（计算机软件与理论专业论文）协同环境中访问控制模型与技术研究.pdf

山东大学博士学位论文 摘要 计算机支持的协同工作( c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r k , c s c v o 系统 是人们为了完成共同的任务目标，借助计算机和网络，通过资源共享、信息交换、 互操作等方式进行协同工作的信息系统。 技术的发展，协同系统环境越来越宽泛， 随着基于开放标准的分布式系统架构和 从办公自动化系统、工作流管理系统、 协同设计系统，到跨域业务流程集成等。在这种异构、松散的计算环境中，信息 系统面l | 缶着日益严峻的安全威胁，据统计，近十年发生的危害系统安全的事件成 指数性增长，其中7 1 检测到的系统非法访问来自内部人员，而且大多数的重大 损失均由内部授权人员造成而非外部黑客。因此，在构建高效的协同信息系统的 同时，如何确保系统安全是信息技术工作者面临的重大挑战和迫切任务。 在众多的安全技术和服务中，访问控制是确保系统安全的一个重要手段，是 通过适当的访问权限管理来实现系统的信息和资源保护，防止用户对系统信息的 不恰当和非法访问。访问控制研究不仅在理论上可以借助形式化方法描述系统元 素、精确表达安全策略、进行系统安全证明；而且在应用中，能够直接影响系统 的可用性、易用性和安全性。在协同环境下，访问控制研究面临着更多挑战，不 仅要防范来自外部的黑客攻击，还要防范来自内部的非法访问；不仅要满足信息 安全的基本需求，而且要满足协同工作中细粒度授权、环境感知授权、支持安全 策略的可扩展性与分布式特征等特殊需求，访问控制在系统平衡资源保护和协同 工作方面起着决定性作用。因此，访问控制模型与技术的研究不仅具有重要理论 价值，而且具有广泛的应用价值。 本文详细分析了协同环境中访问控制研究面临的挑战，结合国家8 6 3 计划“制 造网格与制造资源协同管理技术研究”( 2 0 0 3 认4 1 4 3 1 0 ) 和山东省重大科技发展计 划“产权交易电子商务平台的研究与典型示范”( 2 0 0 4 6 6 2 2 0 1 1 3 1 ) 等相关课题的需 求特征，针对协同环境中的访问控制模型与安全约束、复杂角色层次管理、多管 理域安全策略复合与系统互操作等关键问题，展开深入研究。本文主要工作和创 新点如下： 1 提出了一个支持安全约束和角色层次的柔性化工作流访问控制模型，解决 山东大学博士学位论文 了柔性化工作流的复杂安全约束和动态执行规划问题。该模型引入规范化动态组 合思想，提出了规范化活动和工作流组合操作的概念，实现了工作流模板的动态 定制和调整；借助活动对权限和角色进行封装，约束了权限只有在活动的生命周 期内才能有效，从而支持动态授权和主动授权：在工作流中集成了安全约束与业 务约束，细化了约束类型和粒度，从而支持不同层次的安全策略和业务规则；给 出了约束关系一致性验证算法和工作流执行规划算法，确保了工作流的顺利执行。 2 提出了支持约束继承的角色层次方法，提高了协同环境中复杂角色层次的 管理效率。该方法对权限进行了有效地划分，定义了私有类型、受限类型和公共 类型，并引入了权限继承路径、角色的继承域和传播域等概念，用于计算角色授 权。不同于其他模型的完全权限继承机制，本文提出了角色层次中的约束继承规 则，以阻止私有权限在继承路径上的传播并对受限类型权限进行限制。这种方法 在没有增加新角色的前提下，通过对角色权限的封装和约束继承机制，解决了私 有权限和区域权限问题，满足了特定的安全需求。本文方法在时间效率和空间效 率方面也较传统方法提高，降低了安全管理复杂度，规避了潜在的不安全性。 3 提出了一种多管理域访问控制方法，在支持分布式多域协同工作的前提 下，有效地实施环境感知授权和动态变化的主体域管理。该方法提出了权限的生 命周期和作用域的概念，实现了用户权限的动态分配与收回，从而支持环境感知 授权；提出了基于规则的主体域代数操作方法和基于x a c h l l 的系统框架，能够支 持动态变化的主体域的自治管理和异构平台间的互操作；并给出了跨域用户授权 计算和安全约束一致性检测算法，以确保安全约束的有效实施。 4 结合产权交易领域的应用特点，基于本文提出的理论和技术，研究开发完 成了“产权交易电子商务系统”，搔建了支持产权交易业务管理与业务合作的平台， 该系统现已在多个省市产权交易中心使用，应用效果良好。 关键词：访问控制；计算机支持的协同工作；工作流；角色；安全策略 n 山东大学博士学位论文 a b s t r a c t w i mt h ed e v e l o p m e n to fc o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r kf c s c w ) t e c h n o l o g y , t h er a n g ea n dc o n t e n to f c o l l a b o r a t i o na r eb e c o m i n gw i d e ra n dw i d e r , f r o m t r a d i t i o n a lo f f i c ea u t o m a t i o n , w o r l d l o wm a n a g e m e n ts y s t e m ( w f m s ) ，i n t e r a c t i v e g r o u p w a r e , t ow e b b a s e db u s i n e s sp r o c e s sm a n a g e m e n ti n v i r t u a l o r g a n i z a t i o n h o w e v e r ，w h i l ep e o p l ea r ee n j o y i n gt h ei tc i v i l i z a t i o n , i n f o r m a t i o ns y s t e m sa r ef a c i n g f i e r c e rt h r e a t st h a nb e f o r e a c c o r d i n gt ot h es t a t i s t i co fc o m p u t e rs e c u r i t yi n s t i t u t eo f a m e r i c a , t h et h r e a ti n c i d e n t so fi n f o r m a t i o ns y s t e ma r ei n c r e a s i n ge x p o n e n t i a l l ya n d m o s to f t h e ma r ec a u s e db yi n t e ru s e r s s o ，i ti sag r e a tc h a l l e n g ea n du r g e n tm i s s i o nt o e n s u r et h es y s t e ms e c u r i t yw h i l ep r o v i d i n ge f f i c i e n tc o l l a b o r a t i o n a c c e s sc o n t r o li so n eo ft h em o s ti m p o r t a n ts e c u r i t ys e r v i c e s ，w h i c ha t t r a c t sm u c h i n t e r e s t sf r o mb o t ha c a d e m i aa n di n d u s t r y i nt h e o r y , t h ea c c e s sc o n t r o lm o d e l sa r e u s e dt of o r m a l l yd e s c r i b et h es y s t e me l e m e n t s ，p r o v et h es y s t e ms e c u r i t ya n dp r e c i s e l y e x p r e s st h es e c u r i t yp o l i c ye r e i np r a c t i c e ，n e wt e c h n o l o g i e sa r ep r o p o s e da n da p p l i e d i nd i f f e r e n ta r e a so fb u s i n e s s ，m i l i t a r ya n dg o v e r n m e n tt od i r e c t l yi m p r o v et h eu t i l i t y ， f e a s i b i l i t ya n ds e c u r i t yo fi n f o r m a t i o ns y s t e m i nc s c we n v i r o n m e n t , a c c e s sc o n t r o l f a c e sm o r ec h a l l e n g e s ，n o to n l ys h o u l di t p r e v e n to u t s i d ei n v a s i o nb u ta l s op r e v e n t i n t e ru n a u t h o r i z e da g o ：s sd u et ot h e r ea r eg e n e r a l l yt h o u s a n d so fu s e r si n l a r g e o r g a n i z a t i o nt od od i f f e r e n tt a s ki nd i f f e r e n tp e r i o da n dm a n yp a r t n e r st oc o l l a b o r a t e a m o n gi n f o r m a t i o ns y s t e m sw h om a ya c c e s ss e n s i t i v ei n f o r m a t i o n b a s e do nt h ea n a l y s e so fs e c u r i t yr e q u i r e m e n t si nc o l l a b o r a t i v ee n v i r o n m e n t ，t h i s d i s s e r t a t i o na d d r e s s e saf e wk e yp r o b l e m so fa c c e s sc o n t r o l ：s e c u r i t yc o n s t r a i n ti n w o r k f l o wm a n a g e m e n ts y s t e m , c o m p l e xr o l eh i e r a r c h ym a n a g e m e n ta n d i n t e r o p e r a t i o n a m o n gm u l t id o m a i ne t e t h ec o n t r i b u t i o n sa r ca sf o l l o w i n g ：t 1 an o v e la c c e s sc o n t r o lm o d e lf o rf e x i b l ew o r k f l o wi sp r e s e n t e dt os o l v et h e p r o b l e mo fs e c u r i t yc o n s t r a i n ta n dd y n a m i ca d j u s t m e n t ，w h i c hc o n s i d e r i n gf i n e g r a n u l a r i t ya c c e s sa n da c t i v ea u t h o r i z a t i o ni nw o r k f l o wm a n a g e m e n ts y s t e m u s i n gt h e 1 1 1 山东大学博士学位论文 t h o u g h to fs t a n d a r d i z a t i o na n dd y n a m i ca s s e m b l yf o rr e f e r e n c e ，t h i sm o d e li n t r o d u c e s t h en o t i o n so fs t a n d a r da c t i v i t ya n da s s e m b l yo p e r a t i o nt oa c h i e v et h ed y n a m i c c u s t o m i z a t i o na n da d j u s m a e n to fw o r k f i o w a c t i v i t i e se n c a p s u l a t ea c c e s sp e r m i s s i o n s a n da u t h o r i z e dr o l e s w h i c hr e s t r i c tt h ep e r m i s s i o n st ob ee f f e c t i v eo n l yi na c t i v i t y s l i f e e y c l es o 够t oa c h i e v et h ea c t i v ea u t h o r i z a t i o n m e a n w h i l et h es e c u r i t yc o n s t r a i n t a n db u s i n e s sd e p e n d e n c ya r ei n t e g r a t e di nw o r k f l o wt os u p p o r td i f f e r e n tl e v e ls e c u r i t y p o l i c i e s a n db u s i n e s sr u l e s t h ea l g o r i t h m so fc o n s t r a i n td y n a m i ca n a l y s e sa n d w o r k f l o we x e c u t i o np l a n n i n ga r ea l s op r o p o s e dt oe n s u r et h ew o r k f l o wc o n s t r a i n t c o n s i s t e n c ya n ds u c c e s s f u le x e c u t i o n 2 ar e s t r i c t e di n h e r i t a n c em e t h o do fr o l eh i e r a r c h yi sp r o p o s e dt oi m p r o v et h e e f f i c i e n c yo fc o m p l e xr o l em a n a g e m e n ti nl a r g eo r g a n i z a t i o n t h en o t i o n so f r o l e - i n h e r i t a n c er e g i o na n dr o l e s p r e a dr e g i o na r ei n t r o d u c e dt od e s c r i b et h er o l e sw h o c a l li n h e r i tt h ep e r m i s s i o n sa n dw h oh a v eb e e ni n h e r i t e d d i f f e r e n tw i t ho t h e r s 。t h i s m o d e ld i v i d e st h ep e r m i s s i o n si n t ot h r e et y p e s ，w h i c ha r ep r i v a t e ，l i m i t e da n dp u b l i c i t a l s op r o p o s e st h er e s t r i c t e di n h e r i t a n c er u l e st op r e v e n tt h ep r i v a t ea n dl i m i t e d p e r m i s s i o n s t ob es p r e a di ni t si n h e r i t a n c ep a t h e x p e r i m e n t si l l u s t r a t et h a ti te f f i c i e n t l y r e d u c e st h ec o m p l e x i t yo fr o l em a n a g e m e n tw i t h o u ta d d i n gn e wr o l e sw h i l es a t i s f i e s t h es p e c i f i cs e c u r i t yr e q u i r e m e n t so f p r i v a t ep e r m i s s i o n 3 an o v e la p p r o a c hi sp r o p o s e dt os u p p o r tt h et r u s t e di n t e r o p e r a t i o na m o n g m u l t im a n a g e m e n td o m a i n s , w h i c he f f e c t i v e l ye n f o r c e ss e c u r i t yp o l i c i e sw i t h o u t c o m p r o m i s i n gc o l l a b o r a t i o n b yi n t r o d u c i n gt h en o t i o n so fe f f e c ts c o p ea n dl i f e c o n d i t i o ni n t op e r m i s s i o n , i te f f e c t i v e l ya c h i e v e st h ee n v i r o n m e n t - a w a r ea u t h o r i z a t i o n t h er u l e - b a s e do p e r a t i o n so ns u b j e c ta r ep r o p o s e dt os u p p o r tt h em a n a g e m e n to f d y n a m i c a l l yc h a n g e ds u b j e c t s t h ev e r i f i c a t i o na l g o r i t h m sa r ea l s og i v e nt om a i n t a i n t h es e c u r i t yc o n s t r a i n t sc o n s i s t e n ta n dt h ex a c m l - b a s e dp l a t f o r mi sp r o v i d e dt o s u p p o r ts e c a r ei n t e r o p e r a t i o na m o n gh e t e r o g e n e o u ss y s t e m s ， 4 a c c o r d i n gt ot h ea p p l i c a t i o nr e q u i r e m e n t so fp r o p e r t yr i g h t se x c h a n g ea n d b a s e do nt h et h e o r ya n dt e c h n o l o g yp r e s e n t e di nt h i sd i s s e r t a t i o n , w ed e s i g na n d i m p l e m e n tt h ep r a c t i c a ls y s t e m p r o p e r t ye i g h t se x c h a n g es y s t e m ( p r e s ) w h i c h i v 山东大学博士学位论文 e s t a b l i s h e sap l a t f o r mf o rp r o p e r t yr i g h t se x c h a n g ec e n t e rt o p r o c e s sb u s i n e s sa n d c o l l a b o r a t e 谢t 1 1o t h e r s i th a sb e e na d o p t e di nm a n y p r o v i n c e sa n dc i t i e so f c h i n a t h i sw o r kw a ss u p p o r t e db yag r a n tf r o mt h em o m e n t o u ss c i e n c ea n dt e c h n o l o g y d e v e l o p m e n tp r o j e c to fs h a n d o n gp r o v i n c e t h er e s e a r c ha n dd e m o n s t r a t i o n0 1 1 e l e c t r i cc o m i n e r c ep l a t f o r mo f p r o p e r t yr i g h t se x c h a n g e ( n o 2 0 0 4 g g 2 2 0 1 1 3 1 ) ，a n d t h en a t i o n a lh i g ht e c h n o l o g yr e s e a r c ha n dd e v e l o p m e n tp r o g r a mo fc h i n a ( 8 6 3 p r o g r a m ) “r e s e a r c ho nc o l l a b o r a t i v et e c h n o l o g yo f m a n u f a c t u r i n gg r i d e t c k e y w o r d ： a c c e s sc o n t r oi ：c o m p u t e rs u p p o r t e dc o o p e r a tiv ew o r k ( c s g w ) ： w o r k f j o w ；r o l 8 ：s e c u r i t yp cj j c y v 山东大学博士学位论文 论文表格目录 1 表3 - i 访问控制模型的业务依赖约束2 6 2 表3 - 2 访问控制模型的安全约束2 9 3 表3 - 3 访问控制模型的工作流组合操作3 6 4 表4 1 约束继承规则4 8 山东大学博士学位论文 论文图形目录 图i - i 近十年发生的危害系统安全事件统计 1 图2 - 1 基于角色的访问控制模型 9 图3 - i 业务分解与原子活动定义2 2 图3 2 柔性化工作流访问控制模型2 3 图3 - 3 工作流组合操作3 4 图3 - 4 工作流组合操作一删除操作 3 5 图3 - 5 职责分离规划算法实验结果4 2 图4 - i 私有权限与私有角色4 6 图4 - 2 角色的继承域4 9 图4 - 3 角色的传播域5 0 图4 - 4 约束继承原则5 9 图4 - 5 空间效率分析与比较6 0 图4 - 6 时间效率分析与比较6 1 图4 - 7 约束继承的角色层次案例6 2 图5 - i 多域协同环境6 5 图5 2 支持多域协同的访问控制模型6 6 图5 - 3 基于规则的主体授权管理7 1 图5 - 4 多域系统互操作框架7 3 图5 5 支持互操作的x a c m l 访问控制策略说明7 4 图5 6 基于) ( a c m l 的访问请求7 5 图6 - i 产权交易环境7 7 图6 - 2 国有产权交易用例图7 8 图6 - 3 系统规划8 0 图6 4 系统体系结构8 1 图6 5 系统数据模型8 2 图6 - 6 系统功能部署图8 3 图6 - 7 细粒度访问权限管理8 3 l 互 乱 钆 豇 豇 l & o ； 加 n 心 n m 坫 硒 掩 玲 加 殂 毖 船 孔 衢 盯 山东大学博士学位论文 2 8 图6 - 8 角色任务权限查询8 4 2 9 图6 - 9 流程实例管理8 4 3 0 图6 - 1 0 流程状态查询8 5 3 1 图6 - 1 1 消息通讯流程8 6 3 2 图6 一1 2 文档管理8 6 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：鲻 垒 日论文作者签名：幽i 垒日期：! 兰：! ： 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：翟盔 兰导师签名： 山东大学博士学位论文 1 1 研究背景 第1 章绪论 今天，信息技术已经如此深刻地影响社会，以至于几乎所有的组织( 包括政 府、企业、团体等) 都需要信息系统的支持。而网络的迅速普及使得信息系统之 间不再孤立，人们可以借助计算机和网络，通过资源共享、信息交换、互操作等 方式进行协同工作，共同完成一定的任务目标，这就是计算机支持的协同工作 ( c o m p u t e rs u p p o r t e dc o o p e r a t i v ew o r k ，c s c w ) 。c s c w 的核心是构建支持不 同协同工作目标的信息系统，如工作流管理系统、办公自动化系统、协同设计系 统、跨域业务流程集成等。 然而，在人们借助协同环境进行高效工作的同时，信息系统的安全却面临着 日益严峻的威胁，据总部设在卡内基梅隆大学软件工程学院的美国计算机紧急事 件反应小组的统计，近十年发生的危害信息系统安全的事件成指数性增长“1 ，见 图卜1 ，每年造成的经济损失仅在美国就超过1 0 0 亿美元。而据美国计算机安全 协会( c s i ) 的统计，7 1 检测到的系统非法访问来自内部人员，而且大多数的重 大损失均由内部授权人员造成而非外部黑客。1 。由此看出，在构建高效的协同信 息系统的同时，如何确保系统安全是信息技术工作者面临的重大挑战和迫切任务。 1 0 9 4 1 9 9 01 9 9 81 9 9 71 0 9 81 0 9 92 0 0 02 0 0 12 0 0 22 0 0 3 正 图卜1 近十年发生的危害系统安全事件统计 在众多的安全技术和服务中，访问控制是确保系统安全的一个重要手段，被 国际标准化组织定义为安全体系设计标准的五大安全服务功能之一( i s o 7 4 9 8 - 2 ) ，即身份认证服务、访问控制服务、数据保密服务、数据完整性服务和 山东大学博士学位论文 不可否认性服务。访问控制是通过适当的访问权限管理来实现系统的信息和资源 保护，防止用户对系统信息进行非法访问。在协同环境下，访问控制研究面临着 更多挑战，不仅要防范来自外部的黑客攻击，还要防范来自内部和合作伙伴的非 法访问；不仅要满足信息安全的基本需求，而且要满足协同工作中细粒度授权、 环境感知授权、支持安全策略的可扩展性与分布式特征等特殊需求“”，其核 心就是要平衡安全与协同、灵活性与可控性的矛盾。 鉴于访问控制对协同系统安全所起的至关重要的作用，它吸引了大量学者的 研究兴趣，在访问控制模型的理论研究方面，借助形式化方法描述系统元素及元 素间的关系、精确表达安全策略，进行系统安全证明等；在访问控制的应用研究 方面，结合不同领域提出有实用价值的技术，从而直接影响系统的可用性、易用 性和安全性。因此，协同环境中访问控制模型与技术的研究具有重要的理论价值 和应用价值。本文将就其中的几个关键问题展开讨论。 1 2 问题描述 本文结合山东省重大科技发展项目“产权交易电子商务平台的研究与典型示 范”( 2 0 0 4 g g 2 2 0 1 1 3 1 ) 和国家8 6 3 计划项目“制造网格与制造资源协同管理技术 研究”( 2 0 0 3 a a 4 1 4 3 1 0 ) 等相关课题的应用需求，面向协同环境中的访问控制这一 核心技术，针对以下关键问题展开深入的研究： 1 ) 柔性化工作流的访问控制问题。 工作流是指业务流程的全部或部分自动化，通过调用有关信息资源和人力资 源来协调业务过程的各个环节，以达到业务的整体目标的一种重要协同工作形 式“”1 。工作流管理系统( w o r k f l o wm n a g e m e n ts y s t e m s ，w f m s ) 是定义、管理、 运行和分析工作流的平台，现已逐渐成为当代信息系统的标准核心构件，对组织 业务起着支撑作用“”。 在大型组织内部，如银行、电信、保险、产权交易等公司，他们普遍采用工 作流技术管理企业的各种资源和业务流程，挖掘信息系统潜能、实施业务流程再 造。在工作流执行过程中，有成千上万的用户相互配合执行不同任务，并常常涉 及不同层次的机密信息，这样就可能导致职权滥用，十年前巴林银行的倒闭正是 源于没有对用户访问敏感信息的权限进行恰当管理，将交易与清算两个互斥的业 2 山东大学博士学位论文 务允许相同的人员承担而造成的。因此，在工作流中有必要实施“职责分离”、 “最小权限”等安全策略，而且通过约束用户、角色、访问权限等方式来细粒度 地约束工作流中的元素及元素间的关系。 同时，由于业务流程需要随着业务发展和国家政策的调整及时更改和补充， 柔性化成为工作流系统的一个重要特征，包括柔性化建模和柔性化执行“”，前者 使工作流能充分表达各种复杂、灵活的业务过程，使得对于任意的业务流程均能 找到合适的执行路径；后者允许用户在工作流执行中，动态添加、删除和修改任 务活动，调整实例数据、流程顺序、任务执行者等“”。 针对柔性化工作流，现有的访问控制模型是在工作流的每一次调整后重新定 义和描述各项安全约束，这是一项繁琐和困难的工作，需要协调不同部门的多种 安全策略，而且由于这些安全策略往往由不同人员独立实施，就存在安全约束不 一致的可能。这种不一致将会导致非授权用户的非法访问或合法用户的不确定授 权，从而损害系统安全。因此，如何有效地支持工作流的动态变化、支持在工作 流中每一个节点动态发放和收回授权、支持不同粒度授权、维护复杂安全约束的 一致性和降低管理复杂度是一个重要的研究课题。 2 ) 访问控制模型中的复杂角色层次管理问题。 在大型协同环境中，通常涉及众多用户和不同层次的访问权限，为了方便管 理，系统就需要按照组织结构和职能划分设定各种角色和角色层次，并将权限指 派给角色，用户通过承担角色而获得相应的权限。相对于频繁变化的用户来说， 角色相对稳定，便于设置安全约束。角色分层的最初动机源于个体角色在组织中 职责的重叠现象，在大型组织内部，存在多个用户拥有一些共性权限的情况，如 访问内部网络的权限。如果没有角色层次，就需要为一大堆角色重复地指定这些 共性权限，或者创建共性角色再指派给众多的用户，这是一项低效而且重复的劳 动，尤其是当这些共性权限发生变更时更甚。如果有了角色层次，就可以将这些 共性权限构建在低级角色中，其他角色就可以通过继承这些低级角色而获得相应 的权限，从而有效地提高管理效率。“。角色层次的另一个优势就是能够更好地表 达安全策略，如对于需要细粒度约束用户权限的情况，可以通过最小化必需的权 限和进行权限角色指派来完成，从而有效地表达职责分离、最小权限等安全约束。 角色层次是角色之间的半序关系，也是一种授权方式，高级角色可以继承低 山东大学博士学位论文 级角色的权限。但在实际应用中，用户可能承担不同类型的职责，其中部分职责 不能被上级角色继承，例如特定岗位职责和私有职责。现有的研究成果是通过定 义私有角色进行解决“。“”，这样就需要增加角色定义、角色层次维护、权限到 角色指派、角色到用户指派等各种操作，不仅增加了管理复杂度，而且增加了潜 在的不安全性。对于拥有成千上万用户的大型组织而言，这种解决方案就变得不 现实。因此，如何有效地管理协同系统中的角色层次和权限继承是一个值得深入 讨论的问题。 3 ) 多管理域协同环境的访问控制问题。 随着组织之间合作关系的日益密切，信息系统之间的互操作成为组织间合作 的一种重要形式“，而基于开放标准的分布式系统架构和技术使得协同内容更 为宽泛，如跨管理域的业务流程集成。协同工作环境也逐渐由单一管理域向多管 理域转变，其典型特点就是：不同管理域的安全策略各异，主体动态变化，而且 不存在绝对信任的单一节点或用户实施和管理这种分布式安全策略“4 1 等。 在这种异构、分布、松散耦合的计算环境中，信息系统不仅需要根据自己的 情况进行授权，还需要根据对方系统的上下文环境进行决策。这就带来了许多新 的挑战：如何定义满足局域目标与整体需求的安全策略，使系统在提供共享服务 的同时有效地保护自己的资源；如何平衡安全策略的柔性化表达和管理复杂性， 满足因任务和资源变化而导致的安全与协同需求调整；如何有效地表达安全约束， 并维护不同安全约束的一致性；如何根据外部环境的变化恰当分配与收回访问权 限；如何以灵活的方式，对授权用户提供透明和便利的访问，满足协同工作需求， 同时阻止未授权用户的访问等。 虽然现有的研究成果在多域协同系统互操作方面取得了一定进展，但是尚不 能很好地解决松散耦合环境中安全策略的规划和实施，没有充分考虑运行环境变 化对授权的影响，不能很好地平衡管理可控性与自治性，尤其是分布式环境中动 态变换的主体管理等。因此，研究如何平衡资源保护与协同工作的矛盾，有效复 合多管理域协同环境的异构安全策略，构架安全互信的协同工作环境，是一个重 要的研究课题。 4 山东大学博士学位论文 1 3 本文工作与创新点 针对上述关键问题，本文详细分析了协同环境中访问控制的安全需求，总结 了访问控制研究的发展历史，综述了协同环境中访问控制理论与技术的研究成果， 分析了现有研究成果在工作流访问控制模型与安全约束、复杂角色层次管理、多 域环境中异构策略复合与互操作等方面的不足，提出了解决方法并进行了形式化 证明和应用实践。本文主要工作和创新点包括： 1 提出了一个支持安全约束和角色层次的柔性化工作流访问控制模型，解决 了柔性化工作流中复杂安全约束和动态执行规划问题。 该模型引入规范化动态组合思想，提出了规范化活动和工作流组合操作的概 念，实现了工作流的动态定制和调整；借助活动对权限和角色进行了封装，有效 地约束了权限只有在活动的生命周期内才能有效，从而支持动态授权和主动授权； 在工作流中集成了安全约束与业务约束，细化了约束类型和粒度，从而支持不同 层次的安全策略和业务规则；给出了验证约束关系一致性和工作流执行规划算法， 确保了复杂安全约束在动态环境下的致性和工作流的顺利执行。 2 提出了支持约束继承的角色层次方法，提高了大型协同环境中复杂角色层 次的管理效率。 本文方法对权限进行了有效地划分，定义了私有类型、受限类型和公共类型， 并引入了权限继承路径、角色的继承域和传播域等概念，用于计算角色授权。不 同于其他模型的完全继承机制，本文提出了角色层次中的约束继承规则，以阻止 私有权限在继承路径上的传播并对受限类型权限进行限制。这种方法在没有增加 新角色的静提下，通过对角色权限的封装和约束继承机制，有效地解决了私有权 限和区域权限问题，满足了特定的安全需求。本文方法在时间效率和空间效率方 面也较传统方法提高，有效地降低了安全管理复杂度，规避了潜在的不安全性。 3 提出了一种多管理域访问控制方法，在支持分布式多域协同工作的前提下， 能够有效地实施环境感知授权和动态变化的主体域管理。 本文提出了权限的生命周期和作用域的概念，从而可以实施环境感知的安全 策略，实现用户权限的动态分配与收回；提出了基于规则的作用域代数操作方法 和基于x a c m l 的系统框架，在有效地支持异构平台互操作的同时，进行动态变化 山东大学博士学位论文 主体域的自治管理。 4 结合产权交易领域的应用特点，基于本文提出的理论和技术，研究开发完 成了“产权交易电子商务系统”，搭建了支持产权交易业务管理与业务合作的平 台，该系统现已在多个省市产权交易中心使用，应用效果良好。 1 4 论文组织结构 本文第一章首先介绍研究背景，分析协同系统的安全需求，详细描述了协同 环境中访问控制的几个关键问题。 第二章综述访问控制的基本知识和访问控制理论与技术的研究成果，分析现 有成果在上述关键问题方面存在的不足。 第三章详细论述柔性化工作流访问控制模型，对模型的各种性质进行理论推 证与实验验证。 第四章论述支持约束继承的角色层次方法和授权算法，进行模型实验和数据 分析。 第五章论述多管理域协同环境中的访问控制方法和实现机制。 第六章介绍基于上述理论的系统设计与实现。 最后，第七章对全文的工作进行总结，并展望下一步工作。 6 山东大学博士学位论文 第2 章相关研究工作 本章首先给出访问控制的基本知识和术语，然后总结访问控制研究的发展进 程，综述协同环境下访问控制理论与技术的研究成果。 2 1 基本知识与术语 访问控制是通过适当的访问权限管理来实现系统的信息和资源保护，防止用 户对系统信息的不恰当和非法访问。其相关术语如下“2 1 “： 定义2 - 1 主体( s u b j e c t ) ：系统中能够发起行为的实体，即发出在客体上执行 操作或操作序列的请求。主体可能是用户、进程或软代理。 定义2 2 客体( o b j e c t ) ：系统中的信息和资源，通常是被动的主体行为承担 者。其形式可以为文件目录、文件、数据库表或者视图、缓冲区、寄存器、页面、 程序、处理器和打印机等。 定义2 3 权限( p e r m i s s i o no rp r i v i l e g e ) ：对特定客体的访问许可，如读、写、 修改某一文件。权限的粒度是指对特定客体和操作的划分，如对数据库的访问权 限可以划分为更小的粒度：对数据库中某一个表的读权限和写权限。 定义2 4 授权( a u t h o r i z a t i o n ) ；系统将权限赋予特定的主体，使其拥有对客 体的操作权限，可分为直接授权和间接授权。直接授权是将对客体操作的权限直 接指派给主体，而间接授权则是通过一个中间体来实现权限的指派，如角色。授 权又可以分为正向授权和负向授权，前者是描述主体被许可的权限，后者描述主 体被禁止的权限。 定义2 5 授权项( a u t h o r i z a t i o ni t e m ) ：是特定的一项授权，通常采用三元 组( s ，0 ，a ) 的形式，其中s 是全部主体集合s 中的一个常量或定义在s 上的变量， 0 是全部客体集合0 中的一个常量或变量，而a 是全部行为集合a 中的一个常量或 变量，即一个操作。一个三元组就表示主体s 可以对客体0 进行a 访问。 定义2 - 6 安全策略( s e c u r i t yp o l i c y ) ：有关管理、保护和发布敏感信息的法律、 规定和实施细则，是特定的组织从比较高的层面来规定何人在何条件下可以访问 何信息。一个组织的安全策略与它的安全需求密切相关，不同行业如商业、军事、 7 山东大学博士学位论文 政府、医疗等，其安全策略也有不同，如强调保密性为主的军事安全策略( m i l i t a r y s e c u r i t yp o l i c y ) 或称政府安全策略( g o v