（计算机应用技术专业论文）面向工作流系统基于流程挖掘的安全审计技术研究与实现.pdf

华东师范大学硕士学位论文工作流引擎中安全审计关键技术研究与实现 摘要 随着工作流技术的发展和广泛应用，工作流系统的安全问题也成为一个重要的研究领 域。工作流管理联盟( w f l v i c ) 在安全白皮书中提出了八个方面的安全考虑，其中。安全审计 可以在身份鉴别、访问控制、数据完整性、加密技术等多种安全措施的基础上进一步提高了 系统的可信度和安全性，但是目前缺乏对工作流管理系统的安全审计深入研究。由于工作流 内部任务流、数据流和资源流都是相互关联，具有内在的逻辑关系，如任务间的因果关系、 顺序关系和循环关系等，而现有安全审计方法( 如基于主机和基于网络的安全审计方法) 缺 乏对这方面的考虑，简单应用现有的安全审计技术将会造成这些信息的丢失，从而降低安全 监测的准确性和效率。因此，如何有效地对工作流系统进行安全审计将是值得研究的课题。 学术界提出了一些工作流流程挖掘技术能够有效的挖掘引擎日志中过程实例中实际活 动的执行次序和任务关系，且有较好的研究成果。随着工作流模型理论的发展，借助于p e t r i 网的较严格数学理论基础，使得采用p e t r i 网对工作流模型进行描述和形式化验证、分析已 成为目前的潮流。目前针对p e t r i 网工作流模型的过程挖掘算法主要是a a l s t 提出的a 算 法以及对该算法的一些扩展。这类算法主要根据引擎日志中记录的活动间发生的顺序关系来 进行挖掘工作，但是这些挖掘算法忽略了任务的上下文环境。作者的主要工作弥补了其不足。 根据上述分析，本文研究主要着眼于对工作流系统安全审计的研究和改进，在研究分析 流程挖掘技术基础上，扩展了挖掘算法，引入了变量异常分析方法，并提出了一种基于流程 挖掘技术异常分析和变量异常分析的安全审计模型，使得在安全审计能够同时考虑工作流运 行特征，从而有效的实现对工作流的安全审计功能。 本文的主要研究成果可以归纳为： 1 - 提出了针对安全审计的工作流网扩展定义并给出了扩展流程挖掘算法。 2 提出了针对工作流系统的流程异常和变量异常检测方法。 3 提出了面向工作流系统的安全审计系统架构 4 给出了带有安全审计的工作流系统关键组件的设计，并实现了一个原型系统。 关键词：工作流，信息安全，安全审计，数据挖掘，口算法，p e t r i 网，工作流网 华东师范大学硕士学位论文 工作流引擎中安全审计关键技术研究与实现 a b s t r a c t w i t ht h ed e v e l o p m e n ta n dl a r g e l ya p p l i c a t i o no fw o r k f i o wt e c h n i q u e ，t h es e c u r i t yp r o b l e mo f w o r k f l o ws y s t e mh a v eb e c o m emi m p o r t a n tr e s e a r c h i n ga r e a s ow o r k - f l o wm a r m g e m a n t c o a l i t i o n ( w f l v i c 、d e f i n e se i g h ts e c u r i t i e si ni t sw h i t ep a p e ri n c l u d i n gs e c u r i t ya u d i tw h i c hc i m p r o v er e l i a b i l i t y a n ds e c u r i t yb e s i d e so t h e rs e c u r i t yp r o t e c t i o nt e c h n i q u e ss u c ha s i d e n f i f i y , a c c e s sc o n l r o l d a t ai n t e g r a l i t y , e n c r y p f i o nt e c h n i q u e a n ds oo n h o w e v e r , i tl a c k so f r e s e a r c ho ns e c u r i t ya u d i ti nw o r k f l o wm a n a g e m e n ts y s t e m m o r e o v e rc u r r e n ts e c u r i t yt e n i q u e m e t h o d ( s e c u r i t ya u d i tm e t h o db a s e do nm a c h i n ea n dn e t w o r k ) c a l ln o tb ea p p l i e di n t ot h e w o r k f l o wm a n a g e m e n ts y s t e ms i m p l y , b e c a u s ew o r k f l o wh a v ei t so w nl o g i cr e l a t i o n s h i p ，s u c h 鹊 c a s u a l i t y ，s e q u e n c e ，r e p e t i t i o na m o n gt a s k s i f u s i n gt h en o r m a ls e c u r i ta u d i tt e c h n i q u e s ，i tw i l ll o s e t h ei m p o r t a n tl o g i ci n f o r m a t i o nw h i c hl e a d st ol o w e rt h ev e r a c i t ya n dv a l i d i t y s o ，i ti saw o r t h f u l r e s e a r c ho b j e c tt of i n dab e t t e rs e c u r i t ya u d i tm e t h o dt os o l v et h ea b o v ep r o b l e m s r e s e a r c h e r sh a v eg o ts o m ew o l d l o wm i m n gt e c h n i q u ew h i c hc a l le f f e c t i v e l yf r e dt h e e x e c u t i o ns e q u e n c e s h i pa n dt a s k s r e l a t i o n s h i po f w o r k f l o wi n s t a n c e sf r o mt h ew o r k f l o wl o g a n d w i t ht h ed e v e l o p m e n to fw o r k f l o wm o d e lt h e o r ya n dt h es t r i c tm a t h e m a t i cb a s i s ，p e l a in e th a s b e c o m et h em a i nt o o l st op r e s e n ta n da n a l y z et h ew o r k f l o wm o d e l c u r r e n t l y , t h ef l o wm i n i n g a l g o f i t i m af o rp e l a in e tw o r k f l o wm o d e li sm a i n l y 口a l g o r i t h ma n dt h ee x t e n d e da l g o r i t h m s p r o p o s e db ya a i s t b u tt h e s ea l g o r i t h m si g n o r et h ec o n t e x to ft a s k s t h i sp a p e rt r yt oa d dt h e c o n t e x ta n l y s i sf o rs e c u r i t ya u d i l a sm e n t i o n e da b o v e , t h i sp a p e rf o c u so nt h er e s e a r c ha n di m p r o v e m e n tt h es e c u r i t yo f w o r k f l o ws y s t e m w ee x p a n dt h em i n i n ga l g o r i t h mb a s e do na n a l y s i so ff l o wm i n i u gt e c h n i q u e ， p r o p o s eav a r i a b l ec o n f o r m a n c ea n a l y s i sm e t h o d , t h e n 百、，cas e c u r i t ya u d i tm o d e l ，w h i c hw i l l i m p l e m e n tt h es e c u r i t ya u d i tf u n c t i o ne f f e c t i v e l y t h er e s e a r c hr e s u l t so nt h i sp a p e ra r ea sf o l l o w i n g ： 1 e x p a n dw o r k f l o w - n e tf o rs e c u r i t ya u d i ta n dg i v et h er e l a t i v e dm i n i n ga l g o r i t h m 2 g i v eaf l o wa n dv a r i a b l ec o n f c 帕1 a c ea n a l y s i ss o l u t i o nf o rw o r k f l o ws y s t e m 3 g i v eas e c u r i t ya u d i ta r c h i t e c t u r eo nw o r k f l o ws y s t e m 4 g i v ead e t a i l e dd e s i g no fk e ye l e m e n t si nt h ew o r k f l o ws y s t e ma n di m p l e m e n tt h i s p r o t o t y p es y s t e m 华东师范大学硕士学位论文工作流引擎中安全审计关键技术研究与实现 k e y w o r d s ：w o r k f l o w , i n f o r m a t i o ns e c u r i t y , s e c u r i t ya u d i t ，d a t am i n i n g , a l g o r i t h i s m ，p e t r i n e t , w o r k f l o wn e t 学位论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及取得的 研究成果。据我所知，除文中已经注明引用的内容外，本论文不包含其他个 人已经发表或撰写过的研究成果对本文的研究做出重要贡献的个人和集 体，均已在文中作了明确说明并表示谢意。 作者签名 强雌 i 授权使用声明 本人完全了解华东师范大学有关保留、使用学位论文的规定，学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子舨和纸质版。有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆被查阅。有权将学 位论文的内容编入有关数据库进行检索。有权将学位论文的标题和摘要汇编出 版。保密的学位论文在解密后适用本规定。 黼文嚣邋言篓当写 日期：幽：型：1 日期：筐丝z n ) o r i g i n a l i t yn o t i c e i np r e s e n t i n gt h i st h e s i si np a r t i a lf u l f i u m e n to ft h er e q u i r e m e n t sf o rt h em a s t e r sd e g r e ea t e a s tc h i n an o r m a lu n i v e r s i t y , 1w a r r a l - l tt h a tt h i st h e s i si s o r i g i n a la n da n yo ft h et e c h n i q u e s p r e s e n t e di nt h et h e s i sh a v eb e e nf i g u r e do u tb ym e a n yo ft h er e f e r e n c e st ot h ec o p y r i g h t , t r a d e m a r k , p a m n _ t ，s t a t u t o r yr i g h to rp r o p r i e t yr i g h to fo t h e r sh a v eb e e ne x p l i c i t l ya c k n o w l e d g e d a n di n c l u d e di nt h er e f e r e n c e ss e c t i o na tt h ee n do f t h i st h e s i s s i g n a t u r e ： c o p y r i g h tn o t i c e d a t e ： ih e r e i na g r e et h a tt h el i b r a r yo f e c n us h a l lm a k ei t sc o p i e sf r e e l ya v a i l a b l ef o ri n s p e c t i o n if u r t h e ra g r e et h a te x t e n s i v ec o p y i n go f t h et h e s i si sa l l o w a b l eo n l yf o rs c h o l a r l yp u r p o s e s ，i n p a r t i c u l a r , s t o r i n gt h ec o n t e n to f t h i st h e s i si n t or e l e v a n td a t a b a s e s a sw e l la sc o m p i l i n ga n d p u b l i s h i n gt h et i t l ea n da b s t r a c to f t h i st h e s i s c o n s i s t e n tw i 血“f a i ru s c ”p r e s c r i b e di nt h e c o p y r i g h tl a wo f t h ep e o p l e sr e p u b l i co f c h i n a s i g n a t u r e ： d a t e ： 华东师范大学硕士学位论文 第1 章绪言 1 1 研究背景与意义 第1 章绪言 工作流技术早在上世纪7 0 年代中期就已出现，最早应用于办公自动化系 统，至9 0 年代后相关技术条件逐渐成熟、各种标准逐步制定，工作流技术在社 会各个领域得到广泛应用。其要解决的主要问题是为实现某个业务目标，在多个 参与者之间，利用计算机，按某种预定规则自动传递文档、信息或者任务，作为 现代企业实现过程管理与过程控制的一项关键技术，为企业的经营过程提供了一 个从模型建立、管理到运行、分析的完整框架。工作流管理系统( w f m s ) 通过 一套集成化，可互操作的软件工具为这个框架提供了全过程的支持。 随着w t m s 的应用不断发展和扩大，其安全问题也就成为特别需要关注的 问题。近年来，国内外对于工作流安全领域也进行了广泛的研究，主要包括授权 和访问控制、多级安全领域等。利用这些技术，工作流系统能够区别出内部用户 和外部用户，并授予合法用户一定的权限，提供了较好的安全控制功能。 但是系统的安全防护是一个多方位的复杂问题，其面临的安全威胁是动态 的、发展的。入侵者可能来自世晁的任何一个角落，不仅是来自外网的非法用户 或黑客，也可能来自系统的内部。权威市场调查机构g a r m e r 认为，损失金额在 5 万美元以上的攻击中，7 0 都涉及网络内部攻击者。防火墙、入侵防范系统可 以抵御各种由蠕虫、越来越多的黑客活动所带来的威胁，但是不能有效防范内部 攻击。普通内网用户对系统资源通常只具有一般的访问权限，正常情况下他们在 系统上的活动不应对系统安全造成很大威胁。然而由于他们在系统上已经有了立 足点，比较那些不得不通过网络远程地对系统进行攻击的人来说，更容易达到攻 击目的。同时，即便是合法用户在自己权限之内，仍有可能进行误操作或非法的 操作。而这些是现有的系统访问控制机制不能防止的操作。这些操作的结果有将 对系统造成更大的损失。2 0 0 2 年f b i 和c s i 通过对4 8 4 家公司的调查，发现： 有超过8 5 的安全威胁来自企业内部，有1 6 来自内部未授权的存取，有1 4 来自专利信息被窃取，有1 2 来自内部人员的财务欺骗，而只有5 是来自黑客 华东师范大学硕士学位论文 第1 章绪言 的攻击。虽然上述分析主要是针对网络和主机攻击，但是对于工作流系统而言存 在同样的安全问题。 针对可能存在内部的安全隐患，为有效管理并尽量降低信息安全风险，工作 流管理系统需要提供一套有效的安全审计机制来加强对系统异常以及用户的监 管力度。因此，作为安全控制不可缺失的一环，有必要对工作流系统安全审计进 行深入研究。 1 2 研究现状 利用系统日志进行安全审计分析的思想，最早是在1 9 8 0 年a n d e r s o n 的论 文中正式提出的，至今研究经历了2 0 余年的研究和发展，已经形成了较为完备 的理论和实际应用系统，包括针对各种安全策略的具体审计策略的确定、安全审 计标准，安全审计等级划分、安全相关事件的确定等方面。 在国际与国内规范中都将安全审计放在了重要的位置。在国际通用准则 ( c c ) 、美国可信计算机安全评价标准( t c s e c 准则) 以及我们国内的 g b l 7 8 5 9 1 9 9 9 中，对信息系统安全审计定义了一套完整的功能与基本要求。在 计算机信息系统安全保护等级划分准则中，对安全定义了五个级别，从第二个级 别开始就需要基本的审计功能，越高的级别对于审计的要求也越高。其中，日志 审计用于检查系统上发生的与安全相关的活动，以及谁对这个活动负责。日志审 计不仅可以判断系统是否正常运行，而且还能发现系统中的异常操作和破坏性尝 试，并对违规的操作进行攻击告警、策略转移、攻击阻断和事故分析以及故障后 系统的重建。因此，安全审计是保证信息安全必不可少的一种手段。 目前，主要的审计分析方法是针对系统主机日志【2 】【3 】【4 【5 1 和网络数据进行的审 计分析吲【7 】【8 】，它们所审计的对象主要是物理层或者位字节流的分析和判断，需 要大量的数据挖掘来获取其中的行为特征，难以识别系统应用层的逻辑关系。而 对于工作流系统而言，审计的对象主要是流程中的任务流和变量数据，属于逻辑 层，与前者相比，数据挖掘的逻辑知识规则更加清楚。因此不能简单的把基于主 机和网络的审计技术简单的应用到工作流系统安全审计领域。 另外，现有的工作流系统产品主要提供了认证和授权方面的安全控制，如 2 华东师范大学硕士学位论文第1 章绪言 s t a f f w a r e 2 0 0 0 实现了定义静态的职责绑定，i n c o n c e r t 实现了动态授权，c o s a 则 在授权控制基础上允许角色权力继承，o s w o r k f l o w 提供了l d a p 等认证功能。 但是这些管理系统都缺乏日志审计功能，即使提供了日志，对日志的审计也仅局 限于简单的日志查询，没有提供一套有效的审计机制来实现对工作流流程的安全 监控。 1 3 本文研究内容 鉴于现有工作流系统安全审计领域研究的不足，本文在p e t r i 网和工作流网 定义基础上【9 1 - 1 1 4 】把流程挖掘技术1 州2 0 1 引入到安全审计中，并借鉴现有安全审计 常用分析方法，详细提出了对流程的挖掘和针对工作流领域的异常分析手段和方 法；提供了安全审计的基础，即扩展流程模型定义和扩展挖掘算法，以确保审计 对象提取的有效性和准确性；此外，为提高审计结果的准确性，提出了变量异常 检测算法和阂值计算公式。对于现有的工作流系统安全而言，该技术方法能与原 有的访问控制等技术有机结合，较好的解决了工作流系统安全审计分析的准确性 和有效性问题，提高了工作流系统的安全性。 简言之，本文的主要研究工作有： 1 ) 分析现有工作流系统的安全问题及安全目标 2 ) 研究现有的安全审计技术，包括日志采集、规则提取、审计分析等各方 面，总结目前方法在工作流安全领域的不足。 3 ) 分析现有工作流流程挖掘技术在安全审计的数据采集、规则分析等方面 的作用，研究如何引入该技术到工作流系统的安全审计领域，以加强安全审 计对象关系挖掘的准确性和有效性。 4 ) 研究如何检测工作流系统的异常和一致性等安全性问题，并提供一套有 效的判断分析机制。 5 ) 研究如何实现工作流引擎与安全审计引擎的有机结合，提出系统框架。 6 ) 研究安全审计引擎的可扩展性、跨平台性，利用j a v a 等面向对象和分析 模型等技术手段进行组件化设计实现这些目标。 3 华东师范大学硕士学位论文第1 章绪言 1 4 本文组织结构 本文的组织结构： 第一章绪言 介绍了工作流系统安全性研究的背景和意义及研究现状，并指出主要研究工 作； 第二章工作流系统及相关安全技术 研究分析典型工作流系统涉及的各种安全技术以及安全审计相关概念，并分 析了当前研究的不足； 第三章工作流流程挖掘技术 本章主要介绍了工作流流程挖掘的描述和基本挖掘算法的定义，并对工作流 模型定义语言和流程挖掘算法进行了分类比较。 第四章流程挖掘在工作流安全审计中的应用 本章给出了针对安全审计的工作流网扩展定义和扩展流程挖掘算法，在此基 础上，提出了对工作流系统的异常分析方法。 第五章工作流安全审计模型的设计与实现 提出基于工作流系统的安全审计系统架构，利用面向对象语言和设计模式特 性，实现了工作流系统安全审计引擎的模块化和可配置性。 第六章总结 对本文进行总结与展望 4 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 第2 章工作流系统及相关安全技术 工作流是一个被业界广泛应用并迅速发展的技术，其主要特点是使过程处 理自动化，使人以及各种应用工具相互协调工作，以完成某项任务。对于工作流 安全系统安全问题，已有许多相关研究，如资源控制，访问控制策略及多级安全 工作流系统等。但对于其中关于安全审计的研究涉及较少。本章将介绍工作流基 本概念、工作流系统模型等，以及安全审计技术研究现状和功能。 2 1 工作流技术概述 工作流技术早在上世纪7 0 年代中期就已存在，最早应用于办公自动化系统， 至9 0 年代后相关技术条件逐渐成熟、各种标准逐步制定，工作流技术在社会各 个领域得到广泛应用。 工作流管理联盟( w o “c ，w o r k n o wm a n a g e m c n tc o f l i t i o n ) 对工作流的定 义是“1 ：一类能够完全或部分由计算机自动执行的业务过程，它根据一系列过程 规则、文档、信息或任务能在不同的执行者之间进行传递与执行。在工作流中定 义了任务的触发顺序和条件后，任务可由不同人或软件系统来协作完成。工作流 解决的主要问题是：为实现某个业务目标，在多个参与者之间，利用计算机，按 某种预定规则自动传递文档、信息或者任务。 工作流管理系统0 1 ( w f m s ，w o r k n o wm a n a g e m e n ts y s t e m ) 的主要功能是 通过计算机技术的支持去定义、执行和管理工作流，协调工作流执行过程中工作 ( 任务) 以及群体成员之间的信息交互。工作流管理系统需实现的功能有：工作 流建模、工作流运行、过程的管理和监控、业务过程的分析等，其最终目的是为 了满足业务自动化和管理信息化的需求。 2 2 工作流系统参考模型 工作流系统支持流程的自动化，包括流程中各任务的创建、分派、执行、结 束等，将其系统中主要功能组件和组件间的接口看作抽象的模型，即有通用的系 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 统模型，如图2 - 1 所示。 图2 - l 通用工作流系统模型 通用的工作流系统模型中主要包含以下几个组件模块： 1 ) 过程定义工具：主要是用于图形化的过程抽象表示，用不同的元素符号代表 活动或其他相关因素，用有向线来表示控制流。表示中涉及的模型可以利用p e w i 网、有限状态机或u m l 活动图等，而形式化的过程定义语言可参考x p d l 2 8 等 规范。此工具被用来创建计算机可处理的业务过程描述。 2 ) ：工作流执行服务( w o r k f l o we n a c t m e n ts e r v i c e s ，w e s ) 系统和工作流引擎： w e s 系统也称为过程执行环境，包括一个或多个协同工作的工作流引擎，负责解 释过程定义、创建过程实例并控制其执行( 顺序、并行、聚合方式等) 、调度各 项任务、为用户工作表添加工作项、通过应用程序接口( a p i ) 调用应用程序、 提供监督和管理功能等。工作流引擎是w f m s 的核心组件，管理各种过程中一个 单独过程实例，而w e s 维护各种内部控制数据。 3 ) 任务表处理器：管理用户与w e s 间的交互。任务表处理器负责请求用户关心 的任务，并通过工作任务表与w e s 进行交互，完成的功能有：控制任务在用户间 进行分配、支持用户在工作表中选取任务、任务重分配、通报任务的完成、任务 处理过程中调用相应应用程序等。 4 1 用户界面：一个单独的软件组件，负责提示和处理用户对话框，并控制用户 6 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 的本地接口。在某些系统中，用户界面可能会与任务表处理器组合到一起，构成 一个简单的功能实体。用户界面也会调用本地应用程序，来支持用户完成特殊的 任务。 工作流系统模型中涉及的数据有： 1 ) 过程定义( 数据) ：包含了所有使业务过程能被工作流执行系统执行的必要 信息，如起始和终止条件、各个组成活动、调度规则、相关应用程序和数据的调 用信息等。过程定义可能会涉及到一个组织角色模型，模型包含组织结构和组 织中的角色等信息。 2 ) 工作流控制数据：被w e s 和工作流引擎管理的系统数据，例如工作流中实例 的状态信息、每一任务的状态信息等。 3 ) 工作流相关数据：与业务过程相关的数据，w f m s 使用这些数据确定工作流 实例的状态转移，例如过程调度决策数据、活动间的传输数据等。 4 ) 工作列表：列出了与业务过程的参与者相关的一系列工作项( 或称任务) 。 外部的应用程序可以直接被w f m s 调用，通过应用程序调用，w f m s 部分 或完全自动地完成一个活动，或者对业务参与者的工作提供支持；而与工作流控 制数据和相关数据不同，应用数据对应用程序来讲是局部数据，对w f m s 的其 他部件来说是不可见的。 w f l v i c 为了能够更好的实现不同工作流系统间的互操作，方便与其他应用系 统的集成，也提出了工作流参考模型( w o r k f l o wr e f e r e n c em o d e l ) ，文献作了 详细介绍。 2 3 工作流安全 2 3 1 工作流系统安全目标 现有的计算机系统或多或少都有一定的安全控制，随着工作流管理系统的广 泛应用，其安全问题越来越受重视。为此工作流管理联盟在安全白皮书1 中提 出了以下几个方面的安全考虑： 1 1 身份鉴别 一般各个w 0 讧s 都有自己的鉴别机制，每个系统的用户需要在系统中进行注 7 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 册才能登录系统。如果系统a 的用户在系统运行过程中需要访问系统b ，他需要 在b 中再注册并经过b 的授权才能正确地访问b 。但是如果交互双方达成协议不同 的w f m s 也可以共享一个公共鉴别模型，采用可信的第三方鉴别协议如 k e r b e r o s 矧和s e s a m e 【”1 ( s e c u r ee u r o p e a ns y s t e mf o r a p p l i c a t i o ni nm u l t i v e n d o r e n v i r o n m e n t ) 。两个w f m s 进行互操作时有两种情况：一是交互双方建立会话连 接时进行鉴别，二是交互双方互操作过程中周期地调用鉴别过程。特别是交互双 方如果通过e m a i l 或其它异步方式进行交互，每一次信息交换都要进行鉴别。保 密性较低的系统一般只采用口令比较来对用户进行鉴别，而且不对口令加密。为 了系统的安全性，鉴别一般采用密码算法。公开密钥算法侧重于交互双方的可信 度，对称算法则侧重于增强双方交换的数据的私有性。 2 ) 授权 一个计算机系统的所有用户都有各自的操作范围，系统在对登录者进行鉴别 后，便为该登录者分配权限，使他在一定的范围内使用系统提供的服务。在w f m s 中，可以通过流程定义工具，按照一定的组织结构定义角色，每个角色承担不同 的活动和任务。因此w o v i s 对用户的授权，实际上就是赋予用户一定的角色， 以便用户完成任务。 3 ) 访问控制 访问控制的目的，在于限制系统内合法用户的行为和操作，非法用户应该被 挡在身份鉴别这道门外，它包括用户能做什么，以及系统程序根据用户的行为应 该做什么两层含义。 4 ) 审计 审计是现代安全计算机系统必不可少的组成部分，它在身份鉴别访问控制、数 据完整性加密技术等多种安全措施的基础上，进一步提高了系统的可信度。审计 是模拟社会监察机构在计算机系统中用来监视记录和控制用户活动的一种机制， 它使影响系统安全的访问和访问企图留下线索，以便事后分析和追查，其目标是 检测和判定对系统的恶意攻击和误操作，对用户的非法活动起到威慑作用，为系 统提供进一步的安全可靠性。在安全计算机系统中，审计通常设计成一个相对独 立的子系统。审计子系统根据所设置的审计开关和审计阀值，对系统中的事件或 用户的操作进行收集和审计。审计开关用来确定事件收集的范围或确定审计事件 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 的类型，而审计阀值则用来进一步确定需审计的事件。本文将详细介绍安全审计 技术。 5 1 数据私有性 数据私有性可以确保在系统之间传送的数据和系统存储的数据只对涉及的 各方开放，而第三方无权访问。在w f l s 中以下几类数据必须提供数据私有性： 应用程序数据、工作流相关数据、工作流控制数据等。数据的私有性通常是通过 授权和数据加密相结合来实现的。关于授权在上面已有所阐述，而一般的数据加 密，我们采用对称算法。两个w f m s 在进行互操作时，双方事先约定一个密钥， 双方所发送的消息数据等都采用这个密钥进行加密和解密。如果要提高数据的保 密性可以采用诸如r s a 的非对称算法。 6 ) 数据完整性 数据完整性可以确保数据在传输过程中不被第三方修改。数据完整性一般分 以下两类： ( 1 ) 存储和传送过程中避免崩溃或传输错误的基本数据保护。实现这种基本数据 保护一般采用较为简单的数据校验机制，很多数据存储工具和数据通信协议都支 持这种校验机制。 ( 2 ) 强大的数据完整性。这需要采用密码算法来实现，如单向散列函数、对称算 法、公开密钥算法。 以上的数据完整性的实现方法没有保证数据的私有性，我们可以采用对称算 法。它在一定程度上同时实现了数据的私有性和完整性，更复杂的可以采用公开 密钥和数字签名相结合的带加密的数字签名协议，它能提供更强的数据私有性和 完整性。如果采用复杂的算法，所带来的代价就是耗费更多的资源和系统响应速 度的下降。 n 抗抵赖 系统对访问者的鉴别和数据完整性的实现在一定程度上都实现了抗抵赖。随 着工作流在电子商务领域的应用增多，抗抵赖逐渐成为w f m s 安全的重要因素。 8 1 安全管理 任何一个依赖于口令、密钥来实现系统安全控制的计算机系统都需要一个安 全管理子系统。它必须提供口令或密码的分配、发布、替换等功能。 9 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 2 3 2 工作流安全技术研究 近年来，随着工作流技术和管理系统的广泛应用，国内外对工作流安全问题 也有广泛研究。按照工作流系统的安全层次，可以对现有的工作流安全技术大致 分为下面四大类： 1 ) 模型安全 模型安全，主要是针对模型定义语言而言的，是指对利用现有的过程建模和 分析工具，对工作流流程进行定义描述，同时根据安全需要，对这些模型定义语 言进行扩展定义。 目前而言，常见的几种模型定义语言饼j - i 冽包括：活动间依赖型模型语言、 a d o n i s 模型语言、心鲥网模型语言和面向块结构模型语言等。然而，对于这 些模型语言初始是为了建模工具而产生的，当其应用到工作流流程模型描述时， 缺乏对安全工作流过程( 其中包括约束机制、静态权限分配和动态授权等) 的描 述，如经典p e t r i 网，没有全局时间的概念以及建模时无法表达现实生活中复杂 的对象属性等，因此需要引入扩展定义，使其能够保证模型支持安全控制。当前 研究主要是对p e t r i 网基础上的安全扩展，如周成龙等在有色p e t r i 网的基础上引 入了时间约束机制来保证工作流在特定时间内安全执行御】。 当前模型安全另一研究领域还包括多级安全工作流 3 0 】。所谓多级工作流，即 在工作流系统中，存在着大量不同安全级别的用户、角色和任务，其构成不同级 别的分类域。如果一个任务的实现涉及到不同级别分类域时，这个任务称为多级 任务，由多级任务构成的任务网就是多级工作流。多级安全工作流是基于安全级 别的工作流，目前多级安全研究大部分是在b e l la n dl a p a d u l a 模型 3 0 l 基础上进 行的。此模型具有很强的安全性，但也存在缺陷，容易产生隐通道，造成数据泄 漏。 2 ) 授权和访问控制 工作流中涉及不同用户或计算机参与各个任务过程，系统的运转需确保流程 每个阶段应由合适的用户完成任务，为此工作流系统中也需引入授权控制。 目前，国内外访问控制研究的重点仍然集中在自主访问控制、强制访问控制 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 和基于角色的访问控制 3 1 1 上。现在研究人员逐渐认识到强制访问控制和自主访 问控制理论不能反映越来越复杂的安全需求。目前在工作流系统的权限控制中应 用比较普遍的是：基于角色的访问控制( r b a c ) 和基于任务的访问控制 ( t a s k b a s e da c c e s sc o n t r 0 1 t b a c ) 【3 3 1 【。 3 ) 资源安全 资源安全，是指对于工作流流程当中的数据资源( 如文档，视频等媒体) 进 行安全控制，保证这些资源的完整性、私有性和不可抵赖等。 资源的安全控制主要依赖于现有的安全技术和策略，如数字水印技术，密码 技术，安全容器技术和防拷贝等，同时也与其他认证技术( 身份认证、授权控制 等) 结合来进一步加强资源的安全控制。目前这方面的研究主要有刘瑞、薛梅等 人提出的在x p d l 定义语言中嵌入数字内容使用权限描述口4 】，加强了流程运转 中的资源的保护及权限分配的灵活性。 4 ) 框架安全 框架安全，是从工作流系统的整体安全角度出发，给工作流系统提供整体的 安全解决性方案。目前这方面的研究有：刘丁，王小明等提出的“安全工作流管 理系统体系结构”【3 5 】，主要考虑了上述三个安全因素，同时结合其他安全措施， 提供一套有效的协调控制机制以加强系统的整体安全。 上述几种安全技术能够在事前提供比较有效的安全控制机制，但是没有对其 中存在的非安全行为或因素进行监测和控制，无法主动的分析监控系统运行中可 能存在的危险。从而当有安全事件发生时，如非法用户绕过其中的安全控制或内 部用户非法外泄其中的信息和资源，将造成巨大的损失，也无法提供相应的有效 机制去追踪相关当事人，更不必说追究其相关责任。 根据上述分析，现有的工作流安全研究主要偏重于工作流管理系统的安全防 范，缺乏如安全审计的实时或事后异常检测以及事后追究机制。因此，研究工作 流系统的安全审计技术，以提高其工作流安全性，具有重要的意义。 2 3 3 工作流系统中的安全审计 审计相对入侵攻击行为有些被动，但对追查犯罪行为仍起到十分重要的作 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 用，也对内部人员犯罪起到了威慑作用。安全审计如果做到实时行为审计，就可 以在最短的时间内制止己发生的非法行为。具体而言，一个工作流安全审计系统 应该具有如下功能： 1 ) 日志管理 多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日 志格式，便于对各种复杂日志信息统一处理分析。 2 ) 日志查询 支持以多种方式查询系统中的日志记录信息，以报表形式显示。 3 ) 入侵异常检测 使用多种内置的相关性规则，对分布在不同设备上的日志及报警信息进行相 关性分析，从而检测出其中的安全事件。 4 ) 自动生成安全分析报告 根据日志数据库记录的日志数据，分析系统的安全性，并输出安全性分析报 告。 5 ) 系统实时监视 可以监视运行有代理的特定子流程系统的运行状态、日志内容等情况。 6 ) 事件响应机制 当审计系统检测到安全时间时候，可以采用相关的响应方式报警。 7 ) 集中管理 审计系统通过提供一个统一的集中管理平台，实现对日志代理、安全审计中 心、日志数据库的集中管理。 工作流安全审计引擎作为工作流系统中一个独立的子模块，可以和其他安全 产品( 如防火墙、漏洞扫描系统等) 在功能上相互独立，但是同时又能相互协调 补充，保护系统的整体安全。 虽然工作流联盟在安全白皮书中也提出了安全审计控制，但是现有的工作流 管理系统往往忽略了审计作用，要么就是只是简单的提供日志检索功能，无法提 供有效的事后日志挖掘和异常的检测手段来保证安全审计功能，因此如何提供有 效的挖掘技术和检测方法，保证安全审计在工作流管理系统发挥应有的作用，是 值得研究的课题。 华东师范大学硕士学位论文第2 章工作流系统及相关安全技术 2 4 小结 本章主要简单描述了工作流和工作流模型的基本概念，指出安全审计在工作 流系统安全的重要作用，并分析了安全审计技术研究现状及现有审计技术在工作 流领域的不足。而在工作流系统安全审计过程中，需要强调的是工作流领域知识， 因此本文的后续研究工作：寻找一种适合工作流系统的挖掘分析技术和审计机制 来实现工作流系统的安全审计功能，为此本文在下一章先对工作流流程挖掘相关 技术进行分析介绍。 华东师范大学硕士学位论文第3 章工作流流程挖掘技术 第3 章工作流流程挖掘技术 工作流流程挖掘技术是为了解决传统流程分析的主观偏差等缺陷问题而产 生的一种挖掘技术，其重点关注各种任务、状态以及它们之间的转移关系，能够 较真实地再现流程的运行过程。因此，可以利用工作流流程挖掘技术，从工作流 系统日志中获取工作流正常模型，并在此基础上对工作流待审计的流程事务进行 异常分析和检测判断。本章主要介绍了工作流流程挖掘技术及挖掘算法的分类和 比较。 3 1 流程挖掘技术概述 流程挖掘或者说工作流挖掘_ 【列是在1 9 9 8 年i 由a g r a w a lr , g u n o p u l o sd ， l e y m a n n f 提出的，其目的是为了有效解决传统的人工流程分析中带有的主观偏 差分析和流程的柔性支持等问题。目前国际上比较认可的流程挖掘定义为“流程 挖掘是指那些从实际执行集合中提取出结构化流程描述的方法”。从流程挖掘的 定义中我们可以看出流程挖掘的目的是从日志数据中抽取信息，并且建立清晰的 流程模型，同时要保证构建的流程模型与实际的流程执行过程保持一致。本节主 要分析讨论了现有的流程模型定义语言，并在此基础上对挖掘算法进行了比较。 3 1 1 流程模型定义语言 流程模型是流程运行过程的抽象表示，即用计算机可以表达的方式来表示现 实工作中流程的运行步骤。流程挖掘的结果应该能完整地为流程用户提供流程运 行时所开展的各项活动。更理想的情况是：建立的模型能够清楚地定义任意情况 下的流程执行，能够适应用户在使用过程中出现的异常操作，并自动对流程模型 进行迭代改进。 综合比较各种模型定义，其中有代表性的模型定义语言大致有活动间依赖型 模型语言、a d o n i s 模型语言、p e t r i 网模型语言和面向块结构模型语言【2 4 1 - t ”1 四 种。这四种语言各有特点，下面对它们进行具体介绍： 1 ) p e t r i 网模型语言 1 4 华东师范大学硕士学位论文第3 章工作流流程挖掘技术 p g 伊f 网是比较突出的具有形式化基础的工具之一，利于完成过程验证。使用 p p 护f 网进行模拟和验证的主要优点在于：图形表示清晰直观且表达能力强；具有 数学理论基础便于分析；是可执行的工具，用它描述的系统可以从概念级平滑过 渡到实现级，便于仿真。在p e t r i 网应用方面，有些使用基本p e m i 网，也有些使用 p e w i 网变种，如i c n ( i n f o r m a t i o nc o n t r o ln e t ) 网 1 1 1 、工作流网和其他高级心州 网1 1 2 1 1 1 ”。 v