（计算机应用技术专业论文）虚拟企业工作流管理系统访问控制的研究与实现.pdf

江苏大学硕士学位论文 摘要 虚拟企业是适应市场需求的有效组织模式，它融制造技术、现代信息技术和 管理技术于一身，是未来企业合作的理想组织形式。起源于办公自动化领域的工 作流技术可以对虚拟企业起到巨大的推动作用。但是，虚拟企业的分布性和动态 性也带来了信息安全方面的问题，对数据的访问控制是虚拟企业工作流管理系统 的一项重要研究课题。 本文首先对所涉及的理论及技术进行介绍，包括虚拟企业、工作流技术、工 作流管理系统和信息安全机制；接着以访问控制为主题，阐述访问控制的概念、 传统的访问控制方法、基于角色的访问控制方法以及工作流管理系统中的访问控 制研究现状。 在以上研究的基础上，本文提出一种基于组织机构图和角色、适用于虚拟企 业工作流管理系统的访问控制模型。它以组织机构图作为划分角色的基础，加快 角色的设置；引入任务和授权策略的概念，以实现授权流与工作流的同步：提出 了授权约束类型，将授权约束和授权策略相结合，并给出了冲突检测规则。本文 对模型中的各个要素进行了形式化的描述，并给出了授权流程。 接着，本文分析了虚拟企业的组织机构和工作流程，提出了基于组织机构图 和角色的访问控制模型在虚拟企业工作流管理系统中的实现方法，对系统中有关 实体、主要时序及授权策略进行详细阐述，给出了访问控制子系统的体系结构以 及各个模块的功能描述。本文设计了访问控制子系统中的数据结构和各角色可以 选择的操作，并给出了访问控制子系统的运行实例。 最后，总结了本文的特色，以及对今后工作的展望。 关键词：虚拟企业，访问控制，r b a c ，w f m s ，组织机构图 江苏大学硕士学位论文 a b s t r a c t v i r t u a le n t e r p r i s e ( v e ) i sa ne f f e c t i v eo r g a n i z a t i o n a lm o d et oa d a p tt om a r k e t d e m a n d i tc o m p r e h e n d sm a n u f a c t u r et e c h n o l o g y , m o d e mi n f o r m a t i o nt e c h n o l o g y a n dm a n a g e m e n tt e c h n o l o g y a n di t i sa i li d e a lo r g a n i z a t i o n a lf o r mf o re n t e r p r i s e si n t h ef u t u r e t h ew o r k f l o wt e c h n o l o g yt h a to r i e n t e df r o mo f f i c ea u t o m a t i o n ( o a ) c o u l dp r o m o t ed e v e l o p m e n to fv e b u tt h ev eh a sf e a t u r e so fd i s t r i b u t i o na n d d y n a m i c ，w h i c hb r i n gs o m ep r o b l e m so fi n f o r m a t i o ns e c u r i t y i ti sa ni m p o r t a n t r e s e a r c hs u b j e c tf o ra c c e s sc o n t r o lo fd a t ai nv i r t u a le n t e r p r i s ew o r k f l o wm a n a g e m e n t s y s t e m f i r s t ，t h i sa r t i c l ei n t r o d u c e s t h e b a c k g r o u n dk n o w l e d g e s ，i n c l u d i n gv e ， w o r k f l o wt e c h n o l o g y , w o r k f l o wm a n a g e m e n ts y s t e m ( w f m s ) a n di n f o r m a t i o n s e c u r i t ym e c h a n i s m t h e ni tm a i n l yd i s c u s s e st h ea c c e s sc o n t r o la n de x p l a i n s t h e c o n c e p to ft h ea c c e s sc o n t r o la n dt r a d i t i o n a la c c e s sc o n t r o lm e t h o d s a n dt h ea r t i c l e i n t r o d u c e sr o l e b a s e da c c e s sc o n t r o l ( r b a c ) m o d e l sa n dt h ec u r r e n tr e s e a r c h o f r b a ci nw f m s s e c o n d ，t h ep a p e rp r e s e n t sa na c c e s sc o n t r o lm o d e lf o rv ew t m sb a s e do n r b a c 9 6m o d e l i tr e g a r d so r g a n i z a t i o nc h a r ta st h e f o u n d a t i o nt ob u i l dr o l e s ，w h i c h c a r ls p e e du pt h es e t u po fr o l e s i ti n t r o d u c e st a s ka n da u t h o r i z a t i o ns t r a t e g yt or e a l i z e s y n c h r o n i z a t i o nb e t w e e na u t h o r i z a t i o nf l o wa n dw o r k f l o w i tp r e s e n t st h et y p e so f a u t h o r i z a t i o nc o n s t r a i n t t h em o d e lc o m b i n e sa u t h o r i z a t i o nc o n s t r a i n tw i t h a u t h o r i z a t i o ns t r a t e g ya n dg i v e sc o l l i s i o nd e t e c t i n gr u l e s t h ep a p e rd e f i n e sp r i m a r y e l e m e n t sa n da u t h o r i z a t i o nf l o wi nt h em o d e l t h i r d t h ea r t i c l ea n a l y s e st h eo r g a n i z a t i o na n dw o r k f l e wp r o c e s so fv e t h e ni t p r e s e n t st h er e a l i z a t i o na p p r o a c ho fa c c e s sc o n t r o lm o d e lb a s e do no r g a n i z a t i o nc h a n a n dr o l ei nv ew f m s i ti n t r o d u c e sm a i n l ye n t i t i e s ，s e q u e n c e sa n da u t h o r i z a t i o n s t r a t e g i e si nd e t a i l i td e s c r i b e sa r c h i t e c t u r eo fa c c e s sc o n t r o ls u b s y s t e ma n d f u n c t i o n o fe v e r ym o d u l e u p o na l lo ft h e m ，t h ea r t i c l ed e s i g n st h ed a t as t r u c t u r e sa n dr o l e s o p e r a t i o n so fa c c e s sc o n t r o ls u b s y s t e m i nt h ep a p e rt h e r ea r es o m ee x a m p l e so f e x e c u t i o no fa c c e s sc o n t r o ls u b s y s t e m f i n a l l y ，t h ea r t i c l es u m m a r i z e si t sc h a r a c t e r i s t i c sa n dp r o s p e c t sf o rt h ef u t u r e w o r k k e yw o r d s ：v i r t u a le n t e r p r i s e ，a c c e s sc o n t r o l ，r b a c ，w f m s ， o r g a n i z a t i o nc h a r t 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权江苏大学可以将本学位论文的全部内容或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保奄口 在年解密后适用本授权书。 本学位论文属于 不保密团 。 学位论文作者签名夕钵 力心年6 月加日 指导教师签名彭多参缅产之约 缈年6 月, o 日 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容以 外，本论文不包含任何其他个人或集体已经发表或撰写过的作品 成果。对本文的研究做出重要贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名夕球矽艮 日期：趔年6 月i o 目 江苏大学硕士学位论文 1 1 课题背景 第一章绪论 企业作为一种特殊的社会经济组织，是历史的产物，是商品生产和商品交换 的产物。伴随着农业社会向工业社会的转型，企业也逐步形成和发展，于1 9 世 纪末、2 0 世纪初形成了以泰罗制、福特制为标志的传统企业模式。它所带来的 规模经济效应大大促进了当时社会生产力的发展。然而，自本世纪6 0 年代以来， 企业所处的环境发生了根本性变化：市场需求曰趋多变，技术进步突飞猛进。在 高科技蓬勃发展的今天，市场竞争更加激烈，顾客的需求趋于多样化和个性化。 就拿制造业来说，人们对大批量生产的产品需求只占1 5 2 5 ，而对多样化、 个性化，必须采用中小批量甚至单件生产的产品的需求占了7 5 8 0 。在这种情 况下，企业的竞争优势己不仅仅取决于产品的质量、价格、售后服务等因素，而 在很大程度上取决于企业本身是否具有快速的市场应变能力，即是否具有足够的 生产柔性。显然，传统的大规模、大批量、单功能的刚性生产方式已不能满足这 种市场需要。面对动态、快速、多变的市场环境，一种全新的企业模式虚拟 企业便应运而生了1 1 j 。 工作流技术作为一种协调群体活动中人与人之间以及任务与任务之间关系 的一种理想手段，虽然起源于办公自动化领域，但是发展到今天其已经重新定位 于计算机科学、管理科学以及社会科学等多学科交叉领域。也正因为这种重新定 位，使得工作流技术的发展进入了一个新的春天。目前工作流技术已成为办公自 动化、产品数据管理、企业资源计划、虚拟企业、电子商务等领域中的重要支撑 技术。把工作流技术有效地应用于虚拟企业中，将会对虚拟企业的发展起到巨大 的推动作用。 但是，虚拟企业的分布性和动态性也带来了信息安全方面的问题。传统的安 全管理采用自主存取控制和强制存取控制的方法，它们都是在主体和客体之间直 接进行权限的配置，对于虚拟企业则不太适合。一方面，虚拟企业内部成员众多， 针对不同资源的使用有不同的权限；另一方面，各个成员又处于随时可能的变化 之中。从而造成安全管理变得复杂，安全管理员力不从心。 基于角色的访问控制r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 模型引入角色作为 江苏大学硕士学位论文 用户和权限之间的中介【2 j ，实现了用户与访问权限的逻辑分离，有效地简化了权 限的管理，如图1 1 所示。实际应用中，角色的变化远慢于用户的变化，因此 r b a c 模型可以有效地降低对访问控制进行管理的复杂度，能够很好地适应工作 流管理系统的灵活特点，因此成为近年来研究的热点。美国n i s t ( n a t i o n a l i n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 也将r b a c 推荐为访问控制的标准i 3 1 。 l 用户i 翌= 二鱼鱼韭叫角色k 墅坠壑堕塑叫权限i 图1 1 基于角色访问控制的原理 现有的访问控制研究很少有针对虚拟企业工作流管理系统的模型【4 7 j ，难以 真正应用。虚拟企业具有很高的时效性，它面向市场机遇而产生，随着任务的结 束而消失，相应的存取控制实现应该方便快速。针对虚拟企业的特点，本文在 r b a c 9 6 模型的基础上，提出一种适用于虚拟企业工作流管理系统的访问控制模 型，它以组织机构图作为划分角色的基础，可以快速实现角色的设置：它通过增 加任务和授权策略的概念，保证了授权流与工作流的同步；通过组织机构图设置 角色，降低了权限配置的难度。该模型有效地保证了工作流管理系统中信息的安 全，对于虚拟企业工作流管理系统的开发具有一定的理论意义和实际应用价值。 1 2 课题相关理论与技术 虚拟企业是随市场机遇形成的动态企业联盟，它的运作是通过任务的流动而 实现的，因此有赖于企业中各组成单位的协作。将工作流技术和网络技术应用于 虚拟企业的流程中，可以有效的促进虚拟企业任务流动的科学性，加快任务流动 的速度。而工作流程中如何保障数据的安全，即让正确的用户访问正确的数据， 成为一个需要研究的问题。下面对本文涉及的主要理论和技术加以介绍，包括虚 拟企业、工作流技术和工作流管理系统、信息安全机制。 1 2 1 虚拟企业 虚拟企业( v i r t u a le n t e r p r i s e ) ，又称动态企业联盟，最初是由美国里海大学于 1 9 9 1 年在其2 l 世纪制造企业的战略报告中提出的n 虚拟企业产生于一个 特定的社会背景。随着社会的发展和技术的进步，一方面，产品的生命周期越来 越短，要求企业有更高的柔性和市场应变能力，这要求企业的管理结构简单，便 江苏大学硕士学位论文 于重组和调整。另一方面，产品的多样化、个性化要求企业有快速开发新产品即 创新设计的能力。这两点是巨型公司和传统企业都难以做到的。因此适应这一变 化的必然趋势是企业的小型化和将具有知识、技术、资金、原材料、市场和管理 等资源的企业合纵连横。企业的小型化和合纵连横趋势必然导致虚拟企业的产生 和发展。 到目前为止，国内外对虚拟企业尚无统一的定义。我们认为：虚拟企业是指 不同组织或企业为赢得某一机遇性市场利益，围绕某种新产品开发，集中优势资 源，形成靠网络通讯联系的临时性经营实体联盟。虚拟企业融制造技术、现代信 息技术和管理技术于一身，是未来企业合作的理想组织模式。从制造的角度看， 它强调可重构性，快速响应市场机遇；从管理经营角度看，它强调合作，共同赢 利( wi1 1 一win ) 的管理经营思想。虚拟企业是一种新的制造模式，一种新 的管理经营理念，也是促进企业规范体制，使企业走向扁平化的一种有效途径。 虚拟企业具有以下优点： 1 ) 灵活性。虚拟企业是一个“市场机会驱动型”的组织，它从组成到解散 完全取决于市场机会的存在与消失； 2 ) 敏捷性。虚拟企业是基于核心能力的企业外部资源整合，可以避免重复 投资，可在短时间内形成较强的竞争能力，实现对市场需求的敏捷响应； 3 ) 低风险。虚拟企业能够实现成本共担，降低产品成本，从而可以降低产 品开发过程中的风险； 4 ) 双赢性。虚拟企业在运作过程中采用双赢策略，使参与各方均受益。 图1 2 是虚拟企业的结构模型。 市场需剩 尿 图1 2 虚拟企业结构模型 图1 2 中，盟主企业是虚拟企业的核心，管理“控制协调模块”。盟主企 3 盛i 江苏大学硕士学位论文 业抓住市场机遇，并由它挑选盟友企业组成虚拟企业。控制协调模块主要管理虚 拟企业内部各个企业间的控制信息流和数据信息流，使盟主企业及时掌握产品的 生产进度和质量状况。企业间的输入输出( 包括产品数据) 通过标准接口进行。 盟友企业的结构与盟主企业相似，必须及时向盟主反馈状态信息，相互间积极配 合，生产出客户需要的产品。 l i2 2 工作流技术与工作流管理系统 工作流技术是实现企业业务过程建模、业务过程仿真分析、业务过程优化、 业务过程管理与集成、最终实现业务过程自动化的核心技术，对促进企业的管理 规范化与信息化有重要的现实意义。下面首先介绍工作流技术的概念，然后说明 什么是工作流管理系统，最后介绍工作流管理系统的分类。 ( 1 ) 工作流技术 近二十年来，不同的研究者对工作流分别提出了不同的定义。到目前为止， 对于工作流仍旧没有一致公认的定义。我1 l y l j 举如下一些有代表性的定义，它们 分别从不同的角度对工作流的概念进行了描述，可以使我们对工作流的一些基本 特征有一定的理解。 工作流管理联盟的定义【9 】 工作流是一类能够完全或者部分自动执行的经营过程，根据一系列过程规 则，文档、信息或任务能够在不同的执行者之间传递、执行。 g i g ag r o u p 的定义卅 工作流是经营过程中可运转的部分，包括任务的顺序以及由谁来执行、支持 任务的信息流、评价与控制任务的跟踪、报告机制。 i b ma l m a d e nr e s e a r c hc e n t e r 的定义j 工作流是经营过程中的一种计算机化的表示模型，定义了完成整个过程所需 用的各种参数。这些参数包括对过程中每一个单独步骤的定义、步骤间的执行顺 序、条件以及数据流的建立、每一步骤由谁负责以及每个活动所需要的应用程序。 a m i ts h e t h 的定义【1 2 工作流是涉及到多任务协调执行的活动，这些任务分别由不同的处理实体来 完成。一项任务定义了需要做的某些工作，它可用各种形式来进行定义，包括在 文件或电子邮件中的文本描述、一张表格、一条消息以及一个计算机程序。用来 执行任务的处理实体可以是人，也可以是计算机系统( 比如一个应用程序、一个 江苏大学硕士学位论文 数据库管理系统) 。 wm p | v a nd e r a a l s t 的定义 1 3 1 工作流是一系列工作的偏序集。工作的序列可以有多种方式，比如工作x 与 y 满足x y 当且仅当x 在y 开始之前就已经就绪。 以上对工作流的定义是用非形式化语言对工作流所进行的描述，虽然各不相 同，但基本上都达成了这样的一个共识：工作流是经营过程的一个计算机实现， 而工作流管理系统则是这一实现的软件环境。这些工作流的定义分别反映了经营 过程如下几个方面的问题，即经营过程是什么( 由哪些任务组成，也就是结构上 的定义) 、怎么做( 活动间的执行规则、条件以及所交互的信息，也就是控制流 与信息流的定义) 、由谁来做( 计算机应用程序或者人，也就是组织角色的定义) 、 做得怎样( 由工作流管理系统进行监控) 。 从生产经营的角度出发，制造企业可视为由多个相互关联的不同层次流程组 成的活动流程。如由订货、采购、设计、生产、交货组成的主流程。这个流程又 可分解为多个彼此相关的小流程，如设计流程、产品制造流程、销售经营流程等。 这些流程都可以使用工作流技术进行有效管理。在有能力组成虚拟企业的企业， 应该备有工作流管理软件，这些企业中的工作流管理软件可以通过i n t e m e t 进行 无缝连接。当这些企业中的某些企业根据市场产品的需要组织成虚拟企业的时 候，盟主企业则把任务通过基于i n t e m e t 的工作流管理软件分配给盟员企业，各 盟员企业根据分配给自己的任务，使用自己企业中的工作流管理软件，把任务分 成不同的子任务给企业中相关的职能部门，如图1 - 3 所示。 图1 3 虚拟企业工作流模型 ( 2 ) 工作流管理系统 工作流管理系统w f m s ( w o r k f l o wm a n a g e m e n ts y s t e m ) 是支持企业经营过 程高效执行并监控其执行过程的计算机软件系统。通常，工作流管理系统指运行 江苏大学硕士学位论文 在一个或多个被称为工作流机的软件上的用于定义、实现和管理工作流运行的一 套软件系统，它和工作流执行者交互，推进工作流实例的执行，并监控工作流的 运行状态。在这里需要特别强调指出的是工作流管理系统不是企业的业务系统。 在很大程度上，工作流管理系统为企业的业务系统运行提供一个软件支撑环境， 非常类似于在单个计算机上的操作系统。只不过工作流管理系统支撑的范围比较 大、环境比较复杂而已，所以也有人称工作流管理系统是业务操作系统 b o s ( b u s i n e s so p e r a t i n gs y s t e m ) 1 4 1o 在工作流管理系统的支撑下，通过集成 具体的业务应用软件和相应操作人员的界面操作，才能够较好的完成对企业经营 过程运行的支持。所以，工作流管理系统在一个企业或部门的经营过程中的应用 过程是一个业务应用软件系统的集成与实施过程。 工作流管理系统可以用来定义与执行不同覆盖范围、不同时间跨度( 分钟、 小时、天、月) 的经营过程，这完全取决于实际应用背景的需求。按照经营过程 以及组成活动的复杂程度的不同，工作流管理系统可以采取许多种实施方式，在 不同的实施方式中，所应用的通信技术、信息技术、支撑系统结构都会有很大的 差别。工作流管理系统的实际运行环境可以是在一个工作组内部或者在整个企业 的所有业务部门。 ( 3 ) 工作流管理系统的分类 根据工作流过程本身的特点、系统建模的方式、所使用的底层支撑技术以及 工作流过程的执行方式等的不同可以将现有的几百种具有工作流功能的商品化 软件产品及原型系统进行相应的分类如下【l 副： 1 ) 结构化与即席的工作流管理系统。前者指的是在实际工作过程中会反复 重复、严格按照某个固定的步骤进行的业务过程。定义此种工作漉所需要的各种 类型的信息可以通过对业务过程进行详细的分析，从而得到完整的过程定义并在 以后的应用过程中反复使用。大量的办公程序，如公文处理、审批等都属此类。 即席工作流管理系统则是针对那些重复性不强或没有重复性的工作流程的，关于 这类流程执行所需的有关参数事先无法确定，而必须推迟到过程实例运行时才能 确定，同时在执行过程中还可能会发生一些意外的情况。这种动态多变的特点在 提供更高灵活性的同时，也为过程的建模与执行带来更多复杂性。 2 ) 面向过程的与面向文档的工作流管理系统。在面向过程的w f m s 中，工作 江苏大学硕士学位论文 流被描述成为一系列执行环节。与各环节相应都有待处理的数据对象。各环节的 数据对象可以按不同的方式分发到其它环节中去，如可以将数据对象的值作为控 制条件、或者依此数据对象组装成其它的数据对象等。高端的w f t 。| s 一般都属此 类系统。而后者侧重于将电子形式的文档、图像等在有关人员之间进行分发，以 便能够得到不同人的处理与审阅。现有的文档管理与映象管理系统均属此类。 3 ) 基于邮件的和基于数据库的工作流管理系统。前者使用电子邮件来完成 过程实例执行过程中消息的传递、数据的分发与事件的通知。低端的系统一般使 用此种方式，它可以充分发挥电子邮件系统在广域环境下的数据分发功能，但整 个系统运行于一种松散耦合的模式之下。在基于数据库的w f m $ 中，所有的数据 都保存在某种类型的数据库管理系统中，过程的执行实际上就是对这些数据的查 询与处理。高端的大规模系统一般都是采用此种方式。 4 ) 任务推动的与目标拉动的工作流管理系统。前者指的是从过程执行开始 各个环节逐步地执行，当某个活动实例被处理完之后，后续的相关活动将被次序 地创建和激活，直至整个工作流程的完成。这是目前大多数面向过程的w f _ s 所 采用的执行方式，而在日标拉动的w f m s 中，一个业务流程被视作一个目标。过 程实例执行时，该目标将被分解得到多个相互之间按一定约束条件关联起来的可 执行环节，其中各环节还可以当作子目标进一步进行分解。在各个环节均执行完 毕之后，整个过程也就完成i i6 j 。目标拉动是一种全新的执行方式，下一代的w f m s 将具有这种特征。 应该指出：上述分类只是从不同的角度入手的。其中一些特点将给w f m s 带 来更大的灵活性，同时也将成为那些能够支持跨机构的大规模复杂工作流管理、 面向关键任务的w f m s 不可或缺的特征。 1 2 3 信息安全机制 为保护信息系统中的数据信息，避免因偶然或者恶意的原因使数据遭到破 坏，需要采取安全保护。三种相关的主要安全机制是：认证，访问控制和审计。 图14 给出了三者之间的关系。其中的访问监视器( r e f e r e n c em o n i t o r ) 是监控 主体和窖体之间授权访问关系的部件。 认证，即鉴别( a u t h e n t i c a t i o n ) ，包括实体鉴别和数据原发鉴别两种。我们 这里是指前者，即对用户的鉴别，职责是正确地建立和识别用户的身份。用户的 正确标识和鉴别是实施访问控制、安全审计等安全机制的前提。 正确标识和鉴别是实施访问控制、安全审计等安全机制的前提。 江苏大学硕士学位论文 审计，即安全审计( s e c u r i ta u d i t ) 。安全审计包括认出、记录、存储和分析 那些与安全相关活动有关的信息。审计记录结果可用来检测、判断发生了哪些安 全相关活动以及这些活动是由哪个用户负责的。 访问控制( a c c e s sc o n t r 0 1 ) 是指为了保证资源受控、合法地使用，用户只能 根据自己的权限大小来访问系统资源，令所有未被授权的人员无法接近数据，防 止非法用户的侵入或合法用户不慎的操作造成数据的破坏。在本文中，授权特指 访问控制。 主体 图1 4 安全机制的关系 访问控制是信息系统安全保护的重要组成部分，也是系统中管理较为复杂的 部分，国内外有很多相关研究，包括自主访问控制、强制访问控制、基于角色的 访问控制等，本文在第二章中将作详细介绍。 1 3 本文的工作 本文主要针对虚拟制造企业的要求，在r b a c 9 6 模型的基础上，提出一套 针对虚拟企业工作流管理系统、基于组织机构图和角色的访问控制模型，并在基 于w e b 的虚拟制造企业工作流管理系统中加以实现。 本文主要工作如下： ( 1 ) 介绍虚拟企业和工作流管理系统的概念，回顾访问控制的概念和传统 的访问控制方法，详细探讨基于角色的访问控制模型，并总结工作流管理系统中 的访问控制研究现状。 ( 2 ) 提出基于组织机构图和角色的访问控制模型。该模型通过引入任务和 授权策略的概念，实现授权流与工作流的同步；基于组织机构图进行角色的设置， 能够更好的符合现实世界的组织形式，加快配置过程；通过授权约束的指定实现 r 江苏大学硕士学位论文 权责分离原则，建立约束的冲突检测规则，避免由于约束冲突所带来的工作流执 行问题。 ( 3 ) 对虚拟企业工作流管理系统进行详细的分析，并将基于组织机构图和 角色的访问控制模型引入工作流系统中，对系统进行功能上的扩展，使虚拟企业 工作流管理系统能够更合理地运行。 ( 4 ) 采用j s p 和j a v as e r v l e t 技术实现虚拟企业工作流管理系统的访问控 制子系统。 1 4 论文结构概要 下面简要介绍一下本文各个章节的内容。 第二章访问控制概述。简要介绍访问控制的有关概念、传统的访问控制方 法、基于角色的访问控制方法以及目前研究的现状。 第三章基于组织机构图和角色的访问控制模型。提出适用于虚拟企业工作 流管理系统的访问控制模型o c r b a c ，给出模型的形式化定义，并对授权 约束类型、授权约束的冲突检测以及动态授权过程进行详细的描述。 第四章o c r b a c 模型在虚拟企业工作流管理系统中的应用。本章首先分析 虚拟企业的组织机构模型和生产流程，然后介绍虚拟企业工作流管理系统的系统 结构和工作流实例的状态划分，接着提出访问控制予系统的体系结构，在此基础 上。描述系统中的角色和主要时序，最后分析访问控制子系统的实现过程。 第五章访问控制子系统设计与实现。本章论证访问控制子系统中所选择的 实施技术的合理性，描述访问控制子系统体系结构的实现方法。然后介绍系统中 的数据结构和各角色可以选择的操作。最后给出了访问控制子系统的运行实例。 第六章结束语。总结了本文的工作，以及对今后工作的展望。 9 江苏大学硕士学位论文 第二章访问控制概述 本章主要针对访问控制的有关概念、研究历史、研究现状以及访问控制在工 作流管理系统中的研究进行阐述。 2 1 访问控制的概念 访问控制( a c c e s sc o n t r 0 1 ) 是指通过某种途径，允许或限制主体访问客体 能力以及其范围的一种方法。信息系统通过实施访问控制，可以限制对关键资源 的访问，防止非法用户的侵入或者囡合法用户的不慎操作而造成破坏。 访问控制涉及到三个基本概念：主体、客体和访问控制策略。 主体( s u b j e c t ) ：发出访问操作、存取要求的主动实体，它可以是用户、 终端、主机或一个进程等。 客体( o b j e c t ) ：访问的被动实体，它可以是一个字节、字段、记录、 程序、文件，或者是一个处理器、存储器、网络节点等。 访问控制策略：一套规则，用于确定主体访问客体是否得到允许。访问 授权对每一对主体和客体来说是给定的。例如，某用户对某个文件有读、写、执 行的权利。用户的访问授权是由系统的访问控制策略决定的。 在一个信息系统中，首先由主体发起访问客体的操作，该操作根据系统的授 权被允许或被拒绝。主体和客体的关系是相对的，当某个主体被另一个实体所访 问时，该主体就成为客体。一个主体在运行中也可能创建别的主体，如管理员创 建个新用户、用户发起一个主动进程等。 访问控制系统的通用结构在图1 4 中已经说明。图中的访问监控器( r e f e r e n c e m o n i t o r ) 是监控主体和客体之间授权访问关系的部件，当主体要对客体进行访 问时，访问监控器从授权规则数据库中取出授权规则，并把它与访问请求相比较， 进行授权决策。 2 2 传统的访问控制方法 传统的访问控制方法主要有自主访问控制和强制访问控制，它们都是主体与 客体直接发生关系的访问控制方法，强制访问控制的安全性更高。这两种方法在 1 0 江苏大学硕士学位论文 访问控制要求比较简单的系统中应用广泛。 2 2 1 自主访问控制 自主访问控制d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 是目前各种信息系统中 实现最多的访问控制策略，它的特点是根据主体的身份和授权来决定访问模式。 其基本思路是：允许某个主体显式的指定其它主体对该主体所拥有的信息资源是 否可以访问以及可以执行的访问类型。我们所熟悉的u n i x 系统就是采用了自主 访问控制。 d a c 对用户提供了灵活易用的数据访问方式，能够通过授权机制有效地控 制其他用户对敏感数据的存取，但它的安全性较低，非法用户可以绕过它提供的 安全保护而获得访问权1 1 7 1 。 d a c 可能存在的问题有： 权限扩散：用户a 可将其对客体0 的访问权限传递给用户b ，从而使不 具备对客体0 访问权限的b 可访问客体0 ，系统无法控制权限扩散。 数据分发：用户a 有权访问文件f 而用户b 无权访问，但a 获取f 后 可以将文件备份，然后将副本传送给用户b ，则用户b 也可以访问文件f 的数 据，造成了数据的泄漏。 2 2 2 强制访问控制 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 是指系统为保证更高程度 的安全性，按照美国国家计算机安全中一心颁布的t d i t c s e c 标准中安全策略的 要求，所采取的强制存取检查手段。它不是由用户直接感知或进行控制，因此提 供了较强的安全保护【7 1 。 常见的一种m a c 应用模型是：为所有主体和客体指定敏感度标记( l a b e l ) ， 这些敏感度标记被划分成绝密( t o ps e c r e t ) 、机密( s e c r e t ) 、可信( c o n f i d e n t i a l ) 、 公开( p u b l i c ) ，m a c 机制通过比较主体的敏感度标记和客体的敏感度标记来确 定主体是否能够存取客体。 当某一个用户( 或客体) 以标记l a b e l 注册进入系统时，系统要求他对任何 客体的存取必须遵循如下两个原则： 1 ) 仅当主体的敏感度标记等级高于或等于客体的敏感度标记等级时，该主 体才能读取相应的客体。 江苏大学硕士学位论文 2 ) 仅当主体敏感度标记等级低于或等于客体的敏感度标记等级时，该主体 才能写相应的客体。 第一条原则避免了低等级的主体访问高等级的客体，第二条原则禁止了高等 级的主体更新低等级的客体，从而防止了敏感数据的泄漏。 强制访问控制是对数据本身进行密级标记，无论数据如何复制，标记与数据 是一个不可分的整体，只有符合密级标记要求的主体才能访问客体，从而提供了 更高级别的安全性。 2 3 基于角色的访问控制 随着信息系统规模的扩大，自主访问控制和强制访问控制在安全管理上的工 作也变得越来越繁重，不易实施。例如，如果某个系统中存在1 0 0 0 个主体访问 1 0 0 0 个客体，则需要1 0 0 万次配置，如果每次配置为1 秒，就需要日夜不停的 配置1 1 6 天，显然是不合适的。 1 9 9 4 年美国n i s t 的研究人员d a v i df e r r a i o l o 和r i c h a r dk u h n 发表的论文【1 8 第一次提出了基于角色的访问控制r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 的概念； 1 9 9 6 年，美国g e o r g em a s o nu n i v e r s i t y 的r a v is s a n d h u 教授正式提出了r b a c 9 6 模型家族 2 1 ，随后又发表了一系列论文【9 _ 2 2 1 ，充实了r b a c 模型，并使r b a c 模型成为访问控制技术的标准。s a n d h u 的r b a c 模型对访问控制研究具有划时 代的指导作用，r b a c 也成为访问控制领域国内外研究的热点。下面首先介绍角 色的概念，然后分析r b a c 模型的基本特征，接着描述几种典型的r b a c 模型， 最后总结r b a c 国内外的研究情况。 2 3 1 角色 角色是形成基于角色访问控制策略的基础语义结构，角色的层次组织形式与 企业的组织结构相吻合。在企业中，为不同工作创建不同角色。根据责任和能力， 用户被赋予相应的角色，随着用户职责的变化，可以方便地改变用户角色。当新 应用和新系统出现时，角色可以被赋予新的权限，也可以把角色所拥有的某种权 限取消。 在r b a c 中，系统管理员创建角色、给角色赋予权限、根据管理策略和用 户的职责给用户安排角色。因此，角色一权限之间的关系可以预先定义，这样可 以很容易将预先定义的角色赋予用户。如果没有r b a c ，很难决定哪些权限应该 1 江苏大学硕士学位论文 赋予哪些用户。 ， 与用户和权限相比，角色是一个相对稳定的概念。与用户和角色之间的关系 变化速度相比，权限和角色之间的关系变化是比较慢的。也就是说，用户所拥有 的角色可能经常变化，但是角色所拥有的权限是相对固定的。与把权限赋予用户 的工作相比，把角色赋予用户比较容易。 2 3 2r b a c 的基本特征 1 ) 基于角色的访问控制r b a c 的基本思想就是根据安全策略划分出不同的 角色，资源访问许可被封装在角色中，用户被指派到角色，用户通过角色间接地 访问资源。 2 ) r b a c 的最大优点在于它能够灵活表达和实现组织的安全政策，使管理 员从访问控制底层的具体实现机制中脱离出来，十分接近日常的组织管理规则。 r b a c 被认为是一种更普遍适用的访问控制模型，可以有效地表达和巩固特定事 务的安全策略，有效缓解传统安全管理处理瓶颈问题。 3 ) 角色与组的区别： 角色既是用户的集合，又是操作许可的集合；组通常是作为用户的集合， 而不是操作许可的集合。 角色是表达组织安全策略的部件，属于安全策略，抽象级高；组是机制， 是实现工具，抽象级低。两者是策略与实现机制的关系。 2 3 3r b a c 9 6 模型 r b a c 9 6 模型包括四个不同层次：r b a c 0 模型规定了任何r b a c 系统所必须 满足的最小需求；r b a c l 模型在r b a c o 的基础上加入了角色层次( r o l e h i e r a r c h i e s ) 的概念，可以根据组织内部权力和责任的结构来构造角色与角色之 间的层次关系：r b a c 2 模型在r b a c 0 的基础上增加了约束( c o n s t r a i n t s ) 概念： 而r b a c 3 模型是对r b a c l ： 1 r b a c 2 的集成，它不仅包括角色层次，还包括约束 关系。 r b a c 0 、r b a c l 、r b a c 2 和r b a c 3 之间的关系如图2 1 所示。 江苏大学硕士学位论文 舳q ( 2 ) r b a c i 模型 r b a c i 模型中引入角色层次( r o l eh i e r a r c h i e s ) 来反映一个组织的职权和权 限分布的偏序关系。一般用偏序来描述角色层次。r o l e l 2 r o l e 2 表示r o l e l 继 承了r o l e 2 的所有权限。偏序满足自反、传递和非对称性质。r b a c 中角色的层 次结构是一种现实世界组织角色的自然表示方式，反映了企业内职责和权限的组 江苏大学硕士学位论文 织结构。如图2 2 所示。在角色层次图中，低级角色在底部，高级角色在项部。 该层次结构是偏序的，即具有自反、传递和反对称关系。继承关系是自反的，因 为一个角色可以继承自己的权限，传递性是角色层次上下文中的自然要求，反对 称性则排除了从其他角色继承所导致的冗余。 图2 ，2 角色层次关系 在图2 2 所示的关系中，测试人员和分析人员具有程序员所拥有的权限， 项目负责人则同时拥有测试人员和分析人员的全部权限。 有时为了实际应用的需要，应该限制角色问继承的范围。如果某个角色不希 望别人获得自己的某些权限，此时它就可以分离出自己的私有角色( p r i v a t e r o l e s ) 。私有角色中的权限是不能被继承的。利用私有角色机制可以实现某些权 限的屏蔽。如图2 3 n 示，设置了私有角色测试员l 和分析员1 ，使得测试员和分 析员的私有权限不被项目负责人继承。 图2 3 私有角色的使用 ( 3 ) r b a c 2 模型 r b a c 2 在r b a c o 的基础上引入了约束集合，用来规定各种操作是否可被接受。 约束可以作用在r b a c 模型中的所有实体和关系上。下面重点探讨一下与角色有关 的约束。 基数约束：在同一时间，一个用户可拥有的角色数目受限：同样，一个 江苏大学硕士学位论文 角色对应的权限数目也应受限。 互斥约束；分为静态互斥约束和动态互斥约束。静态互斥是指互斥的角 色不能分配给同一个用户，这是比较严格的约束机制，该约束一般发生在用户 角色指派阶段。动态互斥是指互斥的角色可以分配给一个用户，但是他不能在一 个会话中同时使用这两个角色：该约束一般发生在会话选择a r 时，即运行时刻。 先决条件约束：可以分配角色给某用户仅当该用户已拥有另一角色；同 样，可以分配权限给该角色仅当该角色已拥有另一种权限。 时间频度约束：规定特定角色或权限的使用时间和频度。 ( 4 ) r b a c 3 模型 r b a c 3 包括了r b a c i 和r b a c 2 的所有特征，并增加了管理角色和管理权限的 概念。常规权限只能赋予常规角色，而管理权限只能赋予管理角色。 r b a c 9 6 完整模型如图2 4 所示。 角色层次 图2 4r b a c 模型 2 3 ，4a r b a c 9 7 模型 r b a c 中很重要的部分就是自身的管理，而r b a c 9 6 模型中并未作详细阐述。 因此，1 9 9 7 年r a v is ，s a n d h u 又提出了a r b a c 9 7 ( a d m i n i s t r a t i v er b a c ) 模型口1 l ， 将授权的管理和使用分开，如图2 5 n 示。管理角色a r ( a d m i n i s t r a t i v er o l e ) 和 管理权限a p ( a d m i n i s t r a t i v ep e r m i s s