安全技术
基于角色访问控制在
PDMS电厂三维设计中应用探讨
周晓庆
(福建省电力勘测设计院福建福州350003）
数事其本开导在用
摘要:网络平台下,PDMS具有统一性、全面性特征,其能实现多用户同时读写。为确保PDMS.工程设计数据库安全有效控制用户访问权限非常重要。本文通过基于角色的访同控制模型的理论介绍,期述了PDMS的访问控制定制策略，设计了并合发电工程的PDMS三维设计的权限控制方案。该方案在保证数据库安全的前提下，有效简化了用户投权，应用价值极高。
关键调:PDMSACR访问控制
中图分类号：TP391.72
文献标识码:A
文章编号:1007-9416(2014)10-0174-01
近年来计算机技术的快速发展，对勘察设计行业的发展产生了巨大的推动力。各种设计软件的应用，使电厂设计手段从CAD电子制图方式发展到了三维工厂设计。目前国际上主流的三维工厂设计软件是英国AVEVA公司的PDMS(Plant DesignManagement System），美国Bentley公司的PlantSpace和美国Intergraph公司的 SmartPlant.为了提高设计质量和效率，增强竞争优势，我院也投人资金通过调研分析引进了较为适合国内电广三维设计的PDMS，由于PDMS采用的是在统一数据库支持下的多专业协同设计的网络平台，数据库是多用户同时读写进行，用产访间的权限控制是保证工
程设计数据库安全的一项重要工作。 1传统的访问控制策略
传统的访间控制策略是用户与访问权限直接对应,其中常用的方法是使用权限字符审。此方法虽然容易实现，但不具有动态性，当功能发生改变时需要进行较大改动，灵活性差，不易于维护，当系统规模扩大，用户数量增加时，存取权限的管理将变得更为非常复杂，不易控制，
2基于角色的访问控制
基于角色的访间控制是一种新型访间控制策略，不仅能够实现传统访问控制的功能，还能够灵活地进行配置以适应工程的不同需求，方便权限的管理。它在用户与权限之前增加了角色(Role)对象，角色是为用户定义的一组权限集，用于表明拥有该角色的用户所具有的对对象访问权限，权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。
表1PDMSACR角色设置示意
角色名称(Roles) ROLEPIPE ROLECIVL
ROLEELEC ROLEHVAC ROLEHANG ROLEMAID ROLEMODL
ROLETRAI
角色说明
工艺管道设计人员建筑结构设计人员
热控电气设计人员暖遵六道设计人员支吊架设计人员专业主设人员
三维建模抽图人员培训测试人员
收移日期：2014-10-04
允许操作对象（Perops） PIPE HIERAR
STRUCTURE HIERAR PIPE HIERAR
EQUIPMENT HIERAR HVAC HIERAR
RESTRAINT HIERAR EQUIPMENT HIERAR ZONE
EQUIPMENT HIER AR STRUCTURE HIERAR PIPE HIERAR
REGISTRY HIERAR LIBY HIERAR
3PDMS访问控制策略
为了保证数据库和设计的安全，PDMS采用了多种安全策略，避免误操作或有意破坏：
(1)登录PDMS账户控制，每个PDMS工程项目都根据需要创建了多个专业组，用户属于相应专业组，并且设有登录密码。工程项目数据库相当于各个专业组的设计数据集合，而且只有本专业组的用户对属于本组的数据库才有更改的权限，对其他专业的数据库只有读的权限。(2)基于角色的权限控制Acoess Control Rights(ACR)。 PDMS每个ACR由角色Role和范围Scope两部分构成，ACR是PDMS 提供的更加精确的基于角色的访间控制功能，可以限制用户的任何操作，如创建、修改或删除对象，或限制用户允许操作具体的属性等。
4PDMSACR应用研究
(1)由于国内电力工程设计一般按专业和卷册划分工作内容，因此PDMSACR的角色可以如表1划分：
对每个角色Perops还可以添加权限控制条件，如MAT（ ATTRIB FUNC OF ZONE
，VTEXT（！!PIPEUSER））NEQ
0），则该角色只能对FUNC属性设置为自已账号的操作对象进行诸如创建和修改等操作，从而实现达到权限控制目的，(2)PDMS ACR的范围(Scope)可以划分为管道，暖通六道，建筑结构热控电气，支吊架、元件库和培训范围等，相应添加过滤条件，如管道范围为ALL WITH (ATTRIB PURP OF SITE EQ 'PIP’ OR ATTRIB FUNCOFDEPTEQ‘PIP)，则该范围限定了管道设计用户只能对DESIGN模块中SITEPURP属性为PIP，或DRAFT模块中 DEPT属性为PIP的范围进行操作，(3)在PDMS中我们通过上面的角色和范围进行相应组合即可形成不同的ACR，，同时根据用户的工作责任指派相应的ACR，用户通过所指派的ACR获得相应的权限，并且可以根据人员变动情况在工程不同设计阶段进行相应调整，即
实现了对工程数据库的详细准确安全控制。 5结语
通过在多个发电工程的应用，PDMS访问权限控制在整个三维工厂设计过程中，在保证数据库安全的前提下，降低了权限管理和
维护的复杂性，简化了用户的授权，具有重要的应用价值。参考文献
[1]AVEVA.PDMS软件使用手册.Cambridge
[2]杨官平.陈鸿伟,李永华.B/S模式的电厂耗差分析系统权限管理的实现.计算机工程与设计.2006,2:497-503
[3]符卫，曲科鹏.安全访间控制系统的设计和实现.临息安全,2006. 22:9899.
作者简介：周晓庆(1981一),男,福建龙海人,本科，工程师,主要从事发电项目的设计和三维设计管理系统开发及维护工作 174