資源描述:
《PDM系統(tǒng)的權(quán)限管理研究與實現(xiàn).doc》由會員上傳分享�����,免費在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1����、PDM系統(tǒng)的權(quán)限管理研究與實現(xiàn)摘要:指出產(chǎn)品數(shù)據(jù)管理(PDM)系統(tǒng)的權(quán)限管理不僅要面向用戶,而且要面向流程扣面向數(shù)據(jù)對象(即實體)���。分析了PDM系統(tǒng)中權(quán)限管理的基本要求和權(quán)限的動態(tài)特性��,把PDM系統(tǒng)的權(quán)限歸納為狀態(tài)一實體性權(quán)限���、實體性權(quán)限、功能性權(quán)限�����。綜合運用這3種權(quán)限��,可以進行多層次的動態(tài)的管理。建立了相應的PDM權(quán)限管理模型���,提出了相應的數(shù)據(jù)結(jié)構(gòu)與算法���。權(quán)限管理是計算機應用系統(tǒng)的重要組成部分�����,隨著網(wǎng)絡應用系統(tǒng)的規(guī)模不斷擴大及其功能迅速增強���,權(quán)限管理的要求和技術(shù)難度越來越高����。權(quán)限管理的根本目的和要求在于合理地解決數(shù)據(jù)共享和數(shù)據(jù)安全的矛盾�����,并使得權(quán)限分配盡
2�、可能簡捷,用戶使用盡可能方便�、高效。圍繞這一問題已經(jīng)展開了許多理論研究��,如自主訪問控制(DAC)、強制訪問控制(MAC)和基于角色的訪問控制(RBAC)等����。它們都基于訪問控制矩陣模型ACM(AccessControlMatrix),其基本思想是將所有的訪問控制信息存儲在一個矩陣中集中管理�,矩陣的行表示系統(tǒng)中的權(quán)限主體,列表示系統(tǒng)中的權(quán)限對象��,中間每個元素為權(quán)限主體對權(quán)限對象所擁有的訪問權(quán)限���。這些理論研究有力地推動了技術(shù)進步��,但還需要在實踐中進一步研究發(fā)展才能滿足客觀需要����。產(chǎn)品數(shù)據(jù)管理(PDM)在企業(yè)范圍內(nèi)為產(chǎn)品設計與制造提供一個并行化的協(xié)作環(huán)境�����,它要管理所
3���、有與產(chǎn)品相關(guān)的信息和所有與產(chǎn)品相關(guān)的過程�����,必須支持各類技術(shù)人員在設計和制造的各個過程中處理各種產(chǎn)品信息����。其項目——用戶——數(shù)據(jù)之間存在著多對多的關(guān)系,數(shù)據(jù)安全的要求較高��;而且在PDM系統(tǒng)中���,隨著時間的流逝����,任務和過程的變化還要求用戶權(quán)限能夠自動地發(fā)生變化�。因此��,PDM的用戶權(quán)限管理系統(tǒng)十分復雜���。當前��,它是PDM系統(tǒng)開發(fā)與實旌過程中必須大力研究的熱點課題����。1PDM系統(tǒng)權(quán)限管理的基本問題與特性在PDM系統(tǒng)中的操作有面向?qū)嶓w的操作和面向功能的操作兩類����。實體即數(shù)據(jù)對象��,包括PDM系統(tǒng)中的簡單數(shù)據(jù)項及復雜對象(如圖文檔文件等)����。實體的基本操作有����;讀、寫����、改、刪除���、復
4��、制��。面向?qū)嶓w的操作針對某條或某幾條具體數(shù)據(jù)��,但同一用戶對位于同一實體列表中的不同實體的操作��,其操作權(quán)限可以不同�����。面向功能的操作則以打開某些用戶操作界面或運行系統(tǒng)的某些功能模塊為目的�,雖然也可以操作數(shù)據(jù),但同一用戶對位于同一實體列表中的不同實體的操作����,其權(quán)限不可以不同。因此�,PDM系統(tǒng)的權(quán)限控制總體上可劃分為面向功能的控制和面向?qū)嶓w的控制兩類。在產(chǎn)品的整個生命周期��,產(chǎn)品數(shù)據(jù)經(jīng)過不同的設計階段�,由相關(guān)的設計人員承擔不同的設計任務��。為了避免數(shù)據(jù)失密和誤操作���,應當盡量減少用戶權(quán)限��,在用戶權(quán)限分配過程中要遵循最小特權(quán)原則(theLeastPrivilegePrinc
5���、iple),即給每個用戶分配足夠且僅僅是足夠的操作權(quán)限集���,設計人員在接受設計任務前���、設計過程中���、完成設計工作后,對數(shù)據(jù)的操作要求不同���,所以設計入員在不同階段的操作權(quán)限集必須不同�。而且權(quán)限的這種變化應當能夠在各設計階段的轉(zhuǎn)換時及時地自動完成����,這就是權(quán)限管理的動態(tài)特性要求。綜合以上分析����,作者把PDM系統(tǒng)中權(quán)限問題,歸納為3類:功能性權(quán)限�����、實體性權(quán)限���、狀態(tài)一實體性權(quán)限��,并以這種分類為基礎(chǔ)��,進一步研究PDM權(quán)限管理的模型和實現(xiàn)算法���。在PDM系統(tǒng)中�,若某項操作的許可與否僅依賴于用戶�����,即:Enabled=f(用戶���,操作)��,其值為TRUE或FALSE����,則為功能性權(quán)限�。功
6����、能性權(quán)限的控制通常以菜單欄或菜單項的灰或亮實現(xiàn)。它常用于用戶/用戶組(如設計人員與企管人員)的基本工作劃分與訪問控制,實現(xiàn)權(quán)限的初級控制����。功能性權(quán)限具有層次關(guān)系,子節(jié)點權(quán)限是父節(jié)點權(quán)限的延伸���,授權(quán)時�,如果選中某一個子節(jié)點權(quán)限���,應當自動獲得該子節(jié)點的父節(jié)點權(quán)限�,相反��,如果將某一個節(jié)點權(quán)限從選中狀態(tài)變?yōu)榉沁x中狀態(tài)�,則該節(jié)點權(quán)限下面的所有子節(jié)點權(quán)限都不應該選中。在PDM系統(tǒng)中��,若面向?qū)嶓w的某項操作的許可與否同時依賴于用戶與實體����,即:Enabled=f(用戶,實體�����,操作),則為實體性權(quán)限�。實體性權(quán)限通常表現(xiàn)為同一用戶對同一操作界面上不同實體進行實體操作的權(quán)限不同。
7��、如圖庫管理中�,同一技術(shù)人員對不同項目的圖文檔有不同的操作權(quán)限,其權(quán)限主體為用戶或用戶組��,權(quán)限對象是圖文檔列表���。產(chǎn)品設計流程通常經(jīng)過設計��、校對��、標審��、工藝審查����、批準���、發(fā)布等階段�,如圖1所示��。實體處于流程的某一階段��,稱為實體的狀態(tài)�����。如果針對某實體的某種操作的許可與否����,不僅與用戶及實體有關(guān),而且與該實體當時的狀態(tài)有關(guān)��,即:Enabled=f(用戶��,實體�,狀態(tài),操作)���,則為狀態(tài)一實體性權(quán)限�。它反應了權(quán)限的動態(tài)特性��。圖1產(chǎn)品設計流程例如:某圖檔處于設計狀態(tài)時����,設計人有權(quán)對其進行讀��、寫����、改���、刪�����、復制等操作:它進入校對狀態(tài)時���,原設計人僅能進行讀操作,不能進行寫��、改����、刪、
8���、復制等操作���;若校對人將該文檔返回修改設計狀態(tài)�����,則原設計人僅能進行讀
