采用RBAC模型的郵船生產(chǎn)設(shè)計(jì)權(quán)限管理

周 紅， 王炬成， 朱小敏

(1.江蘇現(xiàn)代造船技術(shù)有限公司， 江蘇 鎮(zhèn)江 212003； 2.江蘇科技大學(xué)， 江蘇 鎮(zhèn)江 212003)

0 引 言

目前，國(guó)內(nèi)對(duì)于普通商船的生產(chǎn)設(shè)計(jì)大多采用Tribon生產(chǎn)設(shè)計(jì)系統(tǒng)，這是由瑞典KCS公司研發(fā)的一款輔助船舶設(shè)計(jì)和建造的計(jì)算機(jī)軟件集成系統(tǒng)[1]。國(guó)內(nèi)對(duì)于Tribon的應(yīng)用，產(chǎn)品信息沒(méi)有存儲(chǔ)在Oracle數(shù)據(jù)庫(kù)中，而是存儲(chǔ)在Tribon數(shù)據(jù)庫(kù)中，但Tribon的權(quán)限管理必須建立在Oracle數(shù)據(jù)庫(kù)基礎(chǔ)之上，因此，目前國(guó)內(nèi)對(duì)Tribon沒(méi)有權(quán)限管理功能，任何操作人員都可以修改模型信息，導(dǎo)致模型經(jīng)常被誤操作。顯然，Tribon無(wú)法滿足郵船生產(chǎn)設(shè)計(jì)權(quán)限管理的需求。必須選擇合適的3D生產(chǎn)設(shè)計(jì)系統(tǒng)，并有針對(duì)性地開(kāi)展郵船生產(chǎn)設(shè)計(jì)權(quán)限管理研究。

1 權(quán)限控制模型

權(quán)限控制有4種經(jīng)典模型：自主訪問(wèn)控制(Discretionary Access Control, DAC)模型、強(qiáng)制訪問(wèn)控制(Mandatory Access Control, MAC)模型、基于角色的訪問(wèn)控制(Role-Based Access Control,RBAC)模型和基于屬性的訪問(wèn)控制(Attribute-Based Access Control, ABAC)模型[2]。其中，RBAC模型應(yīng)用較廣。RBAC模型的基本思想是在用戶與權(quán)限間添加角色，借助角色來(lái)實(shí)現(xiàn)用戶與權(quán)限之間的分離，通過(guò)用戶角色分配(User Assignment, UA)和權(quán)限角色分配(Permission Assignment, PA)實(shí)現(xiàn)權(quán)限管理[3]。

2 郵船生產(chǎn)設(shè)計(jì)流程及人員組織結(jié)構(gòu)

2.1 郵船生產(chǎn)設(shè)計(jì)流程

郵船生產(chǎn)設(shè)計(jì)的目的是指導(dǎo)現(xiàn)場(chǎng)生產(chǎn)，其流程如圖1所示。項(xiàng)目啟動(dòng)后，首先進(jìn)行生產(chǎn)設(shè)計(jì)策劃，編制生產(chǎn)設(shè)計(jì)目錄，為建模做準(zhǔn)備；準(zhǔn)備就緒后，開(kāi)始建模，模型平衡后則開(kāi)始生產(chǎn)設(shè)計(jì)圖紙繪制，待圖紙校審?fù)ㄟ^(guò)后則下發(fā)給現(xiàn)場(chǎng)，并根據(jù)現(xiàn)場(chǎng)配建反饋的意見(jiàn)進(jìn)行圖紙修改。

2.2 郵船生產(chǎn)設(shè)計(jì)人員組織結(jié)構(gòu)

通過(guò)對(duì)郵船生產(chǎn)設(shè)計(jì)流程的分析，郵船的生產(chǎn)設(shè)計(jì)需要項(xiàng)目負(fù)責(zé)人、系統(tǒng)管理員、各專業(yè)建模人員、出圖人員等共同完成，人員結(jié)構(gòu)如圖2所示。郵船生產(chǎn)設(shè)計(jì)項(xiàng)目負(fù)責(zé)人是整個(gè)郵船生產(chǎn)設(shè)計(jì)的責(zé)任人，主任設(shè)計(jì)師負(fù)責(zé)將具體任務(wù)派工給各科室專業(yè)主管，最后由科室專業(yè)主管派發(fā)給各專業(yè)生產(chǎn)設(shè)計(jì)建模、出圖人員。

圖1 郵船生產(chǎn)設(shè)計(jì)流程

圖2 郵船生產(chǎn)設(shè)計(jì)人員組織結(jié)構(gòu)

3 郵船3D生產(chǎn)設(shè)計(jì)系統(tǒng)及其功能模塊

郵船的生產(chǎn)設(shè)計(jì)選取Smart 3D為生產(chǎn)設(shè)計(jì)系統(tǒng)。Smart 3D是新一代面向數(shù)據(jù)、規(guī)則驅(qū)動(dòng)的先進(jìn)的工廠設(shè)計(jì)軟件系統(tǒng)，主要是為了簡(jiǎn)化工程設(shè)計(jì)過(guò)程，同時(shí)更加有效地使用并重復(fù)使用現(xiàn)有數(shù)據(jù)[4]。

Smart 3D的常用功能模塊包括：船體主坐標(biāo)系創(chuàng)建模塊、結(jié)構(gòu)模型創(chuàng)建模塊、結(jié)構(gòu)模型細(xì)節(jié)處理模塊、裝配目錄樹(shù)創(chuàng)建模塊、零件加工信息創(chuàng)建模塊、出圖和報(bào)表模塊、鐵舾件模塊、設(shè)備建模模塊、管子模塊、支吊架模塊、電氣模塊、暖通空調(diào)模塊、居裝模塊等。

4 郵船生產(chǎn)設(shè)計(jì)權(quán)限控制體系構(gòu)建

通過(guò)合理的權(quán)限分配，能夠?qū)⒉煌牟僮鳈?quán)限分配給不同層級(jí)的人員，從而有效地對(duì)人員操作進(jìn)行管控。

郵船生產(chǎn)設(shè)計(jì)權(quán)限控制以人員組織結(jié)構(gòu)為基礎(chǔ)，選取Smart 3D為設(shè)計(jì)工具，采用RBAC模型，分別對(duì)Smart 3D的用戶、角色組及權(quán)限進(jìn)行分析，通過(guò)建立角色組與權(quán)限之間的對(duì)應(yīng)關(guān)系構(gòu)建郵船生產(chǎn)設(shè)計(jì)權(quán)限控制體系。

郵船生產(chǎn)設(shè)計(jì)權(quán)限包括：對(duì)系統(tǒng)功能模塊的操作權(quán)限，對(duì)生產(chǎn)設(shè)計(jì)模型及圖紙的查看、編輯權(quán)限，對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)、修改權(quán)限。在通常情況下，Smart 3D對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)、修改權(quán)限只加入系統(tǒng)管理人員，并授予Full Control(完全控制)權(quán)限。據(jù)此，郵船生產(chǎn)設(shè)計(jì)權(quán)限控制體系將從2個(gè)方面進(jìn)行構(gòu)建：生產(chǎn)設(shè)計(jì)系統(tǒng)功能模塊操作權(quán)限控制，生產(chǎn)設(shè)計(jì)模型及圖紙操作權(quán)限控制。

4.1 生產(chǎn)設(shè)計(jì)系統(tǒng)功能模塊操作權(quán)限控制

4.1.1 角色組分析

用戶分為系統(tǒng)管理員、鐵舾組、輪機(jī)組、管系組、電氣組、結(jié)構(gòu)組、通風(fēng)組和酒店工程組。

4.1.2 權(quán)限分析

角色組對(duì)Smart 3D功能模塊的操作權(quán)限如表1 所示。

表1 角色組操作權(quán)限

4.2 生產(chǎn)設(shè)計(jì)模型及圖紙操作權(quán)限控制

4.2.1 角色組分析

Smart 3D角色組的組織分為如下3個(gè)層次：

(1) 第一層次：所有人員，包括生產(chǎn)設(shè)計(jì)項(xiàng)目的所有設(shè)計(jì)人員及管理人員。

(2) 第二層次：各專業(yè)組，包括各專業(yè)組的所有設(shè)計(jì)人員及管理人員。

(3) 第三層次：個(gè)人，只包括設(shè)計(jì)人員個(gè)人及系統(tǒng)管理員。

4.2.2 權(quán)限分析

Smart 3D模型及圖紙的操作包括Read、Write或Full Control。其中，F(xiàn)ull Control比Write多出可以修改模型或圖紙角色組的權(quán)限。1個(gè)域賬號(hào)如果在模型或圖紙對(duì)應(yīng)的角色組里沒(méi)有Write權(quán)限，就不能對(duì)該模型或圖紙進(jìn)行任何修改、編輯及刪除操作；如果沒(méi)有Full Control權(quán)限，就不能將模型或圖紙當(dāng)前的角色組修改為別的角色組。一般而言，對(duì)于某角色組的用戶都會(huì)賦予該區(qū)域范圍內(nèi)模型或圖紙的Full Control權(quán)限。

生產(chǎn)設(shè)計(jì)模型及圖紙操作權(quán)限構(gòu)建過(guò)程如下：

(1) 第一層次：所有人員。將項(xiàng)目初始的角色組更名為All，并將該項(xiàng)目所有人放入該角色組，授予Full Control權(quán)限。

(2) 第二層次：各專業(yè)組。按專業(yè)創(chuàng)建角色組，將該專業(yè)所有人放入該角色組，授予Full Control權(quán)限。除該專業(yè)人員外，系統(tǒng)管理員也加入該角色組并具有Full Control權(quán)限，但該專業(yè)以外的人員沒(méi)有該專業(yè)相關(guān)模型或者圖紙的操作權(quán)限。

(3) 第三層次：個(gè)人。創(chuàng)建以設(shè)計(jì)人員本人名字命名的角色組，并將該設(shè)計(jì)人員本人的域賬號(hào)放入該角色組。除該設(shè)計(jì)人員外，系統(tǒng)管理員也加入該角色組并具有Full Control權(quán)限。

Smart 3D模型及圖紙操作權(quán)限構(gòu)建后，普通設(shè)計(jì)人員進(jìn)入Smart 3D項(xiàng)目可看到3個(gè)角色組。用戶根據(jù)自身需要，將模型放入不同的角色組：如果放入第一層次的所有人員組，那么該項(xiàng)目所有人永遠(yuǎn)都可以對(duì)該模型進(jìn)行各種操作；如果放入第二層次的某個(gè)專業(yè)組，那么該專業(yè)組的所有人員都可以對(duì)該模型進(jìn)行各種操作；如果放入第三層次的個(gè)人組，那么只有該設(shè)計(jì)人員可以對(duì)該模型進(jìn)行各種操作。當(dāng)然，系統(tǒng)管理員可以對(duì)所有模型進(jìn)行各種操作。

5 結(jié) 語(yǔ)

郵船是極為復(fù)雜的產(chǎn)品，在其生產(chǎn)設(shè)計(jì)過(guò)程中涉及眾多參與者，如果由于各專業(yè)設(shè)計(jì)權(quán)限不明確而導(dǎo)致生產(chǎn)設(shè)計(jì)信息修改、誤刪等操作出現(xiàn)，將嚴(yán)重影響郵船生產(chǎn)設(shè)計(jì)進(jìn)度。采用RBAC模型，開(kāi)展郵船生產(chǎn)設(shè)計(jì)權(quán)限管理研究，通過(guò)嚴(yán)格把控生產(chǎn)設(shè)計(jì)系統(tǒng)功能模塊操作權(quán)限控制和生產(chǎn)設(shè)計(jì)模型及圖紙操作權(quán)限控制，可有效提高郵船的生產(chǎn)設(shè)計(jì)效率。