1．前言

    产品数据管理系统PDM和产品全生命周期管理系统PLM是以软件为基础，管理与产品相关的信息和所有与产品相关过程的技术。随着数据库技术与面向对象技术的应用，PDM/PLM技术得到了迅速的发展，并且逐步实现了与企业其它信息系统如CAD、CAPP、 ERP、CRM等系统的集成。PDM/PLM系统管理的范围不仅限于设计部门和制造部门，也涉足到销售、制造、财务、售后服务等各个部门。

    PDM/PLM系统的安全是靠认证、访问控制、审计、加密等多种技术共同协作来保证的。访问控制技术处于系统安全的中心环节，保证了数据的保密性、完整性和可用性。在企业信息化程度越来越高的今天，PDM/PLM系统中的访问控制技术发挥了越来越重要的作用。访问控制技术和授权模型在很大程度上影响着PDM/PLM系统的可用性、易用性和安全性。

    目前已经提出的针对信息系统的访问控制模型有很多种，如：矩阵模型、自主访问控制模型、强制访问控制模型、基于角色的访问控制模型、工作流访问控制模型等，大多数PDM/PLM系统的授权模型往往是上述几种授权模型的综合。

2．主流PDM/PLM系统授权模型的比较

表1 一些PDM/PLM产品的授权模型分析

    表1给出了几个主流PDM/PLM系统授权模型的比较。下面主要介绍一下这些系统在授权模型方面比较有特色的地方。

2.1 WindChill

    WindChill采用了Domain（域）的概念，一个Domain是一些不同类型对象的集合。在每个不同的Domain上可以定义不同的访问控制策略和访问控制权限。

    在每个Domain上的访问控制策略是由一系列的访问控制规则组成的。访问规则规定了主体对客体在各种生命周期状态下的访问权限。规则的一般形式为“if <antecedent> then <consequent>”。这些规则是可以沿类树从父类向子类蔓延。WindChill采用ACL（访问控制列表）的方式来体现一个对象上的访问控制规则。

2.2 Teamcenter Enterprise

    Teamcenter Enterprise 中的权限控制使用“基于规则” 的方式，可以通过规则来实现对用户操作权限的控制，控制用户、角色、工作组和部门对一个对象、一类对象或数据仓库的操作权限，并可与电子流程相结合。

Teamcenter Enterprise支持三类规则：

    ★访问控制规则（Message Access Rules）

    ★通知规则（Notification Rules）

    ★数据定位规则（Location Selection Rules）

    Teamcenter Enterprise中提出了动态用户的概念，一个用户，只有在满足某种属性条件的前提下，才可以具有某些权限。

2.3 Teamcenter Engineering

    Teamcenter Engineering通过两种方式控制用户对数据文档的访问：

      ★面向对象的访问控制方式

      ★以规则为基础对数据对象实行分类访问控制

    其中规则方式是一种粗线条的管理方式，在规则控制的访问（Rule_Based Access）控制中，可根据数据对象当前的状态、类型、所属用户或组三个属性统一确定可存取该数据的人员范围。

    Teamcenter Engineering中同样采用了基于角色的访问控制，一个用必须以某种角色登陆，才能获取相应的权限。

    Teamcenter Engineering通过存取规则定义表，初始化权限模型，比较容易阅读。