PDM系統(tǒng)的權限管理研究與實現(xiàn)

1、PDM系統(tǒng)的權限管理研究與實現(xiàn)摘要：指出產品數據管理(PDM)系統(tǒng)的權限管理不僅要面向用戶，而且要面向流程扣面向數據對象(即實體)。分析了PDM系統(tǒng)中權限管理的基本要求和權限的動態(tài)特性，把PDM系統(tǒng)的權限歸納為狀態(tài)一實體性權限、實體性權限、功能性權限。綜合運用這3種權限，可以進行多層次的動態(tài)的管理。建立了相應的PDM權限管理模型，提出了相應的數據結構與算法。權限管理是計算機應用系統(tǒng)的重要組成部分，隨著網絡應用系統(tǒng)的規(guī)模不斷擴大及其功能迅速增強，權限管理的要求和技術難度越來越高。權限管理的根本目的和要求在于合理地解決數據共享和數據安全的矛盾，并使得權限分配盡可能簡捷，用戶使用盡可能方便、高效。圍

2、繞這一問題已經展開了許多理論研究，如自主訪問控制(DAC)、強制訪問控制(MAC)和基于角色的訪問控制(RBAC)等。它們都基于訪問控制矩陣模型ACM(Access Control Matrix)，其基本思想是將所有的訪問控制信息存儲在一個矩陣中集中管理，矩陣的行表示系統(tǒng)中的權限主體，列表示系統(tǒng)中的權限對象，中間每個元素為權限主體對權限對象所擁有的訪問權限。這些理論研究有力地推動了技術進步，但還需要在實踐中進一步研究發(fā)展才能滿足客觀需要。產品數據管理(PDM)在企業(yè)范圍內為產品設計與制造提供一個并行化的協(xié)作環(huán)境，它要管理所有與產品相關的信息和所有與產品相關的過程，必須支持各類技術人員在設計和制

3、造的各個過程中處理各種產品信息。其項目用戶數據之間存在著多對多的關系，數據安全的要求較高；而且在PDM系統(tǒng)中，隨著時間的流逝，任務和過程的變化還要求用戶權限能夠自動地發(fā)生變化。因此，PDM的用戶權限管理系統(tǒng)十分復雜。當前，它是PDM系統(tǒng)開發(fā)與實旌過程中必須大力研究的熱點課題。1PDM系統(tǒng)權限管理的基本問題與特性在PDM系統(tǒng)中的操作有面向實體的操作和面向功能的操作兩類。實體即數據對象，包括PDM系統(tǒng)中的簡單數據項及復雜對象(如圖文檔文件等)。實體的基本操作有；讀、寫、改、刪除、復制。面向實體的操作針對某條或某幾條具體數據，但同一用戶對位于同一實體列表中的不同實體的操作，其操作權限可以不同。面向功

4、能的操作則以打開某些用戶操作界面或運行系統(tǒng)的某些功能模塊為目的，雖然也可以操作數據，但同一用戶對位于同一實體列表中的不同實體的操作，其權限不可以不同。因此，PDM系統(tǒng)的權限控制總體上可劃分為面向功能的控制和面向實體的控制兩類。在產品的整個生命周期，產品數據經過不同的設計階段，由相關的設計人員承擔不同的設計任務。為了避免數據失密和誤操作，應當盡量減少用戶權限，在用戶權限分配過程中要遵循最小特權原則(theLeast Privilege Principle)，即給每個用戶分配足夠且僅僅是足夠的操作權限集，設計人員在接受設計任務前、設計過程中、完成設計工作后，對數據的操作要求不同，所以設計入員在不同

5、階段的操作權限集必須不同。而且權限的這種變化應當能夠在各設計階段的轉換時及時地自動完成，這就是權限管理的動態(tài)特性要求。綜合以上分析，作者把PDM系統(tǒng)中權限問題，歸納為3類：功能性權限、實體性權限、狀態(tài)一實體性權限，并以這種分類為基礎，進一步研究PDM權限管理的模型和實現(xiàn)算法。在PDM系統(tǒng)中，若某項操作的許可與否僅依賴于用戶，即：Enabled=f(用戶，操作)，其值為TRUE或FALSE，則為功能性權限。功能性權限的控制通常以菜單欄或菜單項的灰或亮實現(xiàn)。它常用于用戶用戶組(如設計人員與企管人員)的基本工作劃分與訪問控制，實現(xiàn)權限的初級控制。功能性權限具有層次關系，子節(jié)點權限是父節(jié)點權限的延伸，

6、授權時，如果選中某一個子節(jié)點權限，應當自動獲得該子節(jié)點的父節(jié)點權限，相反，如果將某一個節(jié)點權限從選中狀態(tài)變?yōu)榉沁x中狀態(tài)，則該節(jié)點權限下面的所有子節(jié)點權限都不應該選中。在PDM系統(tǒng)中，若面向實體的某項操作的許可與否同時依賴于用戶與實體，即：Enabled=f(用戶，實體，操作)，則為實體性權限。實體性權限通常表現(xiàn)為同一用戶對同一操作界面上不同實體進行實體操作的權限不同。如圖庫管理中，同一技術人員對不同項目的圖文檔有不同的操作權限，其權限主體為用戶或用戶組，權限對象是圖文檔列表。產品設計流程通常經過設計、校對、標審、工藝審查、批準、發(fā)布等階段，如圖1所示。實體處于流程的某一階段，稱為實體的狀態(tài)。如

7、果針對某實體的某種操作的許可與否，不僅與用戶及實體有關，而且與該實體當時的狀態(tài)有關，即：Enabled=f(用戶，實體，狀態(tài)，操作)，則為狀態(tài)一實體性權限。它反應了權限的動態(tài)特性。圖1產品設計流程例如：某圖檔處于設計狀態(tài)時，設計人有權對其進行讀、寫、改、刪、復制等操作：它進入校對狀態(tài)時，原設計人僅能進行讀操作，不能進行寫、改、刪、復制等操作；若校對人將該文檔返回修改設計狀態(tài)，則原設計人僅能進行讀、寫、改、復制等操作，不能進行刪除操作，而校對人僅能進行讀操作。狀態(tài)一實體性權限可以用三維模型的形式加以全面地表達，如圖2所示。其項目軸表示不同項目數據，狀態(tài)軸表示項目經過的設計、校對、標審、工藝審查、

8、修改設計、批準、發(fā)布等狀態(tài)，用戶軸表示項目中的設計員、校對員、標審員、工藝審查員、批準人等角色。項目世中的用戶所具有的權限值以<操作權限列表>表示，它位于平面：項目=項目世，決定于項目K所處的狀態(tài)及該用戶所承擔的角色。如圖2所示，項目K中的設計員在項目處于“設計”狀態(tài)時具有<讀、寫、改、刪、復制>等操作權限，當項目處于“修改設計”狀態(tài)時具有<讀、寫、改、復制>等操作權限，當項目處于其他狀態(tài)時具有<讀>操作權限；項目K的校對員在項目處于“設計”狀態(tài)時沒有權限，當項目處于“校對”狀態(tài)時具有<讀、寫>等操作權限，當項目處于其他狀態(tài)時具有&l

9、t;讀>操作權限。圖2狀態(tài)一實體性權限同樣，標審員或工藝審查員在項目進行到標審或工藝審查狀態(tài)時具有<讀、寫>等操作權限，之后僅具有<讀>操作權限；批準人在審批時具有<讀、寫>等操作權限。項目發(fā)布后以上人員均只有<讀>操作權限。2PDM系統(tǒng)權限管理模型的基本要素分析權限管理模型的基本要素包含權限主體、權限對象、角色和權限及相互間的關系。21人員組織的結構及功能性權限的分配權限管理模型的權限主體是用戶及其組織形式。目前企業(yè)中人員組織的形式主要有靜態(tài)組織型、動態(tài)組織型和混合型3種。靜態(tài)組織是一種人員相對固定的組織，如設計科、質管科、工藝科等，組內

10、的人員通常完成同一性質的工作。動態(tài)組織形式通常為根據某一項目開發(fā)任務臨時組織人員形成的項目組，在一個項目組中通常包括設計、工藝、標準化等多種工作性質不同的成員，項目組隨著項目開發(fā)任務的完成而解體?；旌闲徒M織形式是將前兩者結合起來，即一方面每個人都屬于特定的部門或專業(yè)組，由部門或專業(yè)組的負責人對其進行管理，另一方面同一部門或專業(yè)組的不同個人又參與不同的項目，在項目的進行過程中，對該項目的負責人負責。目前大多數的企業(yè)都采用混合型組織形式。作者還采用了用戶組的概念，以用戶組對應用戶的靜態(tài)組織部門，并為每個用戶組分配相應的某些功能性權限：用戶和用戶組有繼承關系，用戶繼承用戶組的權限，從而簡化了逐個用戶

11、的授權操作，如圖3所示。圖3人員組織結構與功能性權限分配22PDM數據的存儲模式與項目狀態(tài)PDM系統(tǒng)要處理多個項目的各種不同類型的數據(如圖紙、文檔、產品結構等)。它們是權限管理模型的基本權限對象，通常以文件形式存儲在PDM網絡服務器的3個區(qū)域：個人工作區(qū)、共享數據區(qū)、歸檔數據區(qū)。而項目的設計過程通常要經過設計、校對、標審、工藝審查、批準、發(fā)布等階段，項目處于流程的某一階段，稱為項目狀態(tài)。項目中的數據的存儲位置與項目狀態(tài)相關聯(lián)。個人工作區(qū)中的數據為用戶個人所有，通常是正在設計或編制中的對象，用戶對自己個人工作區(qū)中的對象具有全部的權限；共享數據區(qū)中的數據通常是處于流程中的多個項目的數據，而且一般

12、具有不同的狀態(tài)；歸檔數據區(qū)中則是經過批準后正式發(fā)布的數據。共享數據區(qū)、歸檔數據區(qū)內的數據都可以多用戶共享，它們的具體存儲路徑對用戶透明。要求權限管理系統(tǒng)能夠根據系統(tǒng)的安全政策，判別不同項目、不同狀態(tài)，給各個用戶提供相應的操作權限。23角色與權限采用角色的概念可以簡化用戶權限分配工作。所謂角色就是在項目中各成員所承擔的工作崗位。如項目組中的設計員、工藝員、標審員等。角色應具有其業(yè)務工作中所需要的全部能力和權限，由于在項目中擔任不同角色的用戶承擔不同工作因而權限可能不同。因此，每個角色對應著一個權限集合。在本課題中，每個項目必須有一個項目負責人，他負責從用戶的靜態(tài)組織中抽調成員，并逐一分配角色，使

13、之獲得相應權限。即通過項目的角色分配結合系統(tǒng)預先設定的各角色的權限完成用戶的實缽性權限和狀態(tài)一實體性權限分配。因此：用戶的權限=用戶所在用戶組的權限。用戶在該項目中擔任的角色的權限。用戶所屬用戶組往往相對固定，但用戶在不同項目中，可能擔任不同角色，且如上所述，項目組中各角色的權限隨項目狀態(tài)變化而變化。用二維表可以表示權限管理模型，表1為一個權限管理模型示例。3技術實現(xiàn)本項目將用戶ID、姓名、口令、所屬用戶組等用戶基本信息保存在用戶一組表(表2)中，而組一組權限表(表3)以組ID做為主鍵并記錄了該組的組權限。如上所述，組權限包含該組用戶應擁有的各功能性權限，并對應于系統(tǒng)主菜單中的相應菜單欄。因此

14、，用戶一組表和組一組權限表限定了各用戶所能運行的功能模塊。當用戶登陸時，輸入用戶ID和口令，系統(tǒng)判別是否為合法用戶及其所在用戶組，然后根據組ID查詢組一組權限表，最后按照查詢得到的組權限決定系統(tǒng)主菜欄上的相應菜單項灰或亮，從而規(guī)定了該用戶所能運行的功能模塊。狀態(tài)-實體性權限的控制主要使用項目-角色-成員表(表4)、項目-狀態(tài)表(表5)、角色-狀態(tài)-實體權限表(表6)。當新項目創(chuàng)建時，在項目一狀態(tài)表中添加一條記錄，記錄項目名稱和項目ID(項目ID為主鍵)，并由項目負責人指派項目組成員、分配角色，填入項目-角色-成員表。角色-狀態(tài)-實體權限表規(guī)定了每一角色對處于各種狀態(tài)下的項目實體所擁有的實體操作

15、權限。當某用戶要求進行實體操作時，系統(tǒng)根據該項目的狀態(tài)和該用戶在該項目中的角色，查詢角色-狀態(tài)-實體權限表確定該用戶對該項目實體的操作權限(圖5)。主要表結構見表2表6，角色的分配與權限控制流程見圖4和圖5。隨著項目的進展，項目一狀態(tài)表中的狀態(tài)值發(fā)生變化，根據角色一狀態(tài)一實體權限表，用戶的權限發(fā)生改變：另一方面，同一用戶在不同項目中擔任不同角色，操作不同項目的實體時其權限也會自動發(fā)生變化。從而實現(xiàn)了權限管理的動態(tài)特性要求。用戶對PDM系統(tǒng)圖文檔庫中的訪問按照實體性權限的原則控制。通過查詢角色一項目一成員表，當用戶為原項目組成員，該用戶直接具有該項目的訪問權限；否則，訪問必須經過有關人員批準。圖4項日創(chuàng)建一完成設計過程4小結作者分析了PDM系統(tǒng)權限管理的基本問題與特性，通過實體性權限和狀態(tài)一實體性權限的采用，系統(tǒng)能夠根據項目或項目狀態(tài)的不同而自動變換權限，不僅使數據管理更加安全和靈活，而且滿足了權限管理的動態(tài)特性要求。將PDM系統(tǒng)中的操作分為面向功能的操作和面向實體的操作兩類，面向功能的操作權限是面向實體的操作權限的基礎，具有面向功能的操作權限是進行面向實體的操作的前提，而面向實體的操作權限是面向功能