工全集，如圖4。

三級授權(quán)模型通過修訂“員工”等實體，將渠道視圖的銷售員與“員工”融合，員工可以來源于MSS系統(tǒng)，也可在BSS側(cè)增加，以實現(xiàn)管理使用BSS融合系統(tǒng)的員工全集，避免相同數(shù)據(jù)多系統(tǒng)分散帶來的應(yīng)用處理、運(yùn)營維護(hù)的困難。

（4）系統(tǒng)崗位作為組織間業(yè)務(wù)協(xié)作的支點，區(qū)分系統(tǒng)崗位的管理組織、使用組織。

圖3 電信組織、渠道、經(jīng)營主體實體統(tǒng)一管理

圖4 完善“員工”等實體

三級授權(quán)模型通過新增“系統(tǒng)崗位”實體，用于設(shè)置操作BSS系統(tǒng)時在任職組織內(nèi)角色及權(quán)限的關(guān)聯(lián)體。區(qū)分系統(tǒng)崗位的管理組織、使用組織，能夠在滿足業(yè)務(wù)需要的情況下，減少系統(tǒng)崗位的數(shù)量；可進(jìn)行集團(tuán)、省、市三級運(yùn)營方式，減少運(yùn)營管理的混亂，提升運(yùn)營效率。

（5）完善權(quán)限等實體，對權(quán)限的種類進(jìn)行了分類管理，實現(xiàn)權(quán)限的靈活統(tǒng)一配置

① 功能是基于新增“功能菜單”、“功能組件”實體，記錄系統(tǒng)各模塊、菜單、頁面及子元素的集合；

② 數(shù)據(jù)是基于元數(shù)據(jù)的業(yè)務(wù)對象作為其構(gòu)成元素。

③ 數(shù)據(jù)權(quán)限授權(quán)[7]給具體的對象之后，可指定作用在具體的功能權(quán)限。

統(tǒng)一的權(quán)限模型，解決目前現(xiàn)網(wǎng)中權(quán)限分配入口分散、運(yùn)營管理困難、需要應(yīng)用特殊處理、程序擴(kuò)展性差等問題，達(dá)到了快速配置、授權(quán)統(tǒng)一、應(yīng)用開發(fā)靈活的目標(biāo)。

（6）擴(kuò)充授權(quán)中的“關(guān)聯(lián)功能權(quán)限標(biāo)識”。支持將權(quán)限授權(quán)之后，可指定數(shù)據(jù)權(quán)限是作用于某一功能授權(quán)的。

圖5 新增系統(tǒng)崗位等實體，管理系統(tǒng)崗位與組織的多種關(guān)系

圖6完善權(quán)限等實體，實現(xiàn)權(quán)限的靈活統(tǒng)一配置

3.3 應(yīng)用場景：權(quán)限多級分配

3.3.1 場景描述

在接受一療程治療后,患兒咳嗽、喘憋、氣促及肺部哮鳴音完全消失為顯效;患兒咳嗽,喘憋有明顯改善,氣促有所緩解,肺部哮鳴音顯著減少為有效;患兒癥狀及體征沒有好轉(zhuǎn)甚至加重則為無效。

河北三河市燕郊某營業(yè)廳的營業(yè)員張希可以辦理燕郊和北京的業(yè)務(wù)，由于工作的需要，該營業(yè)員張希被借調(diào)到河北石家莊某營業(yè)廳，但在該營業(yè)廳的張希只辦理石家莊的業(yè)務(wù)。營業(yè)員的功能權(quán)限包括：訂單受理、營業(yè)扎帳、重打發(fā)票。

場景一：在燕郊任職時，張希被授權(quán)可以“訂單受理”北京業(yè)務(wù)，在石家莊任職時，不能辦理北京業(yè)務(wù)；

場景二：要求只有燕郊營業(yè)廳的營業(yè)員才能“訂單受理”北京業(yè)務(wù)，石家莊的營業(yè)員不能辦理北京業(yè)務(wù)；

場景三：張希被授權(quán)可以辦理北京業(yè)務(wù)，不管是在燕郊還是北京任職。

3.3.2 模型的處理原則及要點

（1.1）處理原則

（1）系統(tǒng)用戶分配系統(tǒng)崗位之后，系統(tǒng)用戶就擁有了該系統(tǒng)崗位下的角色和權(quán)限；

（2）系統(tǒng)崗位自身（非分配角色）也可以有私有的權(quán)限；

（3）系統(tǒng)用戶自身（非分配系統(tǒng)崗位）也可以有私有的角色和權(quán)限；

（4）一個權(quán)限可以屬于多個角色，一個角色包含多種權(quán)限；

（5）為系統(tǒng)用戶的單個功能權(quán)限可以設(shè)置單獨的數(shù)據(jù)權(quán)限；

（6）考慮到分級運(yùn)營需要，數(shù)據(jù)權(quán)限的地域維度分配需要按本地網(wǎng)、省級、集團(tuán)的分別控制，集團(tuán)超級管理員能夠給所有的員工進(jìn)行授權(quán)；省級管理員能夠給所屬省份的員工進(jìn)行授權(quán)；本地網(wǎng)管理員只能給所屬本地網(wǎng)的員工進(jìn)行授權(quán)；如果需要跨級授權(quán)，需要找上一級管理員進(jìn)行授權(quán)；

（2.1）處理要點

（1）已分配系統(tǒng)賬號：已為張希分配BSS集中系統(tǒng)用戶賬號"zhangxi"。

（2）已有的系統(tǒng)崗位：“三河營業(yè)員”的管理組織為“三河電信”，“石家莊營業(yè)員”的管理組織為“石家莊電信”。

（3）授予系統(tǒng)用戶對應(yīng)系統(tǒng)崗位：

① 三河系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”分配系統(tǒng)崗位“三河營業(yè)員”

② 集團(tuán)系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”分配系統(tǒng)崗位“石家莊營業(yè)員”。

（4）授予“北京”的數(shù)據(jù)權(quán)限：

圖7 新增授權(quán)對象，實現(xiàn)權(quán)限的多維度私有授權(quán)

圖8 權(quán)限多級分配-場景示意圖

① 場景一：集團(tuán)系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”的任職崗位“三河營業(yè)員”授予數(shù)據(jù)權(quán)限“北京”；

② 場景二：集團(tuán)系統(tǒng)管理員為系統(tǒng)崗位“三河營業(yè)員”授予數(shù)據(jù)權(quán)限“北京”；

③ 場景三：集團(tuán)系統(tǒng)管理員為系統(tǒng)用戶“zhangxi”授予數(shù)據(jù)權(quán)限“北京”。

3.3.3 參考實現(xiàn)

（1）概念示意（如圖8）

（2）數(shù)據(jù)驗證（如表1～7）

表1 系統(tǒng)用戶【SYSTEM_USER】

表2 電信組織【ORGANIZATION】

表3 系統(tǒng)崗位【SYSTEM_POST】

表4 系統(tǒng)用戶任職崗位

表5 系統(tǒng)角色【SYSTEM_ROLE】

表6 系統(tǒng)崗位對應(yīng)角色【SYSTEM_POST_ROLE】

表7 授權(quán)【PRIV_GRANT】

4 小結(jié)

隨著信息技術(shù)的不斷發(fā)展，各種訪問控制技術(shù)的集成以及統(tǒng)一授權(quán)管理是訪問控制技術(shù)的一種發(fā)展趨勢。本文提出的一種以用戶—崗位—角色—權(quán)限為核心的三級訪問控制授權(quán)模型，實現(xiàn)權(quán)限的多維度私有授權(quán)，為電信BSS業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、靈活多樣化的賬號、認(rèn)證、授權(quán)和審計的安全服務(wù)，減少運(yùn)營維護(hù)人員的配置復(fù)雜度，通過私有授權(quán)快捷分配，進(jìn)一步減少了系統(tǒng)崗位、系統(tǒng)角色的數(shù)量。從技術(shù)上保證支撐系統(tǒng)安全策略的實施，同時，降低了系統(tǒng)維護(hù)和管理人員的工作負(fù)擔(dān)，提高了工作效率。

1 劉南海,雷蕾,王睿．大數(shù)據(jù)時代運(yùn)營商分析支撐域轉(zhuǎn)型的實踐與思考．電信科學(xué),2016,（8）：147－148

2 任偉,秦進(jìn)．RBAC模型在信息化平臺建設(shè)的權(quán)限管理中的研究與應(yīng)用．電腦知識與技術(shù)，2016,(1)：9－10

3 信科,楊峰,楊光旭,馬媛媛．基于RBAC權(quán)限管理系統(tǒng)的優(yōu)化設(shè)計與實現(xiàn)．計算機(jī)技術(shù)與發(fā)展，2011（7）：172－173

4 王超．IT集約云化架構(gòu)與演進(jìn)探討．電信技術(shù)，2016,(3)：87－90

5 劉智,吳剛．一種面向PDM系統(tǒng)基于權(quán)限位的訪問控制方法．計算機(jī)工程與科學(xué)，2013,(1)：73－76

6 靳丹,張小東,劉少博．電力企業(yè)統(tǒng)一權(quán)限管理系統(tǒng)的研究與應(yīng)用．電力信息與通信技術(shù)，2013,(10)：98－100

7 趙靜,楊蕊,姜灤生．基于數(shù)據(jù)對象的RBAC權(quán)限訪問控制模型．計算機(jī)工程與設(shè)計，2010,(15)：3353－3355

10.3969/j.issn.1006-6403.2016.11.006

（2016-10-10）