基于ＰＬＭ访问控制模型研究.docVIP

　　基于ＰＬＭ访问控制模型研究 .L.编辑。 　　摘要：产品全生命周期管理系统PLM是以软件为基础，管理与产品相关的信息和所有与产品相关的过程的技术。因此，一个具有支持可定制的、开放的、易扩展的访问控制模型是实现 企业 信息化的首要任务。通过对目前常用的基于PLM访问控制模型进行了简要的分析和评价。 　　关键词：产品全生命周期管理；访问控制模型；多元化 　　 　　1引言 　　 　　PLM(ProductLifecycleManagement)是一项面向产品创新的知识管理和流程优化的理念，它也是通过信息技术、 网络 技术来实现的一种企业级的集成任务系统。PLM系统的安全是靠认证、访问控制、审计、加密等多种技术共同协作来保证的。访问控制技术处于系统安全的中心环节，保证了数据的保密性、完整性和可用性。在企业信息化程度越来越高的今天，PLM系统中的访问控制技术发挥了越来越重要的作用。访问控制技术和授权模型在很大程度上影响着PLM系统的可用性、易用性和安全性。 　　为了能够保证企业拥有的信息资源安全、有效，信息系统除了需要有能力分辨用户的身份是否合法外，还需要能够判断该用户是否有权使用或更改某一项数据信息。这是信息安全的主要功能之一，称为访问控制(AccessControl)。若从企业管理的角度来讲，这种功能就是权限管理(AuthorizationControl)，即判断对信息资源的执行权限是否已经经过适当的授权。访问控制管理中采用的访问控制模型一般有：自主性访问控制(DAC，即DiscretionaryAccessControl)、强制型访问控制(MAC，即MandatoryAccessControl)以及基于角色访问控制(RBAC，即RoleBasedAccessControl)，而后者已经成为前面两个模型的最佳替代者。在RBAC中，权限与角色相联系，用户作为合适角色的成员而获得权限，极大地简化了用户和权限的管理。大多数PLM系统的授权模型往往是上述几种访问控制模型的综合。 　　 　　2PLM系统访问控制模型的比较 　　 　　访问控制是在 计算 机系统所属的信息资源遭受未经授权的操作威胁时，能够采用适当的管制和防护措施来保护资源安全性和正确性。访问控制的实质是通过安全访问规则限制访问主体(用户、进程以及服务等)对客体(程序、文件等)的访问权限，从而使计算机系统在合法范围内使用。只有经过授权的用户向系统正确提交并验证了自己的身份后，才被允许访问特定的系统资源。PLM的访问控制模型有essageAccessRules、通知规则(NotificationRules)、数据定位规则(LocationSelectionRules)。TeamcenterEnterprise中提出了动态用户的概念，一个用户，只有在满足某种属性条件的前提下，才可以具有某些权限。 　　 　　2.3TeamcenterEngineering 　　TeamcenterEngineering通过两种方式控制用户对数据文档的访问：面向对象的访问控制方式、以规则为基础对数据对象实行分类访问控制。其中规则方式是一种粗线条的管理方式，在规则控制的访问(Rule_BasedAccess)控制中，可根据数据对象当前的状态、类型、所属用户或组三个属性统一确定可存取该数据的人员范围。TeamcenterEngineering中同样采用了基于角色的访问控制，一个用必须以某种角色登陆，才能获取相应的权限。TeamcenterEngineering通过存取规则定义表，初始化权限模型，比较容易阅读。 　　3PLM访问控制模型需求的多元化及其评价 　　 　　3.1模型需求的多元化 　　虽然目前对PLM系统的访问控制模型的研究和应用有了很大的进展，但是这些模型并不能完全支持客户在实际使用中提出的各种权限需求。这些需求主要表现在主体的多元化：权限不仅需要定义到用户和角色上，而且必须支持权限定义在其它类型的主体上。比如，用户可以通过分组形成静态组织，也可以通过动态分组形成项目组，有时需要把权限定义到这些静态组织和项目组上；权限的多元化：权限根据不同的客体应用，可以分为对象类权限、对象权限、属性权限、部件权限、管理权限、二次分配权限、代理权限等。普通的基于类的授权，已经不能满足实际的应用需求，必须建立对类的实例化对象以及对象属性的权限控制。另外，相对于用户和类来说，实例化对象的数量非常庞大，如何保证访问验证的效率是授权模型在实现过程中最大的难题；对象在生命周期中的权限变化：同一个用户，对同一个对象，在该对象的不同生命周期，有着不同的权限。如设计员在图纸对象的设计阶段有修改的权限，在该图纸被发布之后，该设计员就只有浏览和读的权限了。这就要求把权限定义到对象的生命周期上；