汽车模具企业PDM实施中的访问权限管理

作为汽车制造业重要的工艺装备，汽车模具企业往往只具有某些方面的优势，因此企业必须通过互相协作来共同快速生产出符合客户需求的产品，组建虚拟企业是整合行业资源、发挥企业核心竞争力的有效途径，目前我国很多大的模具企业已经建立起了有效的协作网络。随着制造业信息化的不断深入，对联盟企业中大量信息有多种访问需求的用户具有不同程度的信息敏感度，如何在PDM(Product Data Management，产品数据管理)系统实施中，为模具网络化制造过程参与者分配足够的权限，并对虚拟企业资源进行访问控制，从而限制非法访问，支持合理的数据共享，成为网络化环境下模具企业产品开发中迫切需要解决的一个问题。

一、基于角色的访问控制(RBAC)

1 角色划分

在基于角色访问控制(Role BasedAccess Control，RBAC)的方法中引入角色这个中介，系统管理人员根据需要定义各种角色，并设置合适的访问权限，用户根据任务、责任和能力再被指派为不同的角色，从而实现用户与访问权限的逻辑分离。

在RBAC中，角色划分对于基于角色的安全访问控制机制非常重要，划分合理可以大大简化访问控制授权管理的工作量。用户被赋予某种角色，总要执行系统中一定的任务，因此角色划分应该依据汽车模具开发过程中具体的任务需求来设定，而任务划分实际上对应了开发项目的任务分解。汽车模具的开发都具有固定的工作流程，而企业中各个部门的岗位设置是和该工作流程相对应的。显然，汽车模具在网络化制造联盟中进行开发，只是参与范围发生了变化，汽车模具开发的工艺过程并没有发生变化，因此对应的参与角色并未发生变化。如，设计部门的业务流程一般为：设计→审核→校对→批准这几个活动，因此，在设计部门内部可以依据这些活动设置所需角色。

基于RBAC的分层概念，通过角色分层把角色组织起来，能够很自然地反映组织内部用户之间的职责和权限关系。基于此，网络化产品开发中角色设置问题的关键是：设置各个成员的企业角色，一旦顶层角色完成了合理分配，则获得设计、制造和供应商等角色的企业即可分别在其企业内部进行分层角色分配，而企业内部的角色分配则可沿用现有企业应用信息系统角色分配的方法。基于上述分析，按照部门对角色进行划分，如表1所示。

表1 汽车模具开发角色划分表

2 权限分配

一个角色可以有很多个权限，而一个权限也可以重复配置于多个角色，向角色分配怎样的权限，由角色要完成的任务决定。只有角色具有相应的权限后，用户委派才能具有实际意义。因而权限必须是具体的、可控制的。

OP(操作集) 指对对象的读、写和删除等操作，可表示为：OP::= ，如表2所示。

表2 操作集定义

OBJ(客体集)，客体既包括计算机系统的数据客体，也包括由数据所表示的资源客体。

则权限可以表示为：，表示主体对系统中一个或多个客体以特定方式进行访问的许可。系统中拥有权限的角色可以执行相应的操作，一个权限规则可表示如下：

::=<权限标识，客体，操作集>，意为允许某些用户对某些数据进行某个操作。其中，控制客体集合可以是单一数据对象或业务对象、某一数据类型或所有数据。

在汽车模具开发项目进展的过程中会产生大量的项目文档，如任务文档和设计图纸等，文档是项目信息交流的重要内容，是任务之间的协作基础，同时还存在描述汽车零部件、模具及其零部件等节点的属性信息，所以这里的权限既可以指访问整个产品开发中的各种文档的权限，也可以指对一个特定的记录项中特定字段的访问，即对于每一个能在PDM系统中独立存储和管理的客体对象，都可以设置访问权限。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友