一种改进RBAC模型在规范概念协同工作平台任务管理中的实现
李鹏, 朱礼军, 刘亚洁, 闫莹莹
中国科学技术信息研究所 北京 100038
李鹏 E-mail:lipeng_cn@istic.ac.cn

李鹏, 朱礼军: 提出研究思路, 设计研究方案;

李鹏, 刘亚洁: 系统设计, 起草论文;

刘亚洁, 闫莹莹: 数据收集、加工、系统测试;

李鹏: 论文最终版本修订;

朱礼军: 论文审核及定稿。

摘要

【目的】 提高超级科技词表中规范概念协同构建过程中用户权限与任务管理的灵活性。【方法】 通过增加直接设置权限以及引入资源的工作状态, 改进基于角色访问控制(RBAC)模型, 从而支持用户、角色和其权限之间的灵活配置, 以及任务的自动流转。【结果】 改进RBAC模型, 将任务分为任务创建、任务分发、概念加工、任务审核、任务结束等5大环节, 以任务贯穿整个业务过程, 从而规范工作流程。【结论】 运行结果表明规范概念协同工作平台能快速、有效地进行概念分配、加工和审核, 实现了流程的灵活控制与协同工作的完成。

关键词: 知识组织体系; 叙词表; 概念; 任务管理; 工作流
中图分类号:TP393 文献标志码: 文章编号:2014-2-86-91
Realization of Improved RBAC Model in Task Management in Normative Concepts Collaborative Construction Platform
Li Peng, Zhu Lijun, Liu Yajie, Yan Yingying
Institute of Scientific & Technical Information of China, Beijing 100038, China
Abstract

[Objective] Improve the flexibility of users’ permissions and task management in normative concepts collaborative construction platform of the super technological vocabulary.[Methods] The RABC model is adjusted to support flexible configuration between the user, role and permission, and the task state automatic transition by direct permissions setting and the introduction of resource work state.[Results] The model is divided into task creation, task distribution, concept processing, task auditing, task ends while the task runs through the entire business process so as to standardize the workflow.[Conclusions] System operation results show that it can quickly and efficiently distribute process and audit concepts, and realize flexible control of process and completion of collaborative work.

Keyword: Knowledge organization system; Thesaurus; Concept; Task management; Workflow
1 引 言

规范概念协同工作平台, 是“科技知识组织体系的协同工作系统和辅助工具开发”的规范概念辅助加工平台, 专门负责超级科技词表从术语至规范概念集的加工。“科技知识组织体系的协同工作系统和辅助工具开发”是集素材、超级科技词表(包括基础词库、规范概念和范畴体系三个子层面)和本体构建与管理为一体的多层次、跨领域的知识组织协同工作系统。超级科技词表预计收集科技词汇素材约1 000万条, 收录科技术语不少于500万条, 科技规范概念80万条[ 1]。规范概念协同工作平台以概念为中心, 对来自于基础词库层的术语进行组织, 并借助范畴体系对概念进行归类。其目标是实现术语、概念、属性以及关系的形式化表示和协同构建, 并支持规范概念创建、跨词表概念和关系匹配。规范概念层协同构建与管理系统功能主要包括: 概念表示、元数据扩展、概念定义、概念标识、概念中文规范译名、概念关系冲突检测等。

规范概念协同工作平台旨在将来自基础词库的术语分配给加工用户进行加工, 加工完成后由审核人员进行审核, 从而形成规范概念集。在实际工作环境中, 系统管理员、单位用户和个人用户之间可以兼任。系统管理员可能同时也是单位用户, 而单位用户可能同时也作为个人用户来进行规范概念的加工或者审核。因此, 对于同类用户的任务及权限的分配与管理较为混乱。同时, 由于平台用户众多[ 2], 面对理、工、农、医等各家数据管理人员, 如何快速、有效地将概念分配至加工人员进行加工, 加工完成后自动转至审核人员进行审核, 是规范概念协同工作平台设计必须面对的难题。本文根据用户、角色以及权限的关系改进了RBAC模型, 通过增加用户权限的直接设置以及引入资源的工作状态, 实现了规范概念协同工作平台中权限的灵活配置以及任务的自动流转。

2 需求及技术思路

规范概念协同工作平台按学科领域以概念为基本单元对数据进行划分, 分配给不同学科领域编表用户进行加工, 因此规范概念协同工作平台主要涉及用户和任务这两个基本单元。其中, 用户包括系统管理员、单位用户和个人用户三种类型。系统管理员负责系统权限设置等管理工作, 拥有系统的最高权限, 可以创建单位任务和个人任务; 单位用户可以接受系统管理员分配的任务及创建个人任务; 个人用户一般进行规范概念的加工与审核。任务包含的信息内容指: 任务的名称、任务划分的数据集、创建时间、加工截止时间、审核截止时间、加工人员、审核人员等信息。而任务的类型一般分为个人任务、单位任务和单位子任务。其中, 个人任务指系统管理员直接分配给个人的任务; 单位任务指系统管理员直接分配给某单位的任务; 单位子任务指单位用户接受单位任务后新建的子任务, 其加工数据集是单位任务的子集。规范概念协同工作平台采用基于角色访问控制(Role-Based Access Control, RBAC)模型实现任务的管理。

RBAC模型主要是通过角色来实现对用户权限的授予与取消, 系统按照一定的分配规则给角色分配权限[ 3]。基本的RBAC模型将系统各种资源分成5种元素: 用户(Users)、角色(Roles)、权限(Permiss-ions)、系统资源(Resource)、操作(Operations)。在RBAC模型中, 通过角色来分类系统的资源和相关操作, 具有相同访问资源及访问权限的用户分配一个角色。系统通过会话(Sessions)来确定当前用户对系统所具有的所有可访问的资源和对资源的访问权限。RBAC模型有效解决了同类用户权限的分配与管理, 提高了管理效率。但是, 现有RBAC模型在实际应用中, 用户一旦设置好某个角色则其角色对应的权限相对固定。而且, 相同角色的用户其权限完全相同, 缺乏灵活性和动态性。

目前对于RBAC的权限管理, 国内外学者展开了不少尝试。雷雪[ 4]提出了通用Wiki系统基于RBAC模型的权限控制策略。王亚民[ 5]实现了一种基于用户功能模块的权限管理机制。李德泉等[ 6]采用四元组<客体维, 用户, 资源, 权限>的形式定义资源的处理权限, 提出了一种多维度权限管理模型, 实现更灵活的权限管理机制。慕晓冬等[ 7]根据RBAC中角色分层不能反映部门的组织结构、不适用大量用户的系统的缺点, 使用用户组的授权代替了组中所有用户的授权, 提高了灵活性和可扩展性。何云强等[ 8]认为现有的权限管理依赖于软件系统因而存在安全管理员人工操作的安全隐患, 通过将概念格模型引入基于角色的访问控制中, 提供一种自动的权限管理方法。通过分析以上文献, 可以发现不少研究均是从灵活性上提高RBAC的权限管理, 提高灵活性是基于RBAC的权限管理的一个重点。

针对规范概念协同工作平台的协同工作及应用环境, 采用现有的RBAC模型进行系统设计会出现以下两个问题:

(1) 若根据不同的用户定制不同的权限进行设计, 当同一个人拥有多种用户类型(即多种身份)时, 必须通过不同的用户登录来切换相关操作, 系统的灵活性比较差。

(2) 若采用硬编码的方式实现任务流程, 则会导致任务不能自动流转, 尤其当任务需求改变时会对系统带来较大的修改。

3 系统实现方案
3.1 系统整体功能及流程设计

规范概念协同工作平台主要实现网络环境下多机构多人分工协作的多批次规范概念加工与管理, 满足多批次数据导入、各批次数据的加工与审核、多批次数据的导出, 以及任务管理、用户管理和日志管理等辅助功能。本系统主要包括5部分功能, 分别为:

(1) 用户管理, 包括个人用户、单位用户的注册与审核, 以及相关用户的权限管理;

(2) 多批次数据的导入导出管理, 包括批次数据的导入、浏览、导出、以及统计汇总等;

(3) 规范概念加工的任务管理, 主要基于任务的创建和管理机制, 通过对规范概念的数据集合以及在该数据集合上的操作权限进行分配和管理, 实现规范概念的分工协作;

(4) 规范概念的加工与审核, 包括同形同义处理、概念的浏览与检索、逻辑错误检查等;

(5) 规范概念相关的管理维护系统, 包括日志管理、数据统计、信息发布与交流等功能。

系统整体功能与流程结构如图1所示:

图1 系统整体功能与流程

本平台主要采用RBAC模型来实现任务管理的功能, 以有效地解决用户权限的分配与管理, 并规范工作流程。

3.2 改进的RBAC模型

规范概念协同工作平台对RBAC模型进行了改进, RBAC模型如图2所示, 改进后的RBAC模型如图3所示:

图3 改进的RBAC模型

用户访问系统资源的初始权限通过系统分配的角色来获得。为了增加用户访问资源和相关操作的灵活性, 系统将权限设置专门独立出来形成权限元素。改进的RBAC模型包含用户、角色、权限、资源以及操作等元素。用户在通过角色设置权限的同时, 也增加了直接的权限设置, 即系统管理员还可以在初始权限的基础上直接增加和修改相应的权限。另外, 资源的工作状态被引入RBAC模型中。改进后的RBAC模型, 能够根据资源的不同状态进行自动流转, 实现基于任务驱动的工作流。

改进后的RBAC模型使得规范概念协同工作平台在用户、角色、权限的基础上, 融入了任务这个要素。平台中任务的设置, 包括任务的权限, 以及任务的资源和任务相关的操作。其中, 角色设置为概念管理员、概念加工员、概念审核员。当创建用户时初始化该用户对应的角色: 概念管理员缺省可以对任务进行创建、删除、中止; 概念加工员缺省可以对任务进行确认、退回以及加工; 概念审核员缺省对任务进行审核。而且, 系统管理员还可以对用户的权限进行调整。某个普通用户既可以拥有概念加工的权限、审核的权限, 还可以同时拥有任务管理的权限。因此, 用户登录后由角色和权限联合决定了对任务的操作限制, 从而保证了用户的灵活性。

3.3 基于任务的工作流的实现

规范概念协同工作平台任务管理RBAC模型支持工作流的定义, 根据资源的状态实现工作流的自动流转。工作流是企业业务流程完全或者部分的自动化, 它按照一定的过程规则集把业务所需的文档、信息或者任务从一个参与人传递到下一个参与人[ 9]。在工作流环境中, 任务与权限密不可分, 任务不仅是操作过程, 也意味着权限的存在。在工作流执行过程中, 角色只有在执行任务时才需要权限, 任务的执行依靠角色间的相互协作。

本平台基于任务的工作流模型以任务贯穿整个业务过程, 具体包括任务的业务流以及对任务的控制流。其中, 业务流是指从最开始的创建任务到分配任务、加工任务、审核任务以及完成任务的业务过程; 控制流是指任务的确认、退回、修改、删除、中止、恢复等。任务控制流与业务流如图4所示:

图4 任务控制流与业务流

任务的流转基于活动图的模型(典型的有向状态机)定义, 流程全部由状态(State)组成, 各个状态之间定义若干个流转路径(Transition)。流程有且只有一个起始节点, 并且根据不同的业务需求设置多个最终状态。流程从起始节点开始, 通过不同条件的激活操作, 使得流程在不同的状态之间进行流转。规范概念协同工作平台的任务涉及到11种状态, 分别为: 待分配、待确认, 退回、加工中、加工中止、加工超时、审核中、审核中止、审核超时、审核通过、审核退回等。任务状态及流转条件如表1所示:

表1 任务状态及流转条件
4 应用效果

规范概念协同工作平台采用Java开发, 数据库采用MySQL5.0, Web应用服务器采用Tomcat6.0, 工作流采用jBPM引擎。规范概念协同工作平台的用户操作权限与其所分配任务密不可分, 在任务操作的过程中, 不同机构、不同角色的用户具有不同的任务权限。用户初始时通过角色配置相应的权限, 同时单位管理员或者系统管理员可以对用户的权限进行动态修改, 从而实现用户与角色以及用户与权限之间的灵活配置。用户角色及权限配置如图5所示:

图5 用户角色及权限配置

任务管理包括任务的创建、修改、加工和审核等功能。创建任务通过首字母等划分数据集的方式进行。当单位任务的所有单位子任务全部加工完成后, 该任务即可进行审核。创建任务如图6所示:

用户登录后, 能够根据其角色和权限查看其当前应处理的任务。管理员能够看到每个任务的当前状态(加工中, 审核中, 待确认, 超时等), 并能查看任务的工作流, 实现对任务的跟踪。普通用户能够显示自己的任务和任务统计信息。系统应用效果证实了任务管理的灵活性, 以及设计的合理性。工作流查看如图7所示:

图7 工作流查看

5 结 语

为了实现规范概念协同工作平台任务管理的灵活控制与协同工作, 本文改进了RBAC模型, 实现了基于用户、角色、权限和任务的RBAC模型。模型以任务贯穿整个业务过程, 分为任务创建、任务分发、概念加工、任务审核、任务结束等五大环节, 同时引入工作流实现任务的自动流转, 规范了工作流程。不足之处在于, 由于系统数据量大, 协同环境复杂, 对于效率、实时性设计上存在不足, 有待进一步加强。

参考文献
[1] 孙坦, 刘峥. 面向外文科技文献信息的知识组织体系建设思路[J]. 图书与情报, 2013(1): 1-7.
(Sun Tan, Liu Zheng. Methodology Framework of Knowledge Organization System for Scientific&Technological Literature[J]. Library & Information, 2013(1): 1-7. ) [本文引用:1]
[2] 钱力, 张晓林, 张智雄. 基于ECDL的数字图书馆技术结构及其演化研究[J]. 中国图书馆学报, 2013, 39(1): 89-99.
(Qian Li, Zhang Xiaolin, Zhang Zhixiong. Research of Structure and Evolution of Digital Library Technology Based on ECDL[J]. Journal of Library Science in China, 2013, 39(1): 89-99. ) [本文引用:1] [CJCR: 2.697]
[3] 乔颖, 须德, 戴国忠. 一种基于角色访问控制(RBAC)的新模型及其实现机制[J]. 计算机研究与发展, 2000, 37(1): 37-44.
(Qiao Ying, Xu De, Dai Guozhong. A New Role-based Access Control Model and It’s Implement Mechanism[J]. Journal of Computer Research and Development, 2000, 37(1): 37-44. ) [本文引用:1]
[4] 雷雪. 学术Wiki平台的权限管理研究[J]. 情报科学, 2010, 28(7): 1069-1072.
(Lei Xue. Research on Privilege Management of Academic Wiki Platform[J]. Information Science, 2010, 28(7): 1069-1072. ) [本文引用:1] [CJCR: 1.112]
[5] 王亚民. 基于RBAC的信息系统访问控制模型[J]. 情报杂志, 2005, 24(10): 43-45.
(Wang Yamin. Information System Access Control Model Based on RBAC[J]. Journal of Intelligence, 2005, 24(10): 43-45. ) [本文引用:1] [CJCR: 0.951]
[6] 李德泉, 阮宇智, 杨润芝, . 基于RBAC的气象多维数据权限管理模型的建立[J]. 应用气象学报, 2012, 23(5): 614-623.
(Li Dequan, Ruan Yuzhi, Yang Runzhi, et al. Privilege Management Model Based on RBAC for Meteorological Data Resource Service[J]. Journal of Applied Meteorological Science, 2012, 23(5): 614-623. ) [本文引用:1] [CJCR: 1.379]
[7] 慕晓冬, 李飞行. 用户组在RBAC模型中的应用[J]. 火力与指挥控制, 2012, 37(8): 170-173.
(Mu Xiaodong, Li Feixing. Application Research of User Group in Role Based Access Control Model[J]. Fire Control & Command Control, 2012, 37(8): 170-173. ) [本文引用:1] [CJCR: 0.282]
[8] 何云强, 李建凤. RBAC中基于概念格的权限管理研究[J]. 河南大学学报: 自然科学版, 2011, 41(3): 308-311.
(He Yunqiang, Li Jianfeng. Permission Management of RBAC Based on Concept Lattice[J]. Journal of Henan University: Natural Science, 2011, 41(3): 308-311. ) [本文引用:1] [CJCR: 0.3924]
[9] 何源, 徐福缘, 何建佳, . 供需网环境下基于角色的工作流建模研究[J]. 计算机应用研究, 2012, 29(4): 1387-1390.
(He Yuan, Xu Fuyuan, He Jianjia, et al. Under Supply and Demand Network Environment for Role-based Modeling and Researching of Workflow[J]. Application Research of Computers, 2012, 29(4): 1387-1390. ) [本文引用:1] [CJCR: 0.601]