（计算机软件与理论专业论文）基于角色的工作流系统访问控制模型的研究.pdf

硕士学位论文 摘要 随着企业信息系统的发展，工作流系统的访问控制问题越来越引起研究者的关注。 目前，在基于工作流的访问控制技术中大都采用以角色为基础的访问控制模型。当前研 究的一个主要工作是在r b a c 参考模型之上扩展的表达能力，然而其重点几乎都集中在 对权限和角色的表达能力的扩展上，对于用户( u s e r ) 却很少有深入的研究。 一个应用软件系统开发的目的就是为特定问题域中的用户提供所需的特殊服务，使 用户通过人机交互能安全高效地履行其角色的职责。因此，扩展用户集的表达能力是一 个非常值得关注的重要问题，尤其是在基于工作流的访问控制技术中，而当前的研究几 乎都忽略了这一点。此外，在r b a c 应用于诸如工作流系统的研究中，很少考虑企业组 织结构对r b a c 实现的影响，对于企业信息系统中角色和权限的特点也未作研究，而如 何设置角色与权限对一个实际系统实施基于角色的访问控制起着至关重要的作用。 本论文对工作流系统访问控制技术进行了较深入的研究。通过分析影响工作流系统 访问控制的各种因素，在借鉴传统访问控制模型的基础上，从用户角度出发，引入企业 人员的组织方式，提出了基于用户集扩展的角色访问控制模型，从而扩展了用户集的表 达能力、考虑了企业组织结构对访问控制实现的影响，并以此为基础，将静态和动态授 权融合在同一个访问控制系统之中，进而结合了当前被动和主动安全模型的优点。 访问控制的实现是本文的另一个研究重点。通过较深入的研究与分析目前各种不同 的实现访问控制的方法，本文针对被动式的基于角色访问控制在企业环境中的应用，设 计出了一种基于加密权限代码的访问控制方法，并利用加密技术，以提高权限数据的安 全性。文中结合信息系统开发实例，详细介绍了该方法在被动式的基于角色访问控制中 的实现原理及其使用方法。 最后，对该方法在主动式的基于任务访问控制中的应用进行了探讨。该方法已应用 于旅馆业治安管理信息系统，此软件已通过公安部安全与警用电子产品质量检测中 心( 公京检0 6 2 0 3 8 号) 的检测，且在应用中取得了较好的效果。 关键词：角色访问控制模型；用户集；静态授权；动态授权；加密；工作流系统 基于角色的工作流系统访问控制模型的研究 a b s t r a c t w i t ht h ed e v e l o p m e n to fe 1 1 t e 叩一s ei n f o m a t i o ns y s t e m ，a c c e s sc o n t r o lp r o b l e m sf o r w o r k n o ws y s t e ma t t r a c tm o r ea n dm o r ea t t e n t i o n so fr e s e a r c h e r s a tp r e s e l l t ，r o l e b a s e d a c c e s sc o n 缸0 lm o d e li sm a i l l l ya d o p t e di nw o r k n o w 七a s e da c c e s sc o n 怕l t e e h n 0 1 0 9 y t h e m o s ti m p o r t a i l tt a s ki se x p a n d i n gt h ee x p r e s s i o na b i l i t yb a s e do nt l l ec u r r e n tr b a cr e 衔e 1 1 c e m o d e l ，b u tt h et a s ka l m o s ta l w a y sf o c u s e so nm ee x p r e s s i o na b i l i t yb a s e do np e n i l i s s i o na n d r o l en l u c hm o r et h a nu s e r s e t t h ea i mo fe x p l o r i n ga na p p l i c a t i o ns o r w a r es y s t e mi st op r o v i d es p e c i a ls e i c ef o ru s e r s i ns p e c i a ld o m a i n ，w h e r eu s e r sc a nc a r r yo u tt h e i rr e s p o n s i b i l i 锣s e c u r e l ya n de 煎c i e n t l y 够a p a n i c u l a rr o l e o u g hm a i l m a c h i n eh l t e r a c t i o n t h e r e f o r e ，t oe x p a n dt l l ee x p r e s s i o na b i l i t ) r o f 廿1 eu s 肾s e ti sav e d ，i m p o r t a l l ti s s u e 砌c hm u s tb ep a i dm u c hm o r ca 竹e 1 1 t i o nt o ，e s p e c i a l l y i nw o r k f l o w - b 嬲e da c c e s sc o n t r o l t e c i l i l o l o g y i ti sap i t yt h a tr e s e a r c h e r so v e r l o o kt h i sp o i n t f u n h e n i l o r e ，i nm er e s e a r c ho fr b a c 印p l i c a t i o n ，l i k ew o r k f l o ws y s t e m ，f e wr e s e a r c h e r s l i i l ko v e rm ee 虢c to fr b a cd u et oi m p l e i i l e n td u et 0e n t 唧r i s eo r g a i l i z a t i o ns t n l 曲l r e 。1 1 1 e y i 伊o r et 1 1 ec h a r a c t 嘶s t i co fp e n l l i s s i o na i l dr o l ei ne n t e 印r i s ei n f o 肌a t i o ns y s t e m ，w 蛐eh o w t 0 s e tr o l e 锄dp 锄i s s i o np l a yav e 叮娜o r t a i l tr o i e i nar e a ls y s t e m 砌c hi i n p i 锄e n t r 0 1 e b a s e da c c e s sc o n t i 0 1 h lt l l i sp 印m a i l yr e s e a r c hw o f k sh a v eb e e l ld o n eo nt l l e 仃a d i t i o n a la c c e s sc o n 们l t e c h 0 1 0 百e si nw o r k f l o w m a n a g e m e l l ts y s t e m b ya n a l ) r z i n gf a c t o r sr e l a t e dt oa c c e s sc o n 仃o l i i lt h ee n t e r p r i s ee n v i r o r l i l l 印t ，a 1 1 dp r e s e n t i n go r g a l l i z a t i o n a ls 仃u 曲l r e ，at a s k - r o l e - b 嬲e d a c c e s sc o n 仃0 1m o d e lw i me x p 觚d c du s e rs e ti si n t l o d u c e db a s e d0 nu s i n gm em o d e lo f 仃a d i t i o n a la c c e s sc o n t r o lf o rr e f e r e n c e a sar e s u l t ，t h ee x p r e s s i o na b i l i t yo fl l s e r - s e ti s e x p a l l d e da 1 1 dm ee 日e c t o fa c c e s sc o n 仃d li m p l 锄e n ti st h o u g h to v e rd u et oe i l t e 印一s e o 玛a n i z a t i o n s t n l c 仙r e f u n h e n n o r e ， b yi n t e 乒a t i n gs t a t i c 硼t l l o r i z a t i o na n dd y l l 锄i c a u t l l o n z a t i o ni nt l l es 锄ea c c e s sc o n t r 0 1s y s t e m ，m en e wm o d e lc o m b i n e st h em e r i to f p a s s i v e a n da c t i v es e c u r i t ym o d e l t h ei m p l e m e n t a t i o no fa c c e s sc o n t r o l i s 锄o t h e re m p h a s i si n l er e s e a r c ho ft h i sp 印既b y r e s e a r c i l i n ga 1 1 d 锄a l y z i n gv 撕o u si m p l e m e n t a t i o nm e m o d so fa c c e s sc o n t r o l ，a 1 1a c c e s s c 0 n t r o lm e m o db a s e do ne n c r y p t e da u t h o r i z a t i o nc o d ei sp u tf o r w a r dt om e e tt h er e q m r e m 锄 o fa p p l i c a t i o n 内rp 警s i v er o l e - b a s e da c c e s sc o n t r o li nt h ee i l t e 巾r i s ec i r c u m s t a n c e e n c 哪t e d t e “o l o g yi s a l s oi n c o 巾o r a t e di n t ot h i sm e t h o dt o s 的a g lm es e c u r i 够o fd a t a n e r e a l i z a t i o nt l l e 0 巧锄da c c e s sm e c h a i l i s mo fm em e t h o di 1 1p 船s i v er 0 1 e - b a s e da c c e s sc o n t r o l i i 硕十学位论文 a r ce l a b o r a t e db ya i li i l f o 肌a t i o ns y s t 锄d e v e l o p m e i l te x 锄p l e t h ea p p l i c a t i o ni na c t i v et a s k - b a s e da c c e s sc o n 缸o lo ft h em 甜1 0 di sa l s od i s c u s s e di nt h e e i l d t 1 l em 甜1 0 dw a sa p p l i e di nm a i l a g 咖e i l ti n f o 锄a t i o ns y s t e mo nt h ep u b l i cs e c 面t yo f h o t e l t l l es y s t e ma c h i e v e de x 锄i n a t i o l l so fp 0 1 i c es e c u r i t y & e l e c 仃o n i cp r o d u c t i o nq u a l 埘 e x a m i n a t i o nc e n t e “g j j0 6 2 0 38 ) a n di ta c h i e v e sb e t t e re f r c c ti nt h e 印p l i c a t i o n 1 ( e y w o r d s ： r o l e - b 2 l s e da c c e s sc o n 缸o li n o d e l ；u s e rs e t ： s t a t i c a u t h o r i z a t i o n ； d ) ，i l 锄i c a u m o r i z a t i o n ；e n c r ) ，p t i o n ； w o r k f l o ws y s t e l l l i i i 基于角色的丁作流系统访问控制模型的研究 插图索引 图2 1 工作流基本概念之间的关系7 图2 2 工作流参考模型9 图2 3 工作流管理系统体系结构一1 2 图2 4 工作流管理系统的特性1 2 图2 5r b a c 9 6 模型1 8 图2 6n i s tr b a c 参考模型1 8 图2 7 授权步1 9 图2 8t b a c 模型。2 0 图3 1 访问示意图。2 2 图3 2 简化的t r b a c 模型2 4 图4 1 组织抽象模型2 6 图4 2u e t r b a c 模型2 8 图4 3 实现框架 图5 1 分配权限 图5 2 权限设置 图5 3 二级权限设置 i v 3 1 3 5 3 5 3 6 硕十学何论文 附表索引 表3 1 访问控制需求因素2 1 表3 2 主要特征与缺点对比表2 3 表5 1 三种数据库表结构3 7 v 兰州理工大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的 研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均 已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名：关五风萄 日期：。渤年占月j 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同 时授权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据 库，并通过网络向社会公众提供信息服务。 黧i 潋象 导师签名：钣争 日期：却驴牌6 月j 日 日期：川年月日 硕+ 学位论文 1 1 课题背景与意义 第1 章绪论 在计算机和网络使用得越来越广泛的今天，工作流管理系统正在吸引来自研究机构 及产业界越来越多的关注。与此同时，随着计算机和互联网领域的迅速发展，现代信息 系统的分布性、异构性和自治性的特征越来越显著，相应的信息资源也分布在异构的计 算机环境中，信息源之间的连接表现出松散耦合的特点，在这种大规模分布式环境下对 工作流管理系统的安全问题也越显突出。 工作流管理联盟在工作流安全白皮书乜1 中指出，工作流的基本安全问题包括认证 ( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 、审计( a u d i t ) 、 数据保密性( d a t ap r i v a c y ) 、数据完整性( d a t ai n t e g r i t y ) 、防否认( n o nr e p u d i a t i o n ) 、 安全管理( s e c u r i t ym a n a g e m e n t a d m i n i s t r a t i o n ) 等。而其中针对独立的安全域中安 全的授权访问服务需求是最为迫切的，这是因为，在工作流运行时将会产生或流转很多 的数据，同时系统存在大量的用户，因此确保工作流中数据的安全访问是至关重要的。 所以，访问控制是工作流管理系统设计中的关键环节，是系统安全的重要保障。 访问控制( a c c e s sc o n t r 0 1 ) 是通过某种途径显式地准许或限制访问能力及范围的 一种方法，既可以限制对关键资源的访问，也能够防止非法用户的侵入或者因合法用户 的不慎操作所造成的破坏。访问控制系统一般包括：主体( s u b j e c t ) ，发出访问操作、 存取要求的主动方，通常指用户或用户拥有的某个进程；客体( o b j e c t ) ，被调用的程序 或需要访问的数据；访问控制策略( a c c e s sc o n t r 0 1p o l i c y ) ，一套对系统访问控制的 规则，用以确定一个主体是否对客体拥有访问能力。其中，访问控制策略是访问控制的 核心，在系统安全策略级上表示为授权。一般地，访问控制策略有3 种：自主访问控制， 强制访问控制和基于角色的访问控制。实现方法有：访问控制表，访问能力表和授权关 系表。对访问控制的研究，通常是利用访问控制模型来进行地。访问控制模型是一种从 访问控制的角度出发，描述安全系统，建立安全模型的方法，它定义了主体、客体、访 问是如何表示和操作的，并决定了授权策略的表达能力和灵活性。 近2 0 年来，在实现安全的授权访问服务方面的访问控制机制的研究已取得了很大 的成果，提出了许多访问控制模型。早期比较著名的访问控制模型有d 1 ：h r u 模型、 t a k e g r a n t 模型、自主访问控制模型( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ，d a c ) 和强制访 问控制模型( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 等。随着应用复杂的度的不断提高，传 统的访问控制越来越显现出其局限性，其几乎静态化的“个体资源”控制口1 ，已经 无法适应复杂多变的应用系统( 例如：资源的变动，人员的变动等) ，以及系统任务之 基丁角色的t 作流系统访问控制模犁的研究 间相互协调和关联关系。在这种情况下，1 9 9 2 年，f e r r a i o l o 和k u h n 提出的基于角色 的访问控制模型( r 0 1 e _ b a s e da c c e s sc o n t r 0 1 ，r b a c ) ；1 9 9 3 年，s a n d h u 和t h o m a s 提 出的基于任务的访问控制( t a s k _ b a s e da c c e s sc o n t r 0 1 ，t b a c ) 等一些较为主动型的访 问控制方式，被广泛的采纳。前者是从系统角度出发保护资源，后者是从应用和企业层 角度出发解决安全问题。 目前，工作流的权限控制层，比较普遍的方式有两种h 1 ：以任务为基础的授权控制 模型( t a s k b a s e da u t h o r i z a t i o nm o d e l ) 和以角色为基础的访问控制模型( r 0 1 e b a s e d a c c e s sc o n t r 0 1m o d e l ) 。前者的缺陷是：没有将角色与任务清楚地分离开来：不支持 角色的层次等级；不支持被动访问控制。后者的缺陷是：授权是静态的，在执行任务之 前，主体就拥有权限，没有考虑到操作的上下文；而且，主体一旦拥有某种权限，在任 务执行过程中或任务执行完后，会继续拥有这种权限，这显然使系统面临极大的安全威 胁。为了清晰地表达用户数据的控制机制，兼顾上述两种模型，无疑会使访问控制具有 更大的灵活性。在这一方面，2 0 0 3 年，s e j o n go h 和s e o gp a r k 提出了一种基于任务和 角色的访问控制模型( t a s k r o l e b a s e da c c e s sc o n t r o l ，t r b a c ) 畸1 ，它是通过在r b a c 9 6 模型( 1 9 9 6 年由r a v is a n d h u 等人提出的r b a c 模型的一个比较完整的框架，现已得到信 息安全领域的广泛接受。) 中加引入任务集( t a s k s ) 、任务实例集( t a s ki n s t a n c e s ) 和任 务上下文( t a s kc o n t e x t ) 的概念，将传统的u s e r r 0 1 e p e r m i s s i o n 权限赋予结构修 改为u s e r r o l e t a s k p e r m i s s i o n 权限赋予结构，从而建立的访问控制模型。但是， 在r b a c 应用于工作流系统的研究中，很少考虑企业组织结构对r b a c 实现的影响，对于 企业信息系统中角色和权限的特点也未作研究，而如何设置角色与权限对一个实际系统 实施基于角色的访问控制起着至关重要的作用，本课题正是基于此需求提出的。 1 2 国内外研究现状 在过去开发工作流管理系统时候，大家主要关注的是工作流引擎的设计和实现，对 于工作流系统的安全问题研究比较少。但是，随着工作流技术正在应用到越来越多的行 业中，对工作流管理系统的安全问题也越显突出。目前，基于角色的访问控制、基于任 务的访问控制，以及基于角色和任务的访问控制是比较常见的工作流系统访问控制模 型。其中，基于角色的访问控制比较成熟，是使用最广泛的一种安全访问模型，其实现 简单，安全管理上也很便利，成为当前工作流安全模型研究的热点。目前对于r b a c 的 研究较为深入的有美国g e o r g em a s o n 大学的r a v is a n d h u 等人和以n i s t 研究会的 j o h nf b a r k l e y 为首的d a c 研究小组。 1 2 1 国外研究现状 ( 1 ) 理论研究的发展 1 9 9 2 年，d f e r r a i o l o 和r k u h n 在美国国家标准技术局所举办的计算机安全 硕十学位论文 研讨会中，发表了一篇名为“r 0 1 e 咄a s e da c c e s sc o n t r o l ”的文章，这是r b a c 系列文 献中第一篇以r b a c 为命名的文章。此后，陆续有许多学者在国际期刊、研讨会中，发 表相关的文章。 1 9 9 6 年，美国乔治梅森大学( g e o r g em a s o nu n i v e r s i t y ) 的r s a n d h u 在i e e e c o m p u t e r 期刊上发表了经典文献“r o l e b a s e da c c e s sc o n t r 0 1m o d e l s ”，提出了著名 的r b a c 9 6 模型，成为r b a c 模型发展的基础。在s a n d h u 的文章哺1 中，将r b a c 用模块的 方式来表示，将r b a c 分成r b a c 0 、r b a c l 、r b a c 2 、r b a c 3 四个模块，从而全面地描述了 r b a c 所内含的概念。 1 9 9 7 年，s a n d h u 提出a r b a c 9 7 模型，即r b a c 管理模型，提供对r b a c 9 6 模型中的 各元素进行管理的策略。 2 0 0 0 年，美国国家标准技术局的r a v is a n d h u 、d a v i df e r r a i o l o 和r i c h a r dk u h n 三位作者发表了“t h en i s tm o d e lf o rr 0 1 e b a s e da c c e s sc o n t r 0 1 ：t o w a r dau n i f i e d s t a n d a r d 。该文对过去学术界以及美国国家标准技术局在r b a c 领域的研究成果做了总 结，也提出了r b a c 最新的定义与理论模型。其将r b a c 模型分为几个部分，包括核心r b a c 、 层次式r b a c 、限制式r b a c 。其中限制式r b a c 又可分为静态权责区分( s t a t i c s e p a r a t i o n o f d u t yr e l a t i o n s ) 与动态权责区分( d y n 锄i cs e p a r a t i o n o f _ d u t y r e l a t i o n s ) 两种方式，是为了在存取控制的过程中避免发生滥用职权，而加入的管制与 限制方法。 2 0 0 1 年，美国国家标准与技术研究所提出标准的r b a c 参考模型n i s tr b a c ，并于 2 0 0 4 年2 月被确立为a n s ii n c 工t s3 5 9 美国国家标准口1 。n i s tr b a c 参考模型分成基本 r b a c 、等级r b a c 和约束r b a c 三个子模型，还包括功能规范，分为管理功能、系统支持 功能和审查功能等。 目前对访问控制的研究，自从基于角色的访问控制出现以来，绝大多数的新的模型 都是在此基础上进行扩展，仍然没有扩展到角色概念之外。 ( 2 ) 应用研究 自提出r b a c 模型，并把角色引入访问控制机制以后，r b a c 的应用系统得到了一定 的发展，系统结构也日趋完善，现在比较成熟的有以下两种： 以使用者端为主的结构( u s e r p u l la r c h i t e c t u r e ) 当使用者要存取资源时，必须由使用者主动向角色服务器请求获取角色信息，然后 提供给网页服务器，作为判断是否有权限存取的依据。 以服务器端为主的结构( s e r v e r p u l la r c h i t e c t u r e ) 本结构将角色信息存储于服务器端的目录服务器中，当使用者要求存取资源时，网 页服务器必须向目录服务器取得角色信息，加上原来就存储在服务器端角色层级信息、 权限信息，来判断该使用者是否具备存取某资源的权限。 从1 9 9 5 年起便开始有与r b a c 相关的专利申请，其中多半是提出r b a c 相关的应用。 基于角色的r t 作流系统访问控制模犁的母f 冗 以专利号6 ，0 8 8 ，6 7 9 为例，专利名为“w o r k f l o w 衄n a g e m e n te m p l o y i n gr o l e - b a s e d a c c e s sc o n t r 0 1 ，其内容主要是提出工作流程的模型，并且在每一个流程节点中加上 对于角色职权的存取控制卷标，间接将r b a c 应用于工作流程管理上 1 2 2 国内研究现状 在国内，由于计算机技术的相对滞后，对访问控制的研究仍然落在国外之后，而且， 在基于角色的访问控制的基础上也很少提出自己的新的模型陋1 。目前，国内研究人员对 访问控制的主要研究领域在于基于工作流的访问控制技术。 理论上，近几年随着r b a c 成为安全访问控制研究的热点，国内的研究人员逐渐开 始重视其研究和发展。先后在r b a c 9 6 模型的基础上提出新型r b a c 模型( n r b a c ) 、基于 业务流程和角色的访问控制模型( w r b a c ) ，以及在r b a c 9 7 模型的基础上提出基于角色的 多级访问控制模型( r b m h a c ) 等阳1 。n r b a c 模型具有接近现实世界和形式统一的优点，可 以采用一种新的r b a c 实现机制，即基于时间戳和数因子分解的二进制双银一锁对 ( t p b 一2 一k l p ) 访问控制方案实现。w r b a c 模型结合了r b a c 9 6 模型和r b a c 9 7 模型，并引入 业务工作流对象，描述了业务工作流对象对访问控制操作的影响。r b m h a c 模型引入“域” 的概念描述角色之间的组合关系，并在此基础上实施授权管理和权限验证，以模拟现实 世界中等级式权限体制。此外，基于角色的动态访问控制的研究现在也有很多文献提出， 绝大多数都是基于工作流的，在工作流过程中，角色动态转换的过程就是基于角色的动 态访问控制。 应用上，更多的国内研究人员将注意力集中到r b a c 模型实现及应用的研究上n 们1 1 4 3 。 针对不同的信息系统，提出了相应的实现方案，研究最多的是在c s 和b s 结构的信息 系统中，如何实现基于角色的安全访问控制方案，以及w e b 环境下的基于安全访问控制 机制的实现。 目前，国内研究人员提出的工作流访问控制模型，有将r b a c 模型直接应用于工作 流系统，有使用t r b a c 模型，有对时间特性进行约束，还有对角色授权进行约束。这 些模型都没有具体涉及工作流中数据的安全描述，没有充分考虑工作流管理系统中约束 的需求，对于角色权限在会话期间的管理几乎没有涉及，对于企业信息系统中角色和 权限的特点未作研究，也很少考虑企业组织结构对r b a c 实现的影响n 朝吖2 。 1 3 研究内容与组织结构 本文的主要研究方向与重点是如何在工作流系统中进行有效的访问控制。本文依据 理论联系实际的思路，在深入了解目前国内外各研究机构对该课题的研究现状和背景的 前提下，对基于角色的安全访问控制在工作流系统中的应用进行了研究。在分析总结大 量相关技术的基础上，根据实际情况提出了一种基于角色与任务相结合的访问控制改进 模型，并提出了一种实现访问控制的方法。论文各章内容安排如下： 4 硕十学何论文 第1 章绪论 本章主要叙述了课题研究的背景与意义，工作流系统访问控制技术的研究现状，总 括全篇的研究目标和各章内容。 第2 章理论基础 本章是全文的理论基础：首先，概述了工作流相关技术，重点介绍了工作流管理系 统；其次，概述了访问控制相关技术，重点介绍了几种重要的访问控制模型。 第3 章工作流系统访问控制需求分析及现存问题 本章主要分析了工作流系统对访问控制的需求，并详细阐述了在该领域访问控制技 术的应用现状及存在的问题。 第4 章基于角色的工作流系统访问控制改进模型 本章围绕提出的改进模型，详细阐述了该模型的建模思想、形式化定义，并对模型 的特点及性能进行了分析。最后，给出了该模型的实现框架及实现策略。 第5 章访问控制的加密权限代码实现方法 本章首先对现有访问控制的实现方法进行了归纳总结，然后提出了一种基于加密权 限代码的访问控制方法，并结合信息系统开发实例，详细介绍了该方法在被动式的基于 角色访问控制中的实现原理及其使用方法。最后，对该方法在主动式的基于任务访问控 制中的应用进行了探讨。 最后结论部分对论文工作进行了总结，并对以后的工作进行了展望。 基于角色的t 作流系统访问控制模刑的研究 第2 章理论基础 2 1 工作流技术概述 2 1 1 工作流的起源及其定义 工作流的概念源于生产组织和办公自动化领域，是针对工作中具有固定程序的常规 活动提出的一个概念。目的是通过将工作分解成定义良好的任务、角色，按照一定的规 则和过程来执行这些任务并对它们进行监控，以达到提高办事效率、降低生产成本、提 高企业生产经营管理水平和企业竞争力口2 1 。 1 9 9 3 年，国际上成立了工作流管理联盟( w o r k f l o wm a n a g e r m e n tc o a l i t i o n ，w f m c ) ， 标志着工作流技术开始进入相对成熟的阶段，同时在计算机应用领域中划分出一席之 地。为了实现不同工作流产品之间的互操作，w f m c 在相关术语、软件体系结构及应用编 程等方面制定了一系列的标准，成为今天工作流技术的国际标准。 工作流是从英文单词w o r k f l o w 翻译得来的：w o r k f l o w = w o r k + f l o w 。其中，w o r k 指工作或任务，f l o w 反映了一种变化及变化的过程。因此，用活动及活动之间变化的过 程表示的业务流程就是工作流。以下是对工作流的不同定义： w f m c 的定义为：工作流是一类能够完全或者部分自动执行的业务过程，它根据一 系列过程规则，使得文档、信息或任务能够在不同的执行者之间进行传递和执行比3 j 。 i b m 的定义为：工作流是业务过程的一种计算机化的表示模型，定义了完成整个过 程所需要的各种参数。这些参数包括对过程中每一个步骤的定义、步骤间的执行顺序、 条件以及数据流的建立、每一步骤由谁负责以及每个活动所需要的应用程序。 g e o r g a k o p o u l o s 的定义为：工作流是将一组任务( t a s k ) 组织起来完成某个业务过 程。在工作流中定义了任务的触发顺序和触发条件。每个任务可以由一个或多个软件系 统完成，也可以由一个或一组人完成，还可以由一个或一组人与软件系统协作完成。任 务的触发顺序和触发条件用来定义并实现任务的触发、任务的同步和信息流( 数据流) 的 传递。 p e o p l e s o f t 的定义为：工作流是一个用来实施业务过程实践的机制。 a m i t s h e m 的定义为：工作流是涉及到多任务协调执行的活动，这些任务分别由不 同的处理实体来完成。一项任务定义了需要做的某些工作，它可用各种形式来进行定义， 包括在文件或电子邮件中的文本描述、一张表格、一条消息以及一个计算机程序。用来 执行任务的处理实体可以是人，也可以是计算机系统( 比如一个应用程序、一个数据库 管理系统) 。 w m p v 抽d e r a a l s t 的定义为：工作流是一系列工作的偏序集。工作的序列可以有多 6 硕十学位论文 种方式，比如工作x 与y 满足x r 时，采用基于角色的访问控制模型可以极大的降低管理开销， 减少授权管理的复杂性，节约管理费用，而且还能为管理员提供一个比较好的实现安全 政策的环境。 1 8 硕十学位论文 r b a c 模型有效地克服了传统访问控制技术中存在的不足之处，是一种高效、灵活、 中性的访问控制技术，特别适应大型复杂系统。 2 2 - 2 - 3 基于任务的访问控制模型 t b a c 模型是一种新的安全模型，它从应用和企业层角度来解决安全问题( 而非已往从 系统的角度) ，是一种基于任务、采用动态授权的主动安全模型。 t h o m a s 等人认为传统的面向主体和客体的访问控制技术过于底层和抽象，不便于描 述应用领域的安全需要，于是他们从面向任务的观点出发提出了基于任务的访问控制 ( t a s k _ b a s e da c c e s sc o n t r o l ，t b a c ) 。t b a c 模型是一种基于任务、采用动态授权的主 动安全模型。在t b a c 模型n 7 2 1 中，引进了另一个非常重要的概念任务。所谓任务( 或 活动) ，就是要进行的一个个操作的统称。任务是一个动态的概念，每项任务包括其内 容、状态( 如静止态、活动态、等待态、完成态等) 、执行结果、生命周期等。任务与任 务之间一般存在相互关联，如相互依赖或相互排斥。 t b a c 模型采用面向任务的观点，从任务的角度来建立安全模型和实现安全机制，在 任务处理的过程中提供实时的安全管理，其基本思想主要有：( 1 ) 将访问权限与任务相 结合，每个任务的执行都被看作是主体使用相关访问权限访问客体的过程，在任务执行 过程中，权限被消耗，当权限用完时，主体就不能再访问客体了；( 2 ) 系统授予给用户 的访问权限，不仅仅与主体、客体有关，还与主体当前执行的任务、任务的状态有关， 客体的访问控制权限并不是静止不变的，而是随着执行任务的上下文环境的变化而变 化。 图2 7 授权步 在t b a c 中，授权需用五元组( s ，o ，p ，l ，a s ) 来表示n 7 ，4 2 1 。其中s 表示主体，0 表示 客体，p 表示许可，l 表示生命期( 1 i f e c y c l e ) ，a s 表示授权步( 如图2 7 所示) 。p 是 授权步a s 所激活的权限，而l 则是授权步a s 的存活期限。l 和a s 是t b a c 不同于其 他访问控制模型的显著特点。在授权步a s 被触发之前，它的保护态是无效的，其中包含 1 9 基于角色的下作流系统访问控制模型的研究 的许可不可使用。当授权步a s 被触发时，它的委托执行者开始拥有执行者许可集中的 权限，同时它的生命期开始倒记时。在生命期期间，五元组( s ，o ，p ，l ，a s ) 有效。当生命 期终止，即授权步a s 被定为无效时，五元组( s ，0 ，p ，l ，a s ) 无效，委托执行者所拥有的 权限被回收。图2 8 为t b a c 模型： 工作流 图2 8t b a c 模型 t b a c 模型根据工作流的具体要求，对任务分配相应的权限，角色执行任务，权限则 传递给角色，实现了权限的按需分配，提高了数据访问的安全性，简化了角色系统的管 理。该模型的不足之处在于“比任何模型都复杂”，并且在该模型中，没有将角色与任 务清楚地分离开来、不支持角色的层次等级和不支持被动访问控制h 3 l 。 2 3 小结 本章是全文的理论基础：首先，概述了工作流相关技术，重点介绍了工作流管理系 统；其次，概述了访问控制相关技术，重点介绍了几种重要的访问控制模型。 2 0 硕十学位论文 第3 章工作流系统访问控制需求分析及现存问题 3 1 工作流系统访问控制需求分析 不同类型的组织机构需要不同的访问控制策略。在企业环境中，有很多与访问控制 相关的因素，建立一个满足企业环境的访问控制模型是十分困难的。 为了建立一个适合工作流系统的访问控制模型，我们需要知道在企业环境中的访问 控制的需求。需求分析的第一步是研究在企业环境中与访问控制相关的因素。在企业环 境中，与访问控制机制相关的因素有很多，主要的因素有：组织、工作岗位、业务角色、 任务、业务过程、业务规则等畸1 。一般而言，属于公司组织结构中的用户根据其工作岗 位或业务角色执行所分配的任务( 工作职能) ；任务组成业务过程，且有特殊的访问控 制需求；在不同的业务活动及其访问控制之中，涉及很多业务规则。以上这些主要因素 与访问控制之间的关系，如表3 1 所示哺1 ： 表3 1 访问控制需求因素 因素与访问控制的美磊 用户 信息害体 组织 工作岗位 业务角色 任务 业务过程 业务规妫 访问主体 访问客体 用户，工作辫位和任务的摹薯l i 椽繁 具有缎织层次结构 与管理任务有深屡的荚系 毙有工作筠侬层次缡绚 一缨任务 其街救务角色层戈结梅 分配许可( 访问投陬) 的基础 具有多种访问控剃豹拇征 定义佞务执行韵黻穿 分为主动和被动访问 访闷控割的约柬 此外，组织结构单元是为了进行有效管理而划分的组织实体。与工作流组织密切相 关的三种最重要组织结构有层次组织、矩阵组织和网状组织n 们。其中，矩阵组织是一种 常用的重要组织结构，它由两个维度构成：层次，这是基于职能部门的；职能，这是基 于要执行的任务。 如图3 1 所示，是从访问控制角度来描述企业环境中的访问过程畸3 。在企业中，部 基于角色的t 作流系统访问控制模型的研究 门组织结构是企业传统的面向职能的部门结构，是一种层次结构，每个成员属于唯一的 一个部门，它体现了矩阵组织的层次维度；业务组织结构是面向企业的业务过程的，每 个成员可以参与一个或多个业务过程，它体现了矩阵组织的职能维度。例如，对于软件 企业来说，人员组织的基本管理方式是按部门组织的方式，此外，由于项目或项目开发 过程中的一些活动( 如软件设计的评审活动) 都要由群体来承担，其中每个日常业务( 如 财务报销) 流程可能涉及不同部门的成员，如果将这些成员组成一个群体，将简化对这 些业务的处理。所以，除了部门组织方式之外，还有必要将人员按业务方式来组织管理。 用户 岬蛆圾 任秀 ( 工作鞠麓) l - - 印向口黾 蠢豪警竺努口 j 刁爿 业务勰一q ：又季 业务过穗 i i 图3 1 访问示意图 3 2 工作流系统访问控制模型应用现状及存在的问题 近2 0 年来，在实现安全的授权访问服务方面的访问控制机制的研究已取得了很大的 成果，提出了许多访问控制模型，例如：自主访问控制模型( d i s c r e t i o n a r ya c c e s s c o n t r 0 1 ，d a c ) 、强制访问控制模型( m a n d a t o r ya c c e s sc o n t r 0 1 ，m a c ) 和基于角色的 访问控带0 模型( r