产品数据管理(Product Data Management,PDM)系统作为当前制造业主流的数据管理软件,主要对企业中与产品相关的数据进行存储、管理、分析和共享。随着PDM系统的功能增多,管理的资源越来越广,主客体的属性也越来越复杂,因此企业对访问控制的要求越来越高。目前大多数PDM系统中采用的访问控制模型已经无法满足动态授权和控制细粒度的需求,因此本文基于某公司自主开发的PDM项目,以该电气企业实际需求为背景,提出了一种基于角色和属性的双核心访问控制(Role and Attribute-Based Double-Centric Access Control,DC-RABAC)模型,并对该模型进行了研究与应用,主要工作包括以下几个方面:(1)PDM系统访问控制需求分析以及访问控制体系结构和功能模块设计。首先对PDM系统以及访问控制原理进行简述;然后以该企业开发的PDM系统为背景,分别对访问控制的功能性需求和非功能性需求进行分析,并总结出十二条访问控制模型设计原则;最后,设计出访问控制的体系结构和功能模块。(2)基于角色和属性的双核心访问控制DC-RABAC模型设计。通过对传统访问控制模型进行介绍,分析比较这些访问控制的优缺点,针对PDM系统的需求设计了DC-RABAC模型。该模型保持了RBAC(Role Based Access Control,基于角色的访问控制)模型灵活简单的优点,同时引入属性和策略等概念,实现动态授权和细粒度控制;提出属性动静特性,为角色添加属性描述,定义用户-属性-角色的自动分配规则和受托用户-临时策略的自动授予规则,实现自动授权;提出一种权限与策略协同授权机制,从而实现灵活高效的访问控制。最后以实例验证了该模型对PDM系统数据安全管理的有效性。(3)DC-RABAC模型的冲突检测与消解。在正确性、安全性及完整性三个方面对访问控制模型进行安全性需求分析,以此为基础对访问控制模型中元素间关系、元素传递关系等进行约束定义并设计出模型的冲突检测与消解算法,最后通过实例验证了DC-RABAC模型冲突检测与消解算法的可行性。(4)PDM系统中访问控制模型的实现。使用C#和SQL sever等工具在Windows系统下实现了DC-RABAC模型,并与自主研发的PDM系统实现无缝集成。通过用户管理、角色管理、授权管理等模块的运行实例验证了模型的实用性及其动态、灵活、细粒度的访问控制。