（计算机软件与理论专业论文）基于web的工作流管理系统访问控制研究.pdf

ab s t r a c t i n r e c e n t y e a r s , t h e t e c h n o l o g y o f w o r k fl o w h a s b e c o m e m o re a n d m o re i m p o r t a n t i n d a i l y b u s i n e s s d e a l 玩t h e w h o l e w o r l d , t h e r e s e a r c h o f t h e t e c h n o lo g y o f w o r k fl o w a n d t h e r e l a t e d p r o d u c t h a s e n t e re d a q u i t e p r o s p e r o u s s t a g e . n o t o 吻 a c a d e m i c b u t a l s o c o m p a n i e s p a y a t t e n t i o n t o i t . a s m o r e a n d m o r e c o m p a n i e s u s e t h e w o r k fl o w m a n a g e m e n t s y s t e m t o i m p r o v e t h e e ff i c i e n c y o f t h e i r c o m p a n y s o m e p r o b l e m s a p p e a r a n d s e c u r i ty i s o n e o f t h e m . h o w t o e n s u r e t h e s e c u r ity o f c o m p a n y in f o r m at io n t h r o u g h t h e a c c e s s c o n t r o l s t r a t e g y i n w o r k fl o w m a n a g e m e n t s y s t e m b e c o m e s o n e i m p o r t a n t re s e a r c h s i d e i n w o r k fl o w t e c h n o l o g y . a n d t h e p r o b l e m i s d i s c u s s e d i n t h i s t h e s i s . i n t h i s t h e s i s s o m e t r a d i t i o n a l a c c e s s c o n t r o l s t r a t e g i e s a re d i s c u s s e d , s u c h a s m a n d a t o ry a c c e s s c o n t r o l , d i s c r e t i o n a ry a c c e s s c o n t r o l a n d r o l e - b a s e d a c c e s s c o n t r o l . b a s e d o n t h e f u r t h e r res e a r c h o f r o l e - b a s e d a c c e s s c o n t r o l a n d t h e we b - wo r k fl o w m a n a g e m e n t s y s t e m , a n e w a c c e s s c o n t r o l m o d e l c a l l e d t wr b a c i s d e v e l o p e d t o e n s u r e t h e i n f o r m a t i o n s e c u r i ty i n w e b - b a s e d w o r k fl o w m a n a g e m e n t s y s t e m . t h i s m o d e l i s b a s e d o n r o l e m a n a g e m e n t a n d w e b - b a s e d w o r k fl o w t e c h n i q u e , f o r m a l l y d e s c r i b e s t h e r e l a t i o n s h ip b e t w e e n t h e k e y e l e m e n t s o f a c c e s s c o n t r o l i n w o r k fl o w s y s t e m s s u c h a s u s e r , r o l e , p e r m i s s i o n a n d a c t i v i ty , a n d p r e s e n t s t h e s t a t i c a n d d y n a m i c c o n s t r a in t s . t h e m o d e l c a n e ff e c t i v e l y m e e t t h e r e q u i r e m e n t s f o r a c c e s s c o n t r o l i n w o r k fl o w s y s t e m s . t h e d e s i g n a n d i m p l e m e n t a t i o n o f t h e twr b a c a r e a l s o d i s c u s s e d in t h i s t h e s i s . a n d t h i s a c c e s s c o n t r o l s t r a t e g y i s s u c c e s s f u l l y u s e d i n t h e w e b - b a s e d w o r k fl o w m a n a g e m e n t s y s t e m t a t c o a w h i c h w e d e v e l o p e d f o r t i a n j i n s o ft w a re t e s t i n g c e n t e r . n o w t h e s y s t e m i s r u n n i n g w e l l a n d t h i s i l l u s tr a t e s t h e v a l i d i ty a n d p r a c t i c a b i l i ty o f t h e a c c e s s c o n tr o l s t r a t e g y . k e y w o 川 w o r k fl o w m a n a g e me n t s y s t e m a c c e s s c o n t r o l r o l e 第 “页 图目录 图 目录 图 2 .1 w fm c 工 作 流 参 考 模 型 . . . . .” .- ，. . “ . . . . . .- .- . . . . . . . . . . . 图 ”访 问 控 制 模 型 的 基 本 结 构 二 ” . . . . . . . . . .“ . . . . “ . “ . . . n 图2 .3 r b a c 9 6 模型结构图. . . . . . . . . . . . . . . . . . . ” “ . . . . . . . . . .” . . “. . . . . 1 4 图2 .4 t b a c模型结构图. . . . . .” ” ” . . . . . . . . . . . . . . . . . . ” . “. . . . . 1 7 图2 . 5 t r b a c的简化模型. . . “ . . . . . . . . ” . ，. . . . ” . . . . . . . . . 1 7 图3 . 1 物理结构图. . . . . . . . . . . . . . . . . ” . . “ . . . . . . . . . . . . . . “ . . . . . 2 2 图3 .2 系统结构图. “ . “ . . . . . .“ :.“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 3 图 3 .3 t s t c o a 中 的 访 问 控 制 示 图. . . . . . “ “ . ，. “ . .” .“ “ 2 5 图3 . 4 基于角色的工作流系统访问控制模型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 8 图4 . 1 t s t c o a系统的整体设计. . . .“ . “ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 5 图4 .2 工 作 流 过 程 示 例. . . . . . . . . . . . . .3 6 图 4 .3 工 作 流 节 点 结 构 图 ，. . . . . . . . . . . . . .，. . . . . .” “ ” .3 7 图4 .4 添 加 新 用 户 页 面二 “ . . . . . . . . . . . . . . . . .4 0 图 4 .5 角 色 权 限 分 配 流 程 图 .，. 二 ，. . . . ，. ，. ，. . . . . . . . . “ 二 ，.4 1 图4 .6 新 建 角 色 页 面. . . . . . . . . . . . . . . . . . . . . . .4 2 图 4 .7 工 作 流 模 板 实 例 化 过 程 . . . . . . . . . . ，. . . .，. :. ” :. “ . .4 3 图4 .8 工 作 列表 示 例.“ ， . . . . . . .”. .，. ，. 二 ，. . . . . . . . . . .4 3 图 4 .9 用 户 登 录 进 入 工 作 界 面 的 流 程 . . . . . . . . . . . . . .” . ” . . . . . . . . . 第 v页 南开大学学位论文版权使用授权书 本人完全了 解南开大学关于收集、保存、使用学位论文的规 定，同意如下各项内容:按照学校要求提交学位论文的印刷本和电 子版本;学校有权保存学位论文的印刷本和电 子版，并采用影印、 缩印、扫描、数字化或其它手段保存论文;学校有权提供目 录检索 以 及提供本学位论文全文或者部分的阅览服务;学校有权按有关规 定向国家有关部门或者机构送交论文的复印件和电 子版;在不以 赢 利为 目的的前提 下，学校可 以适 当复制论文的部分或全部内容用于 学术活动。 学 位 论 文 作 者 签 名 : 善 a - * t- * t- 月 4 1 经指导教师同意，木学位论文属于保密，在年解密后适用本 授权书。 指导教师签名:学位论文作者签名: 解 密 时 间:年月日 各密级的最长保密年限及书写格式规定如下: 内 部昆 年 ( 最长5 年，可 少于5 年升 秘密*1 0 年 ( 最长 功年， 可少于 功年) 机 密 * 2 0 年( 最 长 加 年 * 苛 少 手 匆 牵 ) 南开大学学位论文原创性声明 本人郑重声明:所呈交的学位论文，是本人在导师指导下，进 行研究工作所取得的成果。除文中已经注明引用的内容外，本学位 论文的研究成果不包含任何他人创作的、已公开发表或者没有公开 发表的作品的内容。对本论文所涉及的研究工作做出贡献的其他个 人和集体，均己在文中以明确方式标明。本学位论文原创性声明的 法律责任由本人承担。 学 位 论 文 作 者 签 名 : 事 导 之 r月 l 2 日 第一章 绪论 第一章 绪论 第一节 背景介绍 上世纪 8 0 年代初期开始， 软件企业开始了 工作流领域的探索。随着软件技术 的不断成熟和工作流技术的不断完善，越来越多的企业和政府职能部门依靠用软 件技术实现的工作流管理系统来整合公司或企业的资源，实现办公自 动化、无纸 化，提高工作效率。我们知道，在现实的企业工作环境中，企业的职工都有各自 的职责和权限，都应各司其职，不能访问或使用自己职责和权限以外的企业资 源。同样，企业在应用工作流管理系统的同时也对其安全性给予越来越多的关 注。但是，在现代的工作流管理系统中，安全问题也一直是人们研究和讨论的一 个问题，也一直没有得到很好的解决。本文作者所在的课题组承担了天津市软件 评测中心工作流管理系统的设计与实现工作，该系统是天津市科委的重点项目。 在本项目中，我们根据天津市软件评测中心的业务运作模式，设计并实现了符合 公司特点的工作流管理系统，包括工作流的过程定义，工作流的运行和控制，并 实现了一种访问 控制模型，将其应用到了本系统中。 工作流管 理联盟 ( w f mc ) 指定的 工作流安 全白 皮书 i 中 将工作流安全服务分 为认证、授权、访问控制、审计、数据加密、数据完整性、防否认和安全管理八 个方面，对工作流系统应该具有的安全特性进行了统一定义。 认证 ( a u t h e n t i c a t i o n) :确认连接用户的合法性，是系统对用户身份进行 鉴别以证明其为合法用户的过程。 授权 ( a u t h o ri z a t i o n ) : 标 识用户 可能拥有的 各种系统功能， 是系统将特定 权限授予某个合法用户的过程。 访问 控制 ( a c c e s s c o n t r o l ) : 用户通过他们的 标识 ( 认证确认) ，以 及相应 的 权限 ( 授权分配) 访问 系统的 各种操作和数据， 是系统对用户身 份进行认 证，再将其访问请求与用户授权信息进行比较以决定是否允许用户的访问 请求的过程。 审计( a u d i t ) :维护系统事件和操作的历史，用来鉴定感兴趣的事件和操 作，检查可能在的安全隐患。 数据加密( d a t a p ri v a c y ) : 确保数据传输和存储时的安全性， 使数据只能由 第 1 页 第一章 绪论 合适的用户访问，保证数据不能被非授权泄漏。 数据完整性( d a t a i n t e gr i ty ) : 确保数据传输和存储时的完整性， 并能进行 数据恢复，是指不能对数据进行非授权修改。 防否认( n o n r e p u d i a t i o n ) :防止用户身份的否认， 是指系统必须防止用户 否认其做过的工作。 安 全管 理( s e c u r i ty m a n a g e m e n t 另 外，如何将工作流中的数据有效地和访问控制模型有机的结合起来也没有深入 研究。 国内 研究人员提出的工作流访问控制模型，有将r b a c模型直接用于工作 流系统 1 6 - 1 8 1 ， 有使用t r b a c模型 1 5 , 1 9 1 ， 有 对时间 特性进行约束2 0 1 ， 还有 对角 色授权进行约束2 1 1 。 这些模型都没有具体涉及工作流中数据的安全描述，也没 有充分考虑工作流管理系统中约束的需求。 第三节 本文的研究目 标及内容 随着社会进步和时代的发炸，计算机软件技术在社会各行业之间的应用越 来越广泛，几乎涵盖了社会的生产、制作、销售、管理、行政等不同部门所有 企业和单位。伴随着计算机软件在社会各行业和领域的应用，人们对计算机软 件的研究也在不断地向前发展，不断有新的理论、 方法产生，对计算机软件的 发展起到很大的推动作用。同时，随着计算机软件技术的应用在社会各行业间 的不断深入，许多问题也不断涌现。其中，信息安全就是人们最为关切的问题 之一。信息安全又涵盖计算机领域的很多方面，比如网络安全、数据传输安 全、系统访问安全等等。近些年来，在计算机软件应用的各个领域中，工作流 技术越来越受到人们的关注，很多行业都将工作流技术引入到自己的生产、管 理系统。因此，对工作流技术的研究也称为了计算机软件领域的一大热门，不 断有关于工作流过程定义、工作流系统的实际运行、工作流过程建模等方面的 第 4 页 第一章 绪论 理论和方法出现。其中对工作流系统的访问控制也是人们比较关注的研究方 向。本文的作者在读研究生期间，参与了工作流技术方面的研究工作，其重点 是工作流管理系统的访问 控制研究。因此本文将从传统的访问 控制模型和工作 流系统的访问控制方面进行展开讨论和阐述。 本文的主要研究内容如下: 1 )研究了传统的访问 控制模型，包括自 主访问 控制模型， 基于角色的访 问 控制模型， 基于任务的访问控制模型等。 2 )通过对基于角色的访问控制模型的研究，以及对工作流管理系统中涉 及的资源的分析和研究，提出了一种基于角色的 w e b工作流管理系统 的访问控制模型。 3 )设计并实现了该访问 控制模型，并在实际的工作流管理系统中应用了 该模型。 第四节 本文研究的主要内容及论文组织结构 本文作者所在的课题组承担了天津市软件评测中心的软件测试流程自 动化 管理系统的设计与实现工作。 依托该项目 ，我们对 w e b工作流管理系统的相关 内容进行了研究。参考工作流管理联盟的工作流参考模型，我们提出了一个基 于 x m l的工作流定义语言描述方法，设计并实现了w e b 环境下的建模工具和 编译工具。同时在研究了传统工作流管理系统访问控制的基础上，提出基于角 色的w e b 工作流管理系统的访问 控制模型。 本文的后续部分安排如下: 第二章，研究基础概述。在本章中，介绍了文中 涉及到的工作流技术及工 作流系统中的一些基本理论和相关研究工作。对几种传统的访问控制模型深入 研究的基础上，分 析了它们的优缺点，并就这几种模型在工作流访问控制中的 应用进行分析比较。第三章，基于角色的 w e b工作流管理系统访问控制模型。 在探讨了传统的工作流管理系统的访问控制模型后，本章对基于角色的访问 控 制模型进行了分析和研究，提出了 在 w e b工作流管理系统中的应用基于角色的 访问控制模型的机制，并对模型进行概念和形式化定义。第四章，访问控制具 体实现方式。本章首先介绍了我们开发的 w e b 工作流管理系统的总体框架，在 此基础上给出了基于角色访问控制模型的具体实现方案。第五章，总结和展 第 5 页 第一章 绪论 望。总结本文的研究成果及以后的研究方向。 第 6 页 第二章 研究基础概述 第二章 研究基础概述 对软件产品的 度量和评价涉及到软件产品的很多方面， 如其功能性、健壮 性等，其中一个很重要的方面就是安全性。具有高安全性的软件才能保证该软 件涉及的信息的安全性，这样的软件才具有生命力和市场，人们不会使用可能 泄漏企业信息或者对公司或者企业的信息安全没有保障的软件系统。对工作流 技术方面的软件也不例外。本章就将从工作流技术和访问控制方面进行研究， 首先研究工作流技术的发展及其涉及的理论和技术，其次对传统的访问控制技 术进行研究。本章还对涉及工作流管理系统中的访问控制可能用到的相关技术 进行了研究。 第一节 工作流概念 2 . 1 . 1工作流技术 工作流的概念起源于生产组织和办公自 动化领域。它是针对日常工作中固 有程序的活动而提出的一个概念。目的是通过将工作分解成定义良 好的任务、 角色，按照一定的规则和过程来执行这些任务并对它们进行监控，达到提高办 事效率，降低生产成本，提高企业生产经营管理水平和企业竞争力。 以下给出了一些工作流基本概念: 业务过程 ( b u s i n e s s p r o c e s s ) :是由一套或多套相互联系的程序和活动 共同组成，通常在定义了功能角色和关系的组织结构环境下实现一个 业务或政策目的，如保险索赔过程、产品开发过程等。 工作流 ( w o r k fl o w ) :工作流管理联盟 ( wf mc )给出的工作流定义是 2 7 1 : 工作流是一类能够完全或部分自 动执行的业务过程， 它根据一系 列的过程规则，使文档、信息或任务从不同的执行者之间进行传递与 执行。 工作流管理系统( w o r k fl o w m a n a g e m e n t s y s te m ) 二是通过使用软件来完 成定义、创建和管理工作流执行的系统。该系统运行在一个或多个工 作流引擎上，而工作流引擎能够解释过程定义，与工作流参与者交 第7 页 第二章 研究基础概述 互，并可在需要时调用信息技术工具和应用。 过程定义 ( p r o c e s s d e f i n i t i o n ) : 是支持自 动化操作( 例如， 工作流管理系 统用户建模、 执行业务过程) 的业务过程的表现形式.过程定义由 活动 和活动之间关系组成的网络、开始和终止过程标记以及与活动相关联 的信息构成。 过程实例( p r o c e s s i n s t a n c e ) :是一个过程定义的单个执行的表示形式， 工作流引擎控制其运行，包括与其相关联的具体数据。 活动( a c t i v ity ) :是一个工作片断的描述，也是一个过程中的逻辑步 骤。活动可以是手工活动或是自 动化活动。 活动实例( a c t i v i ty i n s t a n c e ) :一个活动的具体执行形式。 工作项( w o r k i t e m) : 在一个特定的过程实 例的活动实例环境下， 表示 被工作流参与者处理的工作。工作项的集合是工作流参与者承担的活 动。分配给一个参与者的 工作项的列表称为工作列表( w o r k l i s t ) . 2 . 1 .2 工作流管理系统 工作流描述了组织机构复杂的业务处理过程，涉及到多个系统与多个用户 之间的交互操作以 及多个复杂流程，不可能单纯依靠人工干预进行管理，为此 必须建立工作流管理系统 ( wf mc ) o 2 . 1 .3 工作流管理系统功能 现实世界中，由 于各种业务流程在时间、活动等方面的复杂性以及差异性 使得不同工作流管理系统的应用范围和实施方式的不同，但是它们还是具有许 多共同的特性。从比较高的层次上来抽象考察工作流管理系统，可以发现所有 的 工作流管理系统都是 提供了 这3 种功能叫: 1 )建立阶段功能: 通过某种分析、建模及系统定义手段将现实世界的业 务过程转化成某种能够被计算机处理的形式化表示; 2 )运行阶段的控制功能:主要进行在某个计算环境中 工作流过程的管理 及各活动步骤之间的状态转换; 3 )运行阶段的人机交互功能:主要完成对工作流实例执行过程中各种活 动的处理。 第 8 页 第二章 研究基础概述 2 . 1 .4 工作流管理系统现状 工作流管理技术在初期主要由工作流产品开发公司推出其发展，在过去很 长的时间里面，有关工作流管理方面的研究由商业化的工作流管理系统的开发 商所领导，只是到了后来，许多大学和研究机构才开始参与对工作流管理技术 的研究，并取得了众多的研究成果。 到目 前为止，市场上已经有很多成熟的工作流管理系统产品，其中比较有 代表性的产品有:f i l e n e t 公司的 v i s u a l w o r k fl o w系统、a c t ib n公司的 a c t i o n w o r k fl o w系统、i b m 公司的f l o w m a r k 系统和l o t u s n o t e s 系统，x e r o x 公司的 i n c o n c e r t 系统、 n o v e l l 公司的e n s e m b l e 系统和g ro u p w i s e 系统、 k e y f i l e 公司 的k e y fl o w系统、 u l t i m u s 公司的u l t i m u s 系 统等等. 根据不同 工作流管理系 统 所采用的任务项传递机制的不同，这些产品基本上可以划分为四类: 1 )基于文件的 工作流管理系统 以 共享文件的 方式来完成任务。 这种 类型的产品是产生最早、发展最成熟、最具多样性的，通常包含有 c l i e n t / s e r v e r 模式的图像、文档与数据库管理系统; 2 )基于消息的工作流管理系统通过用户的电子邮件系统来传递文档 信息。这种类型的产品都己实现了与一种或多种电子邮件系统的集 成; 3 )基于w e b 的 工作流管理系 统 通过ww w来实 现任务的 协作; 4 )群件与套件系统依据划分标准，包括消息传递、目 录服务、安全 管理、数据库与文档管理服务等。 2 . 1 . 5基于w e b 的工作流管理系统 基于w e b 的工作流管理系统，是目 前工作流技术发展的一大趋势。 w e b 技 术因其界面的一致、简单及与平台无关等特性，在其出现之后就得了迅速发 展。同时i n t e rn e t 的发展和企业 i n t r a n e t 的构建促进了企业之间的信息交流，既 扩大了企业的视野，也提供了一个理想的协同工作环境。这为基于 w e b的工作 流管理系统的诞生创造了条件。这类产品虽然起步较晚，但发展迅速，以成为 市场上不可忽视的一类。 但w e b 应用程序的自 身特点，决定了w e b 环境下工作流系统缺乏柔性， 缺 乏互操作性，不能及时响应变化。这显然不能满足现代企业业务流程管理的要 第 1 0页 第二章 研究基础概述 求。如何充分利用w e b 的优势，最大程度上减少w e b 应用缺点的影响，设计出 柔性的可重构的工作流过程和相应的管理系统，成为这个领域的一个主要研究 课题。 x m l 语言和w e b s e r v i c e 技术的出现，给该问题的解决提供了 便利。本文 作者所在的项目组就以这两者为依托，设计了基于 x ml的工作流过程的描述 方法，和w e b 环境下的t s t c o a工作流管理系统。 第二节 访问控制概述 访问 控制模型包括实施功能部件和决策功能部件。 基本结构如图2 .2 所示， 其中所涉及的主要实体包括: 主体:发起访问操作的主动方，通常指用户或用户的某个进程: 客体:被访问的对象，如系统中的文件、数据库中的表、某个设备 等; 访问控制策略:用来确定主体是否拥有对客体的访问权限的一套规 则。 图2 . 2 访问控制模型的基本结构 在主体和客体之间加入了一个访问控制实施模块，由它来负贡控制主体和 客体的访问。 其中， 访问 控制决策功能模块是访问 控制实施功能中最主要的部 分，它根据访问控制信息做出是否允许主体操作的决定。 第 1 1 页 第二章 研究基础概述 2 .2 . 1访问控制实现方式 常见的访问控制实现方法有以下几种: 1 )访问控制矩阵 ( a c c e s s c o n t r o l m a t r i x ) 访问 控制矩阵 是 其它访问 控制方法实现的 基础， 最早是由l a m p s o n 提出 来 的。权限矩阵 a的行下标是主体集中的元素 s ，列下标是客体集中的元素 o , 相应的 矩阵 元素a s ,0 表示主体s 所具 有的 对客体o的 合法操作 集。 例如: 假 设系统中，s 1 , s 2 , s 3 为 三个主体， 0 1 , 0 2 ,0 3 为三个客体，访问 控制矩阵如表 2 . 1 所示， 表中 元素的意义是0 : 无访问:1 :读; 2 :写: 3 :执行。 通常情况下，访问控制矩阵往往很大，并且由于许多主体对于大多数客体 不具备访问能力，而使矩阵过于稀疏，现实中访问矩阵使用较少。 表2 . 1 访问 控制矩阵 、重 扩 几 0 1仇0 3 s 1 120 s 2 230 s 3 012 2 )访问控制列表 ( a c c e s s c o n t r o l l i s t s ) 访问控制列表中每个客体各自 将自己能访问的主体信息以列表的形式保存 起来，当某个主体对客体进行访问时，根据客体保存的信息来判断是否允许该 主体访问。采用这种方法实现访问控制，减少了访问信息的数量，节省了空 间;并且由于没有一个中心点来保存所有的访问信息，提高了可靠性。但是此 法最大的 缺点在于主体对客体访问 权限的获取时， 相当耗时费事。 3 ) 访问能力列表 ( c a p a b i l i ti e s ) 此方法类似前一种方法， 将存取控制矩阵以主体拥有的客体访问 权利，单 独形成一个列表，同样，当某个主体对客体进行访问时，根据其保存的信息来 判断是否允许访问。采用这种方式的访问控制能更容易提供主体对客体的多重 访问权限，但由于不能直接得到主体和客体间的关系，对访问权限的添加和修 改将造成困难。 第 1 2 页 第二章 研究基础概述 2 .2 .2 工作流管理系统中的访问控制模型 2 .2 .2 . 1 自主访问控制 自 主访问 控制 ( d i s c r e t i o n a ry a c c e s s c o n t r o l d a c ) 最早出 现在 2 0世纪 6 0年代末的分时系统中。自 主访问 控制是一种最为普遍的访问控制手段，它允 许客体的拥有者制定针对该客体的保护策略，主体可以按自己的意愿决定那些 用户可以访问他们的资源。d a c还可以限定那些主体针对那些客体可以执行什 么操作，这样，就可以灵活地对访问控制策略进行调整。 自 主访问控制具有简单、易用的优点，而且在一定程度上实现了多用户环 境下的资源保护。但是，它也有自 身难以克服的缺陷，一方面，由于客体拥有 者可以随意更改客体的访问权限，所以客体拥有者可以随意将客体访问权限授 予非法主体，从而产生安全隐患。另一方面，由于系统中的客体拥有者往往比 较分散且难以统一管理，导致对资源的管理过于分散，从而使得只应用自主访 问控制的系统安全难以得到有力保证。 2 .2 .2 .2 强制访问 控制 强制访问 控制 ( m a n d a t o ry a c c e s s c o n t r o l . ma c ) 依据主体和客体的安全 级别来决定主体是否有对客体的访问权。其主要特征是对所有主体及其所控制 的客体实施强制访问控制，为这些主体及客体指定敏感标记，系统通过比较主 体和客体的敏感标记来决定一个主体是否能够访问某个客体。 在强制访问控制模型中，主体按照 “ 向下读，向上写”的原则访问客体， 即只有当主体的密级不小于客体的密级，主体才能读取客体中的数据:只有当 主体的密级不大于客体的密级，并且主体的范围包括客体的范围时，主体才能 向客体中写数据。 强制访问控制模型保证了客体的高度安全性，它的最大优点是:它使得系 统中的信息流成为单向不可逆的，保证了信息流总是低安全级别的实体流向高 安全级别的实体，因此避免了 在自 主访问 控制中的敏感信息泄漏的情况。 它的缺点是限制了高安全级别用户向非敏感客体写数据的合理要求，而且 由高安全级别的主体拥有的数据永远不能被低安全级别的主体访问，降低了系 统的可用性。 第 1 3 页 第二章 研究基础概述 2 .2 .2 .3 基干角色的访问控制 基于角色的访问控制r b a c ( r o l e - b a s e d a c c e s s c o n t r o l )是由美国国家标 准化技术委员会 ( n i s t ) f e r r a i o l o 等人在9 0 年代提出的，其特有的优点引起 了学术界和工业界的广泛关注，成为研究计算机和数据库安全性的一个热点。 r b a c的基本思想是在用户和访问权限之间引入角色的概念，将用户和角色联 系起来，通过对角色的授权来控制用户对系统资源的访问。 美国g e o r g e m a s o n 大学信息系统和系统工程系rs a n d h u 等人在对r b a c 进行深入研究的基础上，于1 9 %年提出了一个基于角色的访问控制参考模型， 对角色访问控制产生了 重要影响，被称为r b a c %模型。r b a c %模型结构如 图2 . 3 所示: 用户呼 . _ 会话 月 一一一 图2 . 3 r b a c %模型结构图 r b a c 9 6 模型包括 4个不同层次，分别为 r b a c o , r b a c i . r b a c 2和 r b a c 3 。 其中r b a c o 是基础模型，定义了 支持 r b a c的最小需求， 如用户、 角色、权限、会话等概念。r b a c i 中加入了角色继承关系，可以根据组织内部 权力和责任的结构来构造角色与角色之间的层次关系:r b a c 2 中加入了各种用 户与角色之间、权限与角色之间以及角色与角色之间的约束关系，如角色互 斥、角色最大成员数等。r b a c 3为巩固模型，是对 r b a c 1和 r b a c 2的集 第 1 4 页 第二章 研究基础概述 成。 r b a c o 模型 ( 基础模型) : r b a c o 模型指明用户、角色、访问 权限和 会话之间的关系。每个角色至少具备一个权限，每个用户至少扮演一 个角色; 可以 对两个完全不同的角色分配完全相同的访问 权限。 r b a c i 模型 ( 层次模型) :r b a c i和 r b a c o相比，区别是增加了角 色的层次结构，该包括在该会话中激活角色所具有的访问权限以及下 级角色所具有的访问权限。如果在角色继承时限制继承的范围，则可 建立私有角色及其私有子层次。 r b a c 2 模型 ( 约束模型) :r b a c 2 模型在 r b a c o基础上增加了约束 机制。约束条件指向会话中的用户、角色等，约束一般有返回值 “ 接 受”或 “ 拒绝” ，只有拥有有效值的元素才可被接受。 r b a c 3 模型 ( 层次约束模型) : r b a c 3 是r b a c系列中的最后一个模 型，事实上是 r b a c 1 和 r b a c 2 的综合，即增加了角色层次结构和约 束机制的r b a c o 模型。 r b a c之所以备受青睐是有其显而易见的优点:首先，角色和角色层次可 以很简单的就把企业的组织结构映射到信息系统中;其次，一旦权限初始设置 好之后，就不再需要做大的调整;再次，支持访问权限的委托机制。但是从根 本上讲， r b a c是传统的、基于主客体观点、以系统为中心的资源保护方法， 是一种静态的安全模型。 2 .2 .2 .4 基于任务的访问控制 基于任务的访问控制 ( t a s k b a s e d a c c e s s c o n t r o l . t b a c )是从应用层角 度看待访问控制。它采用面向任务的观点，在处理任务的过程提供动态的访问 控制。 在 t b a c中， 对象的 访问 权限不再是静止不变的，而是随着执行任务的 上下文环境发生变化，这就是我们称其为动态安全模型的原因。现就授权步中 的要素进行解释: 授权步 ( a u t h o r i z a t i o n s t e p ) 表示一个原子授权处理步， 是指 在一个工作 流中 对处 理对象 ( 例如办公流程中 的文档) 的一次处理。 它是 访问 控制所 能控制的最小单元。授权步由受托人集和许可集组成。 受托 人集( t r u s t e e - s e t ) 是 可被授予授权步的 用户的 集合。 许可集( p e r m i s s i o n s - s e t ) 是受托人集的成员被授予授权步之后拥有的访 第 1 5 页 第二章 研究基础概述 问许可。 执行委托者( e x e c u t o r ) :当 授权步初始化后，一个来自 受托人集中的成 员将被授予授权步，我们称这个受托人为授权步的执行委托者。 执行者许 可集 ( e x e c u t o r p e n n i s s i o n ) 和激活 许可 集( e n a b l e d p e r m i s s i o n ) : 受托人执行授权步过程中所需许可的集合称为执行者许可集。在 t b a c中，允许一个授权步的处理决定后续授权步对处理对象的操作 许可，我们将这样的许可称为激活许可。 保 护态( p r o t e c t i o n s t a t e ) : 执行者 许可集和 激活许可 集一 起称为授 权步 的保护态。 授权结构 体( a u t h o r i z a t i o n u n i t ) :由 一 个或多 个授权步组成的结构体， 它们在逻辑上是联系在一起的.任务是工作流中的一个逻辑单元。它 是一个可区分的动作。一个工作流的业务流程由多个任务构成。而一 个任务对应于一个授权结构体，每个授权结构体由特定的授权步组 成。 t b a c模型结 构如图 2 .4 ( a ) 所示， 其中， 授权结 构是由 一个或多个授权步 构成，图2 .4 山 ) 所示是授权步。 呷 aa_jvoeau65ew7ini #jm(t: aima au 2人u4 a u t /一一一 /au6 au3 aus 队 护归 图2 . 4 ( a ) 第 1 6 页 第二章 研究基础概述 图2 . 4 ( b ) 图2 . 4 t b a c 模型结构图 基于任务的访问控制主要的缺陷在于应用于复杂的业务流程中，其访问控 制就会不可避免的牵涉到许多任务以 及用户的权限分配问题，而 t b a c只简单 的引入受托人集合来表示任务的执行者，而没有论及怎样在一个企业环境中确 定这样的受托人集。 2 .2 .2 . 5基于角色和任务的访问控制 基于角色和任务的 访问 控制( t a s k - r o l e - b a s e d a c c e s s c o n t r o l , t r b a c ) 将 r b a c和 t b a c结合起来，综合了 r b a c的静态特性和 t b a c的动态特性， r b a c中的角色是一个比 较长期的概念， 适合于变化频率较小的数据;而对于 工作流系统中需要短暂授权和控制的数据，则采用t b a c。 t r b a c将任务独立出来作为一个单独的 概念，并置于角色和权限之间， 将传统r b a c的三层访问控制模型改为四层访问控制，如图2 . 5 所示。 图2 . 5 t r b a c的简化模型 在 t r b a c中，整个工作流系统中的用户都赋予特定的角色，同时在规定 每个角色可以执行那些任务以及每个任务的最小访问权限。这样，权限不再直 接与用户相关，而必须通过任务才能与角色关联起来，而这时的权限集合也不 第 1 7 页 第二章 研究基础概述 再表示为操作集合与任务集合的笛卡儿乘积，而只是表示为数据资源的访问操 作集合。如此以来，权限可以作为任务的属性来实现，而不必建立类似传统 r b a c模型中的三元组权限，没有了数据冗余，方便了管理员的安全管理工 作。 不管用户采用其拥有的何种角色登陆，都必须在执行系统分配的任务实例 的过程中才拥有该权限任务实例的数据访问权限，这样就自 然地实现了权限的 动态分配和撤销，提高了工作流系统的动态适应性。由于权限直接和任务相 关， 用户只有在执行任务实例地情况下才拥有该任务对应的访问权限。 第三节 相关技术 2 .3 . 1 x m l 语言 1 9 %年， 万维网 协会 ( w 3 c , h t tp :/ / w w w .w 3 c .o r g ) 开始设计一种可扩展 的标记语言，能够将标准广义标记语言 ( s t a n d a r d g e n e r a l i z e d m a r k u p