本文以在企業的PDM(Product Data Management，產品數據管理)系統實施為背景，分析了用戶權限控制對象及其相互關系，對PDM項目實施過程中用戶的數據訪問權限控制進行了研究。

1、權限控制對象

PDM系統的權限控制是根據用戶身份的不同，對處于不同存儲位置和狀態的數據，為系統用戶分配相應的操作權限。因此，用戶、產品數據、數據狀態、數據位置以及用戶對數據的操作構成了權限控制機制中的基本對象。

1.1用戶

PDM系統用戶存在于兩種人員組織結構中，如圖1。

一種是由企業各業務部門組成的相對固定的部門機構，不同部門具有不同的崗位和職責，部門內的人員也相對固定，這種屬于靜態的組織結構。在靜態組織結構中，人員分屬于各個業務部門，各部門按其職能和崗位的不同，確定所屬人員的職責和權限。由于各部門人員相對固定，基于靜態組織結構的人員權限比較容易確定，我們依據業務部門劃分情況引入用戶組的概念，用戶組由工作職責和工作性質相同的多個用戶所組成，同一用戶組中的用戶具有相同的職責和權限。一個用戶若同時參加多個用戶組，其權限可以疊加。

圖1

另一種人員組織結構是基于產品的型號項目成立的項目組或開發團隊，項目組成員的工作性質涉及設計、工藝、制造、質量、銷售等部門，有時還包括協作單位的成員，項目組或開發團隊根據項目的啟動而成立，伴隨項目的結束而解散，這種屬于動態的組織結構。在動態組織結構中，人員的職責和權限相對復雜靈活，我們引入角色的概念對人員的職責和權限進行描述。角色是在項目中根據職責不同劃分的一些崗位，如設計師，工藝師，質量師等。動態組織結構的成員來自多個部門，不同成員可以在項目中擔任相同的角色，同一成員也可以在不同的項目中擔任不同的角色，該成員在不同項目中擁有的權限由其擔任的角色決定。

1.2產品數據

PDM系統管理的是與產品相關的各種數據，如工程圖檔、與產品相關的文檔、產品結構等。針對不同類型的產品數據，用戶對其訪問的控制權限也會不同。例如，對普通零件圖與產品總裝圖的訪問權限是不同的，對項目中的設計文檔與合同書的訪問權限也是不一樣的。

1.3數據狀態

數據在產品生命周期的不同階段對應不同的狀態，如數據的編制中、審批中、打印中、發布等狀態。用戶對數據的訪問權限隨數據狀態的不同而變化。例如，當數據處于編制狀態時，創建者對其擁有所有的操作權限，當數據被提交進入流程后，處于校核中，審批中等狀態時，創建者對其修改、刪除的權限將受到限制。

1.4數據位置

數據位置是指PDM系統管理的各類數據的存儲位置。數據按其所有者和所處狀態的不同，分別有不同的存儲位置，存儲位置不同，對數據的操作權限也不相同。我們在系統中建立個人工作區、共享數據倉庫和歸檔數據倉庫作為不同狀態數據的存儲位置。

處于編制、設計和修改過程中的產品數據存放在個人工作區。個人工作區屬于用戶的私有空間，一般位于用戶本機，存放用戶個人擁有的數據。用戶對自己個人工作區的數據擁有所有權，其他用戶未經授權不能進行訪問。

共享數據倉庫用于存放企業用戶共享的未正式發布的產品數據，處于校對、審核、批準流程中或工藝會簽、標準化審查階段等不同狀態的產品數據都存放在共享數據倉庫中。共享數據倉庫內存放有企業不同項目的產品數據，為保證數據的安全性，當用戶對共享數據倉庫中的產品數據進行操作時，系統會對其進行權限驗證。

處于批準后發布狀態或更改完成狀態的產品數據存放在歸檔數據倉庫。歸檔數據倉庫是企業中正式發布的產品數據最終歸檔存儲位置，如經過審批用于指導生產的圖檔、設計文件、工藝文件及相關的標準、規范等。歸檔數據倉庫具有比共享數據倉庫更加嚴格的數據管理權限，訪問歸檔數據倉庫的用戶需要經過相應的授權。

1.5用戶操作

操作是指用戶對產品數據進行的查詢、瀏覽、刪除、復制等動作，不同的操作對數據產生的影響是不同的。因此，PDM系統對用戶進行各種操作的控制權限也不相同，為方便數據共享，提高產品的研發效率，對于查詢、瀏覽權限的控制會相對較松;從保護企業知識財富的角度考慮，對于復制、刪除權限的控制會比較嚴格。

1.6權限控制對象相互關系

權限控制對象是相互關聯，互相影響的。一個數據可以對應多個存儲位置和數據狀態;數據在不同的存儲位置和數據狀態會被用戶進行不同的操作;一個用戶可以被放在不同的用戶組，擔當多個角色，對多種數據進行不同的操作;一個角色也可以對應多個用戶;不同的操作組合形成不同的角色。

綜上所述，各對象不是相互獨立的，權限控制的設計必須充分考慮所有對象，合理協調其相互關系，對用戶、產品數據、數據位置、數據狀態進行綜合控制。即通過權限設置可以控制用戶在一定的條件下對指定的產品數據進行特定的操作。

2、權限控制體系

PDM系統中權限控制有多種設置方式，依據對權限控制對象的分析，提出一種由消息發送規則、訪問控制列表、流程權限、動態授權等構成，多層次、靜態與動態相結合的數據訪問權限控制體系，如圖2所示。

圖2 數據訪問權限控制體系

2.1消息發送規則

消息發送規則是基于規則的權限授予方式，我們依據企業的業務清況，綜合考慮用戶所在部門(用戶組)、用戶在項目中被賦予的角色、數據的類型、數據存儲位置和數據狀態等因素，利用消息發送規則控制用戶對產品數據進行操作的權限。消息發送規則由參與者、對象、條件、消息(消息組)四個要素構成，分別表示用戶、產品數據、數據所處的位置或狀態、用戶對數據的操作。通過設定消息發送規則，可以實現用戶在規定的條件下對數據進行合法操作的功能。

2.2訪問控制列表

訪問控制列表是對消息發送規則權限授予方式的補充，訪問控制列表可以超越消息發送規則的限制，針對某個具體數據對象進行權限設置，也可通過訪問控制列表設置的排除權限列表覆蓋規則權限，限制規則權限高的用戶對特定對象的操作權限。

2.3流程權限

流程權限是指流程參與者根據所執行任務類型的不同，具有相對應的對流程對象進行操作的權限，流程節點到達時，流程任務執行者可以對流程對象進行規定的操作，當流程通過這個節點后，該用戶不再擁有對流程對象進行操作的權限。

對一些重要的或安全性高的流程節點，我們在該節點的操作開始前設置操作密碼驗證，防止因誤操作或非法用戶進入流程而導致數據損失。

2.4動態授權

動態授權由具有授權權限的用戶在一些特殊情況下，針對某個具體的數據對象為沒有操作權限的用戶授權，并且可以靈活設定授權的有效時限，到截止日期時，系統會自動收回對該用戶的授權權限。PDM系統具有這種動態授權的功能后，需要授權的用戶可以將此對象提交到動態授權流程內，動態授權流程根據對象所處的狀態、位置以及創建者將此申請傳遞給擁有授權權限的用戶，由該用戶決定是否授權，并將結果通知給申請授權者。

2.5訪問監控

為保證產品數據安全，我們在系統中設置了訪問監控機制，用戶對一些重要數據進行的所有操作都會通過事件通知規則(NTR)被監控。事件通知規則由參與者、對象、條件、發生事件四個要素構成，用來確定當系統中特定事件發生時誰將得到通知，如有人瀏覽了產品總圖，項目總師會得到通知。

3、結束語

本文在研究了權限控制對象的基礎上，提出了出一種多層次、動靜結合的數據訪問權限控制體系，在某大型企業實施后，實現了系統內用戶訪問產品數據的權限控制。伴隨著異地協同技術的興起，我們進一步需要研究的是異地數據訪問安全及權限控制體系問題。