基于域的综合访问控制模型

首先分析了企业实施产品全生命周期管理对于访问控制方面的需求，然后按照层次化的方式分析了访问控制模型的特点，将访问控制模型分为访问检查、授权和管理3个方面，分析了现有访问控制模型在支持这些需求方面的不足。在此基础上，提出了基于域的综合访问控制模型。该模型能够支持基于用户、基于角色和基于任务的多种主体授权方式，以及基于类型、基于实例化对象、基于属性和基于对象生命周期的多种客体授权方式。通过在国产产品全生命周期软件系统中的实际应用，证明了该模型能够较好地满足产品全生命周期系统中访问控制的特定需求。     

基于角色的柔性业务流程管理系统安全性研究

受活动执行权限控制,现有业务流程管理系统的访问控制模型难以满足系统的访问控制需求,影响系统的柔性。本文首先以业务流程管理系统操作行为的对象、用户和方法为研究对象,针对流程变更进行了细粒度的划分,并给出了规范的形式化描述。在此基础上,提出了基于角色的访问控制授权模型及其与系统的集成,描述了角色、用户和对象之间的关系,给出了授权方法,有效解决了业务流程管理系统的安全控制问题,保证了系统的柔性。     

面向产品生命周期管理的多粒度访问控制模型

为满足复杂应用环境下产品生命周期管理系统的访问控制需求,提出一种面向产品生命周期管理的多粒度访问控制模型.该模型通过完善基于角色的访问控制方法中访问主体的组成粒度和访问客体的层次粒度,引入访问客体生命周期粒度和许可分配控制粒度,在扩大基于角色的访问控制范围的同时,一定程度上降低了误授权率和公共许可的重复授权量,实现了对不同层次和生命周期状态的访问客体的精确控制,解决了临时授权、项目授权、委托授权等导致的许可一致性控制问题.最后,给出了该模型的形式化描述和许可一致性控制算法,并通过实例验证了该模型的有效性.     

PLM系统中工作流访问控制模型研究

为了满足产品生命周期管理(PLM)系统对工作流访问控制的需求,提出了一种基于生命周期状态、工作流节点和角色的工作流访问控制模型。该模型实现了一种基于组织的角色动态分配机制,满足了PLM系统中多项目团队并行开发的要求,提高了工作流系统权限控制的灵活性和安全性。通过建立数据项在工作流中的工作空间模型,以及生命周期授权模型和工作流节点授权模型,实现了PLM系统中生命周期管理争工作流管理的共同授权与访问控制,并且支持多种不同的权限解析规则。给出了该模型在某大型通讯设备制造企业PLM系统中的应用实例,验证了模型的正确性和高效性。     

PLM系统中工作流访问控制模型研究

为了满足产品生命周期管理(PLM)系统对工作流访问控制的需求,提出了一种基于生命周期状态、工作流节点和角色的工作流访问控制模型.该模型实现了一种基于组织的角色动态分配机制,满足了PLM系统中多项目团队并行开发的要求,提高了工作流系统权限控制的灵活性和安全性.通过建立数据项在工作流中的工作空间模型,以及生命周期授权模型和工作流节点授权模型,实现了PLM系统中生命周期管理和工作流管理的共同授权与访问控制,并且支持多种不同的权限解析规则.给出了该模型在某大型通讯设备制造企业PLM系统中的应用实例,验证了模型的正确性和高效性.     

面向设备维护联盟的知识安全管理研究

为使维护联盟中的知识资源能够在权限的约束下共享,结合基于上下文的安全管理和知识管理技术,提出了基于维护业务上下文的访问控制(MBCBAC)模型。与传统的基于角色的访问控制(RBAC)模型相比,MBCBAC模型以维护业务上下文作为访问控制的授权中介来实现业务驱动的知识安全管理,通过维护知识空间来实现知识对象粒度上的访问控制。基于MBCBAC模型构建的知识安全管理组件已成功应用于某e-维护联盟的知识管理系统中。     

产品数据管理系统中权限控制的研究与实现

为了实现产品数据管理系统中的权限管理功能，提高系统运行时的权限查询和权限控制的效率，按照产品数据管理系统的功能模块组织权限管理，建立了角色的访问控制模型。通过面向类的访问控制集和面向对象的访问控制集，实现了用户权限的存取控制。分析了产品数据管理类的继承方法和类操作的分配方式，实现了产品数据管理类子类的创建和操作权限的继承。通过分析操作之间的约束关系，进行了类操作和角色之间的约束管理，给出了权限授予规则和权限控制规则。该权限设置方式简洁、规范，提高了产品数据管理系统的运行效率，简化了产品数据管理中权限管理的二次开发。     

基于受控对象的多主体访问控制模型

在研究和分析基于角色的访问控制模型、基于组的访问控制模型等的基础上,结合工艺信息管理的特点,提出了基于受控对象的多主体访问控制模型。该模型能够利用受控对象之间的继承关系对访问控制策略进行继承,同时将访问控制的主体扩展为多种,实现针对单个用户和对象实例的细粒度的访问控制,具有授权操作简单、高效和易于表达的特点。该模型在进行权限控制时考虑了执行的上下文环境,是一种动态访问控制模型。最后给出了一个应用实例。     

面向产品生命周期的工作流管理功能建模

提出了一个将生命周期管理和工作流管理相结合的工作流管理功能模型。在该模型中,可以为每个生命周期状态建立相应的工作流,使受生命周期管理的对象(文档及零部件等)在不同状态下受不同工作流程的管理,形成对象关联于生命周期对象、工作流关联于生命周期状态的新型工作流管理模式,将原来结构复杂的工作流分解为简单的对象生命周期的阶段工作流。根据访问控制的最小权限原则,将访问控制策略与生命周期状态相结合,得到一种基于对象单个状态的特殊访问控制的定义方法,是对基于对象全部状态的通用访问控制的一种补充。另外,为了提高任务分派的灵活性,给出了“模型-角色”、“工作流-生命周期-角色”两种角色解析方法。     

面向虚拟企业的PT-TRBAC动态访问控制模型

在分析虚拟企业访问控制的基本要求以及现有访问控制模型特点的基础上,提出一种基于项目团队和任务角色的高效动态访问控制模型。该模型在无缝集成底层企业级基于角色访问控制模型的基础上,在上层根据任务流程将各盟员企业划分为不同的项目团队,进而实现了基于项目团队和任务角色的分层细粒度动态访问控制。同时,通过定义用户权限更新及撤销算法并引入自动角色指派策略和自动授权策略,实现了虚拟企业工作流系统的动态权限管理,支持虚拟企业中用户—角色和角色—任务—权限的自动指派。     

面向产品生命周期管理的特定领域建模方法

为满足产品生命周期管理面临的全面集成、快速开发和部署等深层应用需求,通过深入分析产品生命周期管理领域概念,提出由领域纲要、领域模板、应用模型、应用架构和应用数据组成的面向产品生命周期管理的特定领域建模方法.该方法通过领域纲要刻画产品生命周期管理领域概念的基本元素,以领域模板格式化描述并精确指定领域纲要所包含的特定内容及其格式,以领域纲要和领域模板形成的面向产品生命周期管理的特定领域建模元模型驱动并实例化生成应用模型、应用架构和运行时应用数据.通过多层抽象和实例化领域概念,实现产品生命周期管理领域的全面统一建模、模型驱动快速开发,以及基于行业模板的快速部署.最后,通过产品生命周期管理产品实例说明了该方法的有效性.     

工作流系统流程监控权限控制研究

针对工作流系统中监控权限划分粗糙的问题,提出了一个基于角色的访问控制方案.根据工作流执行原理和监控需求,将监控服务分为系统层和应用层,以监控对象、监控人、监控操作方法作为研究对象,给出了形式化描述和细粒度划分.在此基础上,提出了访问控制模型,描述了角色、用户和监控对象等各要素之间的关系,给出了授权方法、潜在规则和实例状态约束,保证了监控操作的合理性.基于以上理论和方案,在已有的项目平台上开发了流程监控子系统,满足了不同层次人员对监控权限的灵活需求.     

基于PLM的任务管理模型研究

任务管理是PLM系统中实现项目管理和流程控制的重要机制,通过分析基于产品结构的任务管理模型的缺点与不足,根据任务管理的目标和一般过程,提出了一种以任务为中心的任务管理模型,并结合TeamcenterEnterprise4.0,给出了企业任务分配流程的实例。     

基于本体的可适应性产品全生命周期管理系统

为了降低产品全生命周期管理系统的成本,提出了一种以本体论思想为基础,采用适应性对象建模方法构建的产品全生命周期管理模型。定义了一组本体元概念来表述产品全生命周期的本体模型;并以本体模型约束系统中数据的产生和应用。采用适应性对象建模的方法,在本体元概念的基础上建立了一个可重构的原型系统,该原型系统的行为是基于存储在系统外部的本体模型。通过改变系统本体模型定义,可以改变原型系统的行为。支持以迭代的方法建立产品全生命周期管理系统,降低了建立系统的成本。