作為汽車制造業重要的工藝裝備，汽車模具企業往往只具有某些方面的優勢，因此企業必須通過互相協作來共同快速生產出符合客戶需求的產品，組建虛擬企業是整合行業資源、發揮企業核心競爭力的有效途徑，目前我國很多大的模具企業已經建立起了有效的協作網絡。隨著制造業信息化的不斷深入，對聯盟企業中大量信息有多種訪問需求的用戶具有不同程度的信息敏感度，如何在PDM（Product Data Management，產品數據管理）系統實施中，為模具網絡化制造過程參與者分配足夠的權限，并對虛擬企業資源進行訪問控制，從而限制非法訪問，支持合理的數據共享，成為網絡化環境下模具企業產品開發中迫切需要解決的一個問題。

一、基于角色的訪問控制（RBAC）

1 角色劃分

在基于角色訪問控制（Role BasedAccess Control，RBAC）的方法中引入角色這個中介，系統管理人員根據需要定義各種角色，并設置合適的訪問權限，用戶根據任務、責任和能力再被指派為不同的角色，從而實現用戶與訪問權限的邏輯分離。

在RBAC中，角色劃分對于基于角色的安全訪問控制機制非常重要，劃分合理可以大大簡化訪問控制授權管理的工作量。用戶被賦予某種角色，總要執行系統中一定的任務，因此角色劃分應該依據汽車模具開發過程中具體的任務需求來設定，而任務劃分實際上對應了開發項目的任務分解。汽車模具的開發都具有固定的工作流程，而企業中各個部門的崗位設置是和該工作流程相對應的。顯然，汽車模具在網絡化制造聯盟中進行開發，只是參與范圍發生了變化，汽車模具開發的工藝過程并沒有發生變化，因此對應的參與角色并未發生變化。如，設計部門的業務流程一般為：設計→審核→校對→批準這幾個活動，因此，在設計部門內部可以依據這些活動設置所需角色。

基于RBAC的分層概念，通過角色分層把角色組織起來，能夠很自然地反映組織內部用戶之間的職責和權限關系。基于此，網絡化產品開發中角色設置問題的關鍵是：設置各個成員的企業角色，一旦頂層角色完成了合理分配，則獲得設計、制造和供應商等角色的企業即可分別在其企業內部進行分層角色分配，而企業內部的角色分配則可沿用現有企業應用信息系統角色分配的方法。基于上述分析，按照部門對角色進行劃分，如表1所示。

▲

表1 汽車模具開發角色劃分表

2 權限分配

一個角色可以有很多個權限，而一個權限也可以重復配置于多個角色，向角色分配怎樣的權限，由角色要完成的任務決定。只有角色具有相應的權限后，用戶委派才能具有實際意義。因而權限必須是具體的、可控制的。

OP(操作集) 指對對象的讀、寫和刪除等操作，可表示為：OP::= ，如表2所示。

▲

表2 操作集定義

OBJ(客體集)，客體既包括計算機系統的數據客體，也包括由數據所表示的資源客體。

則權限可以表示為：，表示主體對系統中一個或多個客體以特定方式進行訪問的許可。系統中擁有權限的角色可以執行相應的操作，一個權限規則可表示如下：

::=<權限標識，客體，操作集>，意為允許某些用戶對某些數據進行某個操作。其中，控制客體集合可以是單一數據對象或業務對象、某一數據類型或所有數據。

在汽車模具開發項目進展的過程中會產生大量的項目文檔，如任務文檔和設計圖紙等，文檔是項目信息交流的重要內容，是任務之間的協作基礎，同時還存在描述汽車零部件、模具及其零部件等節點的屬性信息，所以這里的權限既可以指訪問整個產品開發中的各種文檔的權限，也可以指對一個特定的記錄項中特定字段的訪問，即對于每一個能在PDM系統中獨立存儲和管理的客體對象，都可以設置訪問權限。

二、基于技術崗位分組的用戶角色分配

直接給用戶分配角色，那么隨著參與企業、部門、用戶和項目的變化，勢必造成系統管理員分配權限的難度。如果能夠將不同部門的用戶按照一定的原則進行分組，將組與角色相關聯，則可以大大降低權限管理的難度。

經過調研發現，目前企業的生產和技術部門一般實行專業技術崗位制度，技術崗位是一種任職資格或能力標準， 如主任師、主管師、主管員和一般技術人員等。技術崗位的設置是對人員/用戶能力的靜態表述，對于任務分配來說，人員/用戶必須達到一定的技術水平，具備相關的能力才能在項目中執行一定的任務。因此，以技術崗位作為分組的標準，將參與網絡化制造協作的部門中的人員/用戶按照崗位分組。比如就參與協作的模具企業技術部門來說，D/L圖設計和校對必須具有“主任師”和“主管師”崗位的人才能擔任，而“技術員”崗位的用戶則可以由“模具結構設計”這個角色參與模具結構設計。

從參與模具網絡化制造協作過程來說，技術崗位是靜態的，擁有某技術崗位的用戶的職責和權限也是靜態的，職責和權限具有普遍的約束意義，而角色則是和具體的項目密切相關的，是動態的，即具有某個崗位的人員/用戶可以在A項目從事D/L圖設計工作，也可以在B項目中以“D/L圖校對”的角色進行D/L圖校對。在角色和相應的權限確定后，再將符合要求的某技術崗位的用戶賦予相應的角色，由此確定了每個用戶的權限和職責。

通過技術崗位分組進行角色分配，考慮了參與網絡化制造的模具企業目前的組織結構現狀，技術崗位確定的職責和權限，體現了權限管理的靜態特點，而基于技術崗位的角色分配又和項目過程中的任務密切相關，體現了權限管理中的動態特性，如圖1所示。

▲

圖1 基于技術崗位的角色分配

網絡化制造環境中各個企業中參與網絡化協作項目的人員/用戶及其角色是不穩定的，這要求系統的安全管理能夠敏捷地適應這種變化，采用這種“人員/用戶－技術崗位（組）－角色－權限配置”模型，能夠很容易地適應這種變化。如果企業因運作需要，需增添新的角色，只要確定該角色所需具備的任職資格（即確定該角色所對應的技術崗位），然后根據項目的具體需要授予其相應的系統訪問權限，安排相應的用戶即可。

三、結論

本文首先對網絡化環境下汽車模具產品開發中資源訪問的問題進行了闡述，依據汽車模具開發過程中具體的任務需求設定角色，基于RBAC的分層概念，通過角色分層把角色組織起來，通過權限規則對角色進行權限分配，基于技術崗位進行分組，將組與角色相關聯，大大降低了權限管理的難度，從而限制對資源的非法訪問，支持合理共享，有效地支持了網絡化環境下的產品開發。