【IT168 信息化】

　　作為汽車(chē)制造業(yè)重要的工藝裝備，汽車(chē)模具企業(yè)往往只具有某些方面的優(yōu)勢(shì)，因此企業(yè)必須通過(guò)互相協(xié)作來(lái)共同快速生產(chǎn)出符合客戶需求的產(chǎn)品，組建虛擬企業(yè)是整合行業(yè)資源、發(fā)揮企業(yè)核心競(jìng)爭(zhēng)力的有效途徑，目前我國(guó)很多大的模具企業(yè)已經(jīng)建立起了有效的協(xié)作網(wǎng)絡(luò)。隨著制造業(yè)信息化的不斷深入，對(duì)聯(lián)盟企業(yè)中大量信息有多種訪問(wèn)需求的用戶具有不同程度的信息敏感度，如何在PDM（Product Data Management，產(chǎn)品數(shù)據(jù)管理）系統(tǒng)實(shí)施中，為模具網(wǎng)絡(luò)化制造過(guò)程參與者分配足夠的權(quán)限，并對(duì)虛擬企業(yè)資源進(jìn)行訪問(wèn)控制，從而限制非法訪問(wèn)，支持合理的數(shù)據(jù)共享，成為網(wǎng)絡(luò)化環(huán)境下模具企業(yè)產(chǎn)品開(kāi)發(fā)中迫切需要解決的一個(gè)問(wèn)題。

　　一、基于角色的訪問(wèn)控制（RBAC）

　　1 角色劃分

　　在基于角色訪問(wèn)控制（Role basedAccess Control，RBAC）的方法中引入角色這個(gè)中介，系統(tǒng)管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問(wèn)權(quán)限，用戶根據(jù)任務(wù)、責(zé)任和能力再被指派為不同的角色，從而實(shí)現(xiàn)用戶與訪問(wèn)權(quán)限的邏輯分離。

　　在RBAC中，角色劃分對(duì)于基于角色的安全訪問(wèn)控制機(jī)制非常重要，劃分合理可以大大簡(jiǎn)化訪問(wèn)控制授權(quán)管理的工作量。用戶被賦予某種角色，總要執(zhí)行系統(tǒng)中一定的任務(wù)，因此角色劃分應(yīng)該依據(jù)汽車(chē)模具開(kāi)發(fā)過(guò)程中具體的任務(wù)需求來(lái)設(shè)定，而任務(wù)劃分實(shí)際上對(duì)應(yīng)了開(kāi)發(fā)項(xiàng)目的任務(wù)分解。汽車(chē)模具的開(kāi)發(fā)都具有固定的工作流程，而企業(yè)中各個(gè)部門(mén)的崗位設(shè)置是和該工作流程相對(duì)應(yīng)的。顯然，汽車(chē)模具在網(wǎng)絡(luò)化制造聯(lián)盟中進(jìn)行開(kāi)發(fā)，只是參與范圍發(fā)生了變化，汽車(chē)模具開(kāi)發(fā)的工藝過(guò)程并沒(méi)有發(fā)生變化，因此對(duì)應(yīng)的參與角色并未發(fā)生變化。如，設(shè)計(jì)部門(mén)的業(yè)務(wù)流程一般為：設(shè)計(jì)→審核→校對(duì)→批準(zhǔn)這幾個(gè)活動(dòng)，因此，在設(shè)計(jì)部門(mén)內(nèi)部可以依據(jù)這些活動(dòng)設(shè)置所需角色。

　　基于RBAC的分層概念，通過(guò)角色分層把角色組織起來(lái)，能夠很自然地反映組織內(nèi)部用戶之間的職責(zé)和權(quán)限關(guān)系?；诖耍W(wǎng)絡(luò)化產(chǎn)品開(kāi)發(fā)中角色設(shè)置問(wèn)題的關(guān)鍵是：設(shè)置各個(gè)成員的企業(yè)角色，一旦頂層角色完成了合理分配，則獲得設(shè)計(jì)、制造和供應(yīng)商等角色的企業(yè)即可分別在其企業(yè)內(nèi)部進(jìn)行分層角色分配，而企業(yè)內(nèi)部的角色分配則可沿用現(xiàn)有企業(yè)應(yīng)用信息系統(tǒng)角色分配的方法?；谏鲜龇治?，按照部門(mén)對(duì)角色進(jìn)行劃分，如表1所示。

▲

　　表1 汽車(chē)模具開(kāi)發(fā)角色劃分表

　　2 權(quán)限分配

　　一個(gè)角色可以有很多個(gè)權(quán)限，而一個(gè)權(quán)限也可以重復(fù)配置于多個(gè)角色，向角色分配怎樣的權(quán)限，由角色要完成的任務(wù)決定。只有角色具有相應(yīng)的權(quán)限后，用戶委派才能具有實(shí)際意義。因而權(quán)限必須是具體的、可控制的。

　　OP(操作集) 指對(duì)對(duì)象的讀、寫(xiě)和刪除等操作，可表示為：OP::= ，如表2所示。

▲

　　表2 操作集定義

　　OBJ(客體集)，客體既包括計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)客體，也包括由數(shù)據(jù)所表示的資源客體。

　　則權(quán)限可以表示為：，表示主體對(duì)系統(tǒng)中一個(gè)或多個(gè)客體以特定方式進(jìn)行訪問(wèn)的許可。系統(tǒng)中擁有權(quán)限的角色可以執(zhí)行相應(yīng)的操作，一個(gè)權(quán)限規(guī)則可表示如下：

　　::=<權(quán)限標(biāo)識(shí)，客體，操作集>，意為允許某些用戶對(duì)某些數(shù)據(jù)進(jìn)行某個(gè)操作。其中，控制客體集合可以是單一數(shù)據(jù)對(duì)象或業(yè)務(wù)對(duì)象、某一數(shù)據(jù)類(lèi)型或所有數(shù)據(jù)。

　　在汽車(chē)模具開(kāi)發(fā)項(xiàng)目進(jìn)展的過(guò)程中會(huì)產(chǎn)生大量的項(xiàng)目文檔，如任務(wù)文檔和設(shè)計(jì)圖紙等，文檔是項(xiàng)目信息交流的重要內(nèi)容，是任務(wù)之間的協(xié)作基礎(chǔ)，同時(shí)還存在描述汽車(chē)零部件、模具及其零部件等節(jié)點(diǎn)的屬性信息，所以這里的權(quán)限既可以指訪問(wèn)整個(gè)產(chǎn)品開(kāi)發(fā)中的各種文檔的權(quán)限，也可以指對(duì)一個(gè)特定的記錄項(xiàng)中特定字段的訪問(wèn)，即對(duì)于每一個(gè)能在PDM系統(tǒng)中獨(dú)立存儲(chǔ)和管理的客體對(duì)象，都可以設(shè)置訪問(wèn)權(quán)限。

　　二、基于技術(shù)崗位分組的用戶角色分配

　　直接給用戶分配角色，那么隨著參與企業(yè)、部門(mén)、用戶和項(xiàng)目的變化，勢(shì)必造成系統(tǒng)管理員分配權(quán)限的難度。如果能夠?qū)⒉煌块T(mén)的用戶按照一定的原則進(jìn)行分組，將組與角色相關(guān)聯(lián)，則可以大大降低權(quán)限管理的難度。

　　經(jīng)過(guò)調(diào)研發(fā)現(xiàn)，目前企業(yè)的生產(chǎn)和技術(shù)部門(mén)一般實(shí)行專(zhuān)業(yè)技術(shù)崗位制度，技術(shù)崗位是一種任職資格或能力標(biāo)準(zhǔn)， 如主任師、主管師、主管員和一般技術(shù)人員等。技術(shù)崗位的設(shè)置是對(duì)人員/用戶能力的靜態(tài)表述，對(duì)于任務(wù)分配來(lái)說(shuō)，人員/用戶必須達(dá)到一定的技術(shù)水平，具備相關(guān)的能力才能在項(xiàng)目中執(zhí)行一定的任務(wù)。因此，以技術(shù)崗位作為分組的標(biāo)準(zhǔn)，將參與網(wǎng)絡(luò)化制造協(xié)作的部門(mén)中的人員/用戶按照崗位分組。比如就參與協(xié)作的模具企業(yè)技術(shù)部門(mén)來(lái)說(shuō)，D/L圖設(shè)計(jì)和校對(duì)必須具有“主任師”和“主管師”崗位的人才能擔(dān)任，而“技術(shù)員”崗位的用戶則可以由“模具結(jié)構(gòu)設(shè)計(jì)”這個(gè)角色參與模具結(jié)構(gòu)設(shè)計(jì)。

　　從參與模具網(wǎng)絡(luò)化制造協(xié)作過(guò)程來(lái)說(shuō)，技術(shù)崗位是靜態(tài)的，擁有某技術(shù)崗位的用戶的職責(zé)和權(quán)限也是靜態(tài)的，職責(zé)和權(quán)限具有普遍的約束意義，而角色則是和具體的項(xiàng)目密切相關(guān)的，是動(dòng)態(tài)的，即具有某個(gè)崗位的人員/用戶可以在A項(xiàng)目從事D/L圖設(shè)計(jì)工作，也可以在B項(xiàng)目中以“D/L圖校對(duì)”的角色進(jìn)行D/L圖校對(duì)。在角色和相應(yīng)的權(quán)限確定后，再將符合要求的某技術(shù)崗位的用戶賦予相應(yīng)的角色，由此確定了每個(gè)用戶的權(quán)限和職責(zé)。

　　通過(guò)技術(shù)崗位分組進(jìn)行角色分配，考慮了參與網(wǎng)絡(luò)化制造的模具企業(yè)目前的組織結(jié)構(gòu)現(xiàn)狀，技術(shù)崗位確定的職責(zé)和權(quán)限，體現(xiàn)了權(quán)限管理的靜態(tài)特點(diǎn)，而基于技術(shù)崗位的角色分配又和項(xiàng)目過(guò)程中的任務(wù)密切相關(guān)，體現(xiàn)了權(quán)限管理中的動(dòng)態(tài)特性，如圖1所示。

nmousedown="cc(this, event);" onclick="changePage();" alt="汽車(chē)模具企業(yè)PDM實(shí)施中的訪問(wèn)權(quán)限管理" src="http://image20.it168.com/201008_800x800/199/bbd525e5bd0010c7.jpg" />
▲

　　圖1 基于技術(shù)崗位的角色分配

　　網(wǎng)絡(luò)化制造環(huán)境中各個(gè)企業(yè)中參與網(wǎng)絡(luò)化協(xié)作項(xiàng)目的人員/用戶及其角色是不穩(wěn)定的，這要求系統(tǒng)的安全管理能夠敏捷地適應(yīng)這種變化，采用這種“人員/用戶－技術(shù)崗位（組）－角色－權(quán)限配置”模型，能夠很容易地適應(yīng)這種變化。如果企業(yè)因運(yùn)作需要，需增添新的角色，只要確定該角色所需具備的任職資格（即確定該角色所對(duì)應(yīng)的技術(shù)崗位），然后根據(jù)項(xiàng)目的具體需要授予其相應(yīng)的系統(tǒng)訪問(wèn)權(quán)限，安排相應(yīng)的用戶即可。

　　三、結(jié)論

　　本文首先對(duì)網(wǎng)絡(luò)化環(huán)境下汽車(chē)模具產(chǎn)品開(kāi)發(fā)中資源訪問(wèn)的問(wèn)題進(jìn)行了闡述，依據(jù)汽車(chē)模具開(kāi)發(fā)過(guò)程中具體的任務(wù)需求設(shè)定角色，基于RBAC的分層概念，通過(guò)角色分層把角色組織起來(lái)，通過(guò)權(quán)限規(guī)則對(duì)角色進(jìn)行權(quán)限分配，基于技術(shù)崗位進(jìn)行分組，將組與角色相關(guān)聯(lián)，大大降低了權(quán)限管理的難度，從而限制對(duì)資源的非法訪問(wèn)，支持合理共享，有效地支持了網(wǎng)絡(luò)化環(huán)境下的產(chǎn)品開(kāi)發(fā)。