（计算机软件与理论专业论文）基于任务的工作流安全模型研究与应用.pdf

山东大学硕士学位论文 摘要 随着工作流技术的发展和普及，工作流中的安全问题已经引起学术界和工业 界的广泛关注。业务流程的执行需要多用户参与、协同工作、共享敏感信息和资 源，因此，工作流系统不仅要防范外部入侵，还要防止内部授权的非法使用，权 限的合理分配与实时回收成为访问控制的重要内容。访问控制模型与技术的研究 是工作流系统安全机制的核心，也是信息安全领域的一个热点问题。 、 在工作流安全模型方面，基于角色的访问控钳j ( r b a c ) 借助角色封装权限， 方便了权限管理，但其静态授权策略缺乏对工作流运行状态的及时响应，很难及 时而准确地进行权限授予与回收，且不易支持工作流系统中的约束描述；基于上 下文的组访问控制( c - t m a c ) 将环境、角色和团队( t e a m ) 集成为一个实体，实现 组织内的协同，但是缺乏对复杂协同系统中上环境信息的多维定义；基于任务的 访问控制f r b a c ) 弓i a 授权步的概念，实现权限的动态管理，但是其授权策略复 杂，且没有考虑角色的划分，在用户权限的管理上不够完善。 针对上述模型的不足，本文构建了一个基于任务的工作流系统安全模型，主 要解决主动授权和大型组织中角色管理两个问题。通过细化任务实现权限的细粒 度控制；通过任务与角色的指派关系来实现授权，并依据任务的执行状态来实现 权限的动态分配和回收，满足工作流运行过程中的主动授权需求；采用用户角色 关联解决用户岗位流动性问题。由于大型企业工作流环境中人员结构复杂，角色 间存在任务部分继承的情况，本文模型将面向对象思想引入工作流任务继承机 制，把任务划分为私有任务、公有任务和保护任务，并在此基础上构造面向对象 继承的角色层次体系，提出任务公有化继承、私有化继承和非保护继承的概念， 实现满足工作流访问控制需求的层次策略；同时分析模型中的静态及动态约束， 并提出安全约束一致性检测算法和冲突解决规则，对定制的工作流安全策略进行 有效性验证 本文还设计实现了产权交易工作流管理系统，采用基于角色和任务的柔性化 工作流模型，实现了产权交易电子商务安全架构，满足产权交易业务的多样性和 山东大学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n ta n dp o p u l a r i z a t i o no fw o r k f l o wt e c h n o l o g y , t h es e c u r i t y p r o b l e mo f w o r k f l o ws y s t e mh a st ob eaf o c u so fa t t e n t i o nb o t hi na c a d e m i ca r e aa n d i ni n d u s t r yf i e l d t h ep e r f o r m a n c eo fb u s i n e s sp r o c e s sn e e d sn u m b e r so f1 1 5 e 1 墨t o c o o p e r a t ea n ds h a r es e n s i t i v ei n f o r m a t i o na n d 代；c d u n 燃t h e r e f o r e w o r k f l o ws y s t e m s a r es u p p o s e dt op r e v e n tn o to n l yt h ei n b r e a ko u t s i d e , b u ta l s ot h ei n c o r r e c tu s eo f i n n e ra u t h o r i z a t i o n t h er e a s o n a b l ea s s i g n m e n ta n dc a l l b a c ko fa u t h o r i z a t i o n si st h e i m p o r t a n ti s s u eo fa c t e d ；c o n t r 0 1 t h er e s e a r c ho fa c c e s sc o n t r o lm o d e la n d t e c h n o l o g yh a sb e c o m et h ef o c u so ft h es e c u r i t ym e c h a n i s ma n dt h ee m p h a s i so f i n f o r m a t i o ns e c u r i t ya l c a a tt h ea s p c ao fw o r k f l o ws e c u r i t ym o d e l s , t h er o l e - b a s e da c c e s sc o n t r o l ( r b a c ) a d o p tr o l et oo n c l o s cp r i v i l e g e ，w h i c hs i m p l i f yt h em a n a g e m e n to f p r i v i l e g e h o w e v o r , t h es t a 矗c a u t h o r i z a t i o nm a k e si tl a c kr e a c t i o nt ow o r k f l o ws t a t e s i m m e d i a t e l y , w h i c hm a k ei td i f f i c u l tt oa u t h o r i z ea n dt a k eb a c kt h ep e r m i s s i o ni nt i m e , a n dt h ed e s c r i p t i o no f a c c e s sp o l i c yo f w o r k f l o ws y s t e mi sn o ts u p p o s e dw e l le n o u g h ； t h ec o m c x t - b a s e dt e a ma e c , 黜c o n t r o lm o d e l ( c - t m a c ) i n t e g r a t et h ec o n t e x t , r o l e s a n dt e a m si n t oa na n t i t yt oi m p l e m e n tt h e 嗍- a t i o nb a s i n go nt h ei n f o r m a t i o no f e n v i r o n m e n ti no r g a n i z a t i o n , b u ti tl a c k sm a n a g e m e n to fa s s i g nr e l a t i o n s h i pm n o n g t h e s ee n t i t i e s ；t h et a s k - b a s e da c c e s sc o n t z o lm o d e i ( t b a c ) i n t r o d u c e st h e a u t h o f i z 血o ns t e pt oi m p l e m e n td y n a m i ca u t h o r i z a t i o n , b u tt h ea u t h o r i z a t i o np o l i c yi s c o m p l i c a t e dw i t h o u to m m i d e r a t i o no fc l a s s i f i c a t i o no fr o l e s ，s oi ti sn o tp e r f e c ti n m a n a g e m e n to f p r i v i l e g e s i no r d e rt og e tr i do ft h ed r a w b a c k so ft h em o d e l sa b o v e , t h i sp a p e rb u i l d sa r u s k - b a s e ds e c u r i t ym o d e lo f w o r k f l o ws y s t e m , w h i c hr e s o l v e st h ep r o b l e m so f a c t i v e a u t h o r i z a t i o na n dr o l e sm a n a g e m e n ti nl a r g eo r g a n i z a t i o n s p r i v i l e g e sa c o n t r o l l e d a n dm a n a g e di nl i t t l eg r a n u l a r i t yb ys u b d i v i d i n gt a s k s ；a u t h o r i z a t i o ni sp e r f o r m e db y t h ea s s i g n m e n tr e l a t i o n s h i p sb e t w e e nt a s k sa n dr o l e s , a n dp e r m i s s i o n sa l eg i v e na n d t a k e nb a c kb yt h e 吼a l eo ft a s k s a st os a t i s f yt h er e q u i r e m e n to fa u t h o r i z a t i o ni n i l i e l e c t r o n i c a l l y b e e na p p l i e di ns e v e r a lp r o p e r t yr i g h t se x c h a n g e c e n t e r s ，t h i se x c h a n g e s y s t e m s t a l l d a r d i z e st h e p r o c e s s o fe x c h a n g e c o n v e n i e n tf o r s t t o r a g e a n d c o m m u n i c a t i o no f i n f o r m a t i o n , i tc i l h a n c 嚣t h ee f f i c i e n c yo f p r o p e r t yr i g l l t se x c h a n g e i v ，二 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 、 论文作者签名：窆堡日期：塑笪生量 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文储魏址翩签摊 期：丝! ! 生! 山东大学硕士学位论文 1 1 研究背景与意义 第1 章绪论 工作流技术是一种面向过程的计算机流程控制技术，在生产业务流程管理及 政府部门的行政事务管理等诸多领域都得到了广泛的应用工作流经常与“过程 重组( b p r - b u s i n e s sp r o c o s sr e - e n g i n e e r i n g ) ”联系在一起，用于企业( 组织) 核心业 务过程的评估、分析、模拟、定义以及其后的操作实现。它提供了业务过程逻辑 与操作支持的分离，从而可以修改过程规则来重定义业务过程 工作流的安全问题随着工作流日益广泛的应用变得越来越重要。工作流系统 以计算机网络为基础，由于网络行为具有开放性和自由性，所以安全问题无法回 避。计算机和网络技术的迅猛发展，使得工作流系统在政府和商业中得到了广泛 的应用许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务 的风险、收益和机会，使得信息安全管理成为政府和企业管理越来越关键的一部 分。访问控制是当今网络安全的五大安全服务之一，据有关计算机安全机构的调 查显示，来自内部非法访问造成的损失占安全问题5 5 ，内部滥用访问权限所造 成的损失占9 7 即只依靠防火墙技术和p k i 技术无法有效解决来自内部的非 法访问，必须依靠强有力的访问控制技术保障工作流系统的信息安全关系到企 业的生存发展甚至国家安危问题。因此，如何使工作流系统避免不正当访闯或非 法操作，已经成为工作流研究领域中一个重要的课题 访f 司控制是安全问题中十分重要的一个方面，实旌允许被授权的主体对某些 客体的访问，同时拒绝向非授权的主体提供服务在工作流系统中，需要正确的 用户在正确的时间处理正确的事情。一个工作流系统的使用者在不同的业务流程 中所做的工作内容和具有的权限是不同的，因此对复杂的工作流系统进行合理的 访问控制，是一项十分艰巨的工作 1 2 课题来源与研究目标 本课题主要来源于山东省重大科技发展项目“产权交易电子商务平台的 山东大学硕士学位论文 研究与典型应用”。本系统主要处理非标准化产权的在线交易包括国有产权、集 体企业产权、行政事业单位资产、知识产权等，根据国家相关的法规政策，其现 有的交易流程比较复杂。不同类型的产权交易流程各有不同，而且会随着国家政 策变动，因此要求具备流程的动态调整和实时定制功能；在安全性方面，不仅用 户的授权需要随着交易流程的运行实时进行，而且系统具有用户数量众多、层次 多、分工细、人员分工和职能经常变动等特点，因此要求通过角色的管理来简化 用户变更引起的权限管理复杂性。所以，此安全控制模型需要综合多种访问控制 策略，来满足大型企业环境中工作流的安全访问控制。 此项目的主要任务是研究和开发适用于产权交易的电子商务业务需求模型 和基于j 2 e e 的系统架构，满足产权交易业务的复杂性、多样性和安全性要求。 本交易系统将不仅为产权交易双方提供快速、可靠的交易平台，而且为交易中心 搭建内部办公自动化和协作平台外部用户可以进行在线产权交易委托、交易信 息综合查询、实时流程追踪、信息公示、交易鉴证等。内部工作人员可以在线处 。理相应的业务流程，实现交易中心各业务部门之间的信息流转和内部合作，提高 工作效率，更好地服务客户 作者作为主要成员参与项目，此项目的研发工作给作者提供了丰富的实践经 验，为本文的研究提供了实践支持和实际应用。 1 3 国内外研究现状 早期的访问控制安全模型有d a c 模型，b l , p 模型，b i b a 模型，其中d a c 基于主体一客体之间的所属关系，主体可以自主地、不受限制地把自己对客体的 访闯权限直接或间接授予其他主体或者从其他主体处收回自己授予的权限但是 工作流系统中的终端用户并不是其所访问信息的所有者，对信息没有拥有权，真 正拥有信息的是组织。同时d a c 将赋予或取消访问权限的一部分权力留给用户， 这种级联授权使得系统安全管理员难以确定哪些用户对哪些数据具有哪些访问 权限，不利于实现统一的全局访问控制。故工作流系统的访问控制不应采用d a c b l p 模型和b i b a 模型分别是侧重与信息保密性和完整性的强制访问控制安 全模型( m a c ) 的典范，至今有着重要的指导意义但是其基于主体一客体的安全 级别，要求主体客体关系具有良好的层次结构，只允许信息从低安全级别的实 2 山东大学硕士学位论文 体流向高安全级别的实体，一般用于多级安全军事系统。由于在m a c 中高安全 级别的主体可以访问低安全级别的所有实体，故从控制粒度上讲不满足最小特权 原则。除此之外，工作流系统中相互协作的用户之间很难用固定的安全级别进行 划分，并且信息的流动除了纵向之外，还经常出现横向的、循环的、逆向的流动， 所以侧重于机密性保护、适合军用系统的m a c 也不适合工作流系统的访问控制。 近期的安全模型有c h i n c s cw a l l 模型【1 】和r b a c 、c - t m a c 、t b a c 等模型， 其c h i n e s ew a l l 安全模型适合一些防止合同欺诈的专门领域( 如证券行业) ，是商 业安全模型中一个经典的完整性安全模型，其安全策略的基础是客户访问的信息 不会与目前他们可支配的信息产生冲突，但此策略不适合与工作流技术结合。 r b a c 模型引入了角色，将权限和角色联系在一起，用户通过角色的指派获得相 应的权限以访问适当的客体。r b a c 安全模型在实现最小特权，职责分离和数据 抽象的同时，极大地方便用户对安全的管理。然而，在工作流环境中采用纯粹的 r b a c 模型仍存在着不足之处：( 1 ) r b a c 中的角色是一个比较长期的概念，但工 作流系统中的授权控制应该具有比较短期的特性。对于工作流系统中某些具有 。流动性”的数据对象，若采用r b a c 的静态授权，则系统难以及时准确地授 予、撤消用户和角色的权限，往往出现权限提前授予、用户拥有权限的时间比他 实际需要的时间长的现象，这是造成系统不安全的重要因素之一但是如果为了 解决这样的问题而频繁更换角色，显然违背了r b a c 易于系统安全管理的初衷 ( 2 ) r b a c 模型不能控制事件顺序。提出r b a c 模型的r a v is a n d h u 教授在 2 】中 指出：。必须注意的是，对于各种各样的访问控制需求，r b a c 模型并不是一个 万全之计当需要控制操作顺序时，就需要采用更复杂的访问控制形式 r b a c 模型并没有直接控制事件发生的权限。” t m a c 模型对r b a c 进行了扩展，引入了团队( t e a m ) 的概念，用来封装拥 有特定角色的用户的集合，以此为实体与客体交互来完成一项特定的目标任务 t m a c 模型定义了协同上下文( c o n t e x t ) 的两个重要方面用户上下文和客体 上下文而c n 谯c 模型又进一步扩展了t m a d ，将r b a c 、n 厦a c 和上下文 整合，其中应用的上下文信息比较全面，不仅仅包括用户和客体的诸如时间地点 等信息。这两种模型均具有支持环境状态的动态特性，但是缺乏各实体问的指派 关系管理，缺乏对复杂协同上下文信息的多维定义，如组织实体、工作流任务、 山东大学硕士学位论文 组的环境组件等。 t h o m a s ，r k ，和s a n d h u 在 3 ，4 】中提出了一种新的访问控制安全模型基 于任务的访问控制安全模型( t a a c 安全模型) ，该模型为基于工作流的安全模型 奠定了基础。t b a c 模型与传统的访问控制安全模型不同4 1 ，首先该模型是面向 应用的安全模型，而传统的安全模型是面向操作系统的；其次，该模型是动态的， 即访问控制权限只有在工作流系统中的任务开始才获得，任务结束之后则失去， 是一种实例运行需要时才执行的权限。而且，t b a c 将访问控制管理进一步推进， 其控制的粒度更细( 相对于r b a c ) ，它提供对工作流中任务的管理，任务的授权。 但是，t b a c 模型不适合大型企业的应用，因为工作流管理系统主要是应用于大 型企业的流程自动化管理，那么该系统的访问控制就会不可避免的牵涉到许多任 务以及用户的权限分配问题。但是此模型在授权时只是简单地引入受托人集合来 表示任务的执行者，类似于直接指定主体对客体访问操作，配置过于繁琐。所以， 有必要对这种机制进行改进，比如在模型中引入角色一类的概念简化其安全控管 t 作。 1 4 本文工作 本文针对目前各安全模型的不足，分析和研究大型组织的工作流运行环境中 访问权限问题。 第一，对现有的主流的访问控制策略进行系统地分析，比较其各自的优缺点 和在工作流系统中的应用情况。 第二，提出一种基于任务的工作流访问控制模型。它以基于角色的访问控制 为模型基础，通过任务授权实现权限的动态分配和收回 第三，将面向对象继承的思想引入到工作流角色层次机制中，解决工作流环 境中任务非完全继承问题；同时分析模型中的静态约束和动态约束，提出防止约 束冲突的规则并且提供相应的检测算法，对构造的工作流安全策略进行验证。 第四，设计和实现产权交易工作流管理系统，包括系统总体架构和主要功能 模块。 4 山东大学硕士学位论文 1 5 论文组织结构 第1 章阐述安全访问控制问题的意义，提出本文的研究背景、目标和本文 所做的工作。 第2 章主要研究当前访问控制领域的研究现状，分析几种主流安全模型的 特点和存在的问题。 第3 章在分析工作流管理系统的安全性需求和安全原则的基础上，提出基 于任务的工作流安全模型并进行形式化的描述。 第4 章针对角色层次中权限部分继承问题，提出面向对象的任务继承方式， 给出任务的划分方法和继承形式，并列出模型中的约束规则和冲突检测方法。 第5 章详细阐述本模型在具体项目中的应用。在具体工作流使用背景的基 础上进行需求分析，用u m l 进行设计描述，并实现相应的j 2 e e 体系结构。 第6 章对本论文进行总结，并展望下一步研究工作。 5 殊的计算机支持协同工作( c s c w ) 软件，它可自动或者半自动地按预先设计好的 流程进行执行、自动分配资源、协调参与者，达到自动高度和电子化管理等目标。 工作流管理系统抽象了这类分布式、协同工作的逻辑，建立起了一个业务流程协 同工作的软件系统。其基本特征以及这些主要功能之间的关系如图2 - - 1 所示： 6 过程设计和定义 构建阶段 过程分析定义和建模工具 三再磊夏 兰! 兰兰 过程实倒化和控制i 工作流执行服务 与用户和应用工具 之间的交互作用 过程改变 图2 - l 工作流管理系统的功能特征 应用程序和 盯工具 山东大学硕士学位论文 工作流管理系统一般包括以下三个主要功能， 1 ) 构建阶段的功能：对工作流过程以及组成它的活动进行定义和建模。 2 ) 运行阶段的控制功能：对工作流运行进行管理，以及对每个工作流过程 中的活动进行排序。 3 ) 运行阶段与用户和应用工具之间的交互作用。 2 1 2 工作流管理系统的参考模型 工作流技术的研究可追溯到2 0 世纪7 0 年代，但长期以来研究缺少统一的标 准与术语。为实现工作流管理系统的开放性与标准化，w f m c 发布了工作流管 理系统参考模型作为定制接口标准的基础，该模型将工作流管理系统抽象为六种 部件和五个标准接口【5 j ，由接口实现各部件与工作流运行服务协同工作。工作流 管理系统参考模型如图2 2 所示： 圈2 - 2 工作流管理系统参考模型 模型的各接口功能如下： 接口一：为过程定义输入输出接口，这个接口为在不同物理或电子介质之间 传递过程定义的信息提供了交互的形式和a p i 调用函数。 接口二：为客户端函数接口，该接口主要功能为通信建立、工作流定义操作、 过程实例管理、过程状态管理、任务项列表任务项处理、数据处理过程、过程 监控、管理及应用程序激活等。 接口- - - ：激活应用程序接口，该接口的主要功能为通信建立、活动管理、 7 时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问 权限授予其它用户。自主访问控制又称为任意访问控制。l i n u x , u n i x , w i n d o w s n t 或是s e r v e r 版本的操作系统都提供自主访问控制的功能。在实现上，首先 要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许 和限制用户使用客体的资源。主体控制权限的修改通常由特权用户或是特权用户 ( 管理员) 组实现。 但是在d a c 中，由于用户可以任意传递权限，那么，没有访问文件f i l e l 权限的用户a 就能够从有访问权限的用户b 那里得到访问权限或是直接获得文 件f i l e l ；因此，d a c 模型提供的安全防护相对比较低，不能给系统提供充分的 数据保护 2 2 2 姒c 模型 强制访问控制( m a c ，m a n d a t o r y a c c e s sc o n t r 0 1 ) 又称为基于格的访问控制 l b a c ( l a t t i c e b a s e d a c c e s s c o n t r 0 1 ) ，是基于主体和客体的安全标记来实现的一 种访问控制策略【6 毫- 9 1 0 1 。系统中的每个主体被分配到不同的具有安全调查权限 的域中，而系统中的每一个客体属于一个安全级别，这样的等级形成一个具有支 s 山东大学硕士学位论文 配关系的框架，比如可以分为绝密级、机密极、秘密级、无密级等。强制性访问 控制策略是体现在客体安全级别的敏感性上，而不是主体的行为属性。主体可以 访问一个文件，但是因为文件具有它自己的安全级别，所以在具体的应用环境中， 我们可以实现满足多种安全级别需要的m a c 安全模型。在b e l l l a p a d u l a 模型 陋l 中，仅当主体对某一客体具有支配权时，它对该客体享有读许可权；仅当客体 被某一主体所支配时，它对该客体享有写许可权，这被称为下读上写b i b a 模 型【l 川考虑的是完全相反的情况( 上i 卖- f 写) 。在m a c 模型中，只有当两个实体 处在同一级别上时，才可以进行双向通信或通过被信任中间体进行通信，这样就 可以利用上读厂f 写来保证数据完整性，利用下读上写来保证数据的保密性，并 且通过这种梯度安全标签实现信息的单向流通。 强制访问控制的优点是管理集中，根据事先定义好的安全级别实现严格的权 限管理，因此适宜于对安全性要求较高的应用环境。美国军方就一直使用这种访 问控制模型。但这种强制访问控制太严格，实现工作量太大，管理不便，不适用 于主体或客体经常更新的应用环境。 2 2 3r b a c 模型 基于角色访问控制( r b a c ) 模型【1 1 i 是目前国际上流行的先进的安全访问控制 方法。它通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配 规则安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根 据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部 分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限 的逻辑分离r a v is a n d h u 等人于1 9 9 6 年提出了著名的r b a c 9 6 模型2 i ，将传 统的r b a c 模型根据不同需要拆分成四种嵌套的模型并给出形式化定义，极大 的提高了系统灵活性和可用性1 9 9 7 年提出了一种分布式r b a c 管理模型 a r b a c 9 7 p 2 , 1 3 l ，实现了在r b a c 模型基础上的分布式管理这两个模型清晰的 表征了r b a c 概念并且蕴涵了他人的工作，成为r b a c 的经典模型。绝大多数 基于角色的访问控制研究”4 , 1 5 , 1 6 , 1 7 1 都以这两个模型作为出发点 山东大学硕士学位论文 图2 - 4s r b w f 概要模型 任务集t t ，任务实例集t i ； 操作集o p = e x e c u t e ，c o m m i t ，a b o r t ； 状态集s = i n i t i a l ，e x e c u t i n g ，c o m m i t t e d ，a b o r t e d ； 可能的操作p o s s i b l e o p c r a t i o n s = ( i n i t i a l ，e x e c u t e ) ，( e x e c u t i n g ，c o m m i t ) ， ( e x e c u t i n g ，a b o r t ) ) ； 状态转换集t = ( i n i t i a l ，e x c c u t o ，e x e c u t i n g ) ，( e x e c u t i n g ，c o m m i t ， c o m m i t t e d ) ，( e x e c u t i n g ，a b o r t ，a b o r t e d ) ； 当前状态集c u r r e n t s m m ( 田表示任务实例t i 的当前状态； 另外，j b a r l d y 根据r b a c 的基本思想设计了利用r b a c 进行访问控制的工 作流系统，并详尽地说明了r b a c 在系统中的工作方式p 7 】。作为工作流程的设 计基础，r b a c 访问控制模型成为工作流管理系统的基本组成部分 2 2 3 3r b a o 模型的特性分析 r b a c 的优势体现在如下几个方面： ， 1 ) 简化了授权管理传统的访问控制实现方法通常是直接为每个用户赋予 一组权限，将用户和访问权限直接联系起来。安全管理处于较低层次，复杂、易 错开销大，且容易出现一些意想不到的安全漏洞而在r b a c 中，角色作为 一个桥梁，沟通于用户和资源之间具有面向实际应用的优点，它有效地克服了 传统存取访问控制中存在的不足之处，可以减少授权的复杂性，降低管理开销， 尤其适合作为大型商务系统和组织管理系统中的安全访问控制机制。对用户的访 问授权转变为对角色的授权，然后再将用户与特定的角色相关联，一旦r b a c 系统建立，主要的管理工作即授权或取消用户的角色 山东大学硕士学位论文 i 置量邕量罾曼量蔓曼曼曼曼曼曼曼目舅曼曩e 曼曼曼鼍量舅曼旨曼曼詈暑量曼曼曼曼舅曼曼暑曼曼量鼍曼曼曼量曼量鼍鼻詈曼詈鼍暑詈! 詈暑詈晕 展了此方法。将r b a c 、t m a c 和上下文整合，其中使用的上下文信息比较全 面，不再仅仅包括用户和客体的诸如时间地点等。c - t m a c 包括五个集合，角 色集、用户集、上下文集、权限集和上下文集。团队( t e a m ) 描述为一个独立 的实体，用作用户访问上下文的媒介。即当拥有不同角色的组用户的上下文要访 问其他上下文信息如时间、地点等资源和环境因素时，团队就充当中介者。团队 成员可以拥有的权限受到成员组织角色的限制，模型使用基于时间、位置等特定 因素激活安全的方式来限制对特定客体的访问。因此，这是一个组用户与访问上 下文相结合的访问控制模型。 这两种模型均具有支持上下文的动态特性，但是缺乏各实体间的指派关系管 理，缺乏对复杂协同上下文信息的多维定义，如组织实体，工作流任务、组的环 境组件等 2 2 5t 队c 模型 基于任务的访问控制( t a s l 【b a s c da c c e s sc o n t r o l , t b a c ) 【辅爿弼是一种新的 安全模型，从应用层和企业层角度来解决安全问题( 而非以往从系统的角度) 它 从任务( 活动) 的角度来建立安全模型和实现安全机制，在任务处理的过程中提供 动态实时的安全管理。在t b a c 中，对象的访问权限控制并不是静止不变的， 而是随着执行任务的上下文环境发生变化，是一种主动安全模型 2 2 5 1t b c 模型结构 1 1 3 a c 模型的基本概念及其形式化定义如下； ( 1 ) 授权步( a a t h o r i z a t i o n ss t e p ) 表示一个原始授权处理步，是指在一个工作 流程中对处理对象( 如办公流程中的原文档) 的一次处理过程它是访问控制所能 控制的最小单元授权步主要组成有：授权步名称( s t e p - n a m e ) 、进程状态 如饿岱咖g - s t a 妫：当前进程状态、保护态( p r o t e c t i o n - s t a t e ) 、受托人集( t r u s t e e - s e t ) 、 执行委托人集( e x e c u t o r - t r u s t e e ) 、任务句柄( t a s k - h a n d l e ) 山东大学硕士学位论文 图2 - 6 授权步 如图2 - 6 所示，当授权步初始化后，一个来自受托人集中的成员，即执行委 托者，将被授予授权步，该受托人执行授权步过程中所需许可的集合称为执行者 许可集。在t b a c 中，一个授权步的处理可以决定后续授权步对处理对象的操 作许可，我们将这些许可称为激活许可集。执行者许可集和激活许可集一起称为 授权步的保护态由于任何授权都有时间期限，所以每个授权步都有有效期和生 命期。 ( 2 ) 授权结构体( a u t h o r i z a t i o nu n i t ) 。授权结构体是由一个或多个授权步组成 的结构体，它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原 子授权结构体一般授权结构体内的授权步依次执行，原子授权结构体内部的每 个授权步紧密联系，其中任何一个授权步失败都会导致整个结构体的失败。 ( 3 ) 任务( t a s k ) 。任务是工作流程中的一个逻辑单元。它是一个可区分的动作， 可能与多个用户相关，也可能包括几个子任务在实际工作中，一个任务包含如 下特征：( a ) 长期存在；c o ) 可能包括多个子任务；( c ) 完成一个子任务可能需要不 同的人这里，我们确定任务与授权结构体的联系授权结构体是任务在计算机 中进行控制的一个实例任务中的子任务，可以对应于授权结构体中的授权步 ( 4 ) 依赖( d c p e n d e l l c y ) 。依赖是指授权步之间或授权结构体之间的相互关系， 包括顺序依赖、失败依赖、分权依赖和代理依赖，依赖反映了基于任务的访问控 制的原则。 在t b a c 中，授权需用五元组( s ，o , p , l , a s ) 来表示。其中s 、o 、p 的意义同前， l 表示生命期( 1 i f c c y c l e ) ，a s 表示授权步，p 是授权步a s 所激活的权限，而l 则是授权步a s 的存活期限l 和a s 是t b a c 不同于其他访问控制模型的显著 特点。在授权步a s 被触发之前，它的保护态是无效的，其中包含的许可不可使 用当授权步a s 被触发时，它的委托执行者开始拥有执行者许可集中的权限， 1 4 山东大学硕士学位论文 同时它的生命期开始倒记时。在生命期期间，五元组( s ，o , p , l , a s ) 有效。当生命 期终止，即授权步a s 被定为无效时，五元组( s ，o , p , l , a s ) 无效，委托执行者所拥 有的权限被回收。 。 图2 7 授权步内部状态 另外，授权步不是静态的，而是随着处理的进行动态地改变内部状态。对一 个授权步的内部状态，可以用一个状态变迁图来表示，如图2 7 所示。授权步的 状态变化一般自我管理，依据执行的条件而自动变迁状态，但有时也可以由管理 员进行调配。授权步的生命期、许可的次数限制和授权步的自我动态管理，三者 形成了t b a c 的动态授权。 各状态的意义如下： ( 1 ) 睡眠状态( a o r m a m ) ，表示授权步还未生成； ( 2 ) 激活状态( i n v o k e d ) ，表示授权步被请求激活，此时授权步已经生成； ( 3 ) 有效状态( v a l i d ) ，表示授权步开始执行，随着权限的使用，它的保护态发生 变化： ( 4 ) 挂起状态( h o l d ) ，表示授权步被管理员或因执行条件不足而强制处于挂起 状态，它可以被恢复成有效状态，也可能因生命周期用完或被管理员强制为无效状 态： 、 ( 5 ) 无效状态( i n v a l i d ) ，表示授权步已经没有存在的必要，可以在任务流程中 删除 2 2 5 2t b a c 模型的特性分析 具体说来，t b a c 有两个重要特性： ( 1 ) 它是在工作流的环境中考虑对信息的保护问题。在工作流环境中，每一 步对数据的处理都与以前的处理相关，相应的访问控制也是这样，因而t b a c 1 5 山东大学硕士学位论文 是一种与上下文相关的访问控制模型。 ( 2 ) 它不仅能对不同工作流实例实行不同的访问控制策略，而且还能对同一 工作流的不同任务实例实行不同的访问控制策略。这是“基于任务”的含义，所 以t b a c 又是种基于实例( i n s t a n c e ，b a s e d ) 的访问控制模型。 但是，t b a c 模型不适合大型企业的应用，因为工作流管理系统主要是应用 于大型企业的流程自动化管理，那么该系统的访问控制就会不可避免的牵涉到许 多任务以及用户的权限分配问题，而t b a c 只是简单的引入受托人集合来表示 任务的执行者，而没有论及怎样在一个企业环境中确定这样的受托人集。这样的 系统虽然可以运作起来，也达到了基于任务授权、提高安全性的目的，但是这种 情况类似于r b a c 出现之前应用的两层访问控制结构( 这种模型直接指定主体对 客体访问操作) ，却在运行时存在配置过于繁琐的缺点。所以，有必要对这种机 制进行改进，比如在模型中引入角色一类的概念简化其安全控管工作。 哩3 访问控制模型分析与比较 在详细分析了几种主流访问控制模型的基础上，可总结其特点如下： 表2 - l 几种主流访问控制模型的特性和优缺点 ， 传统的自主访问控制模型、强制访问控制模型以及基于角色的访问控制能够 较好地实现了系统的安全授权策略，但是三者都是建立在主体一客体访问控制思 想上的。它们的静态授权不能与应用中的工作流程紧密相联j 艮难及时而准确的 进行权限的授予和回收；基于上下文的组访问控制( c 1 n 队c ) 将上下文、角色和 1 6 山东大学硕士学位论文 团队“e 锄) 集成为一个实体，实现组织内基于环境信息的协同，但是缺乏各实体 间的指派关系管理；基于任务的访问控$ i j ( t b a c ) 实现了动态授权的基于工作流 的访问控制技术，但是其授权策略复杂，且没有考虑角色的划分，在用户权限的 管理上不够完善。因此需要结合多种访问控制技术的优势进行大型企业工作流系 统的安全配置。 2 4 本章小结 本章主要介绍了工作流安全访问控制的基本知识。介绍了工作流管理系统的 基本概念，和目前访问控制领域的当前研究现状，分别介绍了d a c ，m a c ，r b a c ， t m a c 和t b a c 等访问控制策略，并对其中的r b a c 和t b a c 模型核心概念、 模型结构进行了详细讨论。在研究分析各自特征的基础上，讨论了r b a c 与 t b a c 在工作流系统中的应用，分析了这两种访问控制策略在工作流系统应用中 的局限性。 1 7 支持普遍的业务规则，包括职责分离约束。 满足动态授权的需求 山东大学硕士学位论文 图3 - 2t - w f a c 模型满足的需求 上述需求可以形象地表示为图3 - 2 所示，企业环境中对访问控制的需求包 括被动的访问控制和主动访问控制两个方面。所谓被动访问控制是指如果主体对 某客体有访问操作请求，而且主体拥有操作权限，那么提供访问操作；所谓主动访 问控制，即对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文 环境发生变化，它更多的从活动或任务的角度看待安全和实施的控制问题，其控 制机制用于任务运行期间的管理，包含任务之间的一些访问，授权关联关系，比 如只有当任务a 被授权访问后，任务b 才能被授权访问。 3 2t - f f f a c 模型结构 在分析大型企业环境的主要特征的基础上，本文针对工作流兼具静态性和动 态性的特点，提出基于任务的工作流安全访问控制模型t - w f a c ( t a s k - b a s e d w o r k f l o wa c c e s sc o n t r o lm o d e l ) t w f a c 建立在广泛应用的r l ；a c 模型基础之 上，r b a c 模型已经发展成熟，因此选择r b a c 作为t - w f a c 模型的基础可以 确保新模型的先进性和客观性 本文将工作流系统的最小工作单位任务加入到r b a c 模型中，是对传 统r b a c 模型的动态扩展，如图3 - - 3 所示在t - w f a c 模型中，用户对资源的 访问权限受到资源本身状态的约束，从而实现工作流运转过程中权限的动态激 活。t - w f a c 模型是在工作流环境中保护数据，不仅与用户和资源对象有关，还 与工作流中任务、工作流进程上下文有关同时，t - w f a c 模型不是静态、孤立 地保护资源，而是根据数据的流动情况和使用情况及时更新授权信息，不仅能够 对不同工作流实行不同的访问控制，而且能对同一工作流的不同任务实例实行不 ， 1 9 t - w f a c 模型图中的虚线所表示的指派关系在工作流配置阶段进行，其在 实际工作流运行过程中由实线部分来执行，即角色只能执行任务实例，也只有任 务实例才真正拥有任务所对应的权限，这就保证了角色在任务执行期间的权限赋 予和任务非执行期间的权限撤销。 3 3t - w f a c 模型形式化描述 3 3 1 模型元素定义 根据图3 3 所示，i 二w f a c 由以下模型元素组成： 【定义3 1 】用户( u s e r ) 是一个可以对计算机系统中的数据对象进行独立访 问的主体。用户既可以是自然人，也可以是具有自主行为