（计算机应用技术专业论文）基于策略的工作流安全管理技术的研究.pdf

摘要 在计算机和网络使用越来越广泛的今天，工作流管理系统也越 来越多地受到研究机构以及产业界的关注。本文在基于任务的访问 控制和基于角色的访问控制模型的基础上提出了基于多维角色和任 务的m d r & t b a c 模型。该模型通过基于角色的静态授权和基于任 务的动态授权加强了工作流系统访问控制的安全性，解决了传统的 访问控制模型的缺陷，新的角色模型开也方便管理一定数量的角色。 文中引入策略来提高工作流管理系统的安全访问控制能力，策 略管理技术的核心观点就是以策略驱动管理过程。论文中的基于 p o n d e r 策略语言的策略部署模型与底层的策略实施机制无关，能够 应用在混合策略环境中。策略部署模型支持策略的实例化，支持策 略对象的分发、启用、禁用、卸载以及删除，能够根据域内成员关 系的变化对策略实施做出相应的调整，对分布式策略服务以及策略 的动态自管理提供了更完善的支持。在面向对象的策略部署模型中， 由于被管理对象就是策略本身，因此策略的动态自管理机制具有了 一些特殊性。论文从p o p 策略的分发和实施两个方面对策略动态自 管理的特点和过程进行了分析，还提出了分布式策略服务中的策略 自管理代理。 论文最后的分布式工作流安全管理模型是在基于角色的工作流 访问控制模型基础之上的扩展，它能够适应分布式环境中的角色和授 权管理，其授权和访问控制采用了授权管理基础设施的属性证书机 制，通过系统中的角色服务器和应用网关实现权限分配以及权限验证 的功能。 关键词工作流，策略管理，访问控制，p o n d e r 策略语言，分布式 工作流管理系统 a b s t r a c t t o d a y , a st h ei n c r e a s i n g l yw i d eu s eo fc o m p u t e ra n dn e t w o r k , w o r k f l o wm a n a g e m e n ts y s t e mi sa t t r a c t i n gm o r ea n dm o r ea t t e n t i o nb y r e s e a r c hi n s t i t u t ea n di n d u s t r yf i e l d i nt h i st h e s i san e wm u l t i r o l e s a c c e s sc o n t r o lm o d e li sp r o p o s e db a s e do nt h et r a d i t i o n a lr b a ca n d t b a cm o d e li tu s e st h em e t h o do fs t a t i ca u t h o r i z a t i o nb a s e do nr o l e s a n dd y n a m i ca u t h o r i z a t i o nb a s e do nt a s k st oe n s u r et h ea c c e s ss a f e t yo f t h ew o r k f l o ws y s t e m t h em o d e lo v e r c o m e st h ew e a k n e s s e so ft h e t r a d i t i o n a la c c e s sc o n t r o lm o d e la n dp r o p o s e san e wr o l em o d e lw h i c h c a nm a n a g er o l e sm o r ec o n v e n i e n t l y t h i st h e s i sa d o p t sp o l i c ym a n a g e m e n tt e c h n o l o g yt oi m p r o v et h e a c c e s sc o n t r o la b i l h i e so ft h ew o r k f l o wm a n a g e m e n ts y s t e m 也em a i n p o i n to fp o l i c y - b a s e dm a n a g e m e n ti st h en o t i o no fp o l i c ya sam e a n s o f d r i v i n gm a n a g e m e n tp r o c e d u r e s g e n e r a l l ys p e a k i n g ，t h eo b j e c t - o r i e n t e d p o n d e rp o l i c yl a n g u a g ei sd e c l a r a t i v ea n ds i m p l et os p e c i f yb o t hs e c u r i t y a n dm a n a g e m e n tp o l i c i e s a no b j e c t - o r i e n t e dp o l i c yd e p l o y m e n tm o d e l t h a tf o r m sp a r to ft h er u n t i m es u p p o r tf o rp o n d e ri sp r o p o s e di nt h i s t h e s i sb yt h ea u t h o r t h ep o l i c yd e p l o y m e n tm o d e li si n d e p e n d e n to f t h e u n d e r l y i n gp o l i c ye n f o r c e m e n tm e c h a n i s m s ，a n dc a na l s ob ee m p l o y e d i nm i x e dp o l i c ye n v i r o n m e n t s t h ep o l i c yd e p l o y m e n tm o d e ls u p p o r t s t h ei n s t a n t i a t i o n ，d i s t r i b u t i o na n de n a b l i n go fp o l i c i e sa sw e l la st h e d i s a b l i n g ，u n l o a d i n ga n dd e l e t i o no fp o l i c i e s ，c a t e r sf o rc h a n g e si nt h e m e m b e r s h i p s o fd o m a i n ss i n c es u c h c h a n g e s a l s oa f f e c tp o l i c y e n f o r c e m e n t , a n da l s os u p p o r t sd i s t r i b u t e dp o l i c ys e r v i c e t h em o d e lo f d i s t r i b u t e ds e c u r ew o r k f l o wm a n a g e m e n ts y s t e mi s a ne x p a n s i o no f r o l e b a s e ds e c u r ew o r k f l o wm o d e l ，i tf i t st h e m a n a g e m e n to f r o l ea n da u t h o r i z a t i o ni nd i s t r i b u t e de n v i r o n m e n t t h e a u t h o r i z a t i o na n da c c e s sc o n t r o lo f t h em o d e lu s et h ea t r i b u t ec e r t i f i c a t e p o l i c yo f p r i v i l e g em a n a g e m e n ti n f i a s t r u c t u r e ，t h ep r i v i l e g ea l l o c a t e f u n c t i o na n d p r i v i l e g ev e r i f yf u n c t i o na r ei m p l e m e n t e db y r o l es e r v e ra n d a p p l i c a t i o ng a t e w a yi nt h es y s t e m s k e yw o r d sw o r k f l o w , p o l i c ym a n a g e m e n t , a c c e s sc o n t r o l ，p o n d e r p o l i c yl a n a g a g e ，d i s t r i b u t e d - w o r k f l o wm a n a g e m e n ts y s t e m 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：翅猫日期：丑年蝴监日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：氇聋毳导师签名险堑日期：二型二年上月上日 硕士学位论文 第一章绪论 第一章绪论 随着工作流技术的日趋成熟，今天越来越多的企业开始采用它作为提高企业 效率的手段。工作流管理作为强大的使能工具，在企业业务流程经营过程中起着 举足轻重的作用，工作流系统的安全已成为人们关注的焦点。本章介绍了工作流 系统的相关概念和工作流管理系统的参考模型，分析了工作流系统的安全需求和 安全现状，然后在此基础上提出了本文考虑的基于策略的工作流安全访问控制的 问题和基于p o n d e r 语言的安全策略架构。 1 1 课题背景 工作流是近年来发展最为迅速的计算机应用技术之一，按照工作流管理联盟 ( w o r l d l o wm a n a g e m e n tc o a l i t i o n ，w f m c ) i l 】的定义，工作流是业务流程的全 部或部分自动化，在此过程中，文档、信息或者任务按照一定的过程规则流转， 实现组织成员间的协调工作以达到业务的整体目标。随着工作流产品的市场和应 用领域也迅速扩大，工作流技术引起越来越多企业的关注。企业在应用工作流系 统的同时也异常关注其安全性，但是工作流系统的安全管理问题却一直没有得到 很好的解决一方面，随着因特网的普及，应用也由传统的集中式向分布式转化， 大量关键的以及保密的数据在网上传送；另一方面，也随着工作流在关键部门的 应用，比如军事或银行等部门，对数据的保密性、任务的访问控制的要求越来越 高。因此，对工作流安全方面的研究显得越来越重要。 本文主要针对工作流中的安全访问控制技术展开研究，安全访闯控制技术在 很多领域都普遍涉及，而本文从一个新的角度( 基于策略) 结合以往的访问控制 模型提出了基于多维角色和任务的工作流安全访问控制模型( m u l t i d i m e n t i o n a l r o l ea n dt a s kb a s e da c c e s sc o n t r o lm o d e l ，m d r ：i b a c ) ，并基于p o n d e r 语言对 工作流的安全策略和架构展开研究。安全问题不是一个孤立的问题，只有把安全 问题考虑进工作流的整个系统中，工作流系统才会更加完善，工作流的完整性和 坚固性才会得到进一步的加强。 1 2 工作流技术导论 本文讨论的安全访问技术是基于工作流系统的基础上，因此本节先对工作流 系统的相关概念以及整个工作流管理系统的参考模型进行概要的阐述。 硕士学位论文 第一章绪论 1 2 1 工作流系统的相关概念 对于工作流的定义的描述，到目前仍没有完全统一的说法。不同的研究者从 不同的角度对其分别提出了不同的定义。 g i g a g r o u p 【2 】的定义：工作流是经营过程中可运转的部分，包括任务的顺序以 及由谁来执行、支持任务的信息流、评价与控制任务的跟踪、报告机制。 i b ma l m a d e n r e s e a r c h c e n t e r i a l 的定义：工作流是经营过程中的一种计算机化 的表示模型，定义了完成整个过程所需用的各种参数。这些参数包括对过程中每 一个单独步骤的定义、步骤问的执行顺序、条件以及数据流的建立、每一步骤由 谁负责以及每个活动所需要的应用程序。， 这些工作流的定义分别反映了如下几个方面的问题，即经营过程是什么，其 由哪些活动、任务组成，也就是结构上的定义；具体怎么执行，这包括活动问的 执行条件、规则以及所交互的信息，也就是控制流与信息流的定义；由谁负责执 行，是某个具体用户还是某个计算机应用程序，也就是组织角色的定义；执行得 如何，这通过工作流管理系统进行监控。 下面一些概念将使我们对工作流和工作流管理系统有一个基本的了解，它们 之间的关系见图1 1 。 业务流程 图1 1 工作流基本元素之间的关系 ( 1 ) 工作流管理系统( w o r k f l o wm a n a g e m e n ts y s t e m ，w f m s ) 4 1 。一种能定 义、创建和管理工作流执行的系统。它是将现实世界中的业务过程转化为某种计 算机所能识别的形式表示，并在此形式表示的驱动下完成工作流的执行和管理。 使用它可以充分利用企业资源，有效地跟踪工作过程，提高工作过程定制的速度 与质量。 ( 2 ) 工作流系统( w o r k f l o ws y s t e m ) 【4 l 。工作流系统支持某个特定业务环境 2 硕士学位论文第一章绪论 中的工作流，通常由工作流管理系统加上过程定义、资源分类、应用、数据库系 统等组成。 ( 3 ) 工作流模型( w o r k f l o wm o d e l ) 4 - s 。工作流过程依赖于一个形式化的工 作流模型来描述工作流任务之间的控制流和数据流。工作流模型由4 部分组成， 它们分别是过程模型、组织模型、资源模型以及工作流相关数据。过程模型用来 定义工作流的过程逻辑，它包括组成工作流的所有活动以及活动之间的依赖关 系，组织模型用来定义企业人员的组织结构，它包括几种不同形式的组织元素以 及每种组织元素内部的递阶层次关系，资源模型的主要任务是为企业人员执行工 作流提供“物”的支持。工作流相关数据用来定义工作流执行过程中需要用到的数 据，它包括简单的数据类型与复杂的企业对象，主要用于各种条件的判断，以实 现工作流机对不同活动的选择性路由。 ( 4 ) 业务流程( b u s i n e s sp r o c e s s ) 。在功能确定的组织结构中，能够实现业务 目标和策略的相互连接的过程和活动集。例如：公文处理过程、投保过程及项目 开发过程等。 ( 5 ) 过程定义( p r o c e s sd e f m i t i o n ) 1 6 - 7 1 。业务过程的计算机形式表示，它定 义的是过程运行中涉及到的各种参数：如业务过程的开始和终止条件、各个工作 环节及相互之间的控制流动与数据流动关系等。 ( 6 ) 任务( t a s k ) 。一个原子过程，不能被进一步细分为组件过程，是一个工 作的逻辑单位，一个任务要么完整执行，要么根本不执行。任务本身并不链接到 一个特定的案例，当一个任务在一个具体案例上执行时，称之为活动。任务可分 为手工的、自动的和半自动的三类。 ( 7 ) 活动( a c t i v i t y ) 。一个任务在一个具体案例上执行时，称之为活动。它 包含的信息有：开始和结束条件、可参与到此环节中的用户、完成此活动所需的 应用程序或数据以及关于此活动应如何完成的一些限制条件如时间上的限制等。 ( 8 ) 工作项( w o r ki t e m ) 。工作项是案例和要被执行的任务的集合。与活动 相似，工作项也被链接到某个特定的案例。工作项在其开始执行时消失，也就是 说在任务开始执行的时刻，工作项变成活动了。 ( 9 ) 过程活动实例( p r o c e s s a c t i v i t yi n s t a n t s ) 1 7 1 。指的是某个工作流过程的 一次执行。在实例的执行过程中，w f m s 将解释相应的过程定义，生成有关的活 动并根据过程定义中的控制规则协调这些活动实例之间的顺序关系，同时根据数 据流动关系的定义完成活动实例之间的数据传送。 1 2 2 工作流管理系统及参考模型 按照w f m c 的定义，工作流管理系统是运行在一个或多个称为工作流机的软 件上，用于定义、实现和管理工作流运行的一套软件系统，它和工作流执行者交 硕士学位论文第一章绪论 互，推进工作流实例的执行，并监控工作流的运行状态。所以，工作流管理系统 在一个企业或部门的经营过程中的应用过程是一个业务应用软件系统的集成与 实施过程。 目i i i 声称具有工作流功能的系统己经有很多，其中包括a c t i o n w o r k f l o w ， v i s u a l w o r k f l o w ，f 1 0 w m a r k ，u l t i m u s ，o m - n i d e s k 以及i n c o n c e r t 等。各种不同 类型的系统各有其不同的特点，同时不同的机构会选择不同的产品去满足其业务 管理的要求。这些应用上的特点要求各种不同类型的w f m s 应该能够实现互连 和互操作，以便它们能够被纳入到一个统一的框架之中，在不同的位置与领域发 挥其各自的优势与作用。 不论是从用户的角度来讲，还是从开发者的角度来讲，都迫切需要一个大 家都共同遵守的标准，按照此种标准来决定一个w f m s 应该包含哪些组成部分， 各部分应提供哪些标准的服务。按照此种标准开发出来的w f m s 将能够满足上 面所提出的要求。在这种背景下，1 9 9 4 年1 1 月2 9 日，w f m s 发布了工作流系 统参考模型( w o r k f l o wr e f e r e n c em o d e l ) 嘲。它详细描述了工作流系统的有关概 念，并在此基础上给出了w f m s 的各主要组成部分、各部分的功能及相互之间 的接口，见图1 2 。 图1 - 2 工作流管理系统参考模型 对该模型各部分简要说明如下： ( 1 ) 过程定义工具【9 】。主要功能是给用户提供一种对实际业务过程进行分析、 建模的手段，并生成可被计算机处理的业务过程的形式化描述( 过程定义) 。过 程定义工具与工作流执行服务之间的交互是通过工作流过程定义的读写接口完 4 硕士学位论文第一章绪论 成的，它为工作流过程定义信息的交换提供了标准的互换格式及a p i 调用。 ( 2 ) 工作流执行服务。它借助于一个或多个工作流引擎，来激活并解释过程 定义的全部或部分，并同外部的应用程序进行交互来完成工作流过程实例的创 建、执行与管理，如过程定义的解释、过程实例的创建、激活、暂停、终止等， 在过程各活动之间的传递( 控制条件的计算与数据的传递等) ，并生成有关的工 作项通知用户进行处理等等，为工作流程的进行提供一个运行时环境【l o 】。 ( 3 ) 客户应用程序。它的作用是给用户提供一种手段，以处理过程实例运行 过程中需要人工干预的任务。每一个这样的任务就被称作是一个工作项，它包括 处理上的一些要求如处理时问的限制及待处理的数据对象等。w f m s 将为每一个 用户维护一个工作项列表，它表示当前需要该用户处理的所有任务。 ( 4 ) 被调应用程序。指工作流执行服务在过程实例的运行过程中调用的、用 以对应用数据进行处理的应用程序。在过程定义中包含有这种应用程序的详细信 息，如类型、地址等。接口三的目标就是提供一些标准的服务供应用代理使用， 基于这些服务也可以开发出一些专门的应用直接同工作流执行服务交互【i l 】。 ( 5 】管理及监控工具。其功能是对w f m s 中过程实例的状态进行监控与管理， 如用户管理、角色管理、审计管理、资源控制( 包括过程管理及过程状态控制等) 。 它与工作流执行服务之间的交互是通过接口五( 管理及监控接口) 完成的。该接 口规范详细描述了需要从过程执行过程所发生的各种事件上捕获和记录的各种 信息，如过程实例信息、活动实例信息、工作项信息及远程操作信息等【1 2 1 。 上述五个接口被统称为工作流应用接口( w o r k f l o w a p i ) 。这些标准的制定对 于实现不同厂家的产品之间的互操作如用一个厂家的管理与监控工具去管理另 外一厂家的工作流执行服务，以及基于工作流执行服务开发新的应用具有重要意 义。 1 3 工作流系统中安全概述 1 3 1 工作流系统中安全需求 工作流技术在近年来得到了越来越多的关注，被广泛地应用于电子商务和电 子政务等领域中，其安全问题也日益突出。w f m c 在它的安全白皮书里提及工 作流中的安全服务包括鉴别、授权、访问控制、审计、数据保密性、数据完整性、 不可否认和安全管理，下面分别给出说明： 1 鉴别 鉴别服务致力于保证信息的可靠性。在只有一条消息的情况下，如警告或警 报信号，鉴别服务的功能就是要保证信息接收方接收的消息确实是从它声明的来 源发出的。一般各个w 蹦s 都有自己的鉴别机制，每个系统的用户需要在系统 硕士学位论文 第一章绪论 中进行注册才能登录系统。在两个w f m s 进行互操作时，鉴别有两种情况，一 是在交互双方建立会话连接时进行鉴别；二是交互双方互操作过程中周期地进行 鉴别。保密性较低的系统一般只采用口令比较来对用户进行鉴别，为了系统的安 全性，对口令一般采用密码算法，公钥算法侧重于交互双方的可信度，对称算法 则侧重于增强双方交换数据的私有性。 2 授权及访问控制 通常，一个工作流由若干个任务构成，这些任务相互联系，具有一定的相关 性，因此要以一种协同的方式进行。为了确保任务能被合法主体在任务的真正执 行期间按规定权限执行，相关的工作流访问控制与授权机制就应体现在上作流管 理系统中。 在工作流管理系统中，授权方式有两种：第一种为静态的权限分配，第二种 为动态的授权控制。普通的工作流管理系统一般采用静态的权限分配，即先把执 行任务的权限分配给特定的主体，在这种情况下主体拥有的权限是没有时间限制 的。为了保证安全系统中的最小特权原则，在安全性较高的工作流管理系统中一 般采用静态权限分配与动态授权控制相结合的授权方式：主体在需要其执行的任 务被激活时才真正拥有对这个任务的权限，当任务执行完毕时，主体对这个任务 的权限立即被收同。 在实际应用中，特别是在企业应用中，一个商业过程的一次执行是需要多个 部门协调完成的，由于在实际应用中可能存在数量庞大的用户群，这将会给授权 管理带来很大的麻烦。基于角色的访问控制在用户和权限之问引入了一个角色的 概念，并可构造角色之间的层次关系。一个角色具有一定的操作权限，并通过为 用户赋予不同的角色来使用户获取不同的权限。由于一个企业中实际存在的角色 数远远低于用户的数口，并且一个用户在企业中的职位是相对稳定的，用户职位 变化导致权限变化时，仅仅只需要改变该用户所属的角色即可，这样就大大地简 化了授权管理上作。同时，基于角色的访问控制模型有一个重要的组成部分约 束，这可以帮助我们更加灵活有效地制定安全策略。 3 审计 审计功能是系统安全机制中的最后一道措施。审计功能使系统在出现安全问 题时，对系统的执行情况和历史记录进行检查，找到出现问题和所受攻击的来源， 使攻击者无处可遁，并帮助系统安全管理员采取合适的措施。 系统的安全审计是通过日志来完成的，日志就是对用户活动的记录，包括时 间、用户名、活动类型以及结果等。 4 数据保密性 数据保密性就是保证只有授权用户可以访问数据，而限制其他人对数据的访 6 硕士学位论文第一章绪论 问。数据保密性分为网络传输保密性和数据存储保密性，其一般是通过访问控制 来实现的，常见的访问控制策略有自主访问控制、强制访问控制、基于角色的访 问控制等等。 5 数据完整性 数据完整性可以确保在传输过程中不被第三方修改。数据完整性一般分以下 两类：一是在存储或传送过程中避免崩溃或传输错误的基本数据保护，实现这种 基本数据保护一般采用较为简单的数据校验机制，很多数据存储上具和数据通信 协议都支持这种校验机制：一个是强大的数据完整性，这需要采用密码算法来实 现，例如单向散列函数、对称算法、公钥算法，其中最常用的是公钥算法。 6 不可否认 不可否认的口的在于防止发送人或接收人否认消息的传送。因此，消息发送 完成后，接收方可以证实消息确实从声明的发送方发出，发送方也能证实消息确 实被声明的接收方接收了。 1 3 2 工作流安全管理现状 以往在开发工作流系统的时候，大多数设计者主耍关注的是工作流引擎的设 计和实现，对于工作流系统中安全问题的研究比较少。目前，比较常见的工作流 安全模型主要采用两种安全机制：基于任务的访问控制【1 3 l 和基于角色的访问控 制【1 8 1 。 基于任务的工作流安全模型能够解决工作流系统中任务的访闯控制问题，但 其缺陷在于，它在关注工作流系统中的任务特性的同时忽视了安全控管的便利 性，使得整个模型在真正实施时异常复杂。因此，这个模型只适用予集中式、小 规模的工作流系统。基于角色的访问控制模型的主要优势在于其安全控管的便利 性，这一点能解决现代工作流系统由于规模大而带来的问题，但是由于其固有的 三层访问控制结构( 用户一角色一权限) 而没有对任务执行权限做出有效控制， 所以它不能很好地适用于分布式环境下任务特征很强的工作流管理系统。传统的 访问控制模型不再能满足现代工作流管理系统的需要。 国内研究人员也提出了一些工作流安全模型，但他们大都只是将r b a c 模 型直接用于工作流，或对其时间特性进行约束，或对其角色授权进行约束。这些 都没有改变r b a c 模型固有的三层访问控制结构，没有对任务执行权限做出较 好的访问控制，因此不能很好地适应当代工作流管理系统的安全需要。 本文从一个新的角度( 基于策略) 结合以往的访问控制模型提出了基于多维 角色和任务的工作流安全访问控制模型，并基于p o n d e r 语言对工作流的安全策 略和架构上展开研究。诚然，安全问题不是一个孤立的问题，只有把安全问题考 虑进工作流的整个系统中，工作流系统才会更加完善，工作流的完整性和坚固性 7 硕士学位论文第一章绪论 才会得到进一步的加强。 1 4 论文的组织结构 论文的主要内容分为六个部分： 第一章绪论部分介绍了工作流系统的相关概念、参考模型和一些相关工作流 产品，分析了工作流系统中的安全需求以及现有工作流的安全现状。 第二章详细阐述了p o n d e r 策略语言、p o n d e r 信息模型，分析了基于主体资 源和客体资源的策略类型，如授权策略、委托策略、职责策略、节制策略等，并 给出了策略实例，分析了常见的策略约束规则和策略冲突。 第三章结合传统的工作流安全访问控制模型给出了基于多维角色和任务的 工作流安全访问控制模型，并给出其形式化描述和权限验证过程，其中使用虚拟 角色的概念方便了一定数量的角色的管理。 第四章详细阐述基于策略的工作流安全管理架构，其中包括策略的部署模 型、策略的管理( 如策略的分发、启用、禁用、卸载和删除) 和实施机制( 策略 管理代理、访问控制器) 以及策略的动态自管理机制。 第五章根据安全访问控制的目标给出了一个基于策略的分布式安全工作流 管理系统的结构雏形，给出了分布式工作流中基于策略的角色和任务访问控制模 型的数据库表结构，并通过角色指派属性证书和策略属性证书实现了工作流授权 和访问控制的流程。 第六章对全文所做的工作进行总结，并对论文的进一步研究工作作出了展 望。 s 硕士学位论文第二章基于p o n d e r 语言的安全策略机制分析 第二章基于p o n d e r 语言的安全策略机制分析 p o n d e r 策略语言【1 1 l 是英国伦敦皇家学院在策略管理领域进行的十年研究 的成果，是一种适用于安全和管理策略的、面向对象的说明性语言。p o n d e r 策略 语言具有很大的灵活性，很强的表达性和扩展性，能够满足高级策略规范的基本 需求。本章在p o n d e r 信息模型的基础上对各种约束策略进行了分析归纳，如常 见的授权策略、委托策略、职责策略、静态指责分离、动态职责分离等，对策略 冲突也作出了分析，提出了一些解决冲突的思路，并列举一些实例来阐述基于 p o n d e r 语言的安全策略机制在工作流系统中的应用。 2 1p o n d e r 信息模型 在介绍p o n d e r 的各种组成要素之前，首先给出p o n d e r 的信息模型。该信息 模型中包括了策略和策略的对象，策略的对象是参与管理过程的、作为策略主体 或是客体的对象。 信息模型如图2 1 所示，其中所有的对象类都是被管理对象类 ( m a n a g e d o b j e c t ) 的子类，这些对象类包括域( d o m a i n ) 、策略( p o l i c y ) 和执 行组件( e n f o r c e m c n t c o m p o n c n t ) 2 2 1 。一个域的实例可以包含任意个数的被管理 对象，这个域就是所有这些被管理对象的父节点。基本策略( b a s i c p o l i c y ) 中的 被管理对象集合是对域内的对象进行集合运算得到的，可以使用的集合运算包括 并集、交集以及差集。基本策略中的主体( s u b j e c t ) 和客体( t a r g e t ) 都以域中对 象的形式来定义，这一点在图中通过依赖线来表示。执行组件负责在策略管理系 统内执行策略。对于授权策略来说，执行组件就是作为客体参考监视器( r e f e r e n c e m o n i t o r ) 的访问控制器( a c e e s sc o n t r o l l e r ) 。策略管理组件( m a n a g e m e n t c o m p o n e n t ) 是自动化的组件，负责执行基于主体的策略( 包括职责策略和节制 策略) 基本策略被分发到执行组件之后由执行组件具体实施，这一点在图中通 过连接在执行组件和基本策略之间的使用线( u s e s ) 来表示。 需要注意的是，所有的策略类都是抽象类，用户在定义新的基本策略子类的 时候必须给出显式的策略予类定义。p o n d e r 假设所有策略相关的对象都能够以方 法( m e t h o d s ) 的形式提供接口( i n t e r f a c e ) 。“主体”指的是用户、委托人或是自 动管理组件，它们都具有管理的职责。一个主体通过客体提供的接口方法来访闯 客体对象( 某种资源或是服务供应方) 。因此在p o n d e r 中，访问控制的粒度( 精 细度) 取决于客体所提供的接口方法。 9 硕士学位论文第二章基于p o n d e r 语言的安全镱略机制分析 图2 - 1p o n d e r 基本策略对象类信息模型 2 1 1 域 域( d o m a i n ) 瞄】提供了将策略的对象聚合成组的能力，尤其适用于大规模分 布式工作流系统。策略中的主体对象和客体对象的引址( r e f e r e n c e s ) 都存贮在由 域服务所维护的域中。域提供了按照地理位置、对象类型、职能等对对象进行分 割、聚类的能力。域的这一功能使得管理员能够方便的对包含了上百万个对象的 大规模系统制定策略。施加于一个域的策略会自动施加于域中的所有对象和子 域，具有很强的可伸缩性