1．前言

    产品数据管理系统PDM和产品全生命周期管理系统PLM是以软件为基础，管理与产品相关的信息和所有与产品相关的过程的技术。随着数据库技术与面向对象技术的应用，PDM/PLM技术得到了迅速的发展，并且逐步实现了与企业其它信息系统如CAD、CAPP、 ERP、CRM等系统的集成。PDM/PLM系统管理的范围不仅限于设计部门和制造部门，也涉足到销售、制造、财务、售后服务等各个部门。

    PDM/PLM系统的安全是靠认证、访问控制、审计、加密等多种技术共同协作来保证的。访问控制技术处于系统安全的中心环节，保证了数据的保密性、完整性和可用性。在企业信息化程度越来越高的今天，PDM/PLM系统中的访问控制技术发挥了越来越重要的作用。访问控制技术和授权模型在很大程度上影响着PDM/PLM系统的可用性、易用性和安全性。

    目前已经提出的针对信息系统的访问控制模型有很多种，如：矩阵模型、自主访问控制模型、强制访问控制模型、基于角色的访问控制模型、工作流访问控制模型等，大多数PDM/PLM系统的授权模型往往是上述几种授权模型的综合。

    2．主流PDM/PLM系统授权模型的比较

    表1给出了几个主流PDM/PLM系统授权模型的比较。下面主要介绍一下这些系统在授权模型方面比较有特色的地方。

    2.1 WindChill

    WindChill采用了Domain（域）的概念，一个Domain是一些不同类型的对象的集合。在每个不同的Domain上可以定义不同的访问控制策略和访问控制权限。

    在每个Domain上的访问控制策略是由一系列的访问控制规则组成的。访问规则规定了主体对客体在各种生命周期状态下的访问权限。规则的一般形式为“if <antecedent> then <consequent>”。这些规则是可以沿类树从父类向子类蔓延。WindChill采用ACL（访问控制列表）的方式来体现一个对象上的访问控制规则。

    2.2  Teamcenter Enterprise

    Teamcenter Enterprise中的权限控制使用 “基于规则” 的方式，可以通过规则来实现对用户操作权限的控制，控制用户、角色、工作组和部门对一个对象、一类对象或数据仓库的操作权限，并可与电子流程相结合。Teamcenter Enterprise支持三类规则：

    访问控制规则（Message Access Rules）

    通知规则（Notification Rules）

    数据定位规则（Location Selection Rules）

    Teamcenter Enterprise中提出了动态用户的概念，一个用户，只有在满足某种属性条件的前提下，才可以具有某些权限。

    2.3 Teamcenter Engineering

    Teamcenter Engineering通过两种方式控制用户对数据文档的访问：

    面向对象的访问控制方式

    以规则为基础对数据对象实行分类访问控制

    其中规则方式是一种粗线条的管理方式，在规则控制的访问（Rule_Based Access）控制中，可根据数据对象当前的状态、类型、所属用户或组三个属性统一确定可存取该数据的人员范围。

    Teamcenter Engineering中同样采用了基于角色的访问控制，一个用必须以某种角色登陆，才能获取相应的权限。Teamcenter Engineering通过存取规则定义表，初始化权限模型，比较容易阅读。

    表1 一些PDM/PLM产品的授权模型分析

（注：表1中的比较仅限于作者对上述系统用户手册中有关权限介绍内容的理解）