1 引言
    
    产品数据管理(Product Data Management,PDM)是以软件为基础的技术，它以产品为管理的核心，以数据、过程和资源为管理信息的三大要素，从而将所有与产品有关的数据、过程资源集戚在-起，管理贯穿于整个产品生命周期的产品数据和开发过程。PDM系统的出现为实现数据的协同和共享提供了有效的解决途径。资源共享和信息安全是一对矛盾体，随着数据和资源共享程度的提高，需要提高PDM系统信息的安全。
       
    权限管理模块为PDM系统的其他功能模块提供认证和授权，控制"谁"能够访问系统的服务，用户访问的是"什么服务"，用户被授于什么样的"权限"，能进行怎样的操作。权限管理模块-ll-确定了权限管理和发布的方式以及安圭控制策略机制，就可以保证系统的信息安全。因此，合理设计权限管理模块是确保PDM系统信息安全的基础。本文采用面向服务的架构(SOA)和基于角色访问控制相结合的挂水，采用统一授权和访问的控制策略与机制，为系统提供统一的权限管理和控制服务，提高系统的信息安全性。
    
    2 权限的基本概念
    
    权限是对资源的一种保护访问，往往是一个握其复杂的问题，但也可简单表述为这样的逻辑表达式:判断"Who对What进行How的操作"的逻辑表达式是否为真。权限的划分包括粗粒度和细世度两个概念。口粗粒度属于扭限逻辑范畴，表示类别级，即仅考虑对象的类别，不考虑对象的某个特定实例。细粒度:属于业务逻辑范畴，表示实例缀，即需要考虑具体对象的实例，当然，细粒度是在考虑粗粒度的对象类别之后才再考虑特定实例。权限逻辑配合业务逻辑，即权限系统的目标是向业务逻辑提供服务。设计原则为："系统只提供粗粒度的权限，细粒度的权限被认为是业务逻辑的职责"。
 
    3 PDM 权限管理模型
    
    3.1 面向服务和基于角色
   
    面向服务的架构(Service - Oriented Architecture,SOA)是一个组件模型，它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起束，以软件服务的形式公开业务功能，使得其他应用程序可以通过已发布的和可发布的接口来使用这些服务。接口是采用中立的方式进行定义的，它独立于实现服务的硬件平台.操作系统和编程语言。服务使用者不必关心与之通信的特定服务，因为底层基础设施或服务"总线"将代表使用者做出适当的选择。基础设施对请求者隐藏了尽可能多的技术。服务通常实现为粗粒度的可发现软件实体.它作为单个实例存在，并且通过松散用合的基于消息通信模型来与应用程序和其他服务交互，采用SOA架构的PDM罩统，具有松散耦合、位置透明、协议独立的特点。因此，面向服务的权限管理模块可以解决在开放、动态环境下认证和授权的问题。
   
    图1 说明了服务的调用流程。应务请求者提出服务请求，服务提供者响应服务，将相应的服务发布到服务注册器，服鼻请求者发现服务和实现相应的功能。可以将权限管理模块的权限管理视为一项服务。

    图1 服务的调用流程

    基于角色的访问控制(RBAC)引入了角色的概念，角色作为一个用户与权限的接口，所有的授权给予角色而不是直接给用户， 实现了用户与访问仅限的逻辑分离。权限颗位表示对资源的访问操作，用户拥有某一种权限是因为用户扮演着某一种角色。基于角色的访问控制方法有两大特征:1.由于角色与权限之.间的变化比角色与用户关系之间的变化相对要慢得多，减小了授权管理的复杂性，降低管理开销。2.灵活地支持系统全策略.并对业务变化有很大的伸缩性。因此， 基于角色的访问控制可以方便钗限管理，很好的描述角色的层次关系.实现最少的权限原则和职责分离的原则。
      
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。