張 偉，許瀛徹

（1.大連理工大學 機械工程學院，遼寧 大連 116024；2.大連育明高中，遼寧 大連 116024）

檔案作為社會信息資源的重要組成部分，日益成為國家進行經濟建設、政治建設和文化建設的重要資源。傳統(tǒng)的檔案管理方式導致檔案利用率低，檔案查詢繁瑣，查詢費用昂貴，因此檔案的數(shù)字化處理和基于Internet的檔案管理應運而生[1-2]。

檔案現(xiàn)代化管理模式及其最終目標是實現(xiàn)檔案信息收集、整理和開發(fā)利用的數(shù)字化。計算機網絡能有效實現(xiàn)資源共享，但資源共享和信息安全是一對矛盾體。目前全世界的網絡多與Internet相聯(lián)。一方面，人們希望從眾多的服務器上獲得各種各樣的有用信息，另一方面，人們又要求自身服務器的一些敏感信息不被非授權的訪問和竊取[3]。

為提高機構的安全性，安全機制必須要能控制：有“誰”能訪問機構的信息，用戶訪問的是“什么信息”，哪個用戶被授予什么樣的“權限”。一旦機構確定了權限管理和發(fā)布的方式，訪問控制系統(tǒng)就可根據(jù)機構發(fā)放的權限以及定義的安全策略控制用戶訪問，從而保護應用系統(tǒng)。

1 系統(tǒng)總體設計

1.1 系統(tǒng)方案選擇

由于B/S架構管理軟件只安裝在服務器（Server）端上，網絡管理人員只需要管理服務器就行了，用戶界面主要事務邏輯在服務器端完全通過WWW瀏覽器實現(xiàn)，極少部分事務邏輯在前端（Browser）實現(xiàn)，所有的客戶端只有瀏覽器，網絡管理人員只需要做硬件維護。而且采用C/S模式的網絡版，安裝、使用都較為不便。因此數(shù)字檔案管理系統(tǒng)適合采用B/S結構實現(xiàn)[4]。

論文采用基于角色的訪問控制模型（Role Based Access Control，RBAC），即權限被指派給角色，角色指派給用戶，從而用戶享有角色所具有的權限。如圖1所示，一個用戶可以擁有多個角色，一個角色可授權給多個用戶：一個角色可包含多個權限，一個權限可被多個角色包含。用戶通過角色享有權限，不直接和權限相關聯(lián)；權限對存取對象的操作是通過激活角色實現(xiàn)的。這樣大大降低了系統(tǒng)的安全控制的復雜度，降低了系統(tǒng)開銷，便于在業(yè)務活動中按照人員實際的職責分配和使用資源[5]。

圖1 客體—角色—用戶

1.2 系統(tǒng)總體功能

通過市場分析以及本系統(tǒng)開發(fā)理念，以系統(tǒng)實用為目標，設計出系統(tǒng)的總體功能，如圖2所示。

圖2 權限管理系統(tǒng)功能結構

1.2.1 用戶管理

用戶管理的主要功能是管理現(xiàn)有用戶，對現(xiàn)有用戶進行修改、刪除，還能添加新用戶并存入數(shù)據(jù)庫，方便系統(tǒng)對用戶的管理，主要包括添加用戶、修改用戶以及刪除用戶。用戶管理系統(tǒng)中，系統(tǒng)管理員可向系統(tǒng)中添加新用戶，并對原有用戶進行修改和刪除，若是一般成員登錄則只能查看用戶而不能對用戶進行添加、修改、刪除等操作。

1.2.2 角色分配

角色分配的主要功能是給不同的用戶賦予不同的角色，主要包括賦予角色和去除角色。在角色分配系統(tǒng)中，只有系統(tǒng)管理員可將不同角色賦予或去除給各個用戶，而一般成員登錄只能瀏覽各用戶所具有的角色而不能給用戶賦予或去除角色。

1.2.3 角色管理

角色管理的主要功能是管理現(xiàn)有角色，對現(xiàn)有角色進行修改、刪除，還可添加新角色并存入數(shù)據(jù)庫，方便系統(tǒng)對角色的管理，主要包括添加角色、修改角色以及刪除角色。角色管理系統(tǒng)中，系統(tǒng)管理員可向系統(tǒng)中添加新角色，并對原有角色進行修改和刪除，若是一般成員登錄則只能查看角色而不能對角色進行添加、修改、刪除等操作。

1.2.4 權限分配

權限分配的主要功能是給不同的角色賦予不同的權限，主要包括賦予權限和去除權限。在權限分配系統(tǒng)中，只有系統(tǒng)管理員可將不同的權限賦予或去除給各個角色，而一般成員登錄只能瀏覽各角色所具有的權限而不能給用戶賦予或去除權限。

2 系統(tǒng)數(shù)據(jù)庫的設計和實現(xiàn)

本文采用SQL Server[6]設計和實現(xiàn)系統(tǒng)的數(shù)據(jù)庫功能。

2.1 數(shù)據(jù)庫關系圖設計

系統(tǒng)中權限管理部分數(shù)據(jù)庫表之間的邏輯關系如圖3所示，此關系圖以員工的基本信息表（Base表）為基礎，分角色和任務給不同的職員或部門，以管理不同員工和部門使用權限，主要包括角色數(shù)據(jù)表，功能數(shù)據(jù)表以及分別對應的角色描述數(shù)據(jù)表和功能描述數(shù)據(jù)表。

圖3 邏輯關系

2.2 數(shù)據(jù)庫具體表設計

在一個關系數(shù)據(jù)庫中，表是最重要的數(shù)據(jù)庫對象，對應于關系數(shù)據(jù)庫理論中關系，與DBASE或FOXPRO中的DBF文件是類似。一切數(shù)據(jù)都存放在表中。其他數(shù)據(jù)庫對象都是為了用戶很好地操作表中的數(shù)據(jù)。表都以一張二維表的形式存在。其中，每列稱之為一個字段，或一個域；而每行稱之為一個記錄，也就是一項數(shù)據(jù)。如圖4所示，分別為Base表、BaseRoles表、FuncDic表、FuncRights表、RolesDic表。

圖4 數(shù)據(jù)庫表

2.3 數(shù)據(jù)庫視圖設計

視圖是查看一張或幾張表中的數(shù)據(jù)的一種方式。通過將一張或幾張表中的一部分數(shù)據(jù)進行組合得到視圖。視圖看上去與表非常相象，但與表還是有著本質的區(qū)別。通過視圖看到的數(shù)據(jù)實際上都是存放在表中的，在數(shù)據(jù)庫中僅存在視圖的定義。數(shù)據(jù)庫3類視圖如圖5所示，包建立角色與權限間聯(lián)系的right視圖，建立角色與用戶間聯(lián)系的vwuser視圖，建立用戶以何種角色登錄系統(tǒng)聯(lián)系的vw_base_role視圖。

圖5 數(shù)據(jù)庫視圖

3 系統(tǒng)的實現(xiàn)和應用

用戶權限管理界面如圖6所示，用戶管理的主要功能是管理現(xiàn)有用戶，對現(xiàn)有用戶進行修改、刪除，還能添加新用戶并存入數(shù)據(jù)庫，方便系統(tǒng)對用戶的管理。系統(tǒng)管理員修改新用戶是用戶管理中最基本的功能也是最重要的一部分功能，其操作界面如圖7所示。

圖6 用戶權限管理界面

圖7 修改用戶界面

角色分配界面如圖8所示，角色分配的主要功能是給不同的用戶賦予不同角色，或去除用戶所具有的角色。在角色分配系統(tǒng)中，只有系統(tǒng)管理員可將不同的角色賦予或去除給各個用戶，而一般成員登錄只能瀏覽各用戶所具有的角色而不能給用戶賦予或去除角色，角色管理界面如圖9所示，用戶管理的主要功能是管理現(xiàn)有角色，對現(xiàn)有角色進行修改、刪除，還能夠添加新角色并存入數(shù)據(jù)庫，方便系統(tǒng)對角色的管理。

圖8 角色分配界面

圖9 角色管理界面

系統(tǒng)管理員修改新角色是角色管理中最基本的功能也是最重要的一部分功能，其操作界面如圖10所示，權限分配界面如圖11所示，權限分配的主要功能是給不同的角色賦予不同的權限，或是去除角色所具有的權限。在權限分配系統(tǒng)中，只有系統(tǒng)管理員可以將不同的權限賦予或去除給各個角色；而一般成員登錄只能瀏覽各角色所具有的權限而不能給角色賦予或去除權限。

圖10 角色修改界面

圖11 權限分配界面

4 結語

論文基于ASP.NET的數(shù)字檔案管理系統(tǒng)中權限分配問題，給出了.NET框架下數(shù)字檔案管理系統(tǒng)中權限分配的設計與實現(xiàn)方法，并基于B/S結構模式搭建了系統(tǒng)的主要框架，設計出各子系統(tǒng)的主要功能。重點設計并實現(xiàn)了“權限分配子系統(tǒng)”，實現(xiàn)了權限的數(shù)字化存儲與動態(tài)管理。系統(tǒng)所采用的模塊化設計形式能很好地實現(xiàn)系統(tǒng)功能擴充和系統(tǒng)二次開發(fā)，具有一定的實用價值。

[參考文獻]

[1]孫慧.淺談如何提高檔案工作服務能力[J].黑龍江檔案，2010（5）：58.

[2]苗育平.開發(fā)檔案信息資源提高檔案服務質量[J].陜西檔案，2006（5）：27-28.

[3]程春雨，郝晨輝，李昕岑，等.基于云計算的檔案信息資源共享利用實踐研究[C].北京：創(chuàng)新：檔案與文化強國建設—2014年檔案事業(yè)發(fā)展研究報告集，2014.

[4]王化雨.一種B/S信息系統(tǒng)訪問控制機制的設計與實現(xiàn)[D].濟南：山東科技大學，2005.

[5]張昀.基于角色的訪問控制模型N-RBAC[J].軟件導刊，2010（1）：29-30.

[6]閆旭.淺談SQL Server數(shù)據(jù)庫的特點和基本功能[J].價值工程，2012（22）：229-231.