吳家菊+李龔亮+朱行林+蒙立榮+余容+馬永起

摘 要： 針對(duì)交互式電子技術(shù)手冊(cè)應(yīng)用中的管理和安全保密需求，在分析傳統(tǒng)訪問(wèn)控制模型的基礎(chǔ)上，提出基于型號(hào)裝備?角色的訪問(wèn)控制模型。該模型包括用戶、型號(hào)裝備、裝備用戶、角色、權(quán)限、操作訪問(wèn)控制規(guī)則、數(shù)據(jù)訪問(wèn)控制規(guī)則等，支持功能操作權(quán)限和數(shù)據(jù)權(quán)限分離，支持以型號(hào)裝備結(jié)構(gòu)為基礎(chǔ)的細(xì)粒度數(shù)據(jù)訪問(wèn)控制以及以角色、裝備用戶為基礎(chǔ)的功能操作訪問(wèn)控制定義和管理，給出了權(quán)限定義和權(quán)限計(jì)算方法。根據(jù)IETM的功能及數(shù)據(jù)訪問(wèn)控制需求，對(duì)交互式電子技術(shù)手冊(cè)訪問(wèn)控制進(jìn)行軟件功能、控制流程及數(shù)據(jù)模型設(shè)計(jì)。采用J2EE及Web Service技術(shù)開(kāi)發(fā)模塊組件，實(shí)現(xiàn)交互式電子技術(shù)手冊(cè)層級(jí)式、細(xì)粒度訪問(wèn)控制。

關(guān)鍵詞： 交互式電子技術(shù)手冊(cè)； 訪問(wèn)控制； 型號(hào)裝備； 基于型號(hào)裝備?角色的訪問(wèn)控制模型； 權(quán)限； 細(xì)粒度

中圖分類號(hào)： TN99?34； TP391 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2018）01?0147?05

Abstract： Aiming at the management， security and secrecy requirements of interactive electrical technical manual （IETM） application， on the basis of analyzing the traditional access control model， an equipment?role based access control （ERBAC） model is put forward. This model includes the user， equipment， equipment user， role， permission， operation access control rule and data access control rule. The model supports the separation of functional operation permission and data permission， and definition and management of the fine?grained data access control based on equipment structure and functional operation access control based on role and equipment user. The permission definition and calculation methods are given in this paper. According to the IETM function and requirements of data access control， the software function， control flow and data model were designed for IETM access control. The J2EE and Web Service technologies are used to develop the module assembly， and realize the hierarchical and fine?grained access control of IETM.

Keywords： IETM； access control； equipment； equipment?role based access control model； permission； fine grit

0 引 言

隨著高科技裝備陸續(xù)裝備部隊(duì)，武器系統(tǒng)性能越來(lái)越先進(jìn)，產(chǎn)品維護(hù)維修水平要求逐漸增高，傳統(tǒng)的裝備維修保障技術(shù)已經(jīng)不能適應(yīng)新的發(fā)展形勢(shì)需要，保障信息化技術(shù)成為未來(lái)產(chǎn)品維護(hù)和裝備保障的必然趨勢(shì)[1]。交互式電子技術(shù)手冊(cè)（Interactive Electrical Technical Manual，IETM）綜合應(yīng)用專家系統(tǒng)、多媒體信息處理、數(shù)據(jù)庫(kù)管理以及電子出版等技術(shù)， 將操作使用說(shuō)明、維修過(guò)程指導(dǎo)、技術(shù)圖紙資料、元器件更換要求以及備件儲(chǔ)備等信息精煉組織并有機(jī)地結(jié)合為一體，構(gòu)成基于電磁介質(zhì)、具有高度交互能力的數(shù)字化技術(shù)手冊(cè)[2]，為裝備的訓(xùn)練、使用和保障活動(dòng)提供了有效的技術(shù)支持，是裝備保障的關(guān)鍵技術(shù)。IETM涉及到武器裝備各種技術(shù)圖紙、文檔、手冊(cè)以及工程、使用和維修數(shù)據(jù)等，涉及到武器裝備核心技術(shù)資料，信息安全事關(guān)國(guó)家戰(zhàn)略全局，訪問(wèn)控制關(guān)系到整個(gè)系統(tǒng)的安全性和數(shù)據(jù)訪問(wèn)級(jí)別，是IETM安全管控的關(guān)鍵點(diǎn)。為了實(shí)現(xiàn)信息的可用性，保證合法用戶能夠訪問(wèn)到資源，可以采用訪問(wèn)控制對(duì)系統(tǒng)權(quán)限進(jìn)行設(shè)定[3]。

1 交互式電子技術(shù)手冊(cè)訪問(wèn)控制需求

1.1 功能操作訪問(wèn)控制需求

GJB6600系列國(guó)家軍用標(biāo)準(zhǔn)是在以歐洲S1000D技術(shù)規(guī)范為主體，部分引進(jìn)美軍標(biāo)基礎(chǔ)上，結(jié)合我國(guó)、我軍的實(shí)際情況編制的。目前國(guó)內(nèi)裝備IETM基本參照S1000D，遵循GJB6600標(biāo)準(zhǔn)。GJB6600[4]對(duì)IETM的功能做了規(guī)定，包括手冊(cè)數(shù)據(jù)的校驗(yàn)、上傳、存儲(chǔ)、管理及顯示、出版物選擇、手冊(cè)目錄導(dǎo)航、手冊(cè)結(jié)構(gòu)導(dǎo)航、全文搜索、歷史記錄、意見(jiàn)、備注、書(shū)簽、適用性、圖文熱點(diǎn)交互、三維動(dòng)畫(huà)、多媒體播放、故障診斷、維修記錄、上一步、下一步、故障流程圖、用戶管理、系統(tǒng)管理、安全管理等功能操作。IETM功能操作訪問(wèn)控制需求主要是針對(duì)這些功能進(jìn)行控制，某個(gè)登錄用戶只能使用權(quán)限范圍內(nèi)的功能進(jìn)行相關(guān)操作。

1.2 數(shù)據(jù)訪問(wèn)控制需求

S1000D 4.0定義IETM數(shù)據(jù)類型已增加至17種[5]，以我國(guó)目前的國(guó)情來(lái)說(shuō)，其中的某些模塊并不適用，因此，GJB6600將IETM數(shù)據(jù)的類型裁剪為8類，具體包括描述類、程序類、故障類、維修計(jì)劃類、操作類、接線類、圖解零件類和過(guò)程類數(shù)據(jù)信息[6?7]，每一類數(shù)據(jù)模塊又定義了上百類數(shù)據(jù)標(biāo)簽，例如描述類數(shù)據(jù)模塊定義了167個(gè)數(shù)據(jù)描述標(biāo)簽。這些數(shù)據(jù)標(biāo)簽通過(guò)文字、表格、圖形、圖像、動(dòng)畫(huà)、音頻和視頻等格式描述裝備的結(jié)構(gòu)、性能和操作步驟等技術(shù)信信息。各類數(shù)據(jù)模塊信息通過(guò)型號(hào)裝備SNS結(jié)構(gòu)，具體手冊(cè)的各類數(shù)據(jù)通過(guò)裝備結(jié)構(gòu)樹(shù)SNS進(jìn)行組織及展示，PM通常就是SNS結(jié)構(gòu)。同時(shí)，IETM在使用過(guò)程中還會(huì)產(chǎn)生一些意見(jiàn)、備注、歷史記錄、維修記錄等數(shù)據(jù)。IETM的數(shù)據(jù)訪問(wèn)控制需求是實(shí)現(xiàn)以裝備結(jié)構(gòu)為組織核心的描述類、程序類、故障類、維修計(jì)劃類、操作類、接線類、圖解零件類和過(guò)程類裝備技術(shù)數(shù)據(jù)相關(guān)的文字、表格、圖形、圖像、動(dòng)畫(huà)、音頻和視頻等多種格式的數(shù)據(jù)的訪問(wèn)控制。endprint

2 傳統(tǒng)訪問(wèn)控制模型概述

傳統(tǒng)的訪問(wèn)控制模型包括：自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）[8]，由于其安全性和實(shí)施性方面的缺陷，不利于在大型信息系統(tǒng)中使用。基于角色的訪問(wèn)控制模型（RBAC）[9]在用戶和權(quán)限之間加入角色，不再直接將權(quán)限與用戶相連，而是通過(guò)將權(quán)限賦予角色，再將角色分配給用戶這一過(guò)程對(duì)用戶進(jìn)行訪問(wèn)控制，大大簡(jiǎn)化訪問(wèn)控制的復(fù)雜度，減少在大型信息系統(tǒng)中訪問(wèn)控制的工作量，同時(shí)符合人們?cè)谌粘９ぷ髦械牧?xí)慣，易于理解，是目前計(jì)算機(jī)系統(tǒng)普遍使用的訪問(wèn)控制模型?；诮巧脑L問(wèn)控制模型如圖1所示。

基于角色的訪問(wèn)控制模型由用戶集合（Users Set）、角色集合（Roles Set）、會(huì)話集合（Sessions Set）、權(quán)限集合（Permission Set）和約束集合（Constraint Set）五個(gè)基礎(chǔ)元素和用戶角色分配、角色權(quán)限分配兩個(gè)映射構(gòu)成。

1） U（用戶集合）、R（角色集合）、S（會(huì)話集合）、P（權(quán)限集合）、O（操作集合）、T（客體集合）；

2） [UA?U×R]用戶角色權(quán)限分配權(quán)限，是一個(gè)二元映射關(guān)系，用戶與角色之間是一個(gè)多對(duì)多的關(guān)系；

3） [PA?P×R]角色權(quán)限分配權(quán)限，是一個(gè)二元映射關(guān)系，角色與權(quán)限之間是一個(gè)多對(duì)多的關(guān)系；

4） users：[S→U，]會(huì)話映射到用戶；

5） roles：[S→R，]會(huì)話映射到角色；

6） RH：[?R×R，]描述角色間的繼承關(guān)系。

基于角色的訪問(wèn)控制模型中權(quán)限包括操作權(quán)限及客體權(quán)限，約束主要用來(lái)判斷各部分的取值是否合法，如職責(zé)分離、前提角色約束、互斥角色約束、用戶密級(jí)約束等?；诮巧脑L問(wèn)控制模型實(shí)現(xiàn)了基于用戶、角色、權(quán)限的基本訪問(wèn)控制，但是未考慮型號(hào)裝備對(duì)不同用戶的權(quán)限分配以及基于型號(hào)裝備結(jié)構(gòu)為基礎(chǔ)的各類數(shù)據(jù)對(duì)于不同用戶及角色的權(quán)限分配。

3 基于型號(hào)裝備?角色的訪問(wèn)控制模型

為了適應(yīng)IETM功能操作及數(shù)據(jù)訪問(wèn)控制需求，本文在基于角色訪問(wèn)控制的基礎(chǔ)上引入型號(hào)裝備元素，對(duì)基于角色的訪問(wèn)控制模型進(jìn)行擴(kuò)展，形成基于型號(hào)裝備?角色的訪問(wèn)控制模型，實(shí)現(xiàn)型號(hào)用戶分配，用戶角色分配、角色操作權(quán)限分配及用戶數(shù)據(jù)權(quán)限分配。基于型號(hào)裝備?角色的訪問(wèn)控制模型如圖2所示。

基于型號(hào)裝備?角色的訪問(wèn)控制模型由型號(hào)裝備集合（Equipments Set）、用戶集合（Users Set）、角色集合（Roles Set）、會(huì)話集合（Sessions Set）、權(quán)限集合（Permission Set）和約束集合（Constraint Set）六個(gè)基礎(chǔ)元素和裝備用戶分配、用戶角色分配、角色權(quán)限分配、用戶數(shù)據(jù)分配四個(gè)映射構(gòu)成。

1） E（型號(hào)裝備集合）、U（用戶集合）、R（角色集合）、S（會(huì)話集合）、P（權(quán)限集合）、O（操作集合）、D（裝備數(shù)據(jù)集合）。

2） [EA?E×U]型號(hào)裝備用戶分配，是一個(gè)二元映射關(guān)系，型號(hào)裝備與用戶之間是一個(gè)多對(duì)多的關(guān)系。IETM中的型號(hào)裝備以樹(shù)形結(jié)構(gòu)模式進(jìn)行組織，包括型號(hào)、系統(tǒng)、分系統(tǒng)、分分系統(tǒng)、部件、組件及零件。依據(jù)工作最小化原則進(jìn)行裝備用戶分配形成型號(hào)裝備團(tuán)隊(duì)，例如，部分用戶工作范圍是某型號(hào)裝備的某零件或部件，那么就將型號(hào)裝備結(jié)構(gòu)中的某零件或者部件授權(quán)給某個(gè)用戶，某個(gè)用戶就擁有該子裝備的手冊(cè)操作授權(quán)權(quán)限。

3） [UA?U×R]用戶角色分配，是一個(gè)二元映射關(guān)系，用戶與角色之間是一個(gè)多對(duì)多的關(guān)系。IETM中角色包括系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員、手冊(cè)數(shù)據(jù)管理員、手冊(cè)數(shù)據(jù)授權(quán)人員、手冊(cè)瀏覽員、維修操作人員、故障隔離人員、檢測(cè)檢查人員、裝配人員等，不同的用戶根據(jù)工作性質(zhì)的不同分配不同的角色。

4） [PA?P×R]角色操作權(quán)限分配，是一個(gè)二元映射關(guān)系，角色與操作權(quán)限之間是一個(gè)多對(duì)多的關(guān)系。IETM中操作包括手冊(cè)數(shù)據(jù)管理、出版物選擇、手冊(cè)目錄導(dǎo)航、手冊(cè)結(jié)構(gòu)導(dǎo)航、全文搜索、歷史記錄、意見(jiàn)、備注、書(shū)簽、適用性、圖文熱點(diǎn)交互、三維動(dòng)畫(huà)、多媒體播放、故障診斷、維修記錄、上一步、下一步、故障流程圖等帶Web頁(yè)面的菜單功能操作以及具體功能中的增、刪、改、查、上傳、下載、圖文交互控制、拒絕操作等詳細(xì)操作。角色操作權(quán)限分配主要實(shí)現(xiàn)具體角色對(duì)于功能操作權(quán)限的分配。

5） EUDA[?E×U×D]型號(hào)裝備用戶數(shù)據(jù)權(quán)限分配，是一個(gè)三元映射關(guān)系，用戶在授權(quán)裝備的數(shù)據(jù)基礎(chǔ)上進(jìn)行數(shù)據(jù)權(quán)限分配。IETM中數(shù)據(jù)的組織是以型號(hào)裝備結(jié)構(gòu)樹(shù)作為基礎(chǔ)組織各類技術(shù)數(shù)據(jù)，包括描述類、程序類、故障類、維修計(jì)劃類、操作類、接線類、圖解零件類和過(guò)程類數(shù)據(jù)信息相關(guān)的文字、表格、圖形、圖像、動(dòng)畫(huà)、音頻和視頻數(shù)據(jù)，這些數(shù)據(jù)都是通過(guò)裝備SNS編碼與裝備進(jìn)行關(guān)聯(lián)，這些數(shù)據(jù)之間本身也相互關(guān)聯(lián)，例如，數(shù)據(jù)模塊信息通過(guò)DMC數(shù)據(jù)模塊編碼與圖形、圖像、動(dòng)畫(huà)、音頻和視頻等實(shí)體數(shù)據(jù)進(jìn)行關(guān)聯(lián)。用戶數(shù)據(jù)權(quán)限就是用戶具有裝備的相關(guān)數(shù)據(jù)的具體權(quán)限，包括：讀、寫(xiě)、拒絕三種權(quán)限。

6） users：[S→U，]會(huì)話映射到用戶。

7） roles：[S→R，]會(huì)話映射到角色。

8） RH：[?R×R，]角色間的繼承關(guān)系。

基于型號(hào)裝備?角色的訪問(wèn)控制模型中，權(quán)限包括功能操作權(quán)限及數(shù)據(jù)權(quán)限，約束主要用來(lái)判斷各部分的取值是否合法，如用戶密級(jí)與數(shù)據(jù)密級(jí)的匹配性約束，裝備密級(jí)與用戶密級(jí)匹配性約束、系統(tǒng)級(jí)裝備權(quán)限包含子系統(tǒng)級(jí)權(quán)限約束、前提用戶約束（例如，數(shù)據(jù)用戶必須是型號(hào)裝備用戶等）、互斥角色約束（系統(tǒng)三元必須分離）、前提角色約束、用戶密級(jí)約束等。用戶對(duì)IETM的訪問(wèn)控制權(quán)限為[UA?（E×U）×（U×R）×（P×R）×（E×U×D）。]基于型號(hào)裝備?角色的訪問(wèn)控制模型實(shí)現(xiàn)了基于型號(hào)裝備、用戶、角色、操作權(quán)限、數(shù)據(jù)權(quán)限的訪問(wèn)控制，能夠滿足IETM的訪問(wèn)控制需求。endprint

4 基于型號(hào)裝備?角色的IETM訪問(wèn)控制

4.1 基于型號(hào)裝備?角色的IETM訪問(wèn)控制軟件功能

根據(jù)基于型號(hào)裝備?角色的訪問(wèn)控制模型的定義，結(jié)合IETM訪問(wèn)控制需求，將需求中的功能操作及數(shù)據(jù)進(jìn)行抽象，IETM訪問(wèn)控制詳細(xì)功能如圖3所示，包括用戶認(rèn)證、元素管理、權(quán)限分配及數(shù)據(jù)分配四大功能模塊。

用戶認(rèn)證根據(jù)手冊(cè)數(shù)據(jù)的密級(jí)不同，包括用戶名密碼認(rèn)證、證書(shū)認(rèn)證及生理特征身份認(rèn)證功能，在具體部署實(shí)施時(shí)根據(jù)需要配置。元素管理實(shí)現(xiàn)訪問(wèn)控制各元素的維護(hù)與管理，包括組織機(jī)構(gòu)管理、用戶管理、角色管理、菜單管理、策略管理功能，具體管理功能中包括元素增加、刪除、修改、查看、導(dǎo)入等操作，用戶管理中還包括用戶密碼修改功能。權(quán)限分配模塊實(shí)現(xiàn)用戶角色、角色用戶、功能角色、角色功能、角色策略、策略角色的多對(duì)多授權(quán)。數(shù)據(jù)分配模塊實(shí)現(xiàn)基于SNS的型號(hào)裝備用戶授權(quán)、PM手冊(cè)用戶授權(quán)、數(shù)據(jù)模塊授權(quán)及實(shí)體授權(quán)。其中基于SNS的型號(hào)裝備用戶授權(quán)是基礎(chǔ)和前提，必須先進(jìn)行基于裝備結(jié)構(gòu)樹(shù)的型號(hào)裝備授權(quán)才能進(jìn)行相應(yīng)的手冊(cè)數(shù)據(jù)授權(quán)。在授權(quán)過(guò)程中裝備數(shù)據(jù)密級(jí)應(yīng)不高于用戶密級(jí)。

4.2 基于型號(hào)裝備?角色的IETM訪問(wèn)控制流程

基于型號(hào)裝備?角色的訪問(wèn)控制模型在IETM中的訪問(wèn)控制工作流程如圖4所示。

IETM系統(tǒng)管理員登錄系統(tǒng)進(jìn)行角色、用戶、菜單、策略維護(hù)，安全管理員登錄系統(tǒng)進(jìn)行角色、用戶、功能及操作授權(quán)，IETM數(shù)據(jù)管理員通過(guò)特定的地址登錄系統(tǒng)后選擇需要上傳的數(shù)據(jù)包，系統(tǒng)在解析數(shù)據(jù)包時(shí)判斷所選的數(shù)據(jù)包是否符合上傳條件。如果數(shù)據(jù)包不符合上傳條件，中斷上傳；數(shù)據(jù)授權(quán)人員登錄系統(tǒng)后，通過(guò)“數(shù)據(jù)分配”為普通用戶進(jìn)行數(shù)據(jù)類型授權(quán)分配。然后，通過(guò)“DM授權(quán)”“實(shí)體授權(quán)”功能，為用戶進(jìn)行基于SNS權(quán)限的“數(shù)據(jù)模塊授權(quán)”及實(shí)體授權(quán)，系統(tǒng)自動(dòng)判斷用戶密級(jí)與選擇的DM密級(jí)的關(guān)系。如果用戶密級(jí)不完全大于或等于所選的DM密級(jí)，系統(tǒng)彈出提示框提示是否強(qiáng)制授權(quán)。普通用戶在登錄系統(tǒng)后只能看到有權(quán)限的SNS樹(shù)、PM樹(shù)、有權(quán)限SNS樹(shù)及與PM樹(shù)相關(guān)的數(shù)據(jù)模塊及實(shí)體。

4.3 基于型號(hào)裝備?角色的IETM訪問(wèn)控制數(shù)據(jù)模型

基于型號(hào)裝備?角色的訪問(wèn)控制模型主要包括型號(hào)裝備、用戶、角色、菜單、策略、裝備用戶權(quán)限、角色用戶權(quán)限、角色菜單、角色策略，IETM數(shù)據(jù)。IETM數(shù)據(jù)主要由各類DM數(shù)據(jù)、實(shí)體數(shù)據(jù)、PM數(shù)據(jù)、意見(jiàn)、備注、歷史記錄、維修記錄等數(shù)據(jù)組成。用戶瀏覽手冊(cè)所產(chǎn)生的意見(jiàn)、備注、歷史記錄、維修記錄數(shù)據(jù)訪問(wèn)控制的原則是誰(shuí)產(chǎn)生、誰(shuí)查看。因此，IETM數(shù)據(jù)訪問(wèn)控制主要集中在裝備SNS數(shù)據(jù)、PM數(shù)據(jù)、DM數(shù)據(jù)及實(shí)體數(shù)據(jù)訪問(wèn)控制。IETM訪問(wèn)控制數(shù)據(jù)模型如圖5所示，整個(gè)IETM訪問(wèn)控制流程是在功能操作訪問(wèn)控制的基礎(chǔ)上進(jìn)行數(shù)據(jù)訪問(wèn)控制。

4.4 基于型號(hào)裝備?角色的IETM訪問(wèn)控制軟件實(shí)現(xiàn)

為滿足自主可控IETM瀏覽使用需求，方便網(wǎng)絡(luò)及單機(jī)部署，IETM訪問(wèn)控制模塊軟件采用B/S模式設(shè)計(jì)，J2EE MVC技術(shù)架構(gòu)，采用Web Service技術(shù)以組件方式實(shí)現(xiàn)，便于與IETM瀏覽業(yè)務(wù)功能集成，軟件實(shí)現(xiàn)技術(shù)架構(gòu)如圖6所示。IETM訪問(wèn)控制模塊技術(shù)架構(gòu)分為視圖層、控制層、業(yè)務(wù)層、數(shù)據(jù)訪問(wèn)層和數(shù)據(jù)庫(kù)。其中，視圖層使用MiniUI，JSP，HTML，CSS和XSL等相關(guān)前端框架和技術(shù)；控制層使用開(kāi)源MVC框架Spring MVC和Servlet；業(yè)務(wù)層封裝相關(guān)的公共類庫(kù)、業(yè)務(wù)對(duì)象定義以及業(yè)務(wù)邏輯處理；數(shù)據(jù)庫(kù)訪問(wèn)層使用Hibernate持久化框架，底層數(shù)據(jù)庫(kù)采用國(guó)產(chǎn)達(dá)夢(mèng)、金倉(cāng)數(shù)據(jù)庫(kù)，針對(duì)數(shù)據(jù)密級(jí)的要求適時(shí)采用國(guó)產(chǎn)安全數(shù)據(jù)庫(kù)。

Web Service[9]是一個(gè)自包含、自描述、模塊化的應(yīng)用程序標(biāo)準(zhǔn)機(jī)制，是一種基于透明標(biāo)準(zhǔn)體系的組件化松散耦合技術(shù)，其目標(biāo)是實(shí)現(xiàn)不同系統(tǒng)間跨平臺(tái)、跨編程語(yǔ)言的可互操作性。其技術(shù)特點(diǎn)為：互操作性、通用性、易實(shí)現(xiàn)性、廣泛的支持性以及良好的封裝性等。Web服務(wù)核心技術(shù)體系包括：XML，WSDL，SOAP，UDDI。IETM訪問(wèn)控制模塊采用Web Service技術(shù)實(shí)現(xiàn)用戶認(rèn)證、組織結(jié)構(gòu)、用戶管理、角色管理、功能操作權(quán)限分配及數(shù)據(jù)權(quán)限分配等功能，對(duì)外提供組織結(jié)構(gòu)、用戶認(rèn)證、數(shù)據(jù)權(quán)限控制、功能操作權(quán)限控制集成接口，方便IETM業(yè)務(wù)功能調(diào)用及集成，實(shí)現(xiàn)IETM功能操作及數(shù)據(jù)訪問(wèn)控制。

5 結(jié) 語(yǔ)

本文在分析交互式電子技術(shù)手冊(cè)應(yīng)用過(guò)程中的功能訪問(wèn)控制需求及數(shù)據(jù)訪問(wèn)控制需求的基礎(chǔ)上，對(duì)傳統(tǒng)基于角色的訪問(wèn)控制模型進(jìn)行改進(jìn)，引入型號(hào)裝備元素，在傳統(tǒng)訪問(wèn)控制的基礎(chǔ)上加強(qiáng)了手冊(cè)數(shù)據(jù)的訪問(wèn)控制。武器相關(guān)的核心技術(shù)資料數(shù)據(jù)能夠控制到型號(hào)裝備特定人員的行級(jí)控制及標(biāo)簽控制。IETM訪問(wèn)控制軟件模塊采用構(gòu)件化軟件開(kāi)發(fā)技術(shù)，以與平臺(tái)無(wú)關(guān)的J2EE技術(shù)架構(gòu)進(jìn)行實(shí)現(xiàn)，采用Web Service技術(shù)對(duì)外提供權(quán)限控制服務(wù)接口，滿足國(guó)家安全保密及自主可控要求。采用本文設(shè)計(jì)的訪問(wèn)控制模型已經(jīng)在單位研制的IETM瀏覽平臺(tái)進(jìn)行實(shí)現(xiàn)，并且已經(jīng)在多種型號(hào)的IETM手冊(cè)中進(jìn)行應(yīng)用，支持用戶、角色、資源及策略的靈活配置及授權(quán)，支持以型號(hào)裝備為基礎(chǔ)的IETM數(shù)據(jù)的細(xì)粒度授權(quán)，能夠保障IETM手冊(cè)數(shù)據(jù)安全可控。

參考文獻(xiàn)

[1] 邵紅偉，黃銀秋，沈耀程.IETM在裝備信息化保障中的應(yīng)用研究[J].中國(guó)艦船研究，2008，3（3）：74?76.

SHAO Hongwei， HUANG Yinqiu， SHEN Yaocheng. Application of IETM in the digital equipment support [J]. Chinese journal of ship research， 2008， 3（3）： 74?76.

[2] 程遠(yuǎn)斌，王斌，王滿林.IETM技術(shù)在武器裝備維修領(lǐng)域的應(yīng)用研究[J].四川兵工學(xué)報(bào)，2007，28（1）：11?13.

CHENG Yuanbin， WANG Bin， WANG Manlin. Research on the application of IETM technology in the field of weapon equipment maintenance [J]. Journal of Sichuan ordnance， 2007， 28（1）： 11?13.

[3] 郭亞軍，宋建華，李莉，等.信息安全原理與技術(shù)[M].2版.北京：清華大學(xué)出版社，2013.

GUO Yajun， SONG Jianhua， LI Li， et al. Principles and techniques of information security [M]. 2nd ed. Beijing： Tsinghua University Press， 2013.

[4] 總裝電子信息基礎(chǔ)部.GJB6600.1?2008 裝備交互式電子技術(shù)手冊(cè)[S].北京：總裝電子信息基礎(chǔ)部，2008.

General Electronic Information Base Department. GJB6600.1?2008： equipment interactive electronic technical manual [S]. Beijing： General Electronic Information Base Department， 2008.

[5] AECMA. S1000D?2008： international specification for technical publications using a common source database [S/OL]. [2008?07?13]. http：//www.s1000D.org， 2008.

[6] 都業(yè)濤，和應(yīng)民，馮偉強(qiáng)，等.基于GJB6600B標(biāo)準(zhǔn)的IETM系統(tǒng)研究與應(yīng)用[J].信息技術(shù)，2012（3）：141?145.

DU Yetao， HE Yingmin， FENG Weiqiang， et al. Research and application of IETM system based on GJB6600 [J]. Information technology， 2012（3）： 141?145

[7] 高萬(wàn)春，史鳳隆，方平.基于GJB6600的協(xié)同性IETM結(jié)構(gòu)模型[J].計(jì)算機(jī)與現(xiàn)代化，2014（1）：222?225.

GAO Wanchun， SHI Fenglong， FANG Ping. Cooperative IETM model based on GJB6600 [J]. Computer and modernization， 2014（1）： 222?225.

[8] 鄭宇.基于角色的訪問(wèn)控制模型改進(jìn)研究[J].軟件導(dǎo)刊，2014，13（1）：32?33.

ZHENG Yu. Research on improvement of role based access control model [J]. Software guide， 2014， 13（1）： 32?33.

[9] 信科，楊峰，楊光旭.基于RBAC權(quán)限管理系統(tǒng)的優(yōu)化設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2011，21（7）：172?174.

XIN Ke， YANG Feng， YANG Guangxu. Optimum design and realization of privilege management based on RBAC [J]. Computer technology and development， 2011， 21（7）： 172?174.

[10] 吳家菊，鄭翠芳，劉剛，等.基于Web Service的面向服務(wù)架構(gòu)研究[C]//四川省電子學(xué)會(huì)電子測(cè)量與儀器專委會(huì)2005年學(xué)術(shù)年會(huì)論文集.攀枝花：中國(guó)電子學(xué)會(huì)，2005：236?242.

WU Jiaju， ZHENG Cuifang， LIU Gang， et al. Study on service oriented architecture based on Web service [C]// Proceedings of 2005 Sichuan Electronics Institute Conference on Electronic Measurement and Instrument. Panzhihua： Chinese Institute of Electronics， 2005： 236?242.endprint