（计算机应用技术专业论文）工作流管理系统中动态完整控制模型的研究与设计.pdf

华东师范大学硕士学位论文 工作流管理系统中动态完整控制模型的研究与设计 摘要 如今，工作流模型在企业中得到广泛的应用，i n t e m e t 技术的发展也为工作流模 型的使用提供了便捷的环境，但企业之间的激烈竞争以及商业环境的瞬息万变要求 工作流模型具有更强的灵活性；再者，很多工作流模型对工作流程中流转的数据管 理力度不够，导致数据可能被恶意篡改或泄露，对工作流模型甚至是整个工作流管 理系统造成很大威胁。为解决以上问题，需要对工作流模型的动态性和完整性进行 研究，改进工作流模型以满足实际需求。 从目前国内外的研究情况来看，对工作流模型的完整性和动态性控制还存在以 下问题：第一，很多研究者提出的“安全工作流模型”方法试图对工作流模型中的 角色、用户等资源进行权限控制，但是该方法只能保证静态工作流模型的完整性， 缺乏对工作流模型的动态控制，并不适用于动态工作流模型；第二，基于对工作流 动态性的研究，有些学者提出。动态工作流”，并提出各种动态修改策略，实现了一 定的动态性，但是缺乏对修改后模型的验证，不能保证修改后的工作流模型的正确 性和完整性。针对这些不足，本文从工作流模型的完整性和动态性两方面进行研 究，提出了工作流模型的动态修改策略和完整性控制策略；并改进传统工作流模 型，提出改进后的动态完整控制模型，结合工作流模型的动态完整控制策略，使工 作流模型的动态性和完整性同时得到保证。 本文的主要研究成果可以归纳为： 1 )基于对动态工作流技术的研究，以动态修改工作流模型为出发点，提出工 作流模型的动态修改策略。 2 )根据基于角色的访问控制思想，采用最小特权原则、职责分离等规则对工 作流模型进行管理，保证工作流模型的完整性。 3 )结合对工作流模型的完整性和动态性控制，提出工作流管理系统中的动态 完整控制模型，并采用验证工具c p nt o o l s 验证模型的正确性。 4 )通过对动态完整控制模型的研究，实现一套原型系统，说明了动态完整控 制模型的可行性。 关键词：工作流模型，动态工作流，工作流模型的完整性，授权控制 华东师范大学硕士学位论文 工作流管理系统中动态完整控制模型的研究与设计 a b s t r a c t s of a r , w o r k f l o wm o d e lh a sb e e nu s e dw i d e l yi ne n t e r p r i s e sa n dt h ed e v e l o p m e n to f i n t e r n e tt e c h n o l o g yp r o v i d e sc o n v e n i e n te n v i r o n m e n tf o ri t su s e ，b u ts e v e r ec o m p e t i t i o n b e t w e e nc o m p a n i e sa n di n s t a n tc h a n g eo fc o m m e r c i a le n v i r o n m e n t r e q u i r e ss t r o n g f l e x i b i l i t y f u r t h e r m o r e ，m a n yw o r k f l o wm o d e l sh a v e n tm a n a g e dt h et r a n s f e r r e dd a t a e f f e c t i v e l y , w h i c hc a u s e st h a tt h ed a t am i g h tb ej u g g l e da n dt h r e a t e n st h ew o r k f l o wm o d e l ， e v e nt h ee n t i r ew o r k f l o wm a n a g e m e n ts y s t e m i no r d e rt os o l v et h e s ep r o b l e m sr e s e a r c h e s o nf l e x i b i l i t ya n di n t e g r i t yo fw o r k f l o wm o d e l s 黜n e c e s s a r yf o ri m p r o v i n gw o r k f l o w m o d e l st om e e ta c t u a lr e q u i r e m e n t s j u d g e df r o mc u r r e n ti n t e r n a t i o n a lr e s e a r c h e so nw o r k _ f l o wm o d e l s ，t h e r ea r es t i l ls o m e p r o b l e m sa sf o l l o w s ：f i r s t l y , m a n yr e s e a r c h e r sp r o m o t e d “s e c u r ew o r k f l o wm o d e l 吨 t oc o n t r o lp r i v i l e g e so fr e s o u r c e si nw o r k f l o wm o d e l s ，b u ti to n l ye n s u r e dt h ei n t e g r i t yo f s t a t i cw o r k f l o wm o d e l sw i t h o u td y n a m i cc o n t r o la n dv c a s n t a p p l i c a b l ef o rd y n a m i c w o r k f l o wm o d e l s ；s e c o n d l y , s o m er e s e a r c h e r sp r o m o t e d d y n a m i cw o r k f l o w a n dd y n a m i c m o d i f i c a t i o ns t r a t e g i e st h a ti m p l e m e n t e df l e x i b i l i t yt os o m ee x t e n t , b u ti td i d n tv a l i d a t e t h ew o r k f l o wm o d e la f t e rm o d i f i c a t i o na n dc o u l d n ta a s l 】r et h ec 0 1 t e c u l e s sa n di n t e g r i t yo f n e ww o r k ：f l o wm o d e l s a m l i n ga tt h e s ed e f e c t st h i sp a p e rp r o m o t e sd y n a m i cm o d i f i c a t i o n s t r a t e g y , i n t e g r i t yc o n t r o ls w a t e g ya sw e l l a s d y n a m i ca n di n t e g r a t e ds u r cm o d e l c o m b i n e dw i t ht h e s es t r a t e g i e s d y n a m i ca n di n t e g r a t e dc o n t r o lm o d e le n 飘脯t h e f l e x i b i l i t ya n di n t e g r i t yo f w o r k f l o wm o d e l sa tt h es a m et i m e m a i na c h i e v e m e n t so f t h i sp a p e rc o u l db ec o n c l u d e da sf o l l o w s ： 1 ) b a s e do nr e s e a r c h e sa b o u td y n a m i cw o r k f l o wa n dd y m m i em o d i f i c a t i o no f w o r k f l o wm o d e l s ，t h i sp a p e rp r o m o t e sd y n a m i cm o d i f i c a t i o n s t r a t e g y o f w o r k f l o wm o d e l s 2 )a c c o r d i n gt or o l eb a s e da c c e s sc o n t r o ls t r a t e g y , t h i sp a p e re a x b n l e st h ei n t e g r i t y o f w o r k f l o wm o d e l sw i t hm i n i l n u l np r i v i l e g ep r i n c i p l ea n dd u t ys e p a r a t i o nr u l e s 3 ) c o m b i n e dw i t hi n t e g r a t e da n dd y n a m i cc o n t r o lo fw o r l m o wm o d e l s ，t h i sp a p e r p r o m o t e sd y n a m i ca n di n t e g r a t e dc o n t r o lm o d e li nw o r k f l o wm a n a g e m e n ts y s t e m a n dv a l i d a t e st h ec o r r e c t n e s so f w o r k f l o wm o d e l sw i t hc p nt o o l s 4 ) t h r o u g hr e s e a r c h e so nd y n a m i ca n di n t e g r a t e dc o n t r o lm o d e l ，t h i sp a p e r i m p l e m e n t sap r o t o t y p es y s t e mw h i c hi l l u m i n a t e st h ef e a s i b i l i t yo fd y n a m i ca n d i n t e g r a t e dc o n t r o lm o d e l k e y w o r d s ：w o r k f l o wm o d e l ，由，n 锄i cw o r k f l o w , i m e g r i t yo f w o r k f l o wm o d e la u t h o r i z a t i o nc o n t r o l 学位论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研究 成果据我所知，除文中已经注明引用的内容外，本论文不包含其他个人已经 发表或撰写过的研究成果对本文的研究做出重要贡献的个人和集体，均己在 文中作了明确说明并表示谢意 作者签名：笑协日期：业 授权使用声明 本人完全了解华东师范大学有关保留、使用学位论文的规定，学校有权保留学 位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版。有权将学位论 文用于非赢利目的的少量复制并允许论文进入学校图书馆被查阅。有权将学位论文 的内容编入有关数据库进行检索有权将学位论文的标题和摘要汇编出版保密的 学位论文在解密后适用本规定 学位论文作者签名：j b 幻 日期：丑! 兰! o r i g i n a l i t yn o t i c e i np r e s e n t i n gt h i st h e s i si np a r t i a lf u l f i l l m e n to f t h er e q u i r e m e n t sf o rt h em a s t e r sd e g r e ea te a s t c h i n an o r m a lu n i v e r s i t y , 1w a r r a n tt h a tt h i st h e s i si so r i g i n a la n da n yo f t h et e c h n i q u e sp r e s e n t e di nt h e t h e s i sh a v eb e e nf i g u r e do u tb ym e a n yo f t h er e f e r e n c e st ot h ec o p y r i g h t , w a d e m a r k , p a t e n t , s t a t u t o r y t i g h t , o rp r o p r i e t yr i g h to fo t h e r sh a v eb e e ne x p f i c i t l ya c k n o w l e d g e da n di n c l u d e di nt h er e f e r e n c e s s l 州l e na tt h ee n do f t h i st h e s i s s i g n a t u r e ：型ld m ：潮，k 7 c o p y r i g h tn o t i c e ih e r e i na g r e et h a tt h el i b r a r yo f e c n us h a l lm a k ei t sc o p i e sf r e e l ya v a l l a b l ef o ri n s p e c t i o n i f l l r t h o ra g r e et h a te x t e n s i v ec o p y i n go f t h et h e s i si sa l l o w a b l eo n l yf o rs c h o l a r l yp u r p o s e s ，i np a r t i c u l a r , s t o r i n gt h ec o n t e n to f t h i st h e s i si n t or e l e v a n td a t a b a s e s ，a sw e l la sc o m p u i n ga n dp u b l i s h i n gt h ef t l e a n da b s w a c to f t h i st h e s i s , c o n s i s t e n tw i t h ”f a i ru s e ”勰p r e s c r i b e di nt h ec o p y r i g h tl a wo f t b ep e o p l e s r e p u b l i co f c h i n a s 咖咖聆：型堑d m ：巫! ! ：2 华东师范大学硕士学位论文 第l 章绪论 1 1 研究背景 第1 章绪论 如今，越来越多的企业采用工作流模型对企业中的业务流程建模，提高企业流 程的执行效率。工作流技术是支持现代企业经营过程重组、经营过程自动化的一项 关键技术，它通过对经营过程进行明确地定义和表示，使其能够被计算机所支持和 运行，从而实现企业过程管理与过程控制。工作流模型是工作流技术中重要的技术 领域，还存在着很多问题有待进一步研究和解决。当前应用中的一些主流工作流模 型所暴露出来的问题主要有： 1 )工作流模型的动态性问题 当前工业环境竞争激烈，企业能否灵活应变成为企业生存的一个重要衡量指 标。工作流管理系统能够支持多个参与者在多个领域进行协作，为了适应越来越激 烈的市场竞争和不断变化的业务需求，不得不经常对业务流程进行调整。而传统的 工作流管理系统关注于对工作流程的建模，忽视了对工作流模型的修改问题，使得 运行阶段的工作流模型也不能改变。为达到市场管理的柔性需求，开展动态工作流 技术的研究，增强工作流模型的动态性和灵活性具有重要的研究意义。 2 )工作流模型的完整性问题 工作流模型中存在的资源分为执行主体和执行客体，一个工作流活动就是执行 者使用资源执行活动的过程。资源的完整性包括一致性和可达性，由于工作流是通 过计算机自动控制执行、缺乏对工作流模型中数据等资源的有效管理，必然存在数 据完整性方面的隐患，如资源被恶意篡改、非法用户以假乱真、窃取数据等。通常 情况下，在工作流模型中采用某些安全机制，例如身份认证、数据加密来保证资源 不轻易泄露，但这样不能防止内部用户恶意操作，所以对资源完整性的保证重点仍 在于如何控制执行主体对执行客体的访问权限，尽量降低数据资源丢失或被篡改的 可能。 为解决这些问题，本文对工作流模型的动态性和完整性进行研究，结合访问控 制技术和动态管理策略提出动态完整控制模型，旨在改善传统工作流模型的不足， 达到工作流模型的动态性和完整性方面的要求。 华东师范大学硕士学位论文 第l 章绪论 1 2 国内外研究现状 1 2 i 。工作流模型的动态性研究现状 动态工作流的产生源于工作流管理系统的不断发展，但由于工作流管理系统本 身的复杂性，动态工作流的研究面临巨大的挑战，市场中也只有i n c r a c h 、 t e a m w a r e f l o w 等商业工作流能够支持动态工作流。 为支持工作流模型的动态修改，目前一般的工作流管理系统采用的方法是版本 控制：每个工作流模型允许有多个不同的版本同时存在。新的工作流程实例可以按 照新版本的工作流模型执行。这种方法在一定程度上提高了灵活性，但版本数目的 不断增加会给管理带来很大的问题，旧版本的存在也会造成资源上的浪费；因此国 内外很多研究者把目光转向动态工作流，研究如何实现工作流模型的动态修改。其 中具有代表性的是以下几种动态控制策略： 1 )在修改工作流模型时，通过选择不同的动态修改时效或方式对工作流实例 流程进行处理。在这种方法中，工作流实例流程不一定会被迁移至新的工 作流模型中，它们可能被舍弃或按照原定义继续执行。 文献 1 】将动态修改分为永久性修改和暂时性修改两类，其中永久性修改是指过 程定义被永久性修改，它对应的运行实例可以选择性地修改一个、部分或者全部； 暂时性修改是指仅仅运行的过程实例被修改，而过程定义未被修改。 文献【2 】中将动态修改的操作分为扩展、代替和排序三种：其中扩展指在原有的 过程中增加新的任务，代替是指一个任务或者区域被另一个任务或者区域取而代 之，排序是指改变原有过程中各个任务的结构顺序。怎样处理系统中已经存在的过 程实例是动态修改的核心问题之一，作者提供了重新启动、继续进行和转换等三种 策略解决这个问题。重新启动策略是将所有己存在的过程实例退出，然后按照新的 过程定义重新启动；这种策略保证了一个过程定义的所有过程实例的结构信息在任 何时刻都是相同的，但是对于多数应用而言这种策略是不可行的，因为它抛弃了所 有已经存在的过程实例，造成了过于昂贵的代价。继续进行策略是将所有已存在的 过程实例按照原来的过程定义继续执行，以后启动的过程实例将按照新的过程定义 执行；这种策略使得一个过程定义可能会有多个不同的版本同时存在，采用这种策 略的工作流管理系统一般都会有专门的版本控制机制对过程定义的各个版本进行管 2 华东师范大学硕士学位论文第1 章绪论 理和控制。转换策略把所有己存在的过程实例直接转换为新的过程定义，并按照新 的过程定义继续向下执行；但是这种转换将会由于各个不同实例所处状态的不同而 导致迁移位置不能确定等问题。 2 )在动态修改工作流模型时，限定可修改的范围：只允许对工作流模型中的 部分资源进行修改，加以封装，使得工作流实例流程能够迁移至新的工作 流模型中。 文献 3 】提出一个基于最小操作集的动态修改方法，同时为了保证工作流过程的 正确性和一致性，还提出了动态修改规则；该规则对最小操作集中的动态修改操作 进行约束和限制，保证了工作流过程在语法级别上的正确性和数据一致性。作者采 用转换策略作为动态修改策略，保证动态工作流能够快速地响应外界变化的需求， 提高了工作流管理系统的灵活性和可用性。 文献 4 提出支持动态特性的工作流过程元模型，该模型从时间和工作流的组成 的过程级别两个角度分析其动态特性的表现，并提出相应的解决方法。 文献【6 】提出一种基于事件一条件一活动规则和活动组合的动态工作流模型。该 模型用柔性活动封装流程中的不确定因素，用选取规则和组合规则来约束柔性活动 的具体化过程，并设计了一个追求活动最高并发的活动自动组合算法，以便最大限 度地利用系统资源，提高流程执行效率。 这些文献采用不同的动态控制策略，在一定程度上提高了工作流模型的动态 性，但它们存在几方面的不足：第一，以上文献在动态修改工作流模型时，没有解 决工作流程的迁移问题。工作流程的存在是动态修改工作流模型的最大问题，没有 恰当的处理方法会使工作流模型与工作流实例流程之间存在冲突，导致修改失败； 第二，这些动态控制策略没有对工作流模型的完整性进行验证，它们不能保证新的 工作流模型的完整性。如果在新模型中存在冲突，会导致所有的工作流实例流程执 行失败，造成巨大的资源浪费，降低工作流管理系统的效率。 1 2 2 工作流模型的完整性研究现状 目前国内外很多研究者提出“安全工作流模型”的概念，这里的“安全”并不 等同于w f m c 定义的工作流管理系统的“安全性”，而是侧重对工作流管理系统中资 源的完整性及访问控制，通过对执行主体的操作权限进行限制来保证资源不被破 华东师范大学硕士学位论文 第1 章绪论 坏。比较常见的工作流安全模型主要采用两种保护机制：基于任务的访问机制 ( t b a c ) 和基于角色的访问机制( r b a c ) 。基于任务的工作流模型能够解决工作流管 理系统中任务的访问控制问题；但它在关注工作流模型中任务特性的同时，忽略了 完整性控制的便利性，使得整个工作流模型在实施阶段非常复杂，因此它只适用于 集中式、小规模的工作流管理系统。基于角色的访问控制模型优势在于其安全控管 的便利性，能够解决现代工作流管理系统规模大带来的问题；但由于基于角色的访 问机制的权限定义在角色这一级别上，不能控制具体的用户，所以存在属于不同角 色的用户之间相互包庇的问题。 在工作流模型的完整性控制方面，主要采用的是以下几种策略： 策略1 ：采用一种常用的访问控制机制( 如r b a c 和t b a c ) ，引入一些授权规则对 工作流模型中的资源进行权限控制。 a t l u r i 7 等人提出工作流授权模型( w a m ) ，在这个模型中工作流程的每个任务 只能由授权用户执行，而授权用户只能在执行任务过程中对资源进行操作。w a m 只 保证了静态的工作流程和授权的同步，没有考虑工作流程动态执行时授权的改变及 任务执行时是否有资源能被操作，没有达到安全工作流管理系统可达性的要求。 h u a n g 8 3 等人提出的基于w e b 的安全工作流管理系统，这个系统模型支持基于 角色的访问控制，在工作流授权模型的基础上加入了职责分离控制，但是它不能保 证随着工作流程的动态执行，安全控制限制条件也不断改变，没有达到安全控制中 完整性的要求。 策略2 ：定义多个安全级别，对不同级别的工作流任务采用不同的权限管理策 略。 多级安全工作流模型 1 0 ，这个模型为工作流管理系统定义了多个安全级别， 但是存在高安全级别任务向低安全级别任务流动的情况，引发了隐通道问题。 策略3 ：对工作流模型中的局部特性进行约束，依照自定义的约束规则来控制工 作流模型的完整性。 国内外的研究人员还提出了一些工作流安全模型，他们大多采用基于角色的访 问控制机制，有的对时间特性进行约束 11 ，1 2 ，有的对角色授权进行约束，没有对 任务执行权限做出较好的访问控制， 在以上工作流模型中，研究者对资源的使用进行控制，给不同的用户分配权限 并严格限定权限的使用。但是它们对工作流模型完整性的控制不够全面，各自存在 4 华东师范大学硕士学位论文第1 章绪论 一些管理问题；而这些模型还存在一个很大的问题就是没有考虑工作流模型的动态 性，它们对完整性的控制只停留在静态建模的过程中，无法达到动态控制的要求。 1 3 本文主要工作 本文研究的出发点是弥补传统工作流模型的动态性和完整性的不足，使工作流 模型能够快速响应外界变化，并保证工作流模型中的资源在流转过程中不被篡改和 破坏，维持工作流程的正常执行。本文借鉴现有的工作流模型及动态工作流技术， 研究在动态修改工作流模型后如何保证新模型中资源的完整性，以及在工作流模型 实例执行时实现动态授权。 本文的主要研究内容如下； 1 )在传统访问控制模型r b a c 的基础上，结合权限控制规则如最小特权规则、 职责分离规则等对其进行扩展。与传统工作流管理系统相比，能避免包 庇、欺诈行为的发生，加强了系统的完整性控制。 2 )基于动态工作流技术，研究如何实现工作流模型的动态修改，加强工作流 模型的动态性；并对修改后的工作流模型进行验证，保证其完整性。 3 )结合动态工作流和安全控制规则提出工作流模型的权限控制策略，把安全 控制规则运用于动态工作流管理系统中。与一般的授权策略相比，添加了 动态性的特点，能灵活适应工作流模型的变化。 4 )根据提出的动态完整控制模型，实现一个原型系统。 1 4 论文组织结构 本文的组织结构如下： 第一章：绪论 介绍工作流模型的研究现状及其存在的问题，提出本文的研究目标。 第二章：工作流技术 研究分析工作流技术的各种基础知识，为动态完整控制模型的研究奠定基础。 第三章：工作流模型的动态性和完整性研究 研究如何动态修改工作流模型，对修改模型之后工作流程的迁移问题进行讨 论，提出工作流模型的动态修改策略；结合多种工作流模型的授权规则及其动态性 特点，提出工作流模型的完整性策略。在两种策略的基础上，设计动态完整控制模 5 华东师范大学硕士学位论文 第1 章绪论 型，并使用模型验证工具进行正确性和完整性的检验。 第四章：动态完整控制模型在信息流转安全平台中的应用 在动态完整控制模型的基础上，实现一个原型系统。介绍系统的主要架构，分 析其可行性，说明动态修改策略和完整性控制策略的使用情况。 第五章：总结与展望 对论文的研究工作进行总结，并提出进一步的展望。 6 华东师范大学硕士学位论文 第2 章工作流技术 第2 章工作流技术 2 1 工作流管理系统 2 1 1 工作流管理系统的定义 工作流是一类能够完全或者部分自动执行的经营过程 1 3 ，根据一系列过程规 则，文档、信息或者任务能够在不同的执行者之间传递和执行。工作流管理联盟 ( w 伽) 给工作流程中涉及到的概念给出了明确的定义，如下： 定义2 1 流程：业务的逻辑或模型，即为达到一项业务目标使文件信息和任务在工 作者之间有序传递各项相关活动有序实施的一种结构。 定义2 2 活动：流程中的工作单元完成某种特定的功能。 定义2 3 任务：活动实例，也就是活动实例的输入对象，等待活动实例进行处理。 定义2 4 操作者：流程中任务的执行者。 定义2 5 任务列表：与某个或某组指定操作者相关的一组任务。 定义2 6 工作流相关数据：是指在工作流管理系统中使用的，工作流过程实例流转 状态的数据。 定义2 7 工作流控制数据：是由工作流管理系统或者工作流引擎管理的内部数据。 定义2 8 工作流应用数据：是指由工作流应用程序操作的数据。 工作流管理联盟把工作流管理系统定义为一个软件系统 1 3 1 ，它完成工作流的 定义和管理，并按照在计算机中预先定义好的工作流逻辑推进工作流实例的执行。 同时，工作流管理系统也是指运行工作流软件的，用于定义、执行和管理企业流程 的软件系统，它由流程参与者、外部应用程序或者所需资源进行交互，推进工作流 的执行并对其进行监控和管理。虽然工作流管理系统是对企业业务流程的管理，但 是其并不等同于企业业务系统，而是提供了一个平台，在该平台上整合了企业部分 的或所有的业务过程，对每个特定的业务都提供工作流的描述和定义，并提供实例 化和运行时环境，使企业的业务过程能够以工作流的形式在计算机上实现。所以 说，企业实施工作流管理系统的过程也是一个企业的诸多业务过程的整合和优化实 施的过程。 一般可以将所有的工作流管理系统分为三个阶段，即建模阶段、模型实例化阶 7 华东师范大学硕士学位论文 第2 章工作流技术 段和实例执行阶段 1 3 。如图2 - 1 所示，给出了工作流管理系统三个阶段之间的关 系。在建模阶段，完成对企业业务流程的流程定义，将企业的实际工作流程转换成 计算机可以处理的工作流模型；在模型实例化阶段，完成对工作流模型的计算机描 述，采用计算机编码等手段将模型转换成可以在计算机上执行的实例，并给每个实 例分配所需要的资源，设定每个活动实例的入口参数和出口参数；在实例执行阶 段，交由各个活动参与者来完成企业过程的流转，从而完成企业经营过程的执行； 其中重要的任务是人机交互和应用程序的执行，并且对过程实例和活动实例的执行 情况及完成情况进行监督和控制管理。 图2 - 1 工作渣管理系统 工作流管理系统主要包含如下几个模块，图2 - 2 表示了一个工作流管理系统的 结构： 1 ) 工作流建模工具即通常所说的工作流设计器，主要负责图形化地定义一个 工作流程。 2 )工作流引擎用于维护和解析流程的运行。 3 )工作流执行服务器为企业工作流的正确运行提供辅助性服务。 4 )工作流列表处理器对外提供接口，外部应用通过工作流列表处理器来获取 和管理工作项。 华东师范大学硕士学位论文 第2 章工作流技术 _ 较件构件 i - 1 系统控翻数据 口，嘟产晶载糍 囝2 - 2 工作涟管理系统结构围 2 1 2 工作流管理系统的安全控制 工作流管理联盟就工作流管理系统的安全性这一问题提出了八个方面的考虑 【1 4 】：身份认证、授权、访问控制、审计、数据私有性、数据完整性、抗抵赖和安 全管理。数据私有性是通过加密手段对数据进行保护，不属于工作流模型的考虑范 围，现在主要介绍身份认证、授权、访问控制和数据完整性。 1 )身份认证 在工作流管理系统中，身份认证的首要条件就是对于某个工作流程，普通用户 或系统管理员的登录操作优先于分配任务；次要条件是在工作流管理系统协同工作 的过程中，要确保两个工作流管理系统对一个指令序列进行初始化和响应的操作基 9 华东师范大学硕士学位论文 第2 章工作流技术 一。 田2 - 3 融惦艇结构图 4 )数据完整性 数据完整性能保证流转的数据在传送过程中不被修改，可以分成以下几 弱数据完整性是指在存储或传输数据时，对数据错误和调换提供基本 的保护。这种保护依赖于相对简单的校验机制。 强数据完整性通常依赖于加密算法，例如单向算法和公钥算法。 以上讨论的几个控制因素可以相互结合使用，例如通过身份认证技术对用户进 1 0 华东师范大学硕士学位论文 第2 章工作流技术 行基本验证之后，使用授权和访问控制技术管理用户的使用权限，这样就进一步保 证了工作流管理系统的安全性。 2 2 工作流模型 工作流模型是对工作流的抽象表示，也就是对经营过程的抽象表示 1 3 1 。由于工 作流需要在计算机环境下运行，因此建立相应的工作流模型就是必不可少的。理想 的工作流模型能够清楚地定义任意情况下的工作流，能够适应用户在建模过程中所 提出的各种要求。工作流管理联盟( w o 讧c ) 对一般工作流应用程序结构进行抽 象，提出一个工作流参考模型如图2 - 4 所示。在该结构中，对工作流产品在多个层 次上进行交互的接口进行了分析。所有的工作流管理系统都包含一些通用的部件， 并在一个预先定义的方式集上进行交互操作；不同的工作流产品在这些通用的部件 上通常表现出不同程度的适应能力。 田2 - 4 - r 作渣参考模型 图中所示的工作流参考模型定义了工作流引擎( 工作流执行服务) 与各个应用 程序之间的接口 1 3 】，这些接口允许应用程序在不同层次上进行交互操作。 接口1 - 过程定义输入输出接口( p r o c e s sd e f i n 憾i 加p o n 恸币0 r ti n t e r f a c e ) 该接口是过程定义和工作流执行服务之间的接口，包含了一个用于描述过程定 华东师范大学硕士学位论文第2 章工作流技术 义的公共元模型，以及可以实现两个不同系统间工作流过程定义的相互转换的x m l s c h e m a 。 接口2 ：客户应用接口( c l i e n t a p p l i c a t i o n i n t e r f a c e ) 该接口是客户应用和工作流执行服务之间的接口，主要包括客户端和工作流执 行服务之间的通讯功能。 接口3 ：被调应用程序接1 ：3 ( i n v o k e d a p p l i c a t i o n i n t e r f a c e ) 该接口是被调应用程序和工作流执行服务之间的接口，主要包括被调应用程序 和工作流执行服务之间的通讯功能。 接口4 ：工作流可互操作性接口( w o r l d l o w i n t e r o p e r a b i l i t yi n t e r f a c e ) 该接口是不同工作流管理系统之间交互操作的接口。根据w f i v c 的建议，不同 的工作流管理系统之间可以通过提供工作流应用编程接口w a p i 来实现系统之间的 互操作。 接口5 ：系统管理和监控接口( a d m i n i s t r a t i o n & m o n i f o r i n gi n t e r f a c e ) 该接口是对工作流管理系统进行管理和监督的接口，它实现了对工作流管理系 统的管理和监控。 2 3 动态工作流 随着企业的不断发展，对工作流技术的需求已经不仅仅局限于静态工作流范 畴，对其动态变化的能力提出了更高的要求。在传统工作流管理系统中，工作流程 建模并实例执行之后不能再修改工作流模型；如果需要修改工作流模型，只能在没 有实例流程的基础上对原有模型进行修改，其效果等同于重新定义一个工作流模 型，由此给工作流管理系统带来了灵活性方面的约束，限制工作流模型响应适时的 变化。 动态工作流的提出就是为了实现对工作流模型的动态控制，提高系统的灵活性。 “动态工作流”这一名词起源于“动态修改”，所谓动态修改是指在过程运行时对该 工作流过程模型进行的某种修改，它是相对于工作流建模时对过程进行的静态修 改。目前国内外学术界对于动态工作流并没有给出一个大家公认和接受的明确定 义。如果一个工作流管理系统能够对正在运行的工作流过程进行修改，称这个工作 流管理系统为支持动态修改的工作流管理系统，简称动态工作流管理系统。支持动 态修改的工作流模型被称为动态工作流模型。而动态工作流技术指与动态修改相关 的所有技术，包括动态修改分类、动态修改策略、动态修改实现方法、动态修改带 华东师范大学硕士学位论文第2 章工作流技术 来的问题及怎样解决这些问题等，简称动态工作流。 动态工作流的研究主要包括以下内容 1 5 】：动态工作流的分类、涵盖内容、动 态工作流的实现策略、动态工作流的修改操作、动态工作流产生的问题及其求解 等。根据业务流程变化的特点，动态工作流可以被划分为三类【1 6 】：第一类动态工 作流的特点是能在业务流程发生变化的情况下做出相应的改变，其难点在于如何将 运行中的工作流实例迁移到新的工作流模型中【1 7 】；第二类动态工作流的特点是能 处理工作流执行过程中出现的异常，其难点在于如何处理无法预料的异常情况 【1 8 】；第三类动态工作流的特点是在流程定义不完整的情况下，能生成流程实例并 运行，其难点在于如何对部分流程信息进行建模 19 】。动态工作流的实现策略可以 有多种方式，采取不同的实现方式需要采用相应的控制策略，例如工作流实例流程 的处理问题。动态工作流的修改是工作流动态性的体现，其中包括工作流模型的动 态修改和工作流程的动态修改，每种动态修改都会涉及到资源的完整性问题，需要 对修改后的工作流模型和工作流程进行验证。动态工作流在提高工作流管理系统的 适应性同时，也带来一定程度的资源浪费，如何减小动态修改造成的开销是值得考 虑的。 2 4 本章小结 本章介绍了工作流技术的一些重要概念：工作流管理系统、工作流模型及其动 态工作流。针对这些内容以下章节将展开详细分析及讨论，提出相应的控制策略， 以实现对工作流模型的完整性和动态性进行控制。 华东师范大学硕士学位论文第3 章工作流模型的动态性和完整性研究 第3 章工作流模型的动态性和完整性研究 3 1 工作流模型的动态修改策略 动态修改工作流模型是当今工业环境对工作流管理系统提出的新要求，要完成 动态修改工作流模型，不仅需要考虑实例工作流程的迁移问题，还需要保证修改后 的工作流模型的完整性。 3 1 1 动态修改策略 工作流模型的修改分为：动态修改和静态修改两种。动态修改工作流的实质就 是对正在运行的工作流程实例进行重新建模；静态修改工作流模型是对没有实例流 程的工作流模型进行静态修改，修改范围涉及工作流模型的各种资源。动态修改与 静态修改的区别在于：静态修改工作流模型就是重新定义一个新的工作流模型，可 以根据需求定义模型中的任务流转过程和各种资源；而动态修改工作流模型是在已 有实例流程的基础上重新定义工作流模型，动态修改工作流模型使用到的各种资 源，需要考虑如何将现有流程转移到新的工作流模型中。 对于不同的工作流程而言，工作流模型是一个共有的类，每次实例一个工作流 程就是实例化不同的对象，修改工作流模型相当于修改类定义。文献 2 4 提到过有 两种动态修改策略：永久性修改和暂时性修改。顾名思义，永久性即对工作流模型 的修改一直有效，原来的模型被摒弃，再次生成流程实例时采用的是新的工作流模 型；而暂时性修改是指对工作流模型的修改只有一段时效，之后仍可以采用原来的 工作流模型。本文对工作流模型的动态修改属于永久性修改，关注动态修改工作流 模型的三个方面：如何动态修改工作流模型，如何迁移正在执行的工作流实例流 程，如何保证修改后的工作流模型的完整性。 工作流程的执行可以分为两种情况：要修改的任务已经执行和尚未执行，依据 工作流程的执行情况，采用的相应动态修改策略如下： 1 ) 如果在一个实例流程叫5 ( f 1 ，f 2 ，) 中，要修改的任务 ( 2 引帕已被执行，则采 用回退策略。即把正在执行的任务取消，回退到“执行完毕的状态，重新执行 任务 。之所以强调2 s f s 一这个范围是因为如果在第一个任务就被退回，重新执 行的效果等同于执行一个新流程，可被认为是抛弃原来的流程实例，重新实例 1 4 华东师箍大学硕士学位论文 第3 章工作藉e 模型的动态性和完整性研究 化一个工作流程。回退操作很耗费资源，由实际管理者根据执行进度决定是终 止该流程还是回退执行。 2 ) 如果在一个实例流程1 矿2 ( t l ，t 2 ，如) 中，要修改的任务t a 2 5 帕还未执行，这时 只需按照原来的模型定义执行到任务“，然后依照新的模型定义开始执行任务 。在修改定义之前先暂停当前工作流程，由工作流程的管理员重新定义( 或修 改) 与流程执行相关的状态信息之后，再次启动这个实例流程。 在图3 - 1 中某个工作流模型有正在执行的实例流程，t ( i ) 表示原工作模型中定 义的任务，t ( i ) 表示实例流程中对应的任务。对工作流模型进行动态修改，将任务 t ( i ) 修改为任务t ( i ) ，那么实例流程应根据新模型的定义执行新任务t ( i ) ，而 不是原来的任务t ( i ) 。 圈3 - 1 丘移工作渣程示意圈 在定义完工作流模型之后，需要验证新模型的完整性和正确性。在新模型中不 能定义与原有资源相冲突的授权规n - 如不能在同一个角色执行同一个任务时赋予 不同的权限，不能让同一个用户担当两个角色，不能让同一个角色的用户执行若干 个权限冲突的任务。总的说来，验证动态生成的工作流模型必须考虑以下方面： 1 )工作流模型的正确性，整个流程是否流通。 2 )工作流模型中是否存在互相冲突的资源。 3 )删除冲突资源后，工作流模型的完整性能否得到满足。 4 )已实例的工作流程是否有充足的资源继续执行新任务。 为满足以上几点要求，在动态修改工作流模型的时候必须对每个任务使用的资 源进行验证，不能忽略对已存在任务的检验。虽然这些已存在的任务是满足正确性 的，但如果在修改后的任务中使用了与其相冲突的资源，使得一个角色可能使用不 同任务里的权限进行欺诈行为，这就违背了完整性的规则。因此修改工作流模型的 重点不在于修改模型定义，而在于对整个工作流模型的重新验证。 如果一个工作流程已执行完某个任务，在动态修改工作流模型之后，存在一个 与该任务相冲突的任务尚未执行，那么必须终止这样的工作流程，而不是按照上述 华东师范大学硕士学位论文第3 章工作流模型的动态性和完整性研究 策略继续执行后续任务。这就说明对完整性的验证不能只停留在工作流模型上，还 要对实例流程进行验证，满足完整性是工作流实例流程继续进行的必要前提条件。 有的研究者为了避免实例流程存在完整性上的问题，采取的策略是 2 8 ：在动态修 改工作流模型的时候，只允许管理员使用现有的资源来修改定义，从中选取执行主 体和执行客体，避免资源冲突的问题。但这种方法存在两个问题：一是只有已存在 的资源会限制工作流模型的修改，管理员不能使用新的角色；二是即使采用的都是 原有资源，仍有可能出现完整性方面的问题，存在包庇的可能。只有在动态修改工 作流模型之后进行完整性的验证才是真正解决问题的办法，也是必不可少的一个步 骤。对于工作流模型完整性的验证规则在下文中会详细说明，在此暂不赘述。 3 1 2 动态修改过程 下： 动态修改过程包括对工作流模型的修改和工作流实例流程的迁移，具体