面向BSS系统的权限管理模型研究

［刘智琼 华竹轩 黎莎菲］

面向BSS系统的权限管理模型研究

［刘智琼 华竹轩 黎莎菲］

随着信息技术的不断发展，从独立平台到综合系统集成，从单一服务到业务融合，实现统一框架中的纵向、横向管理，是电信行业IT系统架构发展规律。系统整合的一个重要基础是用户账号数据的统一、授权的集中、单点登录认证、安全操作审计。文章深入分析了电信企业信息化BSS系统的权限管理现状及不足，详细介绍了权限管理的理论和方法，提出了一种以用户—岗位—角色—权限为核心的三级访问控制授权模型，实现权限的多维度私有授权，为电信BSS业务支撑系统提供机制统一、灵活多样化的账号、认证、授权和审计的安全服务。

BSS系统 RBAC模型 三级授权模型

刘智琼

高级工程师，硕士，现任职于中国电信股份有限公司广州研究院，长期从事电信IT支撑系统的设计与研发工作。

华竹轩

通信工程师，硕士，现任职于中国电信股份有限公司广州研究院，长期从事电信IT支撑系统的设计与研发工作。

黎莎菲

工程师，现就职于深圳市远行科技有限公司，一直从事数据分析及IT支撑系统设计与研发等方面的工作。

1 引言

为了应对全球背景下业务迅猛增长和规模急速扩大运营需求，电信运营商坚持“以客户为中心”的理念全面推动业务和运营的结合，经过近十几年逐步的演进，建设了当前较为成熟的BOSS(Business Operation Support System)系统，通过不断完善的IT 管控制度和流程，提升IT 管控的技术支撑水平，促使企业信息化成为企业的核心竞争力，推动企业的可持续发展。

在电信企业信息系统BSS、OSS、MSS三大领域中，从独立平台到综合系统集成，从单一服务到业务融合，实现统一框架中的纵向、横向管理，是电信行业IT系统架构发展规律[1]。如何进行系统整合，是摆在企业面前的一个重要问题。系统整合的一个重要基础是用户账号数据的统一、授权的集中、单点登录认证、安全操作审计。

权限管理的应用一直是BSS系统安全研究和应用的热点之一。对于BSS系统来说，需要统一用户权限管理，解决不同人员、部门对资源、功能、数据等的访问需求的复杂性，确保系统的服务和数据是被适当的人员查看和操作的，防止因为监管不利而导致的功能范围过大、系统数据泄露。因此，一种灵活的支持多级访问控制策略的权限管理模型也成为IT研究关注的新课题。本文深入分析了电信企业信息化BSS系统的权限管理现状及不足，详细介绍了权限管理的理论和方法，最后设计并实现了三级访问控制授权模型，并给出了系统的应用实例。

2 现状分析

近年来，随着信息技术的迅速发展，在电信企业信息系统中，各种支撑应用和用户数量的不断增加，以某电信省公司为例子，业务支撑系统的总用户数达到八千多人，这些用户包括营业员、大客户代表、客服人员、渠道代理商等。网络规模迅速扩大，信息安全问题愈见突出，对系统之间的整合也就提出了不同以往的、更高的要求。而原有各自为政的账号、权限、认证、审计等方面已不能满足目前及未来信息系统发展的要求。主要问题表现在以下方面：

（1）用户权限缺乏统一管理。大量应用系统存在于企业信息化BSS域中，它们各自一套独立而自成体系的账号、认证、授权以及审计机制，并且每个账号认证授权审计机制都由本系统的管理员负责维护和管理，这种方式缺乏集中统一的用户权限管理，系统的安全性无法得到充分保证，无法有针对性地进行安全预警和数据责任追踪。

（2）数据权限很多通过应用固化无模型支撑。应用系统数据权限多是通过程序特殊处理，可扩展性差，当维护人员同时对多个系统进行维护时，工作复杂度不仅会成倍增加，有的时候甚至根本无法完成管理。

（3）严格分级授权模式导致运营配置工作量巨大。在电信企业现有的BSS业务支撑系统中，用户（自然人）和系统岗位/角色间是采用直接对应的方式。同一用户在系统岗位/角色完全一样的情况下，由于不同的组织使用，权限集合有差异，需要配置多个系统岗位，系统岗位的多重化、复杂化，带来了大量的交叉关系，运营清理困难，权限管理任务越来越重。

总结来讲，随着业务支撑系统的发展及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。因此，迫切需要一个统一的权限管理模型为各应用系统提供员工的多级授权与统一入口管理，提升业务系统安全性和可管理能力。

3 BSS融合模型权限设计解决方案

3.1 核心概念

目前，以角色为核心的访问控制模型（Role-Based Access Control，RBAC）在电信企业BSS业务支撑系统中得到了广泛的使用，成为主流的安全访问控制方式。在模型中，引入了角色的概念，这些角色是根据企业的业务内容的需要来设置的。系统管理员将资源的访问权限分配给相应的角色，即系统管理员将这些权限封装在相应的角色中。每个角色可被授予多个权限，而一个权限可被授予多个角色，即角色与权限之间是多对多的关系。系统再将这些角色授予相应工作岗位的用户，用户便得到了资源访问的权限。一个用户可被授予多个角色。

RBAC模型[2]是一个定义完整的数学模型，体现了角色控制的思想，其中的术语定义如下：

用户（User）：指可以独立访问系统的人员。是指具有使用系统用户名和密码的人员。

角色（Role）：指在一个组织或者企业中的工作岗位或者在企业中的地位，它可以代表一种权利和责任。体现在系统中是指营业员、代理商、系统管理员等工作岗位。

权限（Permission）：指对某些实体资源对象操作许可的集合，它包括控制对象和操作，控制对象一般为资源，包括菜单、页面、文件等资源，而操作一般包括查看、修改、删除等操作。权限的类型可以是功能权限、数据权限、混合权限。功能权限的构成可以是功能菜单、功能组件；而数据权可以基于元数据中定义的业务对象实例进行配置；混合权限可以是功能权或数据权中的一种或多种。

会话（Session）：用于表示用户与角色的映射，一个用户与一个角色的子集相对应。会话是动态术语，会话是由用户发起的，是用户与系统的交互，会话发起后会激活用户所属的一个角色的子集，这些激活的角色所具有的权限的并集为该用户的权限。

图1 RBAC模型

RBAC 虽然简单而且易用，但是在实际应用中仍然存在一些问题[3]，比如简单的将角色与岗位等同起来；没有对数据权限对象进行详细的划分；用户被指定为某个角色后，在不影响其他用户的访问权限的前提下，要添加或者删除其对某个资源的访问权限，其过程是比较麻烦的。

3.2 三级授权模型

结合电信行业IT集约云化架构的发展[4]，针对现网权限管理工作存在的不足，以下分别从统一组织入口、集中管理员工全集、统一授权模型等方面提出优化建议，为提升现网认证授权机制，降低运营成本提供有价值的技术参考。

（1）通过统一的三级授权模型，为电信BSS业务支撑系统提供机制统一、灵活多样化的账号、认证、授权和审计的安全服务[5]。

作者通过对组织、组织结构和岗位的深入分析可以发现，基于角色的访问控制模型RBAC单纯从技术角度看待安全问题，缺少从组织的整体性角度出发的思想理念，忽略了权限管理工作所具有的组织性和岗位在组织结构中所具有的重要意义。实际上，电信BSS业务支撑系统中所有的认证、授权、访问控制和权限管理工作都是源于组织，并由组织来进行仲裁的，岗位作为组织中权力的标准执行单元和组织结构的基本节点具有其不可替代的作用。基于此，我们提出了一种以用户—岗位—角色—权限为核心的三级访问控制授权模型。

① 系统用户

记录员工登录系统使用的系统帐户；系统用户除了拥有系统岗位所带的角色和权限，也可以拥有私有的角色和权限。

② 系统岗位

记录员工在系统内所担任的一个或数个任务的集合。系统岗位除了拥有角色所带的权限，也可以拥有私有的多个权限。

图2 三级访问控制授权模型

③ 角色

记录员工操作系统的权限集合。系统岗位可以包含多个角色，系统岗位除了拥有角色所带的权限，也可以拥有私有的多个权限。

④ 权限

记录员工在系统内的可被赋予的最小功能单元和数据访问权利。

通过以上改进的RBAC——三级授权模型可以看出，支持系统用户、系统岗位、系统角色三级授权，实现权限的多维度私有授权[6]，减少运营维护人员的配置复杂度，很多权限可通过私有授权快捷分配，进一步减少了系统岗位、系统角色的数量。从技术上保证支撑系统安全策略的实施。

（2）电信业务支撑系统权限管理工作从组织的整体角度出发，统一组织入口维护管理，实现组织、渠道、经营主体的融合，如图3。

三级授权模型通过新增“电信组织”等实体，将渠道视图的“渠道”、“经营主体”和原有的“组织”统一管理，实现渠道视图与组织机构的融合；一个“电信组织”可以有多种组织角色，管理方式简单、灵活，电信组织为渠道角色时，“渠道”表记录渠道相关信息；为经营主体角色时，“经营主体”记录经营主体相关信息。

（3）完善员工等实体，集中管理BSS融合系统的员工全集，如图4。

三级授权模型通过修订“员工”等实体，将渠道视图的销售员与“员工”融合，员工可以来源于MSS系统，也可在BSS侧增加，以实现管理使用BSS融合系统的员工全集，避免相同数据多系统分散带来的应用处理、运营维护的困难。

（4）系统岗位作为组织间业务协作的支点，区分系统岗位的管理组织、使用组织。

图3 电信组织、渠道、经营主体实体统一管理

图4 完善“员工”等实体

三级授权模型通过新增“系统岗位”实体，用于设置操作BSS系统时在任职组织内角色及权限的关联体。区分系统岗位的管理组织、使用组织，能够在满足业务需要的情况下，减少系统岗位的数量；可进行集团、省、市三级运营方式，减少运营管理的混乱，提升运营效率。

（5）完善权限等实体，对权限的种类进行了分类管理，实现权限的灵活统一配置

① 功能是基于新增“功能菜单”、“功能组件”实体，记录系统各模块、菜单、页面及子元素的集合；

② 数据是基于元数据的业务对象作为其构成元素。

③ 数据权限授权[7]给具体的对象之后，可指定作用在具体的功能权限。

统一的权限模型，解决目前现网中权限分配入口分散、运营管理困难、需要应用特殊处理、程序扩展性差等问题，达到了快速配置、授权统一、应用开发灵活的目标。

（6）扩充授权中的“关联功能权限标识”。支持将权限授权之后，可指定数据权限是作用于某一功能授权的。

图5 新增系统岗位等实体，管理系统岗位与组织的多种关系

图6完善权限等实体，实现权限的灵活统一配置

3.3 应用场景：权限多级分配

3.3.1 场景描述

在接受一疗程治疗后,患儿咳嗽、喘憋、气促及肺部哮鸣音完全消失为显效;患儿咳嗽,喘憋有明显改善,气促有所缓解,肺部哮鸣音显著减少为有效;患儿症状及体征没有好转甚至加重则为无效。

河北三河市燕郊某营业厅的营业员张希可以办理燕郊和北京的业务，由于工作的需要，该营业员张希被借调到河北石家庄某营业厅，但在该营业厅的张希只办理石家庄的业务。营业员的功能权限包括：订单受理、营业扎帐、重打发票。

场景一：在燕郊任职时，张希被授权可以“订单受理”北京业务，在石家庄任职时，不能办理北京业务；

场景二：要求只有燕郊营业厅的营业员才能“订单受理”北京业务，石家庄的营业员不能办理北京业务；

场景三：张希被授权可以办理北京业务，不管是在燕郊还是北京任职。

3.3.2 模型的处理原则及要点

（1.1）处理原则

（1）系统用户分配系统岗位之后，系统用户就拥有了该系统岗位下的角色和权限；

（2）系统岗位自身（非分配角色）也可以有私有的权限；

（3）系统用户自身（非分配系统岗位）也可以有私有的角色和权限；

（4）一个权限可以属于多个角色，一个角色包含多种权限；

（5）为系统用户的单个功能权限可以设置单独的数据权限；

（6）考虑到分级运营需要，数据权限的地域维度分配需要按本地网、省级、集团的分别控制，集团超级管理员能够给所有的员工进行授权；省级管理员能够给所属省份的员工进行授权；本地网管理员只能给所属本地网的员工进行授权；如果需要跨级授权，需要找上一级管理员进行授权；

（2.1）处理要点

（1）已分配系统账号：已为张希分配BSS集中系统用户账号"zhangxi"。

（2）已有的系统岗位：“三河营业员”的管理组织为“三河电信”，“石家庄营业员”的管理组织为“石家庄电信”。

（3）授予系统用户对应系统岗位：

① 三河系统管理员为系统用户“zhangxi”分配系统岗位“三河营业员”

② 集团系统管理员为系统用户“zhangxi”分配系统岗位“石家庄营业员”。

（4）授予“北京”的数据权限：

图7 新增授权对象，实现权限的多维度私有授权

图8 权限多级分配-场景示意图

① 场景一：集团系统管理员为系统用户“zhangxi”的任职岗位“三河营业员”授予数据权限“北京”；

② 场景二：集团系统管理员为系统岗位“三河营业员”授予数据权限“北京”；

③ 场景三：集团系统管理员为系统用户“zhangxi”授予数据权限“北京”。

3.3.3 参考实现

（1）概念示意（如图8）

（2）数据验证（如表1～7）

表1 系统用户【SYSTEM_USER】

表2 电信组织【ORGANIZATION】

表3 系统岗位【SYSTEM_POST】

表4 系统用户任职岗位

表5 系统角色【SYSTEM_ROLE】

表6 系统岗位对应角色【SYSTEM_POST_ROLE】

表7 授权【PRIV_GRANT】

4 小结

随着信息技术的不断发展，各种访问控制技术的集成以及统一授权管理是访问控制技术的一种发展趋势。本文提出的一种以用户—岗位—角色—权限为核心的三级访问控制授权模型，实现权限的多维度私有授权，为电信BSS业务支撑系统提供机制统一、灵活多样化的账号、认证、授权和审计的安全服务，减少运营维护人员的配置复杂度，通过私有授权快捷分配，进一步减少了系统岗位、系统角色的数量。从技术上保证支撑系统安全策略的实施，同时，降低了系统维护和管理人员的工作负担，提高了工作效率。

1 刘南海,雷蕾,王睿．大数据时代运营商分析支撑域转型的实践与思考．电信科学,2016,（8）：147－148

2 任伟,秦进．RBAC模型在信息化平台建设的权限管理中的研究与应用．电脑知识与技术，2016,(1)：9－10

3 信科,杨峰,杨光旭,马媛媛．基于RBAC权限管理系统的优化设计与实现．计算机技术与发展，2011（7）：172－173

4 王超．IT集约云化架构与演进探讨．电信技术，2016,(3)：87－90

5 刘智,吴刚．一种面向PDM系统基于权限位的访问控制方法．计算机工程与科学，2013,(1)：73－76

6 靳丹,张小东,刘少博．电力企业统一权限管理系统的研究与应用．电力信息与通信技术，2013,(10)：98－100

7 赵静,杨蕊,姜滦生．基于数据对象的RBAC权限访问控制模型．计算机工程与设计，2010,(15)：3353－3355

10.3969/j.issn.1006-6403.2016.11.006

（2016-10-10）