产品生命周期管理系统中工作流的访问控制模型
PTC产品生命周期管理(Windchill)解决方案
捷
产品开发流程控制
● 提供健壮的工作流引擎,使得产品开发流程得 以重复执行、状态直观监控
● “开盒即用”的CMII变更控制流程 ● 可视化驱动的配置管理
对产品信息提供企业级的访问能力
● 无论身处何地均可以通过直观的Web用户界面、 3D可视化工具和搜索引擎访问产品信息
在线网络会议
基本功能:
● 建立和参与网络会议 ● 实时共享和交流信息
解决企业问题:
● 跨地域的技术交流与协作 ● 跨地域的技术支持与服务
30
© 2006 PTC
纸质图档控制-图档发放流程
31
© 2006 PTC
纸质图档控制-水印控制
Windchill实现技术: ● Visualization Service:将CAD原始格式文件转化为PV(ProductView)专用的中性格式文件 ● Visualization Service根据流程的执行状况,自动为PV文件添加水印设置 ● ProductView提供PV文件(带水印)浏览、打印功能
产品生命周期管理(Windchill)解决方案
说明:本文档版权所有属于PTC公司。没有PTC的授权,任何人不得拷贝、使用本文 档。
Agenda
PLM生命周期管理 PTC PLM解决方案--Windchill PTC的优势
2
© 2006 PTC
企业研发常遇到的问题
● 缺少产品开发的共用平台,信息共享差,效率低 ● 版本管理混乱 ● BOM不准导致ERP成了“摆设” ● 产品开发效率低,质量得不到验证 ● 设计同生产相分离,导致产品质量不可控 ● 变更管理差,使企业付出巨大代价 ● 设计流程没有理顺,设计效率差,整天加班,不停地出错 …
产品全生命周期管理系统的关键技术和系统层次结构
产品全生命周期管理系统的关键技术和系统层次结构产品全生命周期管理(product overall lifecycle management,PLM)与产品数据管理(product data management,PDM)技术有着密切的联系,PLM是PDM的继承与发展。
PDM技术已经有近二十年的发展历程,其技术及相关产品的发展经历了3个阶段,即专用PDM 阶段、专业PDM阶段和分布式标准化PDM阶段.20世纪80年代初随着CAD在企业中的广泛应用,对于电子数据和文档的存储及获取新方法的需求变得越来越迫切,诞生专用PDM,以解决大量电子数据的存储和管理问题。
20世纪90年代初出现专业PDM系统,可以完成对产品工程设计领域的产品数据的管理能力、对产品结构与配置的管理、对电子数据的发布和工程更改的控制以及基于成组技术的零件分类管理与查询等,同时软件的集成能力和开放程度也有较大的提高。
20世纪90年代末分布式系统和PDM技术的标准化标志着了新一代PDM时代的到来.PLM是当代企业面向客户和市场,快速重组产品每个生命周期中的组织结构、业务过程和资源配置,从而使企业实现整体利益最大化的先进管理理念。
产品全生命周期管理是在经济、知识、市场和制造全球化环境下,将企业的扩展、经营和管理与产品的全生命周期紧密联系在一起的一种战略性方法。
先进制造与管理技术认为,把以一个核心企业为主,根据企业产品的供应链需求而组成的一种超越单个企业边界的,包括供应商、合作伙伴、销售商和用户在内的跨地域和跨企业的经营组织称为扩展企业.目前,客户和供应商的参与已经相当普遍,任何企业必须扩展,传统封闭孤立的企业已无法生存。
产品全生命周期管理(PLM)将先进的管理理念和一流的信息技术有机地融入到现代企业的工业和商业运作中,从而使企业在数字经济时代能够有效地调整经营手段和管理方式,以发挥企业前所未有的竞争优势.所谓产品全生命周期管理(PLM)就是指从人对产品的需求开始,到产品淘汰报废的全部生命历程。
基于角色和任务的工作流访问控制管理模型
目前 , 企业 当 中应用 较 多的是 TR AC模 型 , RB 在 B T AC在 TB AC 的基 础上 引入 角 色 , 使得 用 户 与任 务 分离 , 户通 过角色 获取 任务 , 用 从而解 决 了 R AC只能 静态 授权 的问题 和 T AC淡化 角色 的缺陷 , B B 同时方便
访 问控制 问题 已经成 为制 约企业 信息 系统进 一步 发展 的重要 因素 , 用何 种 访 问控 制 机制 来 满足 信息 采
系 统资源 的安 全需求则 成为 当前 网络 系统 的主要 研究 方 向. 目前 , 提 出 的 访 问 控 制 模 型 有 很 多 种 , 矩 阵 已 如
模型、 自主访 问控制 ( i rt n r cs o to, D s ei ayAcesC n rlDAC 模 型 、 制访 问控 制 ( n ao yAcesC nrl c o ) 强 Ma d tr cs o to , MA ) 型 、 于角 色的访 问控 制( oeB sdAcesC n rlR AC) C模 基 R l a e cs o to, B 模型 、 门面 向工 作 流系统 的基 于任 专
AR A B C模 型 中的 管 理 思 想 融 入 T AC 模 型 , 出 一 种 基 于 角 色 和 任 务 的 工 作 流 访 问控 制 管 理 模 型 RB 提 ( ATR AC) 可 以更好 地满 足工 作流 系统安 全访 问控 制 的需 求. B ,
1 现 有 访 问控制 的不 足
中 图分 类号 :TP3 1 1 l . 文 献 标 志 码 :A 文 章 编 号 :1 0 —8 3 ( 0 1 0 —0 8 -0 0 1 7 5 2 1 )2 1 7 4
基于角色的工作流访问控制模型及其实现
t o ie y t e t s fwok o A h a k h s d f r n e n s frt e a t o z d u e n e is n , o k n s o l s df rn r m h r d b h a k o r f w. s te ts a i e e td ma d o h u h r e s r a d p r s i s t i d f o e i e g f z l f i s m o w r i o
( )R A 2 B C模 型通 过一些 约束 条件可 以部 分地满 足职责分
0 引 言
工作流技术是进入 9 代 以后计 算机应 用领 域的一 个研 0年
究热点。工作流的基 本安全问题 : 身份认证 、 问控制 、 访 审计 、 数 据 加密 、 数据完整性等 。本文 主要 讨论 工作流 的访 问控 制 问 题 。一个工作 流通 常被 划分 为一些 预先定义好 的任务 , 这些 任 务相互依赖 以一 种协 调的方式 执行 。一 个适 合于工作 流的访问 控 制机 制需要保证 以下几 条重 要的访 问控制策略 : ( )对工作 流任务 的合法性进行 检验 ; 1 ( )由任务 授 权 的用 户 所 拥 有 的权 限满 足 权 限 最 小 化 2
基 于 角 色 的 工 作 流 访 问控 制模 型 及 其 实现
崔玉松 沈文轩 张 林 王 宇
( 山科技 大学计算机科学与工程学院 鞍 辽宁 鞍 山 14 4 104)
摘 要
提 出一个基于角色 的工作流访 问控制模 型。模 型的基本 思想 : 由于工作流 中的任务 分别对用 户和权 限进 行授权
Ab t a t sr c
A w r f w c e sc n r l d l a e n r l sp o o e . h a i d a o i mo e s ta s r n e miso s a e a — o k o a c s o to l mo e s d o oe i r p s d T e b sc i e ft s b h d li h tu e sa d p r s i n l u
产品生命周期管理(PLM)系统解决方案
高效、灵活的研发-制造一体化模型
流程连接
数据连接
用户连接
新市场
ERP实施成功的关键点
不少企业的ERP实施后达不到预期效果,很大的一部分原因是对数据源(物料、BOM、技术文件)缺乏有效管理,产生一系列的问题:
生产部门的困惑
一物多码现象严重,两个完全相同的物料却具有两个物料编码有些零件非常近似,难道不能实现通用化?否则下料、生产计划的复杂度大大提高研发总是不断变更,导致生产安排无所适从,执行变更的断点不确定,往往导致成本损失车间现场的图纸总是和研发人员的图纸不一致,生产完成就报废
新型号A
新型号B
机电软一体化BOM与技术资料的关联
结构类的图纸等技术资料
硬件类的图纸等技术资料
软件类的程序等技术资料
CAD领域
CRM
云PLM为智能制造提供数据源
云.星空PLM/ERP/MES
物料
EBOM
工艺路线
加工参数
控制计划
CNC代码库
物料采购
生产计划
工序计划
CADEDA
CAM
电子看板
操作工人
新物料的使用增加了设计变更的机会
创建全新物料
新工艺、质量标准定义工作
新供应商评定工作
更复杂的采购批次
更复杂的生产计划
库存增加
更多的重复设计
成本增加
效率降低
零件ABC分类
定义企业通用件
尽量借用已有物料
控制新物料产生
定义通用等级
创建通用件库
物料优选
新物料承认流程
新物料对企业的影响
问题和影响
导致的结果
如何解决
PLM支持
访问控制模型.
基本内容
访问控制首先需要对用户身份的合法性进行验证,同时利用控 制策略进行选用和管理工作。当用户身份和访问权限验证之后 ,还需要对越权操作进行监控。 因此,访问控制的内容包括认证、控制策略实现和安全审计。 1、认证:包括主体对客体的识别及客体对主体的检验确认 2、控制策略:通过合理地设定控制规则集合,确保用户对信 息资源在授权范围内的合法使用。既要确保授权用户的合理使 用,又要防止非法用户侵权进入系统,使重要信息资源泄露。 同时对合法用户,也不能越权行使权限以外的功能及访问范围 3、安全审计:系统可以自动根据用户的访问权限,对计算机 网络环境下的有关活动或行为进行系统的、独立的检查验证, 并做出相应评价与审计
第四阶段: 此后,对访问控制模型的研究扩展到更多的领域,比较有代表性的 有:应用于工作流系统或分布式系统中的基于任务的授权控制模 型(task-based authentication control,简称TBAC)、基于任务 和角色的访问控制模型(task-role-based access control,简称 T-RBAC)以及被称作下一代访问控制模型的使用控制(usage control,简称UCON)模型,也称其为ABC模型。
访问控制模型基本组成:
发起者 Initiator
提交访问请求 Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
· 发起者(Initiator)/主体(Subject):是一个主动的实体,规定可以访问 该资源的实体,(通常指用户或代表用户执行的程序) · 目标(target)/客体(Object):规定需要保护的资源 · 授权(Authorization):规定可对该资源执行的动作(例如读、写、执 行或拒绝访问) ▲一个主体为了完成任务,可以创建另外的主体,这些子主体可 以在网络上不同的计算机上运行,并由父主体控制它们 ▲主客体的关系是相对的
Windchill 工作流 生命周期管理
57
© 2007 JWI
基本工作流 检入
将新建的工作流检入系 统
58
© 2007 JWI
工作流的测试 新建生命周期
站点、组织、产品、存储库管理员可在各自相应的上下文中创建、修改、 删除、查看生命周期
建立工作流与生命周 期之间的关联
点击“新 建”
59
© 2007 JWI
19
© 2007 JWI
基本工作流 审阅活动
移除或添加负责此活动的 角色
20
© 2007 JWI
基本工作流 审阅活动
可以根据活动的启动时间或 父进程的启动时间来设置最 后期限 指定错过最后期限的后果处理
指定要通知的人和通知时间
21
© 2007 JWI
基本工作流 审阅活动
控制工作流中后续活动的走向 无:无路由选择,当流程只有唯一的一条路径时; 条件:自动触发指定事件; 手动:允许用户选择该选项卡上指定的一个或多个路由选择事件; 手工排除 :允许用户选择该选项卡上指定的一个且只能选择一个路由选择事件;
设置最后期限、过期的处理方式、邮件通知
30
© 2007 JWI
基本工作流 审批活动
设置该审批活动需要2个人审批通过才通过, 否则被驳回
31
© 2007 JWI
基本工作流 审批活动
审批活动设置完成
32
© 2007 JWI
基本工作流 提交活动
设置提交活动,触发该流程。
该活动作用: 主要是设置“审阅者”和“批准者” 这两个角色中负责该项活动的具体负 责人
当文档、部件、图纸提交 审阅后,产品数据对象的 状态设置为“正在审阅”
44
© 2007 JWI
产品的生命周期-Product-Lifecycle-management
Oracle PLM的产品协同功能如何管理产品的生命周期的基于工作流的管理通常各个主流的PLM厂商都会有,使用上的区别关键看你要的流程是应用于哪些业务领域,比如说研发、供应链、市场、销售、服务、制造等等。
不同的大领域下又有细分。
主流的国外PLM,如PTC的Windchill,西门子的TeamCenter,Oracle的Agile对以上领域的覆盖程度不同。
就目前来说,PTC 的Windchill解决方案在流程上的覆盖面最广,软件包种类最多,单一平台集成程度最好。
如果是制造型企业,在ERP的使用比较多,Oracle的Agile也可以覆盖到一些偏制造的流程,但是如果要进行研发与制造的对接,就有些力不从心,尤其是对研发CAD数据的管理方面。
另外,对于产品生命周期的问题,其实也比较简单,首先要根据企业实际情况设定各个阶段的产品生命周期状态,再在各个流程节点上配置对应的状态变化判断条件,这样随着流程往下跑,状态就会发生变化。
产品生命周期管理定义与概念PLM(product lifecycle management)产品生命周期管理根据业界权威的CIMDATA的定义,PLM是一种应用于在单一地点的企业内部、分散在多个地点的企业内部,以及在产品研发领域具有协作关系的企业之间的,支持产品全生命周期的信息的创建、管理、分发和应用的一系列应用解决方案,它能够集成与产品相关的人力资源产品生命周期管理、流程、应用系统和信息。
PLM包含以下方面的内容:★ 基础技术和标准(例如XML、可视化、协同和企业应用集成);★ 信息创建和分析的工具(如机械CAD、电气CAD、CAM、CAE、计算机辅助软件工程CASE、信息发布工具等);★ 核心功能(例如数据仓库、文档和内容管理、工作流和任务管理等);★ 应用功能(如配置管理);★ 面向业务/行业的解决方案和咨询服务(如汽车和高科技行业)。
按照CIMDATA的定义,PLM主要包含三部分,即CAX软件(产品创新的工具类软件)、cPDM软件(产品创新的管理类软件,包括PDM和在网上共享产品模型信息的协同软件等)和相关的咨询服务。
产品全生命周期管理系统的关键技术和系统层次结构
产品全生命周期管理系统的关键技术和系统层次结构产品全生命周期管理(product overall lifecycle management,PLM)与产品数据管理(product data management,PDM)技术有着密切的联系,PLM是PDM的继承与发展。
PDM技术已经有近二十年的发展历程,其技术及相关产品的发展经历了3个阶段,即专用PDM阶段、专业PDM阶段和分布式标准化PDM阶段。
20世纪80年代初随着CAD在企业中的广泛应用,对于电子数据和文档的存储及获取新方法的需求变得越来越迫切,诞生专用PDM,以解决大量电子数据的存储和管理问题。
20世纪90年代初出现专业PDM系统,可以完成对产品工程设计领域的产品数据的管理能力、对产品结构与配置的管理、对电子数据的发布和工程更改的控制以及基于成组技术的零件分类管理与查询等,同时软件的集成能力和开放程度也有较大的提高。
20世纪90年代末分布式系统和PDM技术的标准化标志着了新一代PDM时代的到来。
PLM是当代企业面向客户和市场,快速重组产品每个生命周期中的组织结构、业务过程和资源配置,从而使企业实现整体利益最大化的先进管理理念。
产品全生命周期管理是在经济、知识、市场和制造全球化环境下,将企业的扩展、经营和管理与产品的全生命周期紧密联系在一起的一种战略性方法。
先进制造与管理技术认为,把以一个核心企业为主,根据企业产品的供应链需求而组成的一种超越单个企业边界的,包括供应商、合作伙伴、销售商和用户在内的跨地域和跨企业的经营组织称为扩展企业。
目前,客户和供应商的参与已经相当普遍,任何企业必须扩展,传统封闭孤立的企业已无法生存。
产品全生命周期管理(PLM)将先进的管理理念和一流的信息技术有机地融入到现代企业的工业和商业运作中,从而使企业在数字经济时代能够有效地调整经营手段和管理方式,以发挥企业前所未有的竞争优势。
所谓产品全生命周期管理(PLM)就是指从人对产品的需求开始,到产品淘汰报废的全部生命历程。
Amphenol PDM 系统基本概念及访问环境介绍
访问权限解释
访问控制(What 对象类型、When生命周期状态或工作流节点、Where 在哪个容器或 域、Who角色或组或承担者、hoW 读取 创建 修改 下载 修订等) 确定何人可在指定的产品和存储库中创建、读取、修改和删除特定的数据对象(文档、 部件)。
PDM运行环境介绍
B/S构架,基于LDAP、Oracle DB、JSP
零部件是构成产品结构的基本原色。它不是孤立存在的,零部 件与其他零部件有结构上的上下级关系(即使用与被使用的关 系),通过这种上下关系形成整个产品的结构。成品是一种特 殊的零部件。这种由成品和零部件形成的产品结构又成为BOM (Bill of Material)
零部件是实物的一种抽象,通过它仅能反映结构上的关系。零 部件具体是如何设计的,应该如何制造等信息是通过与之相关 联的技术资料来说明的。我们泛称这些技术资料为图档或文档。
搜索功能页面
打开搜索功能页面,分在该产品内搜索(确定了产品)、在文件夹内搜索(确定了 产品内的某个文件夹)和在组织内搜索
谢谢!
存储库主要用于存放标准件、通用件、各种模板等具有通用性的零部件、图纸和参考文档, 同样我们可以在存储库选项卡中看到存储库的详细信息、团队、工作区等信息。
变更选项卡
变更选项卡页面主要是列表显示变更请求、变更通告等流程,点击列表中的链接可以查看 流程信息,如果要创建新的变更请求或变更通告,可以在产品文件夹中,找到需要变更的 对象,然后点击操作,在下拉菜单中找到“创建变更通告”的选项创建变更通告
产品的概念:
“产品”是企业研发制造的相关产品数据的一个存储区域,或称为“产品 容器”,也可称为“产品上下文”。
用户可以为“产品”中的产品数据定制访问权限规则、编码方案、版本 方案、生命周期和工作流。
访问控制模型简介课件
一、什么是访问控制 二、DAC模型 三、MAC模型 四、RBAC模型 五、LBAC模型
一、什么是访问控制
访问控制是指控制对一台计算机或一个网络中的 某个资源的访问
有了访问控制,用户在获取实际访问资源或进行 操作之前,必须通过识别、验证、授权。
二、DAC模型
Discretionary Access Control(DAC)自主访问控 制模型
四、RBAC模型
Role Based Access Control(RBAC)基于角色 的访问控制
管理员定义一系列角色(roles)并把它们赋 予主体。系统进程和普通用户可能有不同的 角色。设置对象为某个类型,主体具有相应 的角色就可以访问它。这样就把管理员从定 义每个用户的许可权限的繁冗工作中解放出 来
自主访问控制模型是根据自主访问控制策略建立的一 种模型,允许合法用户以用户或用户组的身份访问策 略规定的客体,同时阻止非授权用户访问客体,某些 用户还可以自主地把自己所拥有的客体的访问权限授 予其他用户
——DAC模型特点
自主访问控制模型的特点是授权的实施主体 (可以授权的主体、管理授权的客体、授权 组)自主负责赋予和回收其他主体对客体资 源的访问权限。DAC模型一般采用访问控制矩 阵和访问控制列表来存放不同主体的访问控 制信息,从而达到对主体访问权限限制的目 的。
谢 谢!
——RBAC特点
RBAC模型是20世纪90年代研究出来的一种新 模型,从本质上讲,这种模型是对前面描述 的访问矩阵模型的扩展。这种模型的基本概 念是把许可权(Permission)与角色(Role) 联系在一起,用户通过充当合适角色的成员 而获得该角色的许可权
五、LBAC模型
现有的基于层次的访问控制模型(LBAC)就是基 于工作流视角的。它通常被用于由多个工作流管 理系统实现的组织间(inter-organizational) 工作流。原因是LBAC采用了一个独立的访问层 (Access Layer,AC),它封装了该组织的访问 控制系统。由访问层将组织内的工作流转化为组 织间的工作流,而采用同样的方式对组织内和组 织间的工作流的访问控制问题进行处理。概括说 来,所谓工作流视角的LBAC,就是指把整个访问 控制过程看作是层次化的工作流的实现
工作流管理系统中的授权与访问控制
f 。
【 关键词 】 访 问控制 。 工作 流, 授权
1 弓言 I
2 。用 户 12具 有 部 门经 理 的 角 色 , 此 可 以 执行 操 作 12 另 外 、 因 、, 今 天 ,工 作 流 技 术 正 在 应 用 到 越 来 越 多 的 行 业 中 ,例 如 电 部 门经 理 具 有 部 门员 工 的 成 员 资 格 .所 以用 户 12还 可 以 执 行 、
一 一
具 有 的职 能 。 色 由 系 统管 理 员定 义 , 色 成 员 的增 减 也 只 能 由 不 同许 可 集 的 抽 象。 在 图 3中 表 示 的 。 角 角 如 系统 管 理 员 来 执 行 。 只有 系 统 管 理 员 有 权 定 义 和 分 配 角 色 。 即 用 T A B C中 的 授 权 不 仅 与 主 体 和 客 体 有 关 ,还 与 系 统 中正 在 户 与 客体 无 直 接 联 系 。他 只有 通 过 角 色 才 享 有 该 角 色 所 对 应 的 执 行 的 任 务 、工 作 流 执 行 情 况 发 及 主 体 所 担 当 的 角 色 有 关 。 权 限。 而访 问相 应 的客 体 。 同一 个 用 户 可 以拥 有 多 个 角 色 的 成 T A 中 的权 限是 和任 务 相 结 合 的 .任 务 的 执 行 被 看 作 是 主体 从 BC 员 , 同一 个 用 户 可 以扮 演 多 种 角 色 , 即 同样 , 个 角 色 可 以拥 有 使 用 权 限 访 问 客体 的 过程 , 务 有 多 种 状 态 , 限 的有 效 性 与任 一 任 权 多 个 用 户 成 员 。 B C提 供 了一 种 描 述 用 户 和 权 限 之 间 的 多 一 R A 多 务 状 态 相 关 , 只有 当任 务 处 于 运 行 态 时 , 体 才 能 使 用 权 限访 问 主 关 系 。如 图 1 示 表 示 了用 户 、 色 、 作 和 客体 之 间 的关 系 。 所 角 操 客体 , 任务 完 成 时 , 限就 被 收 回 。这 保 证 了 主 体 只有 在 特 定 任 权 务 执 行 期 间 才 能访 问它 需 要 访 问 的 客体 。
访问控制模型
第四阶段: 此后,对访问控制模型的研究扩展到更多的领域,比较有代表性的 有:应用于工作流系统或分布式系统中的基于任务的授权控制模 型(task-based authentication control,简称TBAC)、基于任务 和角色的访问控制模型(task-role-based access control,简称 T-RBAC)以及被称作下一代访问控制模型的使用控制(usage control,简称UCON)模型,也称其为ABC模型。
第二阶段: 美国国防部(Department of Defense,简称DoD)在1985年公布的 “可信计算机安全评价标准(trusted computer system evaluation criteria,简称 TCSEC)” 中明确提出了访问控制在计算机安全系统中的重要作用,并指出 一般的访问控制机制有两种:自主访问控制DAC和强制访问控制 MAC。目前,DAC和MAC被应用在很多领域。
访问控制模型——发展历史
最早由Lampson提出了访问控制的形式化和机制描述,引入了主体 、客体和访问矩阵的概念,它们是访问控制的基本概念。 对访问控制模型的研究,从早期的20世纪六、七十年代至今,大致 经历了以下 4 个阶段:
第一阶段: 20世纪六、七十年代应用于大型主机系统中的访问控制模型,较 典型的是Bell-Lapadula模型和HRU模型。 Bell-Lapadula模型着重系统的机密性,遵循两个基本的规则: “不上读”和“不下写”,以此实现强制存取控制,防止具有高安 全级别的信息流入低安全级别的客体,主要应用于军事系统中。
RBAC优点: • 减小授权复杂度,提高效率质量 不再存在大量权限的直接变动和授予,而是通过变化较少 的角色变动和授予替代 • 动态管理 权限变更只影响涉及的角色,修改角色的权限动态反应到 具有角色的所有主体,主体可自行禁用或者启用拥有的角 色,系统也可根据情况自动禁用启用主体角色,角色启用 禁用可使用密码 • 授权基本和现实情况符合,失真较小 管理员负责简单工作(比如角色到主体的映射),研发人 员负责复杂工作(比如客体、操作、权限到角色的映射)
面向Web服务工作流系统的访问控制模型
集J P的映射 函数 ,记为 P r sin() PI ,) P } emi osr ={ ( , ∈ A ; s P
( )R c R× ,表 示 角 色 之 间 的偏 序 关 系 ,可 用 符 6 H R 号 表 示 。 , ∈R 表 示 角 色 继 承 了 角色 的 权 限 , ) H
( 1) 用 户 集 U= , , ,U } , 角 色 集 U…
R={ , , , } r r … ,权限集尸={ 1 2… ,P } lz P, , P ;
( )U × 2 AcU R,表 示 从 用 户 到 角 色 的 多对 多 的分 配
关系 ,U ( i表示为用户 U 分配了角色 r ; A u, ) r f j
性。
关系,P (, ) A rp 表示为角色 分配了权限P;
( )U es: 2 4 sr R ,表 示 从 角 色 集 到 用 户 集 u 的
映射函数 ,记为 U esr ={ l r ∈ A ; sr() U ( ) U ) ,
( )Pemi in : — 2 表 示 从 角 色 集 到 权 限 5 r s o s R , s
过与资源的运算生成 系统权 限,从而实现 了对权限的精细管理和动态调整能力。通过扩展 We b服务访 问的角色集和 用户 集,
并 引 入 角 色扮 演 对 象 ,实 现 了工 作 流 系统 中 We b服 务 与 其 它模 块 访 问控 制 的 一 致性 。将 该模 型应 用 于库 房 供 应 链 系 统 中 , 运行 结 果 表 明 ,该 模 型 能 够 增 强 We b服 务 工作 流 系统 授权 的 灵 活 性 和 安 全 性 。 关键 词 : 访 问控 制 ;W e b服 务 ; 工作 流 系 统 ;R AC;供 应 链 B
一种工作流管理系统中的访问控制模型
色. 用户、角色. 权限 的映射关 系之 外 ,还对角色 的继承 关系 以及角色的约束条件等 R AC的基本概念作 出定义 。 B B 】 AC R
模型与直接的用户- 权限关联的访问控制模型相比, 简化了授
权 的管理 ,减小 了授权管理工作量和复杂度。
G o eMao 大学 的 Snh 等在 R A er sn g adu B C模型的基础 上 提出了 R A 9 型( B C 6模 如图 l 所示)】 ¨。该模型扩展了基本的
摘
蔓 :在 R A 9 模 型的基础 上 。 出了应用于工作流管理系统 的权 限管理和 访问控制模型 Wf B C B C6 提 - A ,以使得工作流系统 中的访 问控 R
制管理 更加有效 而灵 活。提 出了一 种该模 型的三层控制策 略。并通过 一个实例来说 明该模 型和策 略的实现机 制 。
l概述
工作流技术经过几十年发展 , 已经在 很多领 域如 E P R 等 有了广泛的应用…。工作流 系统将业 务流程定义和业务处理 逻辑相 分离 ,可支持对 系统流程 的灵活定义 ,有效解决 了系 统一 旦完成 ,流程难 以改变 的问题…。 工作 流技 术发 展到现在 已经 比较成熟 ,但 是在某些 方面 尚不完善,其中一 点就 是工作流 管理 系统 的访问控 制问题。
关奠诩 :工作 流管理系统 ;访问控制 ;权限管理 ;基于角色 的访问控制模型
A RBAC o e o k o M a a e e tS se M d l nW r f w n g m n y tm i l
XI ONG n BAIXio ig Yu , a yn
( e at n f mp tr cec n eh oo y T ig u ies y B in 0 0 4 D pr met o Co ue i eadT c n lg . s h a vri . e ig10 8 ) S n n Un t j
国产PDM软件介绍系列之三——清软英泰TiPLM功能介绍
国产PDM软件介绍系列之三——清软英泰TiPLM功能介绍PLM(产品全生命周期管理)是当代企业面向全球客户和市场、充分利用企业资源配置,以实现整体利益最大化的先进管理理念。
产品全生命周期管理是在经济、知识、市场和制造全球化环境下,将企业的发展、经营和管理与产品的全生命周期紧密联系在一起的一种战略性方法。
一、产品定位TiPLM系统面向产品和过程管理,其根本目标在于支持企业创新,使新产品创意从概念变成现实。
TiPLM系统作为企业基础信息服务、数据和过程管理平台,提供包括市场销售、概念设计、产品设计、工艺设计、生产制造、产品交付以及维修服务等产品各个生命周期阶段的多层面、多目标的服务。
TiPLM产品强调“知识驱动的应用”和“产品知识管理”,目的是引导和鼓励企业建立自己的、基于PLM 系统的智力资产管理系统,以无形资产支援和带动有形资产,为企业创造更大的价值。
二、主要功能1.模型定制动态定义和维护企业模型,可有效支持企业业务模型的动态演变,主要包括数据模型定制、组织模型定制、过程模型定制、视图网络模型定制以及生命周期模型定制。
可实现类与类的关联关系的定制,实现企业数据全相关的管理。
2.权限管理基于角色设置产品数据的访问控制规则,不同的权限对应不同用户的权利,使系统安全能够得到有效保障。
权限分为静态权限和动态权限两种控制模式。
静态权限的控制可分为多个层次,包括安全级别、对象类权限、对象关联权限、对象权限以及对象属性权限等。
动态权限控制,可在工作流程中设置权限,并实现了动态权限和静态权限的统一校验。
为了满足集团化企业的管理需求,通过管理角色支持多级授权,使权限得到有效分离。
3.项目管理采取面向产品的项目管理机制,对项目的进程进行计划、调度、监视和控制,使企业主管能够实时监控任务进度和产品数据,可通过可视化工具进行项目的配置和实时跟踪。
项目管理集成工作流监控和消息模块,可以直接干预工作流的进度。
项目管理的任务模块和任务提交物相结合,使管理人员能够直接、清晰地了解各级任务的工作成果。
基于工作流管理系统的访问控制模型的研究
圈
有不 同的访 问权限 。 在 T s5中, 如 ak 对于访 问数据( 检验 单和
评 价报 告)角色( 价人 ) 该对 其 的权 限分 别 是查 看和填 , 评 应
写。
f) 每一个 活动节点 中 ,拥 有的访 问角色 只有 一个 , 3在 这 是与 X DL参与者描述相 一致 的, P 一个活动 实例的执行只
切 l 检验申 l l 填写检验申 写检验单植 I 检验单签 lI 填写检验 I 遗肇 I 单同意检验 ¨ l 验过程数据 f 发 I 人签名 lI 评价报告 f
圈
圈
图 1 LM IS系统 的典型业务流程
该流 程有 以下六 个任务组成 : 出检验 申请 (a k ) 发 提 T s1, 送检 验样 品 (a k ) 进 行样 品检验 (a k ) T s2 , T s3 ,签发检 验报告 (a k ) 检 验 结 果 评 价 (a k ) 核 发 检 验 评 价 报 告 T s4 , Ts5 , (a k ) 在访 问控制方 面有 以下特 点: T s6 , () 1 工作流 程 的一 个活动节 点 , 能不 仅仅 要处理 一个 可 数据 , 可能要访 问多个数据 。如在 T s2中要同时填写检 验 ak 申请单和检 验单 。
一
5 一 5
维普资讯
一
点 只 有 ~ 个 访 问 角色 。 () 于 发起 的 同 一 过 程 实 例 ,存 在 互 斥 角 色 的 描 述 。 4对
期 中的进 展程度 。
R l : 义 了 该 授 权 步拥 有 的唯 一 角 色 。 oe 定
对应 一个角色 。 如在 T s lT s2 … ,ak a k ,a k , T s 6中, 每个活动节
产品生命周期管理
产品生命周期管理产品生命周期管理(Product Life Management,PLM)[编辑本段]产品生命周期管理定义所谓产品的生命周期,就是指从人们对产品的需求开始,到产品淘汰报废的全部生命历程。
PL M是一种先进的企业信息化思想,它让人们思考在激烈的市场竞争中,如何用最有效的方式和手段来为企业增加收入和降低成本。
[编辑本段]PLM与企业信息化以信息化带动工业化是中国制定的一个为期50年的长期发展战略。
在中国加入WTO以后,西方经济低迷,神州一枝独秀,中国正在迅速成为世界制造业的中心。
在经济全球化的压力下,中国的制造业企业面临更加激烈的市场竞争。
君不见,满街跑的“国产”汽车多数打着国外的商标;国内的家电企业正在被外方索要巨额的专利费……。
提升企业的核心竞争力已经成为企业首要的任务,而实现首要任务的有效途径之一就是加快企业的信息化进程,依托信息化的手段,研发出更新更好的产品,有效地增加收入和降低成本。
因此,近一两年来,企业信息化正在成为企业行动的目标和市场上时髦的词汇。
企业信息化,特别是制造业企业信息化,无论你如何分类、组合,剖析、预测,或是以你想要的任何方式来评估、定义它,最终,企业信息化尘埃落定为四个主要的业务领域,由四种主要的IT 信息系统所代表。
它们是:企业资源规划(ERP)系统,供应链管理(SCM)系统,客户关系管理(CRM)系统和产品生命周期管理(PLM)系统。
这四种信息系统的有机结合应用,构成了企业信息化的重要组成部分。
企业可以根据自身的情况,面向某类特定的业务问题,选用一种或几种系统来构建自己的企业信息化框架体系。
那种认为企业信息化就是实施ERP系统的观点是十分片面和有害的。
关于PLM不同的观点如何定义PLM是一个十分重要的问题。
这有助于市场对PLM的理解,有助于在制造业客户群体里推广PLM的使用和实施。
但是,令人遗憾的是,由于PLM是一个发展很快、比较新的信息化领域,关于这一方面的研究成果还不多,而且正在从事这方面研究的一些的咨询公司、厂商彼此之间还有一些不同的见解,因此并没有一个公认的对PLM的定义和诠释。
Teamcenter实施及介绍
信息孤岛和数据私有化 串行的设计流程无法满足协同的需要 图/文/物不一致 研制进度的不透明,不能实时了解项目进度 数据查找困难,设计中数据重用少 设计与实物不一致 设计错误在生产中重复出现 产品技术状态管理困难
产品信息的控制 开发流程的控制
统一产品数据源
产品的整个生命周期中各个团队都产生产品相关的信息 各团队间存在着频繁的信息流动以支持围绕产品的知识创新活动
部件/装配
变型
标准模块
产品系列
基础平台
Left
Right
V8
V6
5 Speed
Automatic
Vehicle
Family 1
Vehicle
Family 2
Vehicle
Family n
Vehicle
Family 1
Vehicle
Family 2
Vehicle
Family n
Basic and
Stable Parts
PLM不仅仅是技术 更主要是管理思想
内容
PLM基本概念介绍 Teamcenter介绍 PLM实施经验介绍 案例介绍
Teamcenter提供完整的PLM解决方案
工艺和采购
加工装配
安装调试
维护大修
拆除处置 和再利用
详细设计 部件选装
产品工程 设计分配
需求规划
销售和报价
产品交付
Teamcenter的产品线覆盖PLM的各个领域
若发动机=1200,则选手排档和无防雾灯
若发动机=1600,则选中自动排档和有防雾灯
变量及其值域
配置条件
Part 20002001
Part 20002002
一种工作流管理系统中的访问控制模型
一种工作流管理系统中的访问控制模型
熊云;白晓颖
【期刊名称】《计算机工程》
【年(卷),期】2006(032)022
【摘要】在RBAC96模型的基础上,提出了应用于工作流管理系统的权限管理和访问控制模型Wf-RBAC,以使得工作流系统中的访问控制管理更加有效而灵活.提出了一种该模型的三层控制策略,并通过一个实例来说明该模型和策略的实现机制.【总页数】4页(P78-80,86)
【作者】熊云;白晓颖
【作者单位】清华大学计算机系,北京,100084;清华大学计算机系,北京,100084【正文语种】中文
【中图分类】TP311.12
【相关文献】
1.一种新的协同设计环境中访问控制模型研究 [J], 沈国强;姚丽华;张国煊;姜涛
2.一种基于角色的访问控制扩展模型在开放课程系统权限控制中的实现方法 [J], 王松;叶晓波;刘洪基
3.P2P文件共享系统中的一种基于商品市场模型的访问控制机制 [J], 李勇军;代亚非
4.一种改进的RBAC访问控制模型在WEB系统中的应用 [J], 卢宏才
5.一种基于扩展RBAC的访问控制模型在SSL VPN系统中的应用 [J], 徐博; 郭淑琴; 陆敏飞
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第11卷第10期计算机集成制造系统Vol.11No.102005年10月Computer Integrated Manufacturing SystemsOct .2005文章编号:1006-5911(2005)10-1367-05产品生命周期管理系统中工作流的访问控制模型廖 旭,张 力(清华大学软件学院,北京 100084)摘 要:为了满足产品生命周期管理系统对流程的访问控制需求,在基于角色的访问控制模型的基础上,提出一种访问控制模型,实现了产品生命周期管理系统和工作流管理系统的共同授权。
由产品生命周期管理系统管理企业中的文档和用户等信息,对其进行静态授权。
在流程中,为实现动态授权,防止流程死锁和权限泄漏,引入基于流程实例的对象组,用于容纳在流程中的数据;同时,允许在流程、活动和对象组这3个层次上进行授权,不同层次的权限允许被继承和重定义。
这样,不仅方便管理员进行授权,而且增加了授权灵活性,细化了授权粒度。
关键词:产品生命周期管理系统;工作流管理系统;访问控制;基于流程实例的对象组中图分类号:T P391.9 文献标识码:AAccess control model for workflow management system for PLMLI A O X u,ZH A N G L i((Sch.o f Softw are,T singhua U niv.,Beijing 100024,China)Abstract:To meet the access control r equirements o f w orkflo w in product lifecy cle manag ement (PLM )system,an access contr ol model was proposed based on the Role Based A ccess Control M odel (RBAC)to implement the co-authorization of the Workflow Management System (WfM S)and the PLM system.P LM system was employed to manag e and conduct stat -ic authorization on information such as files and users.To implement dynamic access control and avoid process deadlock and privileg e leakage,the object group based on process instance was introduced.It was used to contain and manage the data used in process.M oreover,author ization could be granted fr om thr ee levels:process,activity,and object g roup in this model.T he author ization of each level could be inherited and redefined.T his method has facilitated the management of ad -ministrators,and improved the flexibility and author ization gr anularity.Key words:pr oduct lifecycle manag ement system;wo rkflo w manag ement system;access contro l;pro cess instance based o bject gr oup收稿日期:2004-07-13;修订日期:2004-08-16。
Received 13Jul.2004;accepted 16Au g.2004.基金项目:国家863/CIMS 主题资助项目(2002AA4Z3310,2003AA411022)。
Fo undatio n item:Project su pported by th e National High -T ech.R&D Program for CIMS,China(No.2002AA4Z3310,2003AA411022).作者简介:廖 旭(1981-),男,江西兴国人,清华大学软件学院硕士研究生,主要从事工作流、访问控制等方面研究。
E-m ail:liaox02@m 。
0 引言产品生命周期管理(Pro duct Lifecy cle M anage -m ent,PLM )系统贯穿于产品的整个生命周期,涉及产品的开发、生产、打包和分配等各种流程,在执行业务流程时,各种文档和数据在流程中传播,如何确保这些信息的安全就变得十分重要。
访问控制是保证信息安全的一种主要手段[1,2],目前应用最广泛的访问控制模式是基于角色的访问控制。
1996年,文献[3]提出了一系列的模型,形成了RBAC 96标准,RBAC 被引入工作流管理系统领域后,由于并不能很好地适应工作流环计算机集成制造系统第11卷境,很多研究人员都提出了各自的改进方案;文献[4]提出用Petri Nets来表示授权模型,强调了角色和任务两个概念;文献[5]总结了工作流管理系统中的各种约束和规范,并进一步提出了相应的语言算法来描述和验证。
PLM系统的访问控制一般偏向传统的文档管理和用户管理,采用基于角色的访问控制。
这种授权模式基本上是静态的,用户在登陆了系统后就被赋予了固定的权限,该权限在其退出系统之前都不会改变。
但这种模式不能满足工作流管理系统中动态授权的要求。
在流程中,权限和上下文相关联,在不同的上下文中,同一个角色的权限可能不同。
本文在PLM系统原有的RBAC基础上,引入基于流程实例的对象组。
通过用对象组管理在流程中使用的数据对象,不仅可以实现工作流中的动态授权,还可以增加授权的灵活性,细化授权粒度。
下面将讨论在PLM系统中,工作流管理系统的特殊访问控制需求,并以笔者开发的TiPLM系统为例,讨论如何实现它的访问控制机制。
1 PLM系统中工作流管理系统的访问控制需求PLM系统需要管理整个企业的各种信息和数据,包括员工信息、生产信息和产品信息等。
而产品信息又包括文档、图纸、零件、工艺以及它们之间的各种关联。
这些信息只有参与到流程中,才能完全达到PLM在企业信息化中的目的。
流程是为了完成某个目的而相互连接的活动或任务的集合,流程中的数据对象将伴随流程在企业各部门之间流动。
这样,一方面加快了信息的流通,另一方面也引入了新的安全需求。
本文将主要从3个方面讨论PLM 中工作流的访问控制。
(1)共同授权 由于集成或内嵌于PLM系统,工作流管理系统需要和PLM系统共同完成授权。
PLM系统在文档管理等方面已经很成熟了,它可以很好地控制每个用户对不同类型数据的权限,还能区分文档、图表等对象所处的状态。
例如,如果对象处于检入状态,就没有修改、删除等权限,而对象只有处于定版状态才能进行升版操作。
如果完全摒弃PLM系统原有的授权体系,由工作流管理系统单独授权,将会极大地增加系统复杂度。
因此,PLM系统分担工作流管理系统部分授权,两者协同工作完成授权,才是最好的办法。
(2)动态授权 随着流程运行到不同的任务节点,流程参与者所拥有的权限是变化的。
以一个典型的流程为例,如图1所示。
图中是一个审批流程模板,包括4个任务节点和1个路由节点。
1个用户拥有 设计员 这个角色,但其在执行 设计图编制 和 工艺图编制 这两个任务时,能访问的对象应该不一样。
而某个用户在PLM系统中也许不具备访问 设计图纸 的权限,但是如果被分配执行 审核 这个任务,就有权限访问设计图纸,而且是只能在开始执行这个任务时赋予访问权限,任务结束后就不再具备访问权限了。
由此可以看出,流程中的授权是动态的,即使同一角色,在不同的流程中拥有的权限也是不同的,甚至在同一流程的不同活动节点,拥有的权限也可能不一样。
(3)最小授权 指授予用户的权限恰好能够完成这个任务。
例如,在该流程中, 审核 节点的执行人只需要访问设计图和工艺图,而且由于只是审核图纸,执行人也不能拥有 修改 和 删除 等权限。
如果给用户授予了过大的权限,就会造成权限的泄漏;如果权限过小,则用户无法成功完成任务,造成流程的死锁。
因此,最小授权是指用户恰好能完成任务的最小权限。
2 PLM系统中工作流管理系统的访问控制模型2 1 PLM系统的访问控制PLM系统采用的是基于角色的访问控制模式,对它的描述如下U为所有的用户集合,u为一个具体的用户。
R为所有的角色集合,r为一个具体的角色。
O为所有对象的集合,o为一个具体的对象,在PLM系统中,对象指系统管理的各种数据,如数量庞大的文档以及他们之间复杂的关系。
C为所有类1368第10期廖 旭等:产品生命周期管理系统中工作流的访问控制模型的集合,c为一个具体的类。
PLM系统管理的对象虽然很多,但是他们可以按照类别来划分,如分成组织、产品、文档和图表等不同大类;而这些大类又可以继续划分成更小的子类,如 产品 又可以继续划分成定制件、自制件等。
P为所有权限的集合,p为某一项权限。
(1)角色的层次关系(role hierarchy) RH R R,(r i,r j) RH表示r i是r j的父角色,父角色能自动拥有子角色的全部权限。
(2)类的层次关系(class hierarchy) CH C C,(c i,c j) CH表示c i是c j的父类,用户对父类授予的权限可以自动适用于子类。
(3)用户角色指派关系(user ro le assign) UR A U R,(u i,r j) URA表示用户u i被赋予角色r j,用户u i将获得角色r j的全部权限。
(4)角色权限指派关系(r ole perm issio n assig n) R PA R P,(r i,p j) RPA表示角色r i被赋予权限p j。
(5)对象和类从属关系(object class belo ng) OCB O C,(o i,c j) OCB表示对象o i属于类c j。
PLM系统的授权可以针对类或对象,一条授权表示为一个三元组:g rant=(r,o,p)或者gr ant= (r,c,p),其中u U,r R,o R,c C,p P。
2 2 基于流程实例的对象组以图1的流程为例,可以通过工作流管理系统(Workflow M anag em ent System,WfMS)中的流程定义工具把它构建成一个流程模板。