文章

PLM系统的层级式访问控制模型研究

2019-11-08耿建光 丁玉霞 倪永全 温小龙

1078阅
面对PLM/PDM系统应用中提出的管理和安全需求,建立了基于上下文的层级式管理框架及其权限控制模型。

1 引言

    随着信息化应用的深入,PLM/PDM应用范围已经从单厂所的单点应用向跨单位跨地域的协同应用转变。尤其是在集中部署模式下,在多个单位共用一套系统时,不同组织、不同部门具有对访问控制独立管理的要求。为此,PLM/PDM需要一种动态可伸缩的访问控制体系来适应协同应用下的访问控制。归纳来讲,PLM/PDM协同应用下的典型应用需求包括几个方面。

    集中部署方式下的独立管控需求。PLM系统涵盖需求管理、工程过程管理、工艺过程管理、制造过程管理、维护维修管理等软件功能。在产品研发企业通过集中部署模式来实施PLM应用时,这些功能在企业集中部署后同时供多个单位或多个部门使用,但是在使用效果方面,企业希望获得等同于传统部署模式下的多套系统独立部署应用效果,即“统一部署、逻辑隔离”的应用效果。这就要求PLM/PDM系统可以支持在集中应该时具有独立管理包含的多个组织或者产品,提供合适的访问控制能力,避免用户越权访问产品数据。

    层级式的分级管理需求。在企业的PLM/PDM应用过程中,企业从上到下的不同层级存在满足上级规定的前提下实现自身管理的现实要求,例如在企业级和部门级的两级应用中,企业级管理人员对管理要素(例如文档模板、文件模板等)提出统一要求,而部门级管理人员在遵守企业级的管理规定前提下,通过个性化的管理配置,实现个性化管理,这就需要PLM/PDM系统提供管理要素通用性和个性化并存的管理机制,满足企业的灵活应用要求。

    细粒度的系统访问控制需求。在细粒度访问控制体现在多个方面,包括要求PLM/PDM系统可以管理系统功能和系统数据两类对象,可以针对用户的登录角色进行权限控制,可以对业务对象的不同操作进行授权,可以动态解析用户身份并进行访问控制(即根据用户在业务操作中的动态角色而不是登录角色来解析其权限)的能力,以及根据用户的属性来控制访问行为等。

2 上下文动态层级式管理框架

    在ICT领域,上下文是较常用的概念,定义上下文为环境本身以及环境中各实体所明示或隐含的可用于描述其状态的任何信息。其中,实体既可以是人、地点等实体,也可以是软件、程序、网络等虚拟实体。从文献中看出,上下文提出了一种描述和管理对象所在范围的框架。达索公司ENOVIA将上下文定义为由角色、组织、项目组成,用于表达一个用户在特定组织和项目中承担的特定角色,是权限分配的单元。在本文中,我们结合ICT中和PLM系统的上下文概念,将上下文定义为PLM系统管理对象的一种框架和容器,这种容器和框架管理各种对象,并提供对对象访问、获取和使用的控制。

    为此,我们给出上下文的定义如下。

    上下文是组织、管理、发现和使用对象的框架技术(等同于一个容器)。对象通过所处上下文来精确描述其所处的和范围,并相应决定其具有的属性和行为。

    上下文动态体系体现的两个重要特征。

    (1)管理对象和业务对象分离

    通过上下文管理系统中的业务对象和管理类对象。在上下文中包含两类对象。一类是管理对象,一类是业务对象。其中管理对象是系统中的设置参数、工具和配置类对象,包括系统首选项、用户、角色、模板和管理工具,模板包括文件模板、文档模板、生命周期模板和流程模板等。业务对象是上下文中实际管理的业务相关的实体对象,在PLM系统中的业务对象包括文档、CAD文档、部件、更改单、基线等各种对象。

    (2)上下文层级式继承和扩展

    上下文间具有层级式关系。一个上下文具有一个或多个下级上下文的。一个下级上下文只有一个父上下文。上下文间的关系属于树形结构关系,这种关系保证上下文的两个重要特性,即继承(单重继承)和扩展。其中:继承指下级上下文的管理要素自动继承上级上下文中的管理要素(包括模板、用户、角色等)。扩展特指下级上下文中的管理要素在继承上级上下文管理要素基础上,可以进行调整。调整方式有两种。一种是新增管理要素,例如在下级上下文中添加新的模板、角色等,则这些模板和角色只在当前上下文及其子上下文可用;另一种是通过覆盖原则进行调整,即用当前上下文中的同名标识的管理要素替换上级上下文继承来的管理要素,且这种覆盖不改变上级上下文的设置。

3 访问控制思路与方案

    访问控制是实现信息分类安全访问和信息保护的重要手段,传统的访问控制模型有基于对象的访问控制OBAC、基于任务的访问控制TBAC和基于角色的访问控制RBAC模型。基于角色的访问控制于2004年提出后逐渐发展为NIST RBAC标准。基于角色的访问控制根据用户不同职能划分成不同的角色,并将权限分配给相应的角色而不是直接授予主体,减少了权限管理的复杂性,降低了管理的开销。

    在层级式上下文框架下,访问控制的思路为:在RBAC访问控制基础上,通过在不同的上下文中设定访问控制规则来控制用户的行为,实现对象和界面的细粒度访问。

    在提出的基于RBAC的访问控制模型中,设定了承担者、角色、约束条件、权限和客体五类对象。其中,承担者是系统用户、组或组织的统称,表示可以执行系统操作的主体。承担者的属性包括基本属性和控制属性,其中基本属性表达承担者的基本信息,控制属性表达系统需要通过专用控制条件来控制的各种标识,例如密级标识、专业标识等。角色是完成某种功能或操作的职能统称。角色下可以嵌套子角色。权限为系统内对管理对象的操作集合,权限包括两类,一类是功能权限,一类是实体权限。客体是系统中被访问对象的集合,系统将客体区分为类型和实例两类,其中类型是系统中实际对象的模型对象。例如系统中对“部件类型”授权时就实现对系统中所有的部件授权。实例是系统中实际存在的客体,是类型在系统中的实例,对实例的授权只影响到实例的访问。约束条件是权限验证过程中需要满足的规则和约束条件,规则中包括上下文范围、时效范围、生命周期状态(表征对象发展阶段的一种度量指标,例如文档对象可以是“新建”、“审批中”、“受控”等状态)。

4 访问控制关键技术与过程

    4.1 权限操作的分类与构成

    在权限操作方面,系统将权限区分为功能权限和实体权限两类。其中功能权限控制用户对系统的功能访问,功能权限管理用户可访问的功能模块、菜单和按钮,决定了用户进入系统以后能否看到UI及相应的UI操作;实体权限控制用户对系统实体对象的访问,例如用户对某个文档或者CAD文档的读、写、更新操作。

    权限操作是访问控制的重要内容,功能权限通过URL或ID标识进行管理,同理,实体权限通过功能操作对应的ID进行标识。在系统中功能权限和实体权限在系统中的访问规则描述方式保持一致。

    4.2 访问控制规则的构成

    访问控制规则描述信息对象具有的“隶属的管理范围”、“所处生命周期状态”、“隶属的对象类型”等一些固定或随时间变动的要素,这些要素构成了访问控制的组成要素。多条访问控制规则构成访问控制列表(ACL),对象的访问控制受到ACL的复合控制。

    在系统中,访问控制规则由主体(承担者与角色)、上下文范围、时效范围、生命周期状态、客体(类型和实例)、操作六类要素构成。其中主体是执行操作的人员或角色;上下文范围明确规则生效的场景范围;生命周期状态对指定状态的所有类型和对象生效;客体是规则作用的具体对象,包括类型和实例两类;时效范围限定规则生效的时限范围,例如可设定是长期有效、指定时间区间有效、临时有效或无效等;操作限定规则允许的操作功能。

    为了区别类型和实例规则的不同,系统定义了通用访问控制规则和专用访问控制规则两类,两类规则的差别体现在类型和实例上,通用规则的作用对象是类型,专用控制规则的作用对象是实例。

    4.3 访问权限的设置

    访问控制权限的设置的主体包括用户、角色、组和组织,对不同类型主体的设置权限通过权限规则区分优先级。在设置的客体方面包括两种对象,一种是实例对象,一种是类型对象。其中,在上下文层级体系下设定的权限都是作用在“类型”上,即设置后的权限将影响当前上下文及其子上下文的所有这一类型下的实例对象。层级式上下文中,在上下文A中对“部件类型”设置的访问控制规则将影响到在上下文A以及其子上下文C,上下文C的子上下文G和H中的所有实例部件。而设置在实例对象上的权限是选择特定的对象后进行设定的。

    4.4 访问权限净值的计算

    在上下文层级体系中,一个给定对象(例如部件A)的访问控制权限是由从上下文继承来的所有权限和对象上设定的实例权限决定的。在权限净值的计算过程中,需要计算当前上下文设定的访问控制规则以及从所有上级上下文继承的控制规则,并和实例上设定的访问控制规则叠加后计算出的权限净值。

    在上下文层级体系中,当访问上下文H中的部件时,访问权限需要由上下文A、上下文C和上下文H中设定的类型ACL以及部件上设置的实例ACL,及部件实例使用的生命周期ACL和流程ACL联合计算后获得。

    4.5 权限计算规则的确定

    在计算过程中,当获得用户登录信息、上下文和对象信息后,系统根据上下文的角色配置获得用户在当前上下文的身份,进而获得实例对象的ACL、类型ACL,在系统设定的计算规则约束下,计算出用户对对象的访问净权限。

    在系统应用中,权限计算设定的默认规则包括默认拒绝原则、用户权限优先原则、实体与类型权限等同原则、功能权限从宽原则、实体权限从紧原则。

    其中,系统设定的权限计算规则通过配置方式实现,可根据实际应用需求进行设置和调整,以满足用户单位的实际控制要求。

5 应用实例

    航天协同研制平台(AVIDM)系统是面向航天器协同研制的PLM系统。在实际应用过程中,层级式访问控制模型在应用中根据企业应用部署需要,设置了站点、组织和应用程序三级上下文。其中,站点上下文中管理了文件模板、文档模板、工作流模板、生命周期模板,以及全系统中的角色和用户。站点上下文的管理内容可被所有下级上下文使用。在站点上下文中,设定下级组织上下文的管理员、组织管理员可以创建自己的组织上下文,管理自己组织内的模板和用户,组织下还可以嵌套子组织上下文,这种机制满足在集中部署条件下,一套系统供多个不同的组织和部门独立使用的要求。在组织上下文中,设定产品或项目管理员,产品或项目管理员创建和维护相应的产品或项目。

    所提出的访问控制模型AVIDM系统得到了应用,在AVIDM系统的上下文中设置类型上的访问控制权限操作,可以在给定上下文中对类型设定访问控制规则。

    在AVIDM系统中,通过利用所提出的访问控制模型,实现了基于角色的访问控制,通过统一的访问控制规则管理,实现了对人员、角色、组和组织的授权,授权对象包括对象和类型两类客体对象,实现了基于多种ACL的访问净权限计算,满足型号研制单位的细粒度、层次化访问控制管理,满足了复杂PLM/PDM系统的集中部署独立管控需求,以及灵活的系统管理要求。

责任编辑:程玥
本文来源于互联网,e-works本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并以尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
读者评论 (1)
  • teamczyx7-15
    万能发帖软件 www.teamczyx.com
以上网友发言只代表个人观点,不代表本网站观点或立场。
请您登录/注册后再评论