面向业务流程驱动的细粒度权限控制系统设计与实现

摘要

随着人力资源与社会保障领域信息化的不断发展，养老医疗、劳动关系、就业创业、人事人才等业务系统已经实现了业务流程驱动。引入业务流程后的人社领域各系统，多个组织机构的用户协同参与一项业务的办理，不仅要限制参与办理的系统用户拥有的功能操作权限，还要对功能操作可以访问的数据资源范围做出更进一步的限制。人社领域领域业务复杂，大量涉及资金的征缴与发放，有着类似于金融行业的特点，因此，必须对业务系统功能操作可以被分配的用户范围，做出符合实际业务情况的严格限制，才能保证功能权限被分配到正确合法的用户，以防止误操作和业务的越权办理。
　　面向业务流程驱动的细粒度权限控制系统，主要负责针对流程驱动的人社领域各业务系统实现细粒度的权限控制。在业务流程驱动的背景下，结合组织目录，提出业务岗位模型，该模型在TRBAC模型的基础上，引入隶属机构，限制当前业务岗位对应的功能操作，只能分配给隶属机构下的用户。引入虚拟的业务机构，限制当前任务对应的功能，只能操作属于当前业务机构的数据资源。借助组织机构，对流程驱动的业务系统的功能操作可以访问的数据资源范围和可以分配的用户范围，实现更细粒度的控制，是本系统解决的核心问题。
　　本论文首先对业务流程和访问控制的研究现状进行了分析，并指出了系统解决的关键问题及创新点。需求分析阶段，通过综合分析业务流程驱动的人社领域各系统的组织目录管理和权限控制需求，给出部分用例图和用例描述。结合需求分析和相似系统的经验，本文论述了系统的设计和实现过程。总体设计中，对本系统组织机构类型、业务岗位模型、数据库概念模型、技术架构进行了设计，给出了技术架构图、E-R图、组织机构类型图。详细设计阶段，给出系统关键模块的类图，还对数据库表结构和关键界面原型，进行了细致的设计。系统实现与测试部分，对系统实现采用的Activiti、BPMN、工单账务等关键技术做了详细说明，并描述了关键模块的实现，还从功能、性能和浏览器兼容性方面给出了本系统的测试结果。最后，对全文做出了总结，展望了本系统的研发前景。

目录

声明

摘要

1．1 研究背景与意义

1．2 业务流程研究现状

1．2．1 起源与发展

1．2．2 定义与建模

1．3 访问控制研究现状

1．3．1 访问控制策略概述

1．3．2 基于角色的访问控制(RBAC)

1．3．3 基于角色和任务的访问控制模型(TRBAC)

1．4 系统解决的关键问题及创新点

1．4．1 提出业务岗位模型实现细粒度权限控制

1．4．2 细粒度权限控制系统的使用优化

1．5 论文组织结构

第2章 系统需求分析

2．1 系统概述

2．2 系统功能性需求

2．2．1 需求描述

2．2．2 详细分析

2．3 用例分析

2．3．1 主界面

2．3．2 人员管理

2．3．3 组织机构管理

2．3．4 权限管理

2．3．5 岗位管理

2．3．6 综合管理

2．3．7 查询统计

2．4 系统目标

2．5 系统非功能性需求

第3章 系统总体设计

3．1 系统技术架构设计

3．2 组织目录结构

3．2．1 机构类型设计图

3．2．2 机构类型性质划分

3．3 业务岗位模型

3．3．1 模型设计

3．3．2 岗位分类

3．4 数据库概念设计

3．4．1 组织机构人员部分

3．4．2 业务岗位部分

3．4．3 机构类型与角色类型部分

第4章 系统详细设计

4．1．类图设计

4．2 数据库表设计

4．3 关键界面设计

5．1 系统实现概述

5．2 系统关键技术

5．2．1 Activiti

5．2．2 工单与账务

5．2．3 BPMN

5．3 关键模块实现

5．3．1 业务岗位定义

5．3．2 业务岗位人员调整

5．3．3 委托同事临时代岗

5．3．4 岗位模板定义

5．3．5 参照分配

5．3．6 流程任务互斥

5．4 系统测试

5．4．1 功能测试

5．4．2 性能测试

5．4．3 浏览器兼容性测试

6．1 全文总结

6．2 系统展望

参考文献

致谢