CRM系统：CRM 中基于RBAC 的改进模型的研究与设计

CRM 中基于RBAC 的改进模型的研究与设计李志华 (江南大学信息工程学院，江苏无锡214122) 摘要：角色访问控制(role-based access control，RBAC) 技术在信息安全领域日渐成熟，但在处理角色的势约束问题方面还有待进一步研究。为了解决这一问题，在此，提出了一种树状细粒度RBAC 模型(treelike and little granularity-oriented RBAC，tg- RBAC)，该模型是从RBAC 模型演化而来的。并进一步给出了基于J2EE 架构的该模型的实现模型，对解决企业中普遍存在的垂直领导时角色具有势约束问题进行了研究。并在某集团客户关系管理系统(XJ_CRM)中进行了具体的实践。关键词：J2EE 架构; 角色访问; 客户关系管理; 树状细粒度RBAC; 势约束; 垂直领导中图法分类号：TP302.2 文献标识码：A 文章编号：1000-7024 (2007) 05-1045-03 Research and design about access control model in CRM based on RBAC LI Zhi-hua (School of Information and Engineering, Southern Yangtze University, Wuxi 214122, China) Abstract： Role-based access control provides flexibility to security management over the traditional approach, an important concept "role" is presented, but RBAC is awkward when deal with the potential restriction role. A treelike and little granularity-oriented RBAC, i.e, tg-RBAC, is presented to study this item, tg-RBAC is evolved from the RBAC, and a J2EE-based organized and realized model is given, too. With their help, a series of studies about the cardinality constraint solution of role in upright leading of enterprise's management are taken. Tg-RBAC is realized in system XJ_CRM of a company. Practice is proved that the model "Tg-RBAC" is effective in potential restriction of role. Key words：J2EE; role-based access; customer relationship management; treelike and little granularity-oriented RBAC; potential restriction; upright leading 引言企业的发展需要把营销重点从客户需求进一步转移到客户保持上[1]。客户关系管理(customer relationship management， CRM)作为一种新的管理模式、企业营销理念和信息技术前沿产品，其内涵是企业利用IT 技术和互联网技术实现对客户的整合营销，是以客户为核心的企业营销的技术实现和管理实现[1]。企业对不同的客户有不同的管理措施，对敏感程度不同的客户往往由企业不同管理层的管理人员来维系客房保持，相应的CRM 中的客户信息的访问也受不同的用户所拥有的权限所限制。这种具有势约束特征的管理模式，在CRM 中普遍存在。本文提出了一种树状细粒度RBAC 模型(treelike and little granularity-oriented RBAC，tg-RBAC)，并详细讨论了它在 CRM 中的授权访问实现问题。 1 RBAC 访问控制模型 20 世纪90 年代出现的基于角色的访问控制模型技术 (role-based access control，RBAC)[2,3]，较以往的自主型访问控制 (discretionary access control，DAC) 和强制型访问控制(mandatory access control，MAC)模型相比，具有更强的灵活性和广泛的适用性。它主要引入了角色这一概念，角色的实质是一个或一群用户在组织内可执行的操作的集合[2,3]。在RBAC 内，角色为访问控制的主体，角色决定了用户对资源所拥有的权限以及可以执行的操作，其中访问控制策略在RBAC 中主要体现为用户/角色、角色/权限和角色/角色之间的关系[3]；另外， RBAC 中引入“角色继承”的机制，即父角色继承其子角色的所有的属性和权限[2,3,5]。RBAC 具有如下特点：授权管理灵活；授权管理机制更加接近实际、更加社会化；用户、角色和权限是多对多的关系；系统的操作用户与数据对象没有直接的联系。2 树状细粒度角色模型及其实现模型从总经理、部门经理到职员，企业的内部管理是树状组织结构。它的数据结构是一棵树。在这棵层次树中，管理人员有明显的等级。这在管理实际中体现为下级服从上级，这棵管理树的每一棵子树都对应企业的某一项完整的子业务。并且，某些业务在具体实施过程中，有垂直指派的特征，如，有单个员工直接对指派领导负责，处理和保持特殊的客户关系等，处理的这些业务都是敏感任务。在现代企业管理中，实施敏感任务者都是特殊的角色，需要垂直管理，这种垂直管理、水平服务的经营模式在现代企业管理中非常普遍，文献[4]和文献[5]把这种基于RBAC 的管理模式，称为势约束。势约束特别在现代企业营销管理中非常普遍。这为管理信息系统中信息安全的访问控制带来了新的研究课题。 2.1 具有势约束的树状细粒度角色模型的建立在现代企业营销的客户关系管理中，这种需要势约束的角色去处理的业务比较多。文献[4,6,9] 对这种情况进行了研究，文献[6]虽然细化了角色的粒度，但角色的粒度是根据组织功能来划分的。没有体现企业组织结构中的层次特征和敏感信息的垂直管理特征。本文在此基础上提出了一种具有势约束的树状细粒度角色模型，其角色的描述示意图，如图2 所示[3]。这一模型同RBAC96 模型一样，角色具有层次性，且父角色继承子角色的全部特征，但是，“垂直角色”父角色另外还有对子角色的权限指派功能，可以把父角色才有的特权直接指派给从属于子角色的用户。系统中设计了图2 中的3 种角色，其中，组织角色是从企业的组织结构中映射而来的，是根据组织的职能划分的；等级角色是从企业的组织结构中不同职级的划分而来的；垂直角色是具有势约束特征的角色，主要用于敏感信息和企业对外的敏感事务的权限分配。在这3 种角色类中，组织角色和等级角色是兄弟，且若需要，分别还可派生下一层子角色。垂直角色继承等级角色和组织角色的全部特征，即垂直角色是其它角色的父角色。角色具有明显的树状特征。 2.2 树状细粒度RBAC 模型中各实体的关系从上面可知，XJ_CRM 系统中涉及3 种细粒度的树状角色，用户具有职位和职务之分，某些职位的用户和某些职务的用户都有可能存在敏感任务和敏感信息的访问需求。系统中各实体间的关系示意图[10]，如图3 所示，垂直角色既能继承其子角色的权限，通过访问控制表，又具有把自身的特权指派给子角色用户的功能，图中虚线表示逻辑上的指派关系。 2.3 一种实用的基于Web 的tg-RBAC 实现模型本文给出一种基于Web 的tg-RBAC 概念模型。通过本文的实践，这一模型能很好地实现具有树状特征的角色访问，即支持RBAC 的势约束特征。模型如图4 所示。实际上，在此模型中，在传统的Web 应用基础上，新增了一个tg-RBAC管理系统。tg-RBAC 系统是在三层架构的中间层中应用组件技术强力推荐： 天柏客户关系管理系统 天柏客户关系管理系统（CRM）是一款集专业性、实用性、易用性为一体的纯B/S架构的CRM系统，它基于以客户为中心的协同管理思想和营销理念，围绕客户生命周期的整个过程，针对不同价值的客户实施以客户满意为目标的营销策略，通过企业级协同，有效的“发现、保持和留住客户”，从而达到留住客户、提高销售，实现企业利润最大化的目的。通过对客户进行7P的深入分析，即客户概况分析(Profiling)、客户忠诚度分析(Persistency)、客户利润分析(Profitability)、客户性能分析(Performance)、客户未来分析(Prospecting)、客户产品分析(Product)、客户促销分析(Promotion)以及改善与管理企业销售、营销、客户服务和支持等与客户关系有关的业务流程并提高各个环节的自动化程度，从而帮助企业达到缩短销售周期、降低销售成本、扩大销售量、增加收入与盈利、抢占更多市场份额、寻求新的市场机会和销售渠道，最终从根本上提升企业的核心竞争力，使得企业在当前激烈的竞争环境中立于不败之地。关键词：CRM,CRM系统,CRM软件,客户关系管理,客户管理软件,客户管理系统,客户关系管理软件,客户关系管理系统