（计算机软件与理论专业论文）基于全局流程集成平台的访问控制的研究与应用.pdf

基于全局流程集成平台的访问控制的研究与应用摘要 论文题目：基于全局流程集成平台的访问控制的研究与应用 专业：计算机软件与理论 硕士生：黄泽龙 指导教师：李磊教授 摘要 随着企业信息化发展，业务系统在企业和机构中的应用越来越广泛。全局流 程集成平台( g l o b a lb u s i n e s sp r o c e s si n t e g r a t i o np l a t f o r m , g b p i p ) 作为业务系统 的开发支撑平台，具有柔性的开发框架，低耦合的软件结构和简洁清晰的开发模 式等特点，十分适合为企业和机构开发各类业务系统。访问控制作为资源保护的 一种手段，对系统的信息安全起到了不可估量的作用。为g b p i p 制定合适的访 问控制，对推广g b p i p 的应用有着重要意义。但目前g b p i p 中的访问控制是基 于角色的控制，表达能力不够强，灵活性差，难以满足实际应用中的访问控制需 求。因此，有必要对g b p i p 中的访问控制加以改进。 本文首先分析常用的访问控制技术应用在g b p i p 中的不足，然后针对g b p i p 的访问控制特点，提出了基于逻辑的动态访问控制机带t j ( l o g i cb a s e dd y n a m i c a c c e s sc o m r o lm e c h a n i s m ，l b d a c m ) ，该机制使用逻辑程序实现访问控制。接 着，介绍了在l b d a c m 机制中，用来回答访问控制请求的基于合一的访问控制 算法( u n i f i c a t i o nb a s e da c c e s sc o n t r o la l g o r i t h m , u b a c a ) ，该算法基于逻辑中的 反向推理和合一算法。 然后，本文给出了g b p i p 应用l b d a c m 机制的方案。该方案针对业务系统 的特点，使用简单高效的数据库查询来实现u b a c a 算法。最后，案例分析表明， 应用l b d a c m 机制，改进了g b p i p 原有的基于角色的访问控制的不足以及实现 了针对具体任务的临时授权，提高了g b p i p 的访问控制能力，对推广g b p i p 的 应用起到一定的作用。 关键词：访问控制，逻辑，合一算法，全局流程集成平台，业务系统 基于全局流程集成平台的访问控制的研究与应用 a b s t r a c t t i t l e ： m a j o r ： n a m e ： s u p e r v i s o r ： t h er e s e a r c ha n da p p l i c a t i o no f a c c e s sc o n t r o lb a s e do n g l o b a lb u s i n e s sp r o c e s si n t e g r a t i o np l a t f o r m c o m p u t e rs o f t w a r ea n dt h e o r y z e l o n gh u a n g p r o f l e i l i a b s t r a c t w i t ht h eg r o w i n gd e v e l o p m e n to fe n t e r p r i s ei n f o r m a t i o n , b u s i n e s ss y s t e m sa r c u s e di nt h ee n t e r p r i s e sa n di n s t i t u t i o n sm o r ea n dm o r ew i d e l y g l o b a lb u s i n e s sp r o c e s s i n t e g r a t i o np l a t f o r m ( g b p i p ) ，w h i c hh a sa d v a n t a g e so f f l e x i b l e d e v e l o p m e n t f r a m e w o r k ，l o wc o u p l i n gs o f t w a r ea r c h i t e c t u r ea n dc l e a rd e v e l o p m e n tm o d e li sa p l a t f o r mf o rd e v e l o p i n gb u s i n e s ss y s t e m s i ti sw e l ls u i t e df o rt h ee n t e r p r i s e sa n d i n s t i t u t i o n st od e v e l o pb u s i n e s ss y s t e m s o nt h eo t h e rt l a l l d ，a c c e s sc o n t r o la sam e a n s o fr e s o u r c ep r o t e c t i o n , i sp l a y i n ga ni m p o r t a n tr o l ei nt h ei n f o r m a t i o ns e c u r i t y a n di t i sg r e a ts i g n i f i c a n tt od e v e l o pa na p p r o p r i a t ea c c e s sc o n t r o lf o rg b p i eb u ts of a r , t h e a c c e s sc o n t r o lu s e di ng b p i pi sb a s e do nr o l e ，w h i c hi sp o o rf l e x i b i l i t ya n dd i f f i c u l tt o m e e tt h ea c c e s sc o n t r o lr e q u i r e m e n t si nt h ep r a c t i c a la p p l i c a t i o n s s o ，i ti sn e c e s s a r y t oi m p r o v et h ea c c e s sc o n t r o lu s e di ng b p i e f i r s t l y , a f t e ra n a l y z i n gt h ed i s a d v a n t a g e so fa p p l y i n gt h ec o m m o n a c c e s sc o n t r o l t e c h n o l o g i e st og b p i p , b a s e do nt h ef e a t u r e so fg b p i p , al o g i cb a s e dd y n a m i ca c c e s s c o n t r o lm e c h a n i s m ( l b d a c m ) i sp r e s e n t e d t h em e c h a n i s mu s e sl o g i cp r o g r a mt o i m p l e m e n ta c c e s sc o n t r 0 1 t h e n , a na l g o r i t h m ，c a l l e du n i f i c a t i o nb a s e da c c e s sc o n t r o l a l g o r i t h m ( u b a c a ) ，i sp r e s e n t e d t h ea l g o r i t h m ，w h i c hb a s e s o nb a c k w a r dr e a s o n i n g a n du n i f i c a t i o na l g o r i t h m ，i su s e dt or e p l yt oa l la c c e s sc o n t r o lr e q u e s t t h e n , t h ei m p l e m e n t a t i o no fa p p l y i n gt h el b d a c mm e c h a n i s mt og b p i pi s p r e s e n t e d ，w h i c hu s e st h es i m p l ea n de f f i c i e n td a t a b a s eq u e r i e st oi m p l e m e n tt h e u b a c aa l g o r i t h m f i n a l l y , t h ec a s e ss h o wt h a tu s i n gl b d a c mm e c h a n i s m i m p r o v e st h ed i s a d v a n t a g e so fr o l eb a s e da c c e s sc o n t r o l ，w h i c hi su s e di ng b p i p t i 基于全局流程集成平台的访问控制的研究与应用 a b s t r a c t o r i g i n a l l y , a n di m p l e m e n tt e m p o r a r ya u t h o r i t yo fat a s k b e s i d e s ，i ta l s oi m p o r v e st h e a c c e s sc o n t r o lc a p a b i l r yo fg b p i pa n dp l a ya ni m p o r t a n tr o l ei np r o m o t i n gg b p i e k e yw o r d s ：a c c e s sc o n t r o ll o g i c ，u n i f i c a t i o na l g o r i t h m , g l o b a lb u s i n e s s p r o c e s si n t e g r a t i o np l a t f o r m , b u s i n e s ss y s t e m i i i 论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：盘逶蕉 e t 期：渔丝：； 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学 校有权保留学位论文并向国家丰管部门或其指定机构送交论文的电 子版和纸质版，有权将学位论文用非赢利目的的少量复制并允许论 文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入 有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。 学位论文作者签名：毽湃j 导师签名： 日期：知，口年f 月；日 日期：b 基于全局流程集成平台的访问控制的研究与应用第1 章引言 1 1 研究背景 第1 章引言 随着信息技术的蓬勃发展，社会各个领域逐步实现信息化，也诞生了大量的 信息系统。这些信息系统可以分为两大类：业务系统和管理信息系统( m i s ) 【l l 。 业务系统指的是一个专业系统，如人事系统、财务系统，物资系统等，是一个从 上到下的组织架构以及在该架构上运作的业务过程，是所有人员、业务过程的总 称。管理信息系统是一个由人、计算机及其他外围设备等组成的能进行信息收集、 传递、存贮、加工、维护和使用的系统，主要任务是最大限度的利用现代计算机 及网络通讯技术加强企业的信息管理，通过对企业拥有的人力、物力、财力、设 备、技术等资源的调查了解，建立正确的数据，加工处理并编制成各种信息资料 及时提供给管理人员，以便进行正确的决策，不断提高企业的管理水平和经济效 益。业务系统与管理信息系统最大的不同在于：业务系统除了管理机构( 包括企 业、公司或政府等等) 业务运作过程中产生的信息之外，还要管理这些运作的过 程，称为流程。如果说管理信息系统管理了运作的结果，那么业务系统还管理了 运作的行为，更符合现实世界的运作方式。 随着业务系统应用的不断发展，系统的信息安全问题越来越被人们所重视。 目前主要的信息安全技术主要包括密码技术、身份认证、访问控制、入侵检测、 风险分析与评估等技术【2 】。其中，访问控制从上世纪7 0 年代提出以来，得到了 不断的改善和提高，并由此产生了一系列从简单到复杂的，从适用范围d , n 适用 范围大的访问控制模型。访问控制作为资源保护的一种手段，为系统信息的安全 提供了必不可少的保护机制。 作为业务系统的开发框架和支撑平台，全局流程集成平台【l 】( g l o b a lb u s i n e s s p r o c e s si n t e g r a t i o n p l a t f o r m , g b p i p ) 是由中山大学软件研究所在总结了国内外众 多业务系统失败的原因，并且借鉴了当今优秀流程建模成果的基础上提出的。自 从软件成为一种产业以来，学术界和工业界都在寻找一种工业化的软件开发方 基于全局流程集成平台的访问控制的研究与戍用 第l 章引言 法。美国卡内梅隆大学软件工程研究所( s e i ) 提出了c m m ( c a p a b i l i t ym a t u r i t y m o d e l ，能力成熟度模型) ，其核心思想是“软件开发过程透明化 ，但是它没有 搞清楚“软件开发过程 和“过程透明化 是两个事情。我们认为只有存在可操 作的“软件开发过程 ，才可能有“过程透明化 的事情成立。c m m 对于“过 程透明化”的叙述是完全和深入的，但是对于可操作的“软件开发过程 的叙述 是平凡的。目前学术届和业界已经认识到这一点。针对这种情况，中山大学软件 所研发的g b p i p 平台试图论述“软件是如何工程化的。它从工业化的角度回答 了软件工程化过程中的两个重要问题：“把问题搞清楚”和“把事情做出来 。目 前g b p i p 已经在两三年时间内应用于多个应用软件的研发，并取得了良好的结 果。因此，在理论分析和实践应用上，g b p i p 都表现出良好的优越性。 虽然g b p i p 平台得到了一定范围的应用，但是它的访问控制机制还存在一 定的缺陷。g b p i p 平台目前主要通过角色来限制用户对系统中的各种资源的访 问，实践表明这种方式过于简单，缺乏灵活性，难以满足实际应用中的访问控制 需求，特别是不支持针对具体任务的临时授权。此外，应用g b p i p 开发的各类 业务系统中，通常用户和任务的数量巨大，如何快速地响应大量用户的访问控制 请求，对g b p i p 中的访问控制机制提出了极大的挑战。 1 2 研究现状 访问控制的研究得到了众多研究人员的关注，他们提出了一系列访问控制模 型，并将其应用到实际的系统中。目前，主要的访问控制模型有自主访问控制 ( d a c ) 3 1 1 4 1 、强制访问控制( m a c ) 1 3 1 1 4 1 、基于角色的访问控制( r b a c ) 5 - 1 6 】、 基于任务的访问控制( t b a c ) 1 7 - 2 0 j 和基于属性的访问控制模型( a b a c ) 2 1 - 2 7 j 。 以上常用的访问控制模型中，r b a c 由于实现了用户与权限的逻辑分离，应 用最为广泛，也出现了一系列的扩展模型。t b a c 作为一种可以对任务进行分解 的访问控制模型，从应用和企业层角度来解决安全问题( 而不是传统的从系统的 角度) 。它采用“面向任务 的观点，从任务( 活动) 的角度来建立安全模型和 实现安全机制，在任务处理的过程中提供动态的实时的安全管理。t b a c 对象的 访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化，是 2 基于全局流程集成平台的访问控制的研究与应用 第1 章引言 一种主动安全模型。但是，在t b a c 中，任务和角色无法明确分离，它不支持 被动的访问控制，不支持角色层次，而且实现起来较为复杂。a b a c 使用属性对 访问控制中的各个元素进行统一描述，并有相应的访问控制策略描述语言 x a c m l 支持，功能强大。但是，a b a c 回答访问控制请求的效率不是很高，只 适用于开放式环境，它不能满足封闭式环境下的高效要求。 1 3 研究内容和研究意义 本论文基于中山大学软件研究所研究课题全局流程集成平台，它是一个 供系统开发人员使用的以业务流程为核心的业务系统开发框架，是中山大学软件 研究所在软件工程领域关于应用开发框架的研究和应用。目前全局流程集成平台 g b p i p 已经广泛应用于各类业务系统的开发，如行政审批、电子政务信息系统等。 本文主要研究g b p i p 平台中的访问控制机制，通过为平台提供一种动态的、 高效的访问控制机制，来增强平台的功能，从而推广平台的应用。提出的访问控 制机制必须针对g b p i p 的特点，能满足应用g b p i p 开发的业务系统的访问控制 需求，特别要做到针对具体任务的临时授权。并且实现时可以为高效地响应大量 用户的访问控制请求。基于g b p i p 的研究成果、现有访问控制技术以及逻辑程 序相关知识，本文的主要研究内容如下： ( 1 ) 介绍常用的访问控制技术和g b p i p 的访问控制现状后，分析常用的访 问控制技术应用在g b p i p 中的局限性，并总结出g b p i p 中的访问控制的特点和 提出g b p i p 的访问控制的目标。 ( 2 ) 针对所要解决的问题，提出一种基于基于逻辑的动态访问控制机制，并 给出在该机制中如何回答用户的访问控制请求。 ( 3 ) 把基于逻辑的访问控制机制应用到g b p i p 中，并通过案例说明应用基 于逻辑的访问控制机制后，达到g b p i p 的访问控制目标，提高了g b p i p 的支撑 能力。 本文研究的成果改进了g b p i p 原有访问控制的不足，增强了其访问控制功 能，进而提升了g b p i p 的支撑能力，具有一定的应用价值和意义。 3 基于全局流程集成平台的访问控制的研究与应用第1 章引言 1 4 论文组织结构 本文章节的组织结构如下： 第1 章绪论，首先介绍本文的研究背景，指出目前g b p i p 中访问控制的不 足，并以此引出本文所要解决的问题；然后介绍了本文的研究内容以及论文组织 结构。 第2 章基础知识。介绍文中所要用到的各种基础知识和理论，包括业务系 统，s p d m 模型，基于s p d m 的全局流程集成平台g b p i p 以及各种常用的访问 控制技术。 第3 章g b p i p 的访问控制分析。首先介绍g b p i p 中现有访问控制的方式及 其存在的问题，然后分析常用的访问控制技术应用在g b p i p 中的不足，最后总 结了平台的访问控制应具有的特点，并根据这些特点提出了改进后的g b p i p 的 访问控制应达到的目标。 第4 章基于逻辑的动态访问控制机制。本章首先提出了一种基于逻辑的动 态访问控制机制l b d a c m ，l b d a c m 机制使用逻辑程序实现访问控制。然后介 绍在l b d a c m 中，用来回答访问控制请求的u b a c a 算法，算法基于逻辑中的 反向推理和合一算法。 第5 章机制应用与案例分析。本章首先介绍针对g b p i p 的访问控制目标， 将u b a c a 算法转换为简单的数据库查询去实现。然后把l b d a c m 机制应用到 g b p i p 平台中。最后，通过案例分析，说明应用l b d a c m 机制，可以增强g b p i p 的访问控制能力以及实现临时授权，实现g b p i p 的访问控制目标。 第6 章总结和展望，对本文进行总结，提出进一步工作。 4 基于全局流程集成平台的访问控制的研究和应用第2 章基础知识 第2 章基础知识 本章对研究内容相关的背景知识进行介绍，主要包括业务系统中业务流程和 访问控制的相关定义，全局流程集成平台o b p i p ，以及常用的访问控制技术。 2 1 业务流程及访问控制介绍 2 1 1 业务流程 业务系统中的主要管理和实施对象为业务流程( p r o c e s s ) 。对于业务流程，目 前定义很多，其中最经典的是h a m m e r 和c h a r n p y 提出的：把业务流程定义为一 个由许多业务活动组成的整体系统。它由活动、活动问的逻辑关系、活动的实现 方式和活动的承担者四个要素组成【2 8 1 。 业务流程管理在维基百科【2 9 】中被定义为：业务流程管理通过技术实现业务的 创新、灵活和集成，从而促进业务效能和效率的提升，是一个企业或组织的管理 办法。企业或组织为了实现其业务目标，可以使用业务流程管理来改进其业务流 程或者优化其业务流程。 对于业务流程，提出了一系列的开发方式，主要有工作流系统和基于a g e n t 的方式。其中，工作流占有主导地位。工作流管理联盟( w t m c ) 对工作流的定义： 工作流是一类能够完全或者部分自动执行的经营过程，根据一系列过程规则，文 档、信息或任务能够在不同的执行者之间传递、执行【3 0 l 。工作流管理系统( w f m s ) 是一个软件系统，它完成工作量的定义和管理，并按照在系统中预先定义好的工 作流逻辑进行工作流实例的执行。工作流管理系统不是企业的业务系统，而是 为企业的业务系统的运行提供了一个软件的支撑环境。典型的工作流管理系统产 品，有a e t i o n t e c h n 0 1 0 9 i e s l n e 的a c t i o n w o r k f l o w ，以及i b m 的f l o w m a r k 等。 s p d m 模型【1 】以单个表单( 宾语) 为研究对象，以表单在其生命周期中的变化 过程来定义业务流程，使用消息机制作为各流程之间交互的手段。具体地说， s p d m 模型基于有限状态机模型f s m ，主要做了下面的扩展【3 1 】： 5 基于全局流程集成平台的访问控制的研究和应用 第2 章基础知识 ( 1 ) 对有限状态机中的状态转换的约束条件进行扩展，扩展为权限约束、消 息约束、规则约束和业务逻辑约束四部分。权限约束限制那些用户可以 执行状态转换；消息约束主要用于流程间的交互，交互的方式类似操作 系统中的消息交互方式，分为同步和异步两种；规则约束是指发生状态 转换时所需满足的约束条件，主要是指表单上的数据项应该满足一定的 条件；业务逻辑约束指的是要执行状态转化所必须执行的业务操作，比 如数据库操作或者复杂的计算等。 ( 2 ) 增加消息机制。消息的生成和发送发生在状态转换过程中，消息发送到 目标流程的某个状态，可用于“表单新建例 和“流程间的数据交换”。 消息的接收发生在业务流程的状态上面，用户可以在某个状态上查看从 其它流程发送过来的消息。 ( 3 ) 增加了分支判断程序。从一个状态跳转到下一个时，有可能要从两个或 多个状态转换中选择一个。分支判断程序允许选择时考虑更多的约束。 ( 4 ) 参考数据库中事务的特性，在业务流程中定义了操作事务。操作事务是 几个表单状态的集合，表单要么全部执行这些状态变迁，要么回滚到事 务开始之前的状态。 ( 5 ) 操作系统中的进程有就绪态，挂起态，执行态，进程执行过程中，在这 几个状态之间来回变迁。参考操作系统的进程调度理论，并把它引入到 业务流程的调度中，形成了表单调度理论。因此，表单在按照业务流程 一步一步的调度过程中，表单会处于“就绪态 ，“挂起态 和“执行态 。 处于“挂起态 的表单不能被调度，除非其等待的条件得到满足。 应用实践表明s p d m 模型能正确、有效地描述各种复杂的业务流程，能解 决业务流程建模中遇到的各种突出问题，能很好满足实际业务需要。 2 1 2 访问控制 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的 一种方法。它是针对越权使用系统资源的防御措施，通过限制对关键资源的访问， 防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证系统 资源受控地、合法地使用【3 2 】。随着信息化不断发展，为了满足信息系统同益剧增 的安全要求，访问控制从上世纪7 0 年代提出以来，广泛地应用于各个领域的信 6 基于全局流程集成平台的访问挖制的研究和应用第2 章基础知识 息系统，并在实践中不断完善和发展。目前主要访问控制技术包括自主访问控制 ( d a c ) 、强制访问控$ 1 j ( m a c ) 、基于角色的访问控制( r b a c ) 、基于任务的访问控 s j j ( t b a c ) 和基于属性的访问控制模型( a b a c ) 。 在介绍常用的访问控制技术之前，先对相关的名称术语进行说明。 ( 1 ) 主体：主体是指一个提出访问请求的实体，其可以是用户或其它有访问 请求行为的实体，比如：进程、程序等。 ( 2 ) 客体：客体是被主体访问或操作的实体，包含各类信息、资源以及对象， 比如表单，文件等。 ( 3 ) 操作：操作是指主体对客体的操作行为，如读、写等。 ( 4 ) 权限：权限是指允许对哪个客体进行何种操作。 ( 5 ) 授权：授权是指为主体分配权限的过程。主体被授权后就具有对客体的 访问能力。授权一般由系统安全人员执行。如为用户分配权限。 一个简单的访问控制示意图，如图2 1 所示。 图2 - 1 简单的访问控制示意图 如图2 1 所示，权限表示为对某种客体进行某种操作的许可，而系统管理员则 负责为主体分配各种权限。权限和主体之间是多对多关系，一个用户( 主体) 可 以拥有多个权限，同时，一个权限也可以被多个用户拥有。 2 2 全局流程集成平台( g b p i p ) 2 2 1 平台概述 全局流程集成平台( g l o b a lb u s i n e s sp r o c e s si n t e g r a t i o np l a t f o r m , g b p i p ) 是 基于s p d m 模型的，它非常适合于业务系统的开发。它实现了系统数据与系统 流程的分离，支持对等流程的开发。它以系统用户最熟悉的表单( 宾语) 为切入 点，将一类表单在其整个生命周期中的状态变化过程称为一个流程，将流程看作 7 基于全局流程集成平台的访问控制的研究和应用 第2 章基础知识 是系统的基本组成部分，一个系统由若干个流程组成。流程间相对独立，且基于 全局流程集成平台( g b p i p ) 的系统可分为两个层次：平台和应用层，在平台内 部主要关心系统的流程，而在应用层更多关注数据信息。 2 2 2 平台体系结构 全局流程集成平台主要有以下几个组成部分：状态推导引擎、事件约束机制、 消息传递机制、控制台、映射层、e b a s e 数据库访问部件和e b a s e 数据库。平 台的体系结构如图2 2 所示。 状态推导引擎的作用是：读入流程建模所产生的业务流图，检查约束条件， 通过事件引擎求出在当前状态下能触发的唯一事件，并执行此事件，若需要发送 消息，则调用消息机制发送消息。从而实现对表单状态变化的推导，完成状态的 变迁。 事件引擎：根据当前表单状态，判断分支。 事件约束机制：记录事件执行的约束，并在执行对事件的执行进行约束。 消息传递机n - 流程之间的通信( 传递信息) 。 控制台：控制台是平台中用于管理、监控平台运转状况的一个模块。在基于 g b p i p 的应用中，用户可以通过控制台完成应用系统管理、业务流图管理、用户 管理、系统状态管理、表单管理和流程统计功能。 e b a s e 数据库访问部件：封装各个部件对数据库e b a s e 的访问。 e b a s e 数据库是g b p i p 的内嵌式数据库，业务流图、表单元信息等均存储 在此数据库中。它是一个由中山大学软件研究所研制的内嵌式( b u i l d i n ) 数据 库引擎，它基于逻辑程序设计原理，能通过快速逻辑查询技术，保证系统的运行 效率和响应速度。 映射层的作用：平台与构建在平台之上的应用层系统之间需要进行信息传递 与控制，为了实现平台对应用层的信息隐藏以及提高平台的通用性，除了平台开 放给应用层的少数可调用的接口以外，平台应该尽可能地减少与应用层系统之间 在数据和功能上的耦合。为了达到这个目的，需要在平台与应用层之间构建一个 映射层，使全局流程集成平台与应用层系统间接地进行信息传递与控制。 8 基于全局流程集成平台的访问控制的研究和应用 第2 章基础知识 图2 - 2g b p i p 体系结构图 2 3 常用的访问控制技术 随着业务系统的逐步推广，系统内信息的安全，对访问控制提出了极大的挑 战。针对不同的应用需求，学者提出了一系列的访问控制技术，分别介绍如下。 2 3 1 自主访问控制 自主访问控制1 3 l t 4 1 ( d i s c r e t i o n a r ya c c e s sc o n t r o l , d a c ) 是一种基于主体的身份 或者其所在组来限制访问的方法。其自主访问体现在拥有访问权限的主体可以直 接或间接地将其访问权限或访问权限的某个子集授予其它主体。 d a c 一般通过访问控制矩阵【4 1 ( a c c e s sc o n t r o lm a t r i x , a c m ) 或访问控制链表 ( a c c e s sc o n t r o ll i s t ，a c l ) 来实现。a c m 比较简单，其通过矩阵形式表示访问控 9 基于全局流程集成平台的访问控制的研究和应用 第2 章基础知识 制规则以及授权用户权限。矩阵的列对应客体，矩阵的行对应主体，矩阵元素表 示主体对客体的操作关系，比如主体对客体的读、写、修改等。表2 1 是一个访 问控制矩阵的示例： 表2 1 访问控制矩阵示例 文件1文件2文件3文件4 小明读写 小王读 小李读、写 2 3 2 强制访问控制 强制访问控制【3 4 ( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 把系统的用户和系统的 资源都划分为不同的安全级别，当用户请求访问某个资源时，系统比较用户和资 源两者的安全级别以确定用户是否可以访问资源。 m a c 本质上是基于格的非循环单向信息流政策，用户和资源的安全级别由 管理员强制分配，任何用户不能更改和传递自身和其它用户的安全级别，不像自 主访问控制中权限可以自由传递。m a c 严格要求信息流只能从低安全级别向高 安全级别流动，即只允许向下读和向上写，其它的一切行为是被严格禁止的。 2 3 3 基于角色的访问控制 由于自主访问控制d a c 和强制访问控制m a c 过于简单且适用范围小或者 只适用于特定的领域。并且随着信息化在企业、组织和机构中的蓬勃发展，d a c 和m a c 明显难以适应新的安全需求。为此f e r r a i o l o 、s a n d h u 等人先后提出了基 于角色的访问控制【5 】【6 ( r o l eb a s e da c c e s sc o n t r o l ，r b a c ) 。r b a c 中用户和访问 权限通过两者之间的角色进行连接。角色与一个或多个权限相关联，用户与一个 或多个角色相关联。用户与角色相关联就具有了角色对应的权限。r b a c 中，通 常预定义角色与权限之间的关联，再将预先定义的角色赋予用户，明确责任和授 权以及简化了系统权限的集中管理。角色的提出，使得用户与权限逻辑分离，方 便管理。 r b a c 比较适合于组织中常见的各类应用系统，得到了广泛的使用，并引发 了大量的研究。2 0 0 1 年美国国家标准技术研究院洲i s t ) 发表了r b a c 标准建议忉， 包括n i s tr b a c 参考模型和r b a c 功能规范。n i s tr b a c 参考模型分为c o r e 1 0 基于全局流程集成平台的访问控制的研究和应用第2 章基础知识 r b a c 、h i e r a r c h a lr b a c 和c o n s t r a i n e dr b a c 三个子模型。c o r er b a c 定义了用 户获得权限的方式，即使用角色建立用户和访问权限之间的多对多关系。 h i e r a r c h a lr b a c 在c o r er b a c 的基础上增加了角色层次；而c o n s t r a i n e dr b a c 则 在c o r er b a c 的基础上增加职责分离，包括静态职责分离( s s d ) 和动态指责分离 ( d s d ) 。n i s tr b a c 参考模型的子模型h i e r a r c h a lr b a c 如图2 3 t 7 】所示： 角色层次 图2 3 子模型h i e r a r c h a jr b a c 结构图 r b a c 参考模型提出之后，国内外对r b a c 继续深入研究。国夕b h a s s a n t a k a b i 等人提出了模糊r b a c 8 1 ，通过信任和可靠性提供不精确的访问控制策略；r a v i s a n d h u 等人详细描述了i 强a c 的各种授权约刺9 】；m o h a m m a da a i k a h t a n i 在 r b a c q a 引入否定授权【l o 】；k e r n 提出了增企, _ i k r b a c 模型【1 1j ( e r b a c ) ，通过 用户的属性使用规则自动计算权限和进行用户角色分配。 国内有学者把工作流管理系统和r b a c 相结合【1 3 】；黄建等人提出一个带 时间特性的角色访问控制模型t r b a c 1 4 】；钟华等人，提出了一个能描述复杂层 次关系的角色访问控制模型e h r b a c t b 】，定义了角色的公共权限和私有权限， 并对角色之间的层次关系进行了扩充；袁中兰等人将一个角色的非私有权限继承 为私有权限，并提出三种不同的继承模式：p f i v a t e 模式、p r o t e c t e d 模式和p u b l i c 模式【1 6 】。 2 3 4 基于任务的访问控制 基于任务的访问控制( t a s kb a s e da c c e s sc o n t r o l , t b a c ) 最早于1 9 9 7 年由 t h o m a s 和s a n d h u 联合提出，并形成一个模型族。t b a c 采用“面向任务 的观点， 从应用和企业层角度来解决安全问题，考虑了操作执行所处的环境。因此在 基予全局流程集成平台的访问控制的研究和应用 第2 章基础知识 t b a c 中，用户的访问权限随着执行任务的上下文环境变化而变化，而并非静止 不变的。相反d a c 、m a c 以及r b a c 只是从系统的角度静态地考虑主体和客体之 间的授权。正因如此，t b a c 亦被称为主动安全模型【1 8 1 。 t b a c 也是一种基于实例的访问控制模型，因为它通过引入“授权步”的概 念，支持为不同的任务实例提供不同的访问控制策略。此外由于任务实例具有时 效性的，所以t b a c 中用户对于授予他的权限的使用同样具有时效性。 t b a c 通过任务间的各种依赖关系，能很自然地实现职责分离原则。 s e j o n go h 和s e o gp a r k 在t b a c 的基础上，提出了一种整合t b a c 和r b a c 的访问控制模型t r b a c t l 9 】【2 0 】。 2 3 5 基于属性的访问控制 基于属性的访问控制口1 之4 1 ( a t t r i b u t eb a s e da c c e s sc o n t r o l , a a a c ) ，描述能力 较强，十分适合于开放的网络环境和协作环境。 a b a c 中一切通过属性来描述，包括主体、资源、环境，甚至一些约束条 件都可以看成属性。授权判定主要通过属性的匹配来完成。a b a c 并不关心请求 访问实体具体是谁，只关心请求访问实体所具有的属性，摆脱了基于身份验证的 限制。基于角色的访问控制r b a c 通过引入角色中间元素，权限分配时先把权 限指派给角色，然后再把角色指派给用户，简化了授权。如果把角色信息看成是 主体的一种属性，那么r b a c 可看成a b a c 的一种单属性特例。a b a c 的框架 如图2 4 2 1 】【2 5 1 所示。 请求者请求p e p 要求访问某个资源时，p e p 将请求转发给p d p 进行授权判 定，p d p 获取相关策略和属性，并把策略和属性进行匹配计算，然后把计算结 果反馈给p e p ，p e p 再根据p d p 的反馈决定请求者是否可以访问资源。 1 2 基于全局流程集成平台的访问控制的研究和应用第2 章基础知识 n a r ：原始访问请求a a ：属性权威a a r ：基于属性访问请求 p e p ：策略执行点p d p ：策略判定点p a p ：策略管理点 图2 - 4 a b a c 框架示意图 目前针对a b a c 的理论研究比较少，国内外学者主要是把a b a c 应用到w e b s e r v i c e 中【2 5 1 f 2 6 】，此外j i a nz h u 和w a l e e dw s m a r i 把a b a c 应用到协作环境时， 在a b a c 基础上引入了信任和私有权刚2 7 1 。 2 4 小结 本章首先介绍了业务流程，s p d m 模型以及访问控制的基本知识。然后，介 绍了全局流程集成平台。接着，介绍常用的访问控制技术，包括自主访问控制， 强制访问控制，基于角色的访问控制，基于任务的访问控制以及基于属性的访问 控制。 1 3 基于伞局流程集成平台的访问控制的研究和应用 第3 章g b p i p 的访问控制分析 第3 章g b p i p 的访问控制分析 业务系统离不开访问控制，作为业务系统的开发支撑平台，g b p i p 需要提供 访问控制，以达到资源保护的目的。本章首先介绍g b p i p 的访问控制现状，并 根据实际应用，分析g b p i p 现有访问控制的不足。接着分析常用的访问控制技 术应用在g b p i p 中的不足，然后指出g b p i p 的访问控制特点和访问控制目标。 3 1g b p i p 的访问控制现状 本节首先介绍平台现有的访问控制机制，然后通过实际应用中遇到的场景 ( 例子) 分析其不足。 3 1 1g b p i p 现有访问控制介绍 随着实践的应用增多，g b p i p 平台进行了一系列升级，目前版本为2 1 版。 该版本中的访问控制采用权限约束的形式【3 3 1 ，权限分配的依据是与具体资源的操 作权限相关联的角色。 g b p i p 中的业务流程采用s p d m 模型进行建模，s p d m 以单个表单为研究 对象，以表单在其生命周期中的变化过程来定义业务流程，表单状态的变迁通过 事件来触发，因此平台的权限分为三类，分别是流程权限、状态权限和事件执行 权限。这三类权限形成了平台目前的访问控制机制，具体为： _ 流程权限流程权限描述了角色、业务流程图的关系，采用三元组 表示。其中，r o l e 表示可以参与流程的角 色，b f d n a m e 表示某个业务流程的名称，b f d v e r s i o n 表示业务流程的 版本。设置流程权限的目的是对流程本身进行保护，防止非法用户进入 流程，或者说是用来限制用户能否参与某个流程。 一状态权限状态是指角色与表单之间的一种授权关系。它描述了一个 角色对表单生命周期中各个表单状态的访问权限。状态权限是一个角 色、业务流程图和表单状态的关系，使用四元组 表示。其中，r o l e 表示可以参与流程的角色， b f d n a m e 表示某个业务流程的名称，b f d v e r s i o n 表示业务流程的版本， s t a t e n a m e 表示业务流程图中的某个表单状态。 状态权限主要为了限制用户查看处于某个流程状态下的表单，如果 不具有相应的状态权限，用户就不能查看该状态下的表单，更不能够对 它们进行处理。 - 事件执行权限事件执行权限是指角色与某个表单状态下的相关事 件的授权关系。它限制用户是否可以对处于某一状态的表单执行某一事 件。事件执行权限是一个角色、业务流程图、表单状态和事件的关系， 表示。其中，r o l e 表示可以参与流程的角色，b f d n a m e 表示某个业务流程的名称， b f d v e r s i o n 表示业务流程的版本，s t a t e n a m e 表示业务流程图中的某个 表单状态，e v e n t n a m e 表示此表单状态下的一个事件。 事件执行权限限制用户是否可以对表单执行某个事件，主要用在表 单调度过程中，用来判断当前用户是否可以执行相应的事件，如果可以 则进一步判断状态变迁约束条件，否则表单状态变迁失败，表单停留在 原状态。 流程权限、状态权限和事件执行权限之间具有级别关系，具体为： 流程权限为第一级权限，级别最低； 一状态访问权限为第二级； - 事件执行权限为第三级权限，级别最高。 权限的级别越低，粒度越大；级别越高，粒度越细。要拥有高级别的权限必 须先拥有低级别的权限。比如，要对表单执行某个事件，必须先可以访问处于某 一状态下的表单。g b p i p 的权限约束示例如图3 1 所示。 缀程名蒂黪。褫漩援燃，僦焦氆l 荔缀鳓藩糕燃 流程权限 会议申请 1 o ： 员 l 錾流程名称，荔流程版搋瓤、结饬澎髟袋肇甏缓矗黪状卷笤物 状态权