0 引言
產品資料管理pdm ( product data manage-rnent)是20世紀80年代後期發展起來的一項新的管理思想和it技術。它是以產品為中心,通過計算機網路和資料庫技術,把企業生產過程中所有與產品相關的資訊和與產品相關過程以及相關資源進行整合化管理的技術,它支援並行設計、網路製造、敏捷製造和協同設計等多種先進製造技術。這就對pdm系統在許可權管理方面提出了很高的要求,正確有效的許可權管理是構建pdm系統的基礎。
pdm許可權管理有其自身的特點:
a.pdm是乙個與產品相關的資料整合平台,需要管理的實體物件種類繁多,實體物件間的組織結構複雜,每種實體物件涉及的許可權操作各不相同。
b.pdm需要管理與產品相關的所有過程,很多實體物件是有狀態的,同一實體狀態的變化,使用者訪問該物件的許可權也是動態變化的。
c.pdm是乙個企業級的協作平台,涉及到的使用者數量龐大,如何高效、方便地管理使用者對實體物件的許可權,是保證資料安全性、準確性、完整性和一致性的重要因素。
在許可權管理方面,許多學者做了一些相關研究並提出了一些理論,如自主訪問控制(dac)、強制訪問控制(mac)和基於角色的訪問控制(rbac)。在實施pdm系統中發現,這些理論不足以滿足pdm許可權管理的特點,本文採用物件導向的思想,分析了pdm系統中需要進行許可權控制的物件,提出了一種許可權管理模型。
1 pdm許可權管理模型涉及到的物件及基本概念
pdm系統平台是乙個資料整合的環境,這些資料的產生可以從cad,cae和capp等其它軟體中產生,通過整合工具整合到pdm系統中來,也可以在pdm系統中產生資料,如在pdm系統中新建乙個專案或任務、新增一種文件型別和定義一種流程模板等。pdm系統需要通過許可權控制,對這些資料物件進行有效管理。
1.1 功能性許可權
從pdm系統功能方面進行分析,它由許多功能模組組成,如文件管理模組、零部件管理模組和專案管理模組等,每乙個功能模組都對應實現企業的某些管理職能。由於使用者在企業中的崗位職責不同,使用者必然對pdm系統中不同的功能模組有不同的適用許可權。因此,對於不同的登陸使用者,進入系統之後,pdm系統呈現出來的功能模組應該不盡相同。
對於使用者具有的關於功能模組入口和介面上的功能操作方面的許可權,稱之為功能性許可權。由於功能模組呈現層次性,功能性許可權也相應地具有一定的層次性。引入功能性許可權這個概念,根據功能性許可權的不同,可以將pdm使用者定義成不同的角色。
1.2 實體性許可權
從pdm系統內部資料型別來分析,它需要管理很多種實體物件,包括資料夾、文件、文件版本、文件型別、專案、任務、零部件、零部件版本、零部件型別和產品等,使用者對於上述具體實體物件的操作許可權稱為實體性許可權。實體性許可權與功能性許可權是有區別的,實體性許可權是針對具體的實體物件,如使用者對某個文件的許可權,使用者對某個專案的許可權,而功能性許可權是針對使用者的操作級別來說的,如系統管理員進入系統的可操作範圍應該明顯多於普通使用者。但二者也是有聯絡的,如使用者對某個具體的文件有讀取許可權,是實體性許可權,而使用者對所有的文件有讀取許可權,則可認為是功能性許可權。
在pdm系統中,實體間的組織有一種層次關係,這種層次是實體許可權傳播的載體,下文將詳細闡述。同一物件的實體許可權之間,有一種包含關係,文件版本的輸出許可權包含瀏覽許可權,修改許可權包含輸出和瀏覽2種許可權。這種許可權包含關係在授予使用者實體性許可權和撤消使用者實體性許可權時,起著重要的作用。
包含關係滿足這樣乙個規則,授予時自動向下擴散,撤消時自動向上擴散。例如:已知輸出許可權包含瀏覽許可權,當使用者被授予輸出許可權時,同時獲得了瀏覽許可權;當撤消瀏覽許可權時,使用者的輸出許可權(如果有)也會被撤消。
1.3 過程中許可權
由於pdm系統是乙個企業協同工作平台,很多實體物件需要使用者間的協同工作才能完成,協同工作可以通過專案組織的方式,按照一定的工作流程來實現。在這個過程中,使用者對實體物件的訪問許可權是動態變化的,這種與過程密切相關的許可權,稱之為過程中許可權。過程中許可權是實體性許可權的子集,它體現了使用者對實體物件許可權的動態性。
實體物件處於不同的生命週期狀態、不同的流程節點和任務過程中都會涉及到過程中許可權。
2 構建pdm許可權管理模型
通過對pdm軟體系統許可權管理涉及到的物件進行分析,pdm許可權管理模型由2大部分組成:功能性許可權和實體性許可權。功能性許可權採用基於角色的訪問控制理論。
角色是指具有同一類操作許可權的使用者集合,pdm系統根據不同角色應該呈現乙個不同的功能檢視,這就需要功能性許可權來控制。將pdm系統中功能性許可權,依據角色設定成一種層次關係,對於乙個功能模組,可以設定乙個入口許可權,如對於使用者管理功能模組,設定乙個入口許可權為使用者管理檢視,某個使用者如果被授予這個許可權,那麼就可以瀏覽該模組提供的使用者資訊。如果需要進一步的操作,如編輯使用者資訊,還應授予使用者管理模組維護的許可權。
當撤消使用者管理檢視的許可權時,使用者管理維護的許可權自動撤消,當授予使用者管理維護的許可權時,使用者管理檢視的許可權一併授上,這樣只需要在設定功能性許可權時,確定好層次關係,可以有效控制不同角色的功能性許可權。功能性許可權是相對靜止的,而實體性許可權表現出明顯的動態性。實體性許可權的三維模型如圖1所示。
圖1 實體性許可權三維模型
2.1 許可權主體維
基於角色的授權方式不能滿足pdm中控制實體許可權的需要,如工藝設計人員角色對自己編制的文件有刪除許可權,屬於這個角色的其它人員不應該對這乙個文件有刪除許可權。這就需要縮小實體性許可權的控制粒度,特定使用者對特定實體物件的許可權要有所記錄。不同使用者組之間,可能具有相同角色,如果要實現本使用者組的所有人員對一些文件(如本使用者組的一些科研成果或規章制度)有瀏覽許可權,採用基於角色的授權不能滿足要求,對所有使用者逐一授權,效率低下,資料量也大,這就需要對使用者組進行授權,屬於使用者組的人員從使用者組繼承許可權,使用者組如果有層次關係,底層使用者組需要從上級使用者組繼承許可權。
因此,具體使用者、角色和使用者組都有可能成為許可權主體。
2.2 實體物件維
它包括實體許可權的記錄方式和許可權在實體間傳播2方面的內容。
pdm軟體系統中涉及到實體物件數量的異常龐大,為了避免許可權記錄資料量大,訪問資料庫效率低下,根據實體物件的組織關係,提出了一種有效的許可權記錄方式。首先對pdm軟體系統中的實體物件許可權進行分析,考慮到使用者可能會對其操作的級別進行許可權設定,對於操作種模擬較多的實體物件,可以把許可權設定多一些。對於每種實體型別的許可權,在進行許可權管理模組設計時要進行細緻規劃,把所有型別的實體物件進行有序排列,構成乙個由0和1組成的許可權字串。
每一位代表且只代表一種實體的某個許可權,乙個具體許可權在許可權字串中的位數序號保持不變,許可權字串需要體現許可權的包含關係。要判斷某個使用者對某個實體物件有沒有某項許可權,只需判斷許可權字串中的相應位數是否為1即可。如果設計過程需要增加實體型別或增加實體操作許可權,許可權字串的位數可以向後擴充套件,不會影響資料庫中已經記錄的許可權字串的位數。
為實現高效率授權,除了讓系統使用者可以從角色和使用者組繼承許可權外,模型提出了一種許可權在實體間傳播的實現方法。通過分析實體物件的邏輯關係和組織結構關係,授權時動態載入相關許可權。如資料夾下面可能存在任務,要將這個資料夾下的所有任務的管理許可權授予某個角色,可通過對這個任務所在的資料夾授予任務管理許可權,資料夾下面的許可權列表除了載入資料夾的許可權外,還動態載入任務的許可權。
這就實現了許可權通過資料夾傳播到一批任務,減少了授權工作量,同時減少了資料庫中的記錄數。其它實體型別間也有類似關係,如任務和文件版本、資料夾和專案,都可實現實體許可權的傳播。
2.3 時間、過程維
由於pdm系統是一種管理所有與產品資料和過程相關資訊的平台,時間的流逝和過程的變化也會導致許可權的變化。pdm系統中實體過程的變化包括生命週期狀態的變化、協同工作環境下任務狀態的變化、流程中節點的變化。在定義實體物件生命週期時,確定相關角色對實體處於不同狀態的許可權上限,是一種防止由於錯誤授權而導致對實體物件誤操作的良好機制。
對於處於任務過程中的實體物件,任務成員和任務負責人不經過授權,就會具備相應的訪問許可權,這樣,任務成員的動態變化會自動導致任務成員許可權的變化。在定義流程模板時,流程中的各節點指定了一些角色,不同的角色繫結了不同的許可權,隨著實體物件在節點中流動,使用者可以得到相應的動態許可權。
3 pdm許可權管理模型的實現
為了實現上述許可權管理模型,將許可權管理功能模組劃分為4個功能子模組。
a.功能性許可權授權子模組。功能性許可權具有一種層次關係,子節點許可權是父節點許可權的延伸,授權時,如果選中某乙個子節點許可權,會自動選取該子節點的父節點許可權,相反,如果將某乙個節點許可權從選中狀態變為非選中狀態,則該節點許可權下面的所有子節點許可權都不應該選中。
b. 實體性許可權授權子模組。在對資料夾授權時,存在於資料夾中任務的許可權型別會動態載入,授權時實現批量授權和許可權在實體間傳播。
c.使用者功能性許可權計算模組。這是乙個邏輯模組,一方面,用來計算使用者具有的所有的功能模組的人口許可權;另一方面,用來判斷使用者是否具有某項功能性許可權,這些功能性許可權是使用者從所屬的角色中繼承得來的。
d. 使用者實體性許可權計算模組。這也是乙個邏輯模組,用來判斷使用者是否具有某項實體性許可權。如圖2所示。
圖2 實體性許可權計算的優先順序及法則
圖2所示的5種許可權可以分為功能性許可權、過程中許可權和靜態許可權3類。其中靜態許可權是通過授權介面直接授權而獲得的許可權。上述許可權的計算規則可以正確得到使用者對實體處於各個生命週期狀態的許可權,實體狀態的動態變化會自動導致使用者對該實體的許可權的變化。
動態許可權與靜態許可權計算相結合的方法,增加實體對使用者許可權開放的靈活性,同時又可克服直接授權方式的弊端,例如,當某個文件版本剛建立時,授予乙個使用者可以對它進行修改的許可權,但當這個文件版本處於發布狀態時,原來授予的修改許可權通過計算就會不起作用。
4 結束語
按這一模型開發出的許可權管理模組,已在某汽車廠得到實施。結果表明:這種許可權控制模型能方便地控制許可權主體(機構、角色和使用者)對各種實體物件的訪問,特別是當實體物件的狀態和過程比較複雜時,能夠使控制的粒度較細,滿足實際需要。
頂崗實習管理系統的研究與實現
錄到系統中,檢視這些資訊,掌握學校相關的要求和發展動向。2 學生頂崗企業資訊管理子系統 學生在企業頂崗實 習期間,需要將企業的相關資訊反饋回學校。學生將企業的名稱,性質,企業中的指導老師,企業的規模等資訊通過網路儲存到學校的資料庫中,以便對不同專業的學生進行就業資訊的分析,包括就業地域性,就業企業的...
電力需求側管理系統的研究與實現
摘要 電力需求側管理指的是為了在減少用電消耗和實際電力需求的同時,滿足用電功能的各項需求,所採取的一些提公升終端用電效率與優化用電方式構建出一套電力需求側管理系統。電網需求側管理系統通過對收集的原始資料的分析,建立起乙個完整的當地的電力需求資訊,並利用系統來幫助電網企業進行優化,主要包括對電網未來的...
基於工作流的業務流程管理系統的研究與實現
2 基於工作流管理的業務流程管理系統的實現 1 系統架構 業務流程的定義使用c s模式。c s充分利用兩端硬體環境的優勢,將任務合理分配到client端和server端來實現,降低了系統的通訊開銷。在流程定義階段,使用者只需定義組織結構,流程和表單就能夠完成流程的設計。業務流程的執行為b s模式,軟...