（计算机应用技术专业论文）pdmdpdm系统的研究与实现.pdf

南京航空航天人学硕十学位论文 摘要 随着w e b 技术的发展，传统的p d m 软件越来越不能满足企业产品数据安全管 理的需要。本文针对传统p d m 安全管理的缺点，建立了基于工作空间的权限管理 模型和网络安全模型。在权限管理模型中，引入了工作空间的概念，通过工作空间 把用户和权限联系起来。详细讨论了模型的混合访问控制方法，即强制访问控制与 u o s d 访问矩阵相结合的方法。在网络安全模型中，采用了数据安全和过程安全技 术保证了p d m 数据在网络传输中的安全性。 数据的有效备份和文档操作是p d m 的重要功能。本文讨论了p d m 系统的备份 模块和工具设计模块的设计与实现。备份模块的特点是引入了“业务”概念，用它 来描述数据俺l 的相关性。工具设计模块采用了分阶段、多用户并发操作的设计思想 以及基于文件的工作流一菸享文件的实现技术。 关键词：产品数据管理、工作空间、访问控制、数字签名、组件对象模型 p d m d p d m 系统的研究与实现 a b s t r a c t w i t ht h ed e v e l o p m e n to fw e b t e c h n o l o g y ，t h es e c u r i t ym a n a g e m e n to fp r o d u c td a t a m a n a g e m e n ts y s t e md o e sn o tm e e tt h er e q u i r e m e n t so ft h ee n t e r p r i s e sm o r ea n dm o r e a c c o r d i n gt ot h es h o r t c o m i n g so ft h et r a d i t i o n a lp d ms e c u r i t ym a n a g e m e n t ，t h i sp a p e r e s t a b l i s h e saw o r k s p a c e b a s e da m h o r i z a t i o nm a n a g e m e n tm o d e la n dad p d mn e t w o r k s e c u r i t ym o d e l w o r k s p a c e b a s e da u t h o r i z a t i o nm a n a g e m e n t m o d e li n t r o d u c e sw o r k s p a c e c o n c e p t ，w h i c hf o u n d sac o n n e c t i o nb e t w e e n u s e r sa n da u t h o r i z a t i o nt oi m p l e m e n t s y s t e m t h em i x e da c c e s sc o n t r o io ft h i sm o d e lt h a tc o m b i n e sm a n d a t o r ya c c e s sc o n t r o lw i t h d i s c r e t i o n a r ya c c e s sc o n t r o li s d e s c r i b e di ad e t a i l t h e nt h en e t w o r ks e c u r i t ym o d e li s d e s c r i b e di nt h i sp a p e rf r o mt w oa s p e c t s ：d a t as e c u r i t ya n dp r o c e d u r es e c u r i t y ，w h i c h e n s u r e sn e t w o r ks e e u r i t y d a t ab a c k u pa n do p e r a t i n gd o c u m e n t sa r ei m p o r t a n tf u n c t i o n so fp d m b a c k u pa n d t o o ld e s i g nm o d u l e so fp d m a 咒d e s i g n e da n di m p l e m e n t e di nt h i sp a p e r b a c k u pm o d u l e i n t r o d u c e sb u s i n e s sc o n c e p t w h i c hd e s c r i b e s t h e r e l a t i v i t ya m o n gd a t a t 0 0 1d e s i g n m o d u l ei sd e s i g n e db yt h et h i n k i n go fg r a d i n ga n dm u l t i u s e r s c o n c l r r e n to p e r a t i o na n di s i m p l e m e n t e db y t h ew o r k f l o wb a s e do n s h a r i n g f i l e s 。 k e yw o r d s ：p r o d u c td a t am a n a g e m e n t ，w o r k s p a c e ，a c c e s sc o n t r o l ，d a t as i g n a t u r e ， c o m p o n e n to b j e c tm o d e l 南京航空航天人学硕十学位论文 第一章绪论 1 1 课题研究背景 随着市场经济的发展，企业面临着越来越多的竞争压力，市场要求企业在更短 的时f u j 内提供更高质量的产品，能否满足这种要求已经成为现代企业能否生存和发 展的关键。在现代企业中，随着计算机技术的发展，生产效率得以大幅度提高：与 此同时，企业中的产品信息却呈现出爆炸性的增长势头，并产生了新的问题。在企 业中，由各个部门产生的产品信息之间缺乏很好的互换性，形成了一个个的“信息 孤岛”，无法高效利用它们。在信息查询方面，有用的信息淹没在信息海洋之中， 难以搜寻。此外，对许多有关管理产品数据的问题，如果处理不当，就会对工作效 率产生负面效应。因此，人们必须寻求一种有效的工具和手段、建立起高效实用的 信息管理体系，对产品数据和企业工作流程实施有效的管理。 产品数据管理( p d m ) 就是解决这些阿题的技术。p d m 可以定义为以软件技术 为基础，以产品为核心，实现对产品相关的数据、过程、资源一体化集成管理的技 术。p d m 系统的主要作用就是作为各种计算机应用系统的集成框架，实现对产品 数据进行管理，进而达到对整个产品生产过程进行控制的目的。它为企业提供一个 最大限度地利用企业的人力资源和信息资源的强大工具。 p d m 系统是架构在i n t r a n e t 上的系统，因此其信息安全十分重要。必须控 制用户和采取技术手段来控制使用者的行为。如果不能够控制这些人的行为，就像 一颡颗不定时的炸弹，随时都会给信息安全带来威胁。因此，必须采取高科技手段 保护系统的信息安全，从而推动系统在网络方面的应用。但是，一方面p d m 系统 的安全保密技术的研究落后于p d m 技术的发展，另一方面p d m 的安全问题似乎没 有受到人们的重视，目前现有的一些商品化的p d m 软件还存在一些安全漏洞。主 要表现在以下几个方面j ： ( 1 ) 授权方式烦琐不够灵活，权限修改困难：大多数系统的用户权限管理仅限 于单个用户的操作权限，不支持权限的批量操作，即一组用户对一组数据的授权操 作。另外，当在现有的p d m 系统中加入新数据，都需要安全管理人员对数据的安 全信息进行配置。系统的授权方式烦琐，安全管理人员工作量大，权限修改困难。 ( 2 ) 不支持安全管理的分碲处理：在分布式计算环境中，企业分布在不同的地 点。产品数据也是分布的，如何安全地处理和管理好这些数据是一个很重要的问 题。传统的p d m 系统仅仅考虑安全管理的集中处理，对安全管理的分都处理涉及 甚少。 ( 3 ) 缺乏对流程的安全控制：p d m 虽然是一个对图形文档实施管理的系统， 但是它没有把安全管理和设计过程中的图档安全信息的改动结合起来- p d m d p d m 系统的研究与实现 j “：品资料是企业的宝贵财富，如果产品信息被盗，谖泄密，其损失是巨大的。 这就要求进入p d m 系统的人员，根据不同的职责分别赋予不同的权限，保证各 种资料不被非法盗用，保证资料的完整性和安全性。 随糟企业产品丌发的同益全球化】，特别是以企业内部i n t r a n e t 为中心的产品丌 发，埘产品数据的安全保密和信息共享提出了更高的要求。而目前大多数的p d m 产品仅支持以产品对象为中心的权限分配方案，这种权限管理方法越来越不适应企 业快速、集成的产品丌发要求。企业在实施p d m 的过程中，迫切需要采用一种高 设方便的权限管理方法，这种方法使企业的权限分配具有更高的柔性，易于扩展和 修改，并能够大大地提高p d m 集成平台的运行效率。 p d m 系统要使整个企业所有使用者都能按要求方便地访问相关信息而不被非法 用户窃取，就必须建立个有效的安全框架，建立一个完整的安全体系把众多的产 品数据按一定的关系和秘密等级组织起来，实现对产品数据的有效组织和控制。 1 2 课题简介 本课题来源于无锡6 1 4 所预研项目。6 1 4 所是我国航空发动机领域的重要科研 机构。承担着有关航空发动机电子调节系统的研发重任。为了提高研发能力，6 1 4 所已经先后引进了研制航空发动机电调系统所需要的计算机辅助设计软件 ( c a d ) 、电子电路辅助设计软件( e d a ) 、工程分析软件( c a e ) 、软 牛开发和 开发管理工具等一系列软件系统。6 1 4 所现在急需采用一种软件集成平台，将这些 单元应用软件有效地集成起来，并以此为基础构造出一种规范化、甚至自动化的系 统设计体系，以便有效地改造传统的研发模式。针对6 1 4 所目前的情况，我们将 p d m 作为管理平台，集成各种应用软件，最终构造出6 1 4 所的“设计体系”。我们 以c a d c a m 及相关应用系统为产品数据源，以网络环境下的分布式数据处理技术 为支撑，构造了基于客户机服务器体系的产品数据管理系统。针对上面提出的 p d m 安全缺陷以及分布式发展的需要，建立了p d m 系统的安全模型。 1 。3 主要研究工作与内容安排 本文针对w e b 应用的发展趋势，以6 1 4 研究所的基于组件技术的分布式p d m 系统为背景，对分布式环境下的p d m 集成信息系统安全模型进行研究，并实现了 该p d m 系统的两个模块：通用备份管理模块和设计工具体系模块。该安全系统主 要包括以下几个部分：p d m 安全体系结构、基于工作空阊的用户权限管理模型、 网络传输中的数据加密解密以及数字签名技术。本文的主要研究与开发工作有以下 几个方面： 1 针对传统p d m 软件在网络安全上的薄弱环节，提出了d p d m 网络安全模 型，讨论了过程安全中的数字签名技术。 2 南京航空航大人# 硕十学何论文 2 研究了圈内外的p d m 软件权限管理机制。针对权限管理机制的不足，引入 了上作空r n j 的概念建立了荩于工作空f h j 的用户权限管理模型，探讨了该模型的混 合访问控制方法。 3 在备份模块中引入了“业务”概念，用它来描述数据闯的相关性。系统通过 管理业务来管理数据。讨论了通用备份模块的设计思想与实现技术。探讨了备份、 恢复策略的实现方法。 4 在工具设计模块中，采用了分阶段、多用户并发操作的设计思想以及基于文 件的工作流一共享文件的实现技术，丌发了工具设计模块。 5 研究了分布式计算策略，详细分析了分布式组件的特点，用组件的方法实现 了备份模块。 全文内容的组织安排如下： 第一章简要介绍了目前p d m 安全管理的一些缺陷以及本文的研究背景和研究 内容。 第二章主要讨论了p d m 技术以及安全管理的研究现状，并介绍了国内外p d m 软件的安全管理情况。 第三章主要从两方面探讨了p d m d p d m 的安全保护机制。一是分布式p d m 系 统自身的安全保护方面：介绍了系统的安全体系结构，提出了基于工作空间的权限 管理模型，论述了该模型的混合访问控制方法。二是网络安全方面：对网络传输中 的数据加密、解密以及过程安全技术进行了详细的论述，讨论了数字签名技术在过 程安全中的应用。 第疆章主要探讨了通用备份模块的设计与实现，着重讨论了备份、恢复功能的 设计策略和实现方法，以及如何通过c o m d c o m 、x m l 技术来实现模块的通用 性。 第五章主要讨论了设计工具模块的设计与实现，着重描述了文件的存储规范、 文件的安全性原则、多用户并发操作控制策略以及操纵文档的方法等。 最后是对本文的总结。 p d m d p d m 系统的研究与实现 第二章p d m 技术以及安全研究现状 随着p d m 的应用广泛，p d m 的安全成了今后研究的一个重点方向。本章主要 讨论p d m 的基本功链，并介绍国内外p d m 的安全研究现状。 2 1p d m 技术 p d m 足一项对产品相关数据和过程进行集成化管理的技术，已经在越来越多的 企业中应用，成为企业信息他的集成平台”l 。p d m 为企业提供了一种宏观管理和控 制所有与产品相关信息以及与产品过程相关的机制和技术。p d m 系统致力于为企业 提供完善的图档管理、实现安全的电子文件的保密机制、建立企业系统集成平台和 创建高效的协同设计环境。p d m 包含多项功能：一般包括电子资料库管理、文档管 理、产品结构与配嚣管理、生命周期( 工作流) 管理、项目管理等等。 电子资料库管理和文档管理功能：p d m 的电子资料库和文档管理提供了对分布 式异构数据的存储、检索和管理功能。在p d m 中，数据的访问对用户来说是完全 透明的，用户无需关心电子数据存放的具体位置，以及自己得到的是否是最新版 本，这些工作都由p d m 系统来完成。电子资料库的安全机制使管理员可以定义不 同的角色并赋予这些角色不同的数据访问权限和范围，通过给用户分配相应的角色 使数据只能被已授过权的用户获取或修改。同时，在p d m 中电子数据的发布和变 更必须经过事先定义的审批流程后才能生效，这样就使用户得到的总是经过审批的 萨确信息。 产品结构与配鼍管理功能：p d m 系统通过有效性和配置规则对系列化产品进行 管理。有效性分为两种：结构有效性和版本有效性。结构有效性影响的是零部件在 某个具体的装配关系中的数量，而版本有效性影响的是对零部件版本的选择。有效 性控制有两种形式：时间有效性和序列数有效性。产品配置规则也分为两种：结构 配置规则和可替换配置规则。 生命周期( 工作流) 管理功能：p d m 的生命周期管理模块管理着产品数据的动 态定义过程，其中包括宏观过程( 产品生命周期) 和各种微观过程( 如图样的审批 流程) 。对产品生命弱期的管理包括保留和跟踪产品从概念设计、产品开发、生产 制造直到停止生产的整个过程中的所有历史记录，以及定义产品从一个状态转换到 另一个状惫时必须经过的处理步骤1 4 l 。 项目管理功能：在p d m 系统中，项目指某个工程围绕设计、生产和制造进行 的所有活动的总穰。项目管理是在项目实施过程中实现其计划、组织、人员及相关 数据的管理与配置，进行项目运动状态的监视，完成计划的反馈。项目管理是建立 4 南京航空航大人学硕十学何论文 征工作流程管理肇矾之上的一种管理。到目斡为止，项目管理在p d m 系统中正在 4 ；断完善，许多p d m 系统只能提供工作流程活动的状念信息。 2 2 p d m d p d m 的信息安全性 传统的p d m 系统的安全主要通过权限管理束实现，p d m 的权限管理有机地把 文件系统和数据库连接起柬，即可以管理设计文档、工艺文档、生产计划、销售维 修服务等图形、文本、数掘、表格、音像文件，又可以管理数据库记录。 随着w e b 技术的发展，分靠式p d m 也成为p d m 发展的一个重要方向【5 j 。基于 w e b 的p d m 的安全性主要出三个方面j 束保证：( 1 ) p d m 软 牛系统自身的保护机 制。( 2 ) 外部安全保证，借助于网络上固有的安全技术来保证p d m 数据及文件网 络传输的安全性。( 3 ) p d m 是一种产品数据管理软件，数据的安全性很大程度上 依赖于所使用的数据库。 2 2 。1p o m 软件自身保护机制 p d m 软件自身的保护主要是通过权限管理来实现的，当用户使用p d m 软件 时，首先需要完成对用户的识另q ，通过对用户的权限控制，防止用户有意或无意的 越权操作，防止非法用户的入侵。访问控制是指客户身份被确认合法后，对该客户 进行文件和数据操作权限的现状。这些权限包括读、写、执行以及从属权等。授权 控制是经过访问控制实现的。访问控制通常有= 种策略：自主访问控制、强制访问 控制。自主访问控制安全性最低、但灵活性高。强制访问控制将每个用户及文件赋 予一个访问级别。存取控制有三个任务：首先确定给予那些用户具有存取数据的权 力：然后确定用户的存取权限，即明确规定用户存取数据的范围及可以实施的操 作；最后实施存取权限控制，即对用户进行存取权限控制，检测用户的操作行为， 将用户的数据访问控制在规定的范围内。 p d m 系统提供了入员极其权限的管理，首先建立人员的管理模型，给出各类人 员的角色及其相应的权限表，并说明各个对象的读写权限，当一个用户需要访问某 一个文件，或者对象对，p d m 系统首先读取该用户的读写权限，然后与他要访问的 文件当前所处阶段的读写权限进行比较，符合条件的才能进行读写。 在p d m 的安全管理技术中，权限管理是p d m 软件最重要的一个保护技术。针 对p d m 权限管理，国内外研究了几种权限管理模型： 1 基于对象的权限管理模型1 6 7 i ：目前国内大多数的p d m 系统都采用基于对象 的访问权限管理方法。这种方法以产品对象为中心，每一个产品对象都由用户单独 赋予相应的对它的访问，这种方法很适合集成要求不高的中小型企业。缺点是： ( 1 ) 增加系统运行负担，每访问一个产品数据都要从数据库中调用该数掘的访问控 制表，并根据当前状态进行验证。( 2 ) 权限修改困难。每一个产品对象都有独立的 p d m d p d m 系统的研究与实现 访问控制表，每个对缘部有凡条或者多条权限记录。这样当修改用户权限时就得进 行大艟的权限修改工作，容易出错。 2 琏于层次的隼殳限管理模型1 8 l ：该模型把权限分成三个层次：隐藏功能型、禁 止功能型和触发检查型。笫层提供用户允许权限的操作，隐减无权的操作调用， 蚺= 层激活用户的权限操作调用，禁止无权执行的操作调用，第三层当用户选择某 项操作，则激活相应的权限检查，决定是否有权执行该项操作。缺点：( 1 ) 层次权 限关系松散。( 2 ) 权限修改工作量大。( 3 ) 层次划分不明确，容易造成权限控制 混乱。 3 基于规则的权限管理模型【9 】：对产品结构和对象属性建立一套规则，这些规 则用柬对整个，上命周期内的产品对象进行访问权限控制。规则的描述形式为：条件 值卜 访问控制表；含义是当“值”满足“条件”时，就调用相应的“访问控制 表”。规则调用也遵循一定的规则，即在规则树中越靠近上部的规则越具有较高的 优先级。根据产品分类和属性，创建的企业规则树，将对所有产品对象的访问都归 于访问控制衰中，多个产品对象共用相同的访问控制表。缺点：( i ) 各个企业的情 况不同，权限规则也不同。所以规则的制定没有统一的标准，通用性不好。( 2 ) 该 模型主要针对对象，对系统人员的权限控制不够。 2 2 2 网络技术对p d m 的保护 网络安全技术多种多样。密码术是p d m 文件网络传输应用最多的一种安全技 术。密码技术【lo i 是信息安全中的核心技术，许多信息安全技术方法都包含了密码技 术的应用，并且是非常基础性的应用。密码技术主要对数据进行编码，使之成为一 种密码的不可读的形式。密码技术中最重要的是密钥的选择，分发和保管以及加解 密算法的选择。目前用的最多是d e s 算法和r s a 算法。密码技术除了提供信息的 加密解密外，还提供对信息来源的鉴别、保证信息的完整和不可否认等功能。数字 签名和身份验证就是由密码技术派生出来的新技术和应用。 2 2 3p d m 数据库安全技术 数掘库对数据安全i 的防护措施主要有：身份验证和授权机铋、并发梳制、完 整性机制及故障恢复。 2 3 国内外p d m 安全管理的相关研究 国内外根据不同企业的要求，对数据控制、数据安全管理的方式有着不同的方 式，但是一些基本原理还是不变的。下面简要讨论一下国内外p d m 安全管理的研 究。 2 3 1 美国e d s 公司的i m a n 的安全保密技术 南京航空航天人学硕十学位论文 i m a n ( i n f o r m a t i o nm a n a g e r ) 是专门为整个企业提供产品数握管理领域技术的 产一主要用于管理整个产品生命周期内的全部信息，其中包括生产设计部门和整 个企业范峭内所涉及的有关产品信息的全部内容。在i m a n 中，对数据访问及使用 的安全保密分成不同级别的控制方式，如数据，功能，用户工作小组及整个企业 等。访问控制表( a c c e s sc o n t r o ll i s t 简称a c l ) 规定了用户及其工作环境中对 i m a n 的管理对象进行访问的权限。保密控制模式为：所有者一工作小组一系统一 全邢等四缎【i2 1 。对某一个用户或者用户工作组，可以指定他们访问i m a n 中每一个 管理对象的读写权限，i m a n 还允许管理对象的所有者来控制对其进行访问的权 限。在i m a n 中还可以规定那写角色可以修改那些管理对象，同时，一旦设计过程 完成以后，相应的数据和文档可以立即存档和发放。 2 3 2 美国s d r c 公司的m e t a p h a s e 软件安全技术 荚固s d r c 公司的m e t a p h a s e 1 3 1 系统安全体系出界面层、核心功能层、加密层 和支撑层四个部分组成。在每一个层面上的安全控制策略和方法都不同。界面层 是终端用户直接操作的层面，采取的安全策略是让不同身份或权限的用户面对不同 的用户界面，使用户界面和用户权限相关。核心功能层是m e t a p h a s e 系统功能运行 的层面，其中包括系统的各个模块，如文档管理、产品结构管理、流程管理、工程 数据库管理、接口管理模块等。这一层的安全控制主要通过m e t a p h a s e 系统内的安 全机制柬完成。在系统内，一方面通过用户口令，验证用户的身份，防止无授权用 户进入系统；另一方面通过在系统内交互式制定访问控制规则来控制用户只能进行 和权限相关的操作。加密层对进入操作系统和数据库的数据进行加密，以防不法分 子绕过p d m 系统的安全控制机制，直接对存放在操作系统和数据库内的数据进行 窃取和攻击。支撑层是系统运行的支撑基础。主要包括操作系统、数据库、网络、 还包括硬件，这些都有自身的安全。 2 3 。3 国内的p d m 安全技术 困内的p d m 产品开发还处于起步阶段，主要的p d m 产品【ts q 6 1 有华中科技大学 天喻信息公司的i m e p d m 3 1 、清华大学的高华公司韵p d m s 等。i m e p d m 韵安全技 术有如下特点：通过权限等级、用户分配、直接授权、流程控制等四种方式交叉 控制公共资源的权限。权限分戍一般、保密、机密和绝密四个密级。对文档、 用户、项目、机构赋予密级属性。系统使用用户角色模型，硬性规定系统具有系 统管理员和一般用户两个角色。 但是，i n t e p d 、l 软件有些缺点：权限的优先级是通过计算获得，权限计算 比较复杂。对具体的对象授权是的权限积累很多，权限维护困难。对分布式权 限的管理支撵性不好。 p d m d p d m 系绒的研究与实现 2 4 分布式组件对象模型 微软分靠式对象模型的核心协 义就是d c o m ( 分掠式组件对象模型) 、它是微 软c o m 的集成结构的扩展，支持在局域网、广域网甚至i n t e m e t 上不同计算机中的 对致之蚓的通讯。 c o m ( c o m p o n e n to b j e c tm o d e l ) ，即组件对象模型，是一种以组件为发布单 元的对象模型，这种模型使各软件组件以一种统一的方式进行交互。c o m 的结构主 要为对象和接口，c o m 对象负责完成具体的各种任务，对客户而占，c o m 对象的 实现是不可见的，仅用一个1 2 8 位的c l s i d ( c l a s si d e n t i f i e r ) 来标识，对象通过接 口以及接口牢的函数为客户提供服务。c o m 接口是客户程序与c o m 对象通讯的唯 一途径。每个c o m 对象所具有的功能通过其接口提供给客户程序使用，客户程序 只能通过接口调用c o m 对象所提供的服务。接日出一组功能相关的成员函数的定 义组成，接口中的所有函数定义了组件对象模型可以提供给系统的服务。 在c o m 世界里，组件可以分为三种类型：进程内、本地和远程组件7 】。组件 类型的划分主要依赖于该代码模块的结构和该代码模块与客户进程间的关系。 ( 1 ) 进程内组件 进程内组件奇居在d l l 中，被调用时，它们可以被装入到客户的进程空间中。 众所周知，d l l 是程序代码库，它由操作系统在运行时( 动态地) 装入，d l l 总是 被装入到该调用进程的地址空间中。进程内组件的优点在于它们的速度。因为对象 被装载在同一个进程之内，访问它们所提供的服务时，没有必要进行环境切换，这 就和e x e 文件的情形一样。僵进程内组件也有一个潜在的不便之处，那就是：因为 个进程内组件事实上是一个d l l ，而不是一个完全可执行的应用程序( e x e ) ， 所以进程内组件只能用在一个调用程序环境中，不我作为一个独立存在的应用程序 运行。 ( 2 ) 本地组件 本地组件，也称为本地服务器，在客户机上的一个独立的进程中运行。这种类 型的组件是一个可执行的应用程序，因此把它作为一个独立的进程对待。对于客户 的访问来说，本地组件比进程内组件慢得多因为操作系统必须进行进程切换，并 且复制需要在客户和服务器应用程序间传输的任何数据。本地组件有一个优于其他 类型组件的地方，那就是：它们是可执行的文件，用户可把本地组件作为独立存在 的、没有外部客户调用的应用程序运行。如m i c r o s o f ti n t e m e te x p l o r e r 就是一个本地 组件的实例。用户可以直接运行i n t e r n e te x p l o r e r ，也可从另一个应用程睁( 如 v i s u a lb a s i c ) 中调用i n t e m e te x p l o r e r 对象。 ( 3 ) 远程组件积d c o m 远程组件运行在一个通过网络连接到客户的独立的机器上。因此，远程组件总 是运行在另一个进程中。它既可以是一个d l l 模块、也可以是一个e x e 文件。这 南京航空航犬人学硕十学伉论文 种功能r l 通过分佃式c o m ( d c o m ) 实现。d c o m 的奇妙之处在于：它不需要为 了实观远程凋用功能而进行任何特殊的编程。对于d c o m 所提供的通信，如果没有 网络的支持，程序员就会面i 锰几项艰难的任务。他们必须编写大量的过程每一个 过程都特别针对于一个不同类型的组件进行通信而编制。他们可能还必须依据与他 们的程序代码进行交互操作的其他组件或网络服务，柬重耨编译他们的程序代码。 d c o m 支持分伽式对象。也就是说，它允许应用程序开发人员将单个应用程序 分裂为若干个不同的组件对象，其中每个组件对象都可运行在不同的计算机上。 下面简要阐述d c o m 组件对象与客户程序的通信过程，如图2 1 ： 图2 1 客户与d c o m 组件通信示意图 d c o m 的工作方式是：利用一个代理监听一个对象的接口调用，然后发出一个 到该对象的某个实例的远程过程调用。而该对象正在另一个机器上的另一个进程中 运行。这一运行过程中的关键点是：该客户完全像对待一个进程内对象那样发出这 种调用，而由d c o m 透明地执行内部处理工作和穿越网络的函数调用。当然，发出 远程过程调用需要大量系统资源开销，但好处是不需要专门的程序代码。由于 d c o m 提供网络的透明操作，所以这些应用程序显示不出是在不同的机器上。在一 个正常实现的系统中，整个网络像一个具有大规模处理能力和大量功能的巨型计算 机。 2 5 小结 本章主要讨论了p d m 技术及其主要功能，探讨了国内外产品数据管理系统的 安全管理，并介绍了几种主要的p d m 软件的安全管理措施，最后介绍了分布式组 件对象模型的原理。 p d m d p d m 系统的研究与实现 第三章p d m d p d m 系统安全设计 p d m d p d m 的安全主要由三部分组成：p d m 软件自身的安全保护，网络安全 技术以及数据库安全技术。本章首先设计了p d m 软件自身的安全保护，主要包 括p d m d p d m 安全体系结构和基于工作空间的用户权限模型：并详细介绍了该用 户权限管理模型的原理以及访问拉制。其次介绍了d p d m 网络安全模型，从数据安 全和过程安全柬保汪p d m 数据在网络传输中的安全性。对于数据库安全技术，主 要通过所使用的数据库自身的安全柬保障本章没有介绍这方面的内容。 3 1p d m d p d m 安全体系结构 我们主要采用分布式的客户机服务器( c l i e n f f s e r v e r ) 结构。服务器端负责公共 数掘的存储、多用户的同步等功能。客户端主要负责与用户的交互、客户私有数据 的管理等谗1 。分布式计算的标准主要采用m i c r o s o f t 的d c o m 标准。采用客户机，服 务器结构的p d m 系统可以通过合理的安装和配置满足企业要求以适应工作组 级、部门级和企业级系统的需要 1 9 , 2 0 ) 。图3 1 是基于c s 体系结构的分布式p d m 系 统。 图3 1 基于c s 体系结构的分布式p d m 系统 p d m 安全体系结构主要由四个层面组成：界面层、核心功能层、加密层和支撑 屡。各个层次的安全策略如下： 界面层：让不同身份或不同权限的用户使用的用户晃面不同。即：用户权限和 用户界面相关联。这样通过使用户权限和用户界面关联，从根本上杜绝了越权操作 的可能性。 核心功链层：p d m 系统的各个功能模块，这一层钓安全主要依靠p d m 内部钓 安全机制完成。在我们设计的p d m 系统内，一方面通过用户口令，验证用户的身 份，防止无授权用户进入系统：另一方面通过基于工作空闻的权限管理模型i 柬拉制 用户只能进行和权限相关的操作。 o 掌爹 南京航| 三航犬人学硕十学位论文 m u 密层：对进入操作系统或者数掘库的数掘进 亍加密。对所有数据进行加密， 防止不法分子绕过p d m 系统内部安全机制，直接访问存放在数据库或者操作系统 中的数据。 支撑层：支撑层的安全控制完全依靠各个子层次本身的安全控制机制来保证。 p d m 的安全体系结构如图3 2 ： i与权限有笑的刚户界面 二二量匠叵蓊二二二 l 二二j 亟匾二二 ! 二二亘垂匠二二 l ； i 二二互匦五二二 l 界 曲 核 o u 功 能 加 密 后 支 撑 层 安全策略 瑚户权限 i ， p d m 系统 肉部的安 全机制 加解密技 米 i + 支撑层本 身的安全 机制 图3 2p d m 的安全体系结构 p d m 管理产品生命周期内的所有产品数据，这些数据分为普通数据和具有密级 的数据。p d m 系统不仅控制内部用户之间的数据共享，而且还控制着外部用户例如 亲密的合作伙伴或者一般的公共用户对产品数据的访问。因此，需要保护产品数 据，以免末授权用户对数据的访问、修改。 3 2 基于工作空间的权限管理模型 ，l，- p d m d p d m 系统的研究与实现 在第二章中我们介绍了几种p d m 权限管理模型：基于对象的权限管理模型， 缱于层次的权限管理模型和螭于规则的权限管理模型。总结这三种模型，他们最大 的缺点就是权限操作复杂授权方式不够灵活不能处理同益膨胀的数掘信息。其 次网络技术的迅速发展，使产品数据不再集中在某一个地方，而是分布在不同的地 方，上述的权限管理模型不能处理分布式情况。本章提出的基于工作空间的权限管 理模型很好地解决了这个问题。 3 ，2 1 基于工作空间权限管理的基本原理 基于工作空间的权限管理模型在用户和权限之间设置了个新的实体即工作空 间( w o r k s p a c e ) 。工作空间作为中间媒介把用户集合和权5 艮集合联系起柬，一个 工作空问和权限关联则表明工作空间拥有的一组权限的集合，与用户关联表明若干 具有相同身份的用户的集合。在该模型中可以赋予一个用户多个工作空间，一个 工作空间又可以赋予多个用户，用户和工作空间是多对多的关系。同样，工作空间 和权限之间也是多对多的关系。一个登录系统的用户，可以通过其所在的工作空间 的权限来判断其可以访问的数据。图3 3 描述了基于工作空间权限管理模型。 图3 3 基于工作空间权限管理模型 基于工作空间的权限管理模型可以分解成两层来实现，第一层是用户管理系 统：“用户工作空间访问予系统功能项权限”，第二层权限系统：“访问子系统功 能项的权限访问具体数据信息的权限”。模型中的会话可以有效地控制工作空间冲 突。当一个用户已被赋予多个工作空间，而这些工作空闯又分属若干个会话组时， 山于用户在任一时间内只可以激活一个会话，使得用户在该时间内，仅能扮演该激 活会话组中包含的工作空间，而其他会话组中包含的工作空间该时间段内均为禁 用。工作空间对权限的操作是根据企业的需求而制定的。一般的权限操作有：授 权、权限的撤销、权限冻结、权限的激活、权限排除、权限扩散、权限的修改等。 根据权限的用途，把权限分成两大类：功能性权限和实体性权限。功能性权限主要 是工作空间是否具有管理系统的权限：实体性权限主要是对具体的数据对象如文 档、文件央等的权限操作p “。 南京航空航天人学硕十学托论文 任磋t ：_ y j y - 壹q 极限管理梭型中。将所有舟户进行分类并让他们有自己的工作 志州，把分类的产品数据嵌入到分层的工作空间系统中。在d p d m 系统中工作空间 分层1 1f ( 安全绂则依次增长) 1 2 2 1 ：i n t e m e tw o r k s p a c e 、e x t r a n e tw o r k s p a c e 、 i n t r a n e tw o r k s p a c e 、p r o j e e tt e a mm e m b e rw o r k s p a c e 、p r o j e e tl e a d e rw o r k s p a e e 、 s u p e ru s e rw o r k s p a c e 。在d p d m 系统中，用户层次结构如图3 4 ： 图3 4d p d m 系统的用户继承结构 基于工作空恒l 权限管理提供以下基本功残： ( 1 ) 控制用户访问权限，为系统用户提供安全的工作环境。 ( 2 ) 为不同敏感级别的产品数据提供安全的存储环境。 ( 3 ) 避免敏感数据的无授权的暴露、破坏或者丢失。 采用的策略：系统对分类的用户授予不同的权限，用户对分类的数据对象执 行不同的操作。这样分层的工作空间可以保护系统环境，避免未授权用户对环境的 访问。不同的工作空间用户只能访问特定或者较低的工作空间，且他们在各自的 工作空喊上对产品数据对象的操作也是不同的。超级用户执行所有d p d m 操作和项 目管理功能。项目领导人具有执行所有d p d m 操作的功能。项目成员被授权可以注 髓、检索、更新等。企业内用户可以检索和溯览操作。外面匏甩户( 企业外和两络 用户) 只能浏览操作，当然，如果他们被授权其它操作，那么也可以执行其它操 作。不同的流程是由不同的人员执行不同的任务，其问伴随着数据的添如、修 改、删除等设计动作，因而是不断变化的。针对某种安全类别的数据，当其状态变 更时，相应的更改权限。例如当一个对象被c h e c ki n 或者已经审批进入到一个工作 空恤j ，它将成为它的工作空间的数据对象并受到该工作空州的保护。 由此可见，采用了基手工作空间的权限管理模型，d p d m 系统以一种简单而安 全的方式管理工作坏境、系统用户和数据对象。 3 ，2 2 基于工作空间的权限管理的访问控制 访问控制是信息安全保障机制的核心内容，它是实现数据保密性和完整性机制 的主要手段。访问控制是为了限制访问主体( 或称为发起者，是一个主动的实体： 如用户、进程、服务等) 对访问客体( 需要保护的资源) 的访问权限，从而使计算 机系统在合法范围内使用数据1 2 ”。 l3 p d m d p d m 系统的研究与实现 安令控制的基本目标是【2 4 】：产品数掘的机密性、完整性、可用性和操作简易 性。机密性：保护数掘以免受到未授权的访问，即允许数据仅能被授权用户访问。 完煨性：防止数据受到未授权的修改、删除或者创建。可用性：当授权用户请求访 问数据提供用户访问的数据。操作简易性：记录同志。何时，何人访问数据对 象，以及进行什么操作。 往d p d m 中，不同的用户与系统进行交互，用户不仅仅是企业内部的普通用 户，还包括外部世界的用户( 例如：企业外、企业内的远程用户) 。每类用户部有 自己的访问权限。产品生命周期中产生许多类型的产品数据，每种产品数据都有不 同的敏感级别2 “。对于不同级别的存取权限和数据敏感度，有不同的存取控制方 法。传统上，访问控景4 有2 种方法【2 7j ：强制访问控制、自主访问控制。基于工作 空问的安全权限管理采用强制访问控制和自主访问控制相结合的混合访问控制方 法。在强制访问控制中【2 8 j ，只要满足一定的公理，这些公理建立在d p d m 用户和产 品数据对象的安全标记基础上，d p d m 用户可以对产品数据对象进行读或者写操 作。使用自主访问控制。必须构造访问控制矩阵u o s d ( d p d m _ u s e r _ d p d mo p e r a t i o nd p d ms i t ed p d md a t a ) 。如果用户、操作、地点和产品数据的 结合体是访问矩阵中的一个元素，那么用户就具有操作产品数据的权限。 ( 1 ) 以u o s d 访问矩阵为基础的自主访问控制 u o s d 访问矩阵的访问规则形式如下： 授权的d p d m 操 作 。从语义上看，这条准则意味着d p d m 用户 范围中的某个用户对产品数据对象范围内的某个产品数据执行授权的d p d m 操作， 且该产品数据存放在某个d p d m 地点。 这个策略可以进行扩展： f 授权的d p d m 操 作， 。即多个用户可以同时访问 多个数据。 ( 2 ) d b l p 强制访问控制 强制访问控 | ；l j l 2 9 3 0 1 是用来保护系统确定的对象，对此对象用户不能进行更改。 也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别 或对象的安全属性。这样的访问控制规贼通常对数据和用户按照安全等级划分标 记，访问控制机制通过比较安全标记来确定是授予还是拒绝用户对资源的访问。自 主访问控制机制允许通过对象的属主束制定针对该对象的保护策略。 与矩阵访问控制方法类似，在强制访问控制中，用户和产品数据对象对中包含 是否可以访问工作空间的信息。该方法的公理满足在矩阵方法中描述的多个用户访 问多个数据的策略。 通过分配安全标记到对象域，可以实现面向工作空间的d p d m 系统的强制存取 控制。在一个工作空间域中的所有对象继承这个域标记。如果一个用户同时属于多 个域，则他则继承他的所有父亲中的最顶级的标记d 1 , 3 2 。分配安全标记给分类的 1 4 南京航空航托人学硕十学位论文 d p d m j j 户、分层的工作空嘲和分类的产品数据。包含2 个属性：s 一敏感级别，c 一分类。并引入了支配d o m i n a t e 概念d o m i n a t e ( u l ，u 2 ) 甘( s 。s 。) a ( c 。三c 。) 。( 约定：对致名在支配谓词中指安全标记) 为了丌发一个安全的d p d m 系统，必须构造安全模型。采用了b l p 模型并进 行了扩展，称为d b l p 模型。b l p 方法有主要有2 个属性：简单安全特性和星号安 全特性。因为这些特性不能完全适合灵活的安全的d p d m 系统的需要，需要修改这 些特性并加入新的特性来满足系统安全性的要求。 在d p d m 系统中，我们应用b l p 模型中的简单安全特性作为d b l p 安全模型 的特性1 ：如果( 主体客体，可读) 是当前访问，那么定有：l e v e l ( 主体) l e v e l ( 客体) 其中，l e v e l 表示安全级别。即如果d p d m 用户的安全级别必须大于等于 产品数据对象的安全级别，则d p d m 用户可以读取产品数据对象。 公理l ：如果d o m i n a t e ( u ，d ) ，当且仅当d o m i n a t e ( u ，d ) ( i = j ) ， 用户u 可以读取数据对象d 。该公理主要描述了读策略。用户可以向下读或者水平 读，即不上读。 d b l p 安全模型的特性2 ：动态用户级别；即d p d m 用户的安全级别可以向低