（计算机软件与理论专业论文）安全工作流管理系统的约束机制研究.pdf

华中科技大学硕士学位论文 摘要 工作流技术是近几年在计算机应用领域发展较为迅速的几项新技术之一，已经在保 险、银行、证券以及行政管理等行业得到大量的使用。与此同时，人们对系统的安全越 来越关注。， 一种新的安全工作流管理系统较好地解决了当前工作流系统中存在的安全性问题。 它采用了基于任务的访问控制( t b a c ) 、基于角色的访田控制( r b a c ) 以及多级安全环 境下的工作流授权模型( m l s w ) 中的一些重要思想旌该系统中，用户可用形式化的 约束描述语言描述系统约束规则，并可自行定制工作流模板及其任务环节。系统还提供 对任务、约束规则和权限的灵活管理。在流程执行过程中，系统提供适当的授权机制来 保证权限的授予与撤消和工作流的运行状态同步。 约束予系统作为该系统一个重要组成部分，提供约束的描述和管理功能。该予系统 主要包括约束配置器、约束分析模块和约束处理模块三个部分。约束配置器提供定义各 种冲突集合、实时管理以及形式化描述约束规则的图形界面，以及不定时检测系统约束 规则的功能。约束分析模块是t c l 编译器，负责分析执行t c l 语句。约束处理模块负 责处理各种约束检测请求。 在约束子系统的形式化描述中，提出了基于任务的约束描述语言( t c l 2 0 0 0 ) 。 t c l 2 0 0 0 是在r c l 2 0 0 0 语言的基础上，结合工作流管理系统自身的特点而设计的。与 以前的约束描述语言相比，t c l 2 0 0 0 是基于任务，而不是基于角色。t c l 2 0 0 0 具有很强 的表达能力，不仅能描述已存在的约束，而且还能描述新形式的约束，尤其有利于对动 态约束进行描述。t c l 2 0 0 0 的引入为整个安全工作流管理系统中的系统安全策略的实现 提供了有利的保证。 ，厂 【关链词】工作流管理系统；基手任务驹访问控制；任务：约束9 约束描述语言 华中科技大学硕士学位论文 t nl a s td e c a d e ，w o r k f l o wi so n eo f t h et e c h n o l o g i e st h a th a v eb e e nr a p i d l yd e v e l o p e di n t h ef i e l do fc o m p u t e ra p p l i c a t i o n s ，w h i c hh a sb e e na d a p t e di nt h ei n d u s t r ys u c h a sa s s d r a r l c c ， b a n k ，a n da d m i n i s t r a t i o nm a n a g e m e n t a t t h es a n l et i m e ，m o r ea n dm o r ea t t e n t i o n sa r ep a i e d t o s y s t e ms e c u r i t y an e ws e c u r ew o r k f l o wm a n a g e m e n ts y s t e m m s w f m s ) r e s o l v e s t h es e c u r i t yp r o b l e mo f w o r k f l o wm a n a g e m e n ts y s t e m ( w f m s ) w h i c ha d o p t ss o m ei m p o r t a n ti d e a so ft a s k b a s e d a c c e s sc o n t r o l ( t b a c ) r o l e b a s e da c c e s sc o n t r o l ( r b a c ) a n dw o r k f l o wa u t h o r i z a t i o n m o d e lu n d e r m u l t i - s e c u r i t ye n v i r o n m e n t ( m l w a m ) i nn s w f m s ，a n s e rc a r ld e s c r i b es y s t e m c o n s t r a i n tr u l e si nf o r m a lc o n s t r a i n td e s c d p t i o nl a n g u a g e ，a n dc u s t o m i z ew o r k f l o w t e m p l a t e s a n dt h e i rt a s k s a l s o ，n s w f m sp r o v i d e st h ef l e x i b l em e t h o d so fm a n a g i n gt a s k s c o n s t r a i n t r u l e sa n dp e r m i s s i o n s d u r i n gt h ep r o c e s se x e c u t e s ，t h eg r a n ta n dr e v o k eo fp e r m i s s i o n s s y n c h r o n i z e sw i t ht h ei m p r o v e m e n to fw o r k f l o wp r o c e s s i n ga c c o r d i n gt o t h ea p p r o p r i a t e a u t h o r i z a t i o nm e c h a n i s m s a sa ni m p o r t a n tp a r to ft h es y s t e m ，t h ec o n s t r a i n ts u b s y s t e mp r o v i d e st h ef u n c t i o no f d e s c r i b i n ga n dm a n a g i n gc o n s t r a i n tr u l e s t c l 2 0 0 0h a sb e e nd e s i g n e dw h i c hc o n s i s t s o f c o n s t r a i n t sc o n f i g u r a t i o n ，c o n s t r a i n t sa n a l y s i sm o d u l ea n dc o n s t r a i n t sd i s p o s a lm o d u l e t h e c o n s t r a i n t sc o n f i g u r a t i o np r o v i d e st h eg r a p h i c a li n t e r f a c eo f d e f i n i n ga l lk i n d so f c o u i s i o ns e t s r e a l t i m em a n a g e m e n t ，f o r m a l l yd e s c r i b i n gc o n s t r a i n tr u l e sa n dt e s t i n gs y s t e m a t i c a lc o n s t r a i n t r u l e sf r o mt i m et ot i m e t h ec o n s t r a i n ta n a l y s i sm o d u l ei sa l s oc a l l e dt c l c o m p i l e r , w h i c h a n a l y z e da n de x e c u t e dt c l c l a u s e s t h ec o n s t r a i n td i s p o s a lm o d u l et a k e sc h a r g eo fa l lk i n d s o f r e q u i r e so f e x a m i n e c o n s t r a i n t s t a s k - b a s e dc o n s t r a i n tl a n g u a g e ，t c l 2 0 0 0i sp r o p o s e dt od e s c r i b ec o n s t r a i n tr u l e si n n w f m s t h et y p i c a lf e a t u r e so ft h en s w f m sa r ea l s oc o n s i d e r e dd u r i n gt h ed e s i g no f t c l 2 0 0 0t h a ti so nt h eb a s i so fr c l 2 0 0 c o m p a r e dw i t ho t h e rc o n s t r a i n t l a n g u a g e s ， t c l 2 0 0 0i sb a s e do nt a s k s ，n o to nr o l e s t h ee x p r e s s i o np o w e ro ft c l 2 0 0 0i s v e r ys t r o n g n o to n l yt h ep r e v i o u ss o d c o n s t r a i n t s ，b u ta l s on e wf o r m s ，e s p e c i a l l yt h ed y n a m i c c a nb e e x p r e s s e di nt c l 2 0 0 0 t h e i n t r o d u c i o no ft c l 2 0 0 0e n s u r e st h ee n f o r c e m e n to f s y s t e m a t i c a l 华中科技大学硕士学位论文 s e c u r i t yp o l i c i e si nn s w f m s 【k e yw o r d s 】w o r k f l o wm a n a g e m e n ts y s t e m ；t a s k - b a s e da c c e s sc o n t r o l ；t a s k ；c o n s t r a i n t ； c o n s t r m n t d e s c r i p t i o nl a n g u a g e i i i 华中科技大学硕士学位论文 1 1 工作流概述 。 1 1 1 工作流的起源与发展 1 绪论 工作流技术是近几年在计算机应用领域发展较为迅速的一项新技术。它已经引起了 许多研究机构和企业的普遍关注。由于工作流系统有助于人们提高效率、减少耗费、优 化流程以及增强可管理性【”，所以它在人员密集型的办公环境中得到大量的使用，如保 险、银行、证券以及行政管理等行业中叫。 工作流的概念起源于生产组织和办公自动化领域。它是针对日常工作中具有固定程 序的活动而提出的一个概念【3 】。8 0 年代初期，在计算机软件没有成为主要的业务支持工 具前，实现信息传递的最好方式是通过纸张作为载体，利用通知、文件、信函、报告等 方式在不同的业务部门、业务人员之间进行。但是这种信息传递与处理方式的效率很低， 同时这种方式降低了对客户需求的响应速度，给企业的生产经营带来不利的影响。在计 算机得到广泛普及和企业的计算机应用水平日益提高的情况下，企业业务人员希望能够 以一种无纸化的、计算机使能的工作环境来开展起日常的业务工作。一些公司、企业因 。此建立自己专用的或可商品化的表单传递应用系统( f o r m s r o u t i n ga p p l i c a t i o n s ) 用 来实现日常表单处理的电子化与自动化。它们可以看成是现代工作流管理系统的雏型。 8 0 年代中期，f i l e n e t 、v i e w s t a r 等公司将图像扫描、复合文档、结构化路由、实 例跟踪、关键字索引以及光盘存储等功能结合在一起，形成了一种全面支持某些业务流 程的集成化的软件( 包) ，这便是早期的工作流管理系统。 进入2 0 世纪9 0 年代，随着计算机与网络技术的酱及，特别是在i n t e r n e t 应用臼 益普及的情况下，现代企业的信息系统的分布性、异构性和自治性的特征越来越明显， 相应的企业信息资源也分布在异构的计算机环境中，信息源之间的连接表现出松散耦合 媳蝰直。企业物理位置的盆敬性和凌簸割定过程盛均盆救缝缝征日益明显。对日掌业舞 华中科技大学硕士学位论文 活动详细信息的需求日益提高，c l i e n t s e r v e r 体系结构和分布式处理技术( c o r b a ，w w w ， o l e ，j a v a ) 的广泛应用，以上这些情况都说明了这样一个事实：集中式信息处理的时 代已经过去，取而代之的将是大规模的异构分布式信息处理与应用执行环境。在这种大 规模的分布式环境下高效的运转相互关联的任务，并且对执行的任务进行密切监控已成 为一种发展趋势。在这种技术背景下，工作流管理系统也由最初的创建无纸办公环境， 转而成为同化企业复杂信息环境、实现业务流程自动执行的必要工具。这样的一个转变， 把工作流技术带入了一个崭新的发展阶段，使得人们从更深的层次、更广的领域上对工 作流展开了研究。工作流技术的标准化组织工作流管理联盟( w o r k f l o wm a n a g e m e n t c o a l i t i o n ，w f m c ) 于1 9 9 3 年成立。它的成立标志着工作流技术在计算机应用研究领域 之中被明确地划分出了自己的一席之地，相应的概念与术语也得到了人们的承认【4 】。 目前，在全球范围内，对工作流的技术研究以及相关的产品开发进入了更为繁荣的 阶段，更多、更新的技术被集成进来，文件管理系统、数据库、电子邮件、移动式计算、 i n t e r n e t 服务等都已被容纳到工作流管理系统之中，市场上工作流产品极大丰富。工作 流产品的市场每年以两位数字的速度迅猛增长，市场上工作流产品发展迅速。据统计， 1 9 9 7 年市场上约有7 0 多种工作流产品在相互竞争，9 7 年工作流产品的市场增长率超过 3 5 ，而且随着计算机技术的发展，工作流产品的供应商又及时地将新的技术融入工作 流中，提高产品性能，使得工作流技术得到不断完善。作为支持企业经营过程重组 ( b u s i n e s sp r o c e s sr e e n g i n e e r i n g - - - - b p r ) 、经营过程自动化( b u s i n e s sp r o c e s s a u t o m a t i o n b p a ) 的一种手段，工作流技术的研究应用日益受到学术界与企业界的重 视a 许多大学和研究机构也致力于工作流技术的进一步发展，开展了一系列研究项目， 取得了显著的成果。 1 1 2 工作流系统基本概念 工作流：一类能够完全或者部分自动执行的经营过程，它根据一系列过程规则， 文档、信息或任务能够在不同的执行者之间进行传递与执行f 5 】o 业务流程( b u s i n e s sp r o c e s s ) ：在具有组织功能的组织结构中，能够实现业务目 标和策略的相互连接的过程和活动集。 过程定义( p r o c e s s d e f i n i t i o n ) ：业务流程的形式化描述，用来支持系统建模和运 行过程的自动化。过程可分解为一系列予过程和活动，其定义包括描述过程起始、终止 2 华中科技大学硕士学位论文 的活动关系网络以及一些关于个体行为的信息，具体而言，即构成过程的各活动及其各 活动的关系、组织成员的角色、应用中的数据结构等。 活动( a c t i v i t y ) ：实现过程逻辑步骤的工作任务的描述，一般分为手工操作和自动 处理两类。活动是过程执行中可被工作流引擎调度的最小工作单元，要求有人或机器的 参与。 工作流管理系统( w o r k f l o wm a n a g e m e n ts y s t e m ，w f m s ) ：一种能定义、创建和管理 4 工作流执行的系统。它通过单个或多个工作流引擎运行，并能存储和解释过程定义。 过程活动实例( p r o c e s s a c t i v i t yi n s t a n c e ) ：实际运行中的一个过程或活动。每 个实例代表一个能独立控制执行、具有内部状态的线程，可被外界通过标识进行存取。 实例是真正执行的工作流【6 】 7 1 。 以上各概念间关系如图1 1 所示。 业务流程 现( 0 r 手工操作 自动处理 1 1 3 工作流参考模型 统 工作单元调用的应用工具 图1 1 工作流基本概念之间的关系 1 9 9 3 年，w f m c 的成立标志着工作流技术开始进入相对成熟的阶段。它目前拥有的 成员已经超过2 0 0 个，其中包括软件厂商、科研机构和咨询机构，是一个国际性的非盈 利组织。在最近的投资成员清单中，b a a n 、h p 、i b m 、m i c r o s o f t 、o r a c l e 、p e p l e s o f t 、 s a pa g x e r o x 等大型公司都名列其中。1 9 9 4 年1 1 月2 9 日，w t m s 发布了工作流参考 华中科技大学硕士学位论文 模型( w o r k f l o wr e f e r e n c em o d e l ) 【4 】【引。它详细描述了工作流系统的有关概念，并在此 基础上给出了w f m s 的各主要组成部分、各部分的功能及相互之间的接1 3 。参考模型如 图1 2 所示。 系统各部分功能如下： 1 过程定义工具主要功能是给用户提供种对实际业务过程进行分析、建模的手 段，并生成业务过程的可被计算机处理的形式化描述( 过程定义) 。这也就是建立时功能 的主要内容。过程定义工具与工作流执行服务之间的交互是通过接1 3 一( 工作流过程定 义读写接口) 完成的，它为工作流过程定义信息的交换提供标准的互换格式及a p i 调用。 过程定义工具 j 难“叫州圳 乒口 工作流a p i 及互换格式运行时过程实1 化及控制功箭 管理 茬口最 工作流执行服务 监控 其它工作流执行服务 i l 。接口四、 工作流引军。- il i f 工作流引擎u 一 箩口二弋 尊口三同用户及应用割 客户应用 二j 被调应用 件明趸且功能 图1 2 工作流管理系统参考模型 2 工作流执行服务借助于一个或多个工作流引擎，来激活并解释过程定义的全部 或部分，并同外部的应用程序进行交互来完成工作流过程实例的创建、执行与管理，如 过程定义的解释、过程实例的控制( 创建、激活、暂停、终止等) 、在过程各活动之间的 游历( 控制条件的计算与数据的传递等) ，并生成有关的工作项通知用户进行处理等等，为 工作流程的进行提供一个运行时环境。 工作流执行服务一般是由一个工作流引擎提供的。在大型w f m s 中，工作流的运行 时控制可能需要多个工作流引擎共同完成，例如某个大的工作流过程中可能会包含多个 子流程，这些子流程就可以由另外的工作流引擎来提供运行时控制环境，甚至这些子流 程可能需要其它异质的工作流执行服务来完成。这一点涉及到w f m s 系统之间的互连。 4 华中科技大学硕士学位论文 为实现有效的互连，需要定义互连模型、互连一致性级别及操作元素集。这些将构成接 口四( 互操作接口) 的内容。 3 客户应用程序给用户提供一种手段，以处理过程实例运行过程中需要人工干预 的任务。每一个这样的任务就被称作是一个工作项，它包括处理上的一些要求( 如处理 时间的限制) 及待处理的数据对象等。w f m s 将为每一个用户维护一个工作项列表，它 表示当前需要该用户处理的所有任务。 客户与工作流执行服务之间的接口为接口二( 客户应用程序a p i ) 。w f m s 的各种服 务，如会话连接、过程控制、活动控制、过程状态、活动状态、工作项列表的处理以及过 程实例的管理等都可以通过此接口而得到。 4 被调应用程序工作流执行服务在过程实例的运行过程中调用的、用以对应用数 据进行处理的应用程序。在过程定义中包含有这种应用程序的详细信息，如类型、地址 等。目前已有的几种方式包括应用代理( 它通过一个标准的接口同执行服务进行交互) 、 某种标准的互换机制( 如o s i - t p 协议或x 4 0 0 等) 、本地过程调用、远程执行调用、0 r b 等。接口三的目标就是提供些标准的服务供应用代理使用。基于这些服务也可以开发 出一些专门的应用直接同工作流执行服务交互。关于这些服务的语义及语法细节还有待 更深入的研究。目前初步确定的服务大致可分成会话建立、活动管理( 双向的) 以及数据 处理等几类。 5 管理及监控工具主要负责对w f m s 中过程实例的状态进行监控与管理，如用 户管理、角色管理、审计管理、资源控制( 包括过程管理及过程状态控制等) 。它与工作 流执行服务之间的交互是通过接口五( 管理及监控接口) 完成的。 上述五个接口被统称为工作流a p i ( w a p i ) 。这些标准的制定对于实现不周厂家的产 品之间的互操作( 如用一个厂家的管理与监控工具去管理另外一厂家的工作流执行服务) 及基于工作流执行服务开发新的应用具有重要意义。 1 1 4 工作流系统分类 根据工作流产品实现的业务过程和底层实现技术，以及任务项的传递机制，可对工 作流系统及其产品进行如下三种分类： 1 根据所实现的业务过程，该系统可分为四类：管理型工作流、设定型工作流、协 作型工作流、生产型工作流； 华中科技大学硕士学位论文 2 根据底层实现技术，可将工作流产品分为三类：以通讯为中心、以文档为中心、 以过程为中心； 3 根据不同工作流系统所采用的任务项传递机制的不同，工作流产品基本上可以划 分为4 类：基于文件的工作流系统、基于消息的工作流系统、基于w e b 的工作流系统、 群件与套件系统例。 1 1 2 工作流安全 w t m $ 通过跟踪工作流的活动状态，自动协调人或应用软件完成的任务。在工作流 管理系统运行过程中，所有相关的文档、数据或任务都按一定规则在参与者之间流动， 以保证一致商业目标的完成。而一个w f m s 的所有相关的消息、数据都是通过网络进行 传输的，这就不可避免会遭到一些人的攻击，对这些消息、数据进行监听、纂改，目的 在于破坏系统的正常运行。而且目前计算机系统被侵袭和攻击并导致一些政府部门和企 业损失巨大的情况时有发生，特别是工作流管理系统越来越多的被应用到电子商务、电 子政务、军事等领域，因此对工作流管理系统的安全进行研究是很有必要的f 1 0 】。 对于独立的w f m s 来说，安全管理的实现相对简单。如果一个w f m s 提供与其它 w f m s 互操作的能力，它的这些安全控制实现起来就比较复杂，不仅仅要考虑系统内的 安全控制，而且还要考虑在与其他系统进行交互式，本方用户如何安全登录对方系统， 对方系统如何安全访问本方系统【l ”。 如同其它计算机系统一样，w i n i s 也需要身份鉴别、授权、访问控制、审计、数据 私有性、数据完整性、抵赖性这些安全服务，以及安全管理能力。这些服务可能与一个 - 工作流系统或互操作工作流系统相关。在某些情况下，甚至有可能所有这些安全服务都 由底层软件，如操作系统平台、数据通讯服务提供，而不是工作流系统本身【1 2 】。 i 2 1 身份鉴别 为了简单化，一般各个w f m s 都有自己的鉴别机制，每个系统的用户需要在系统中 进行注册才能登陆系统。如果系统a 的用户在系统运行过程中需要访问系统b ，他需要 在b 中先注册并经过b 的授权，才能访问系统b 。但是如果交互双方达成协议，不同的 巡型墨盥豆丛基皇= 仝公基鉴别独攫抠接型：丞用巫值艘箍三友鉴别扭i 5 【。如盈i 曲i 垃s 6 华中科技大学硕士学位论文 和s e s a m e ( s e c u r ee u r 叩e a ns y r s t e mf o ra p p l i c a t i o ni nm u l t i v e n d o re n v i r o n m e n t ) 。两个 w f l v i s 进行互操作时，鉴别有两种情况：一是在交互双方建立会话连接时进行鉴别；二 是交互双方互操作过程中周期地调用鉴别进程，特别是交互双方如果通过e m a i l 或其它 异步方式进行交互，每一次信息交换都要进行鉴别。 1 2 2 授权 授权是计算机系统确定一个用户( 人，也可能是计算机系统) 可能使用系统提供的 不同服务的过程。在一个工作流系统中，用户通常被授权承担一定的角色，而这些角色 是由流程定义工具按照一定的组织结构策略定义的。特定的权限与像系统管理员这样的 角色相联系【j ”。系统在对登录者进行鉴别后，根据该登录者拥有的角色以及将要执行的 任务为他分配权限，使他在一定的范围内使用系统提供的服务。 如果两个不同的工作流域中出现互操作，就认为共享的工作流流程定义工具包含足 够被两个域解释的信息。这样任何一个流程定义工具中的基于角色的数据，再结合每个 工作流域内的用户认证和授权进程，就能被建立起来。 1 2 3 访问控制 访问控制是按照用户的身份( 在认证时建立) 以及相关的权限( 通过授权获得) ，允 许该用户访问计算机系统内不同操作或数据的一种机制。在工作流环境下，它执行在如 下层次上： 。 1 登录到工作流服务； 2 按照功能化的角色和或数据敏感性，承担特定活动或工作项。 1 2 4 审计 审计提供保存系统时间以及跨计算机系统的操作历史，目的是能够事后鉴别重要的 事件，或与特定安全关联的事件。一般都认为审计包含两个构成元素，一是审计数据记 录，二是审计数据恢复及分析。 7 华中科技大学硕士学位论文 】2 5 数据私有性 数据私有性可以确保在系统之间传送的数据或系统存储的数据只对涉及的各方开放 而第三方无权访问。在w f m s 中以下几类数据必须提供数据私有性：应用程序数据、工 作流相关数据以及工作流控制数据等。 数据的私有性通常是通过授权和数据加密结合来实现的。关于授权在上面已有所阐 述。而一般的数据加密我们采用对称算法。两个w f m s 在进行互操作时，双方实现约定 一个密钥，双方所发送的消息、数据等都采用这个密钥进行加密和解密。如果要提高数 据的保密性，可以采用强度更大的加密算法。 1 2 6 数据完整性 数据完整性可以确保数据在传输过程中不被第三方修改。数据完整性一般可分为以 下两大类： 1 在存储或传送过程中避免崩溃或传输错误的基本数据保护。实现这种基本数据保 护一般采用较为简单的数据校验机制； 2 强大的数据完整性。这需要采用密码算法来实现，如单向散列函数、对称算法、 公开密码算法，其中公开密码算法最常用。 以上的数据完整性的实现方法没有保证数据的私有性，我们可以采用对称算法。它 在一定程度上同时实现了数据的私有性和完整性，更复杂的可以采用公开密码和数字签 名相结合的带加密的数字签名协议，它能提供更强的数据私有性和完整性。如果采用复 杂的算法，所带来的代价就是耗费更多的资源和系统相应时间的下降。 1 2 7 抗抵赖 系统对访问者的鉴别和数据完整性的实现在一定程度上都实现了抗抵赖。随着工作 流在电子商务领域的应用增多，抗抵赖逐渐成为w f m s 安全的重要因素。 8 华中科技大学硕士学位论文 1 2 8 安全管理 任何一个依赖1 2 令、密钥来实现系统安全控制的计算机系统都需要一个安全管理予 系统，它必须提供口令或密钥的分配、发布、替换等功能。对于单个w f l v i s ，安全管理 的实现并不困难。两个不同的w f l v l s 之间进行互操作时，双方密钥的更新以及更新后的 发布则成为问题。因此，一个w f m s 如果能够与其它w f m s 进行互操作，在实现该系 统的安全控制时，就不能仅仅考虑自身的安全管理，还必须与其它w f m s 协商，达成一 - 致协议，以实现交互各方正确且安全地访问其它系统。 1 3 本课题研究的目的和意义 本课题的目的主要在于研究工作流管理系统的安全机制。国外对工作流的研究起步 比较早，国内近几年才开始研究工作流，但是对工作流安全机制的研究都比较少，在访 问控制方面的研究就更少了。目前大部分企事业单位都实行办公自动化，采用工作流系 统。这些系统对安全的要求很高，采用多级安全、基于任务的访问控制以及约束描述语 言等机制可以提高系统的安全性，简化系统的安全管理，节省系统安全维护。 当前用于描述工作流管理系统中的约束描述语言大部分是基于角色的，忽视了基于 任务的研究。在该部分中，我们提出了一种基于任务的约束描述语言t c l 2 0 0 0 语言。 通过使用t c l 2 0 0 0 语言来定义系统中的约束，可以提高约束定义的通用性，节省系统 安全的维护，简化约束管理。本部分的主要意义在于探索解决约束描述的形式化和通用 问题，提供一种工作流系统中的约束描述解决方案，提高工作流的安全性，加快工作流 系统的应用。 1 4 论文的组织结构 本课题主要探讨了工作流环境下的一种约束描述语言t c l 2 0 0 0 的设计与实现。 首先介绍了工作流及其安全控制的策略，探讨了基于任务的访问控制技术，提出了适用 于基于任务的访问控制模型的t c l 2 0 0 0 语言，讨论了该语言的优越性和实现方案。本 文主要按以下几个部分进行论述： 9 华中科技大学硕士学位论文 第一章介绍了工作流和工作流安全的概念，阐述了本课题的研究目的和意义。 第二章讨论了访问控制的概念、原理、策略和访问控制模型，包括自主访问控制、 强制访问控制和基于角色的访问控制模型，分析了这些模型的优缺点。 在第三章中，我们给出了基于任务的访问控制的具体含义，讨论了基于任务的访问 控制模型结构，还从访问控制矩阵角度进行阐述。最后将该模型与传统访问控制模型进 行比较。 第四章介绍了约束的发展历史、分类以及基于角色系统中的约束描述语言一一 r c l 2 0 0 0 。在该章中，我们提出了一种新的约束描述语言t c l 2 0 0 0 ，它适用于基于 任务的系统。最后分析了该语言的优缺点。 第五章详细阐述了约束子系统的总体设计以及设计思想，给出了系统的主要数据结 构和各个模块的设计和实现，重点说明了约束分析模块。 最后分析了t b a c 模型和t c l 2 0 0 0 语言，对本文的工作进行了总结，并就系统的 改进方向进行了探讨。 华中科技大学硕士学位论文 2 访问控制技术 2 1 访问控制概念和原理 2 1 1 访问控制含义 1 保密性控制，保证数据资源不被非法读出； 2 完整性控制，保证数据资源不被非法改写或删除； 3 有效性控制，保证系统内所有客体不被非法主体破坏【1 4 】。 2 1 2 访问控制的主要措施和目的 1 授权、确定访问权限及实施权限，它是对处理状态下的信息进行保护，保证对 所有直接存取进行授权，检查程序执行期间访问资源合法性韵重要手段，它控制着对数 据和程序的读取、写入、修改、删除、执行等操作。 2 访问控制的目的是：保护被访问的客体安全在保证安全的前提下最大限度共 享资源【1 5 1 。 2 1 3 访问控制的核心 授权控制是访问控制的核心，即控制不同用户对信息资源的访问权限。对授权控制 的要求主要有： 1 一致性，也就是对信息资源的控制没有二义性，各种定义之间不冲突； 2 统一性，对所有信息资源进行集中管理，安全政策统一贯彻；要求有审计功能， 对所授权纪录可以核查：尽可能地提供细粒度的控制【阍。 华中科技大学硕士学位论文 2 2 访问控制策略及控制机制 2 2 1 访问控制策略的概念 访问控制策略，就是关于在保证系统安全及文件所有者利益的前提下，如何在系统 中存取文件或访问信息的描述，它由一整套的规则所组成。 访问控制安全策略是通过不同的方式和过程建立的，其中有一些是操作系统固有的， 有一些是在系统管理中形成的，还有些是在用户对其文件资源和程序进行保护时定义 的，因此一个系统访问控制安全策略的实施必须具有灵活性。 2 2 2 访问控制策略的研究和制定 在制定访问控制策略时，要将访问控制策略与访问控制机制区分开。 访问控制策略是系统的设计者根据安全保密的需要，并根据实际可能性所提出的一 系列概念性条文1 1 1 ”。比如，一个数据库为了达到安全保密的要求，可采取“最小访问权 限”的策略，该策略是指系统中的每一个用户( 或用户程序和进程) 在完成某操作时， 只应拥有最小的必需的访问权限。最小权限要保证用户和进程能够完成自己的工作而又 没有从事其他操作的可能，这样会使失误出错或蓄意袭击造成的危害降低。 访问控制机制，则是在系统中具体实施这些策略的所有功能的集合，这些功能可以 通过系统的硬件或软件来实现。 将访问控制的策略与机制区分开来考虑，有以下3 个优点：是可以方便地在先不 考虑如何实施的情况下，仔细研究系统的安全需求；二是可以对不同的访问控制策略进 行比较，也可以对实旌统一策略的不同机制进行比较；三是可以设计一种能够实施各种 不同策略的机制，这样的机制即使是由硬件组成也不影响系统的灵活性1 1 8 】。 2 2 3 访问控制机制 访问控制机制要将访问控制策略抽象模型的许可状态转换为系统的物理形态，同时 华中科技大学硕士学位论文 必须对系统中所有访问操作、授权指令的发出和撤销进行监测“川a 1 访问控制机制的形态 访问控制机制如果能使系统物理形态与控制模型的许可状态相对应，则该系统可以 认为是安全的。 2 设计访问控制机制的原因 ( 1 ) 访问控制的有效性。每一次访问都必须是受控制的。 ( 2 ) 访问控制的可靠性。意思是要防止主体经过已得到授权的访问路径去隐蔽地 实现某些越权的非法访问，系统还应该经得起可能出现的恶意攻击。 ( 3 ) 实体权限的时效性。实体所拥有的权限不能永远不变。 ( 4 ) 共享访问最少化。一些可供共享的公用访问控制机制往往会存在些意想不 到的潜在通道，因此要尽量减少公用机制，并对用户采取隔离的方法加以限制。 ( 5 ) 经济性。控制机制在保证有效性的前提下，应该是最小型化、简单化的。 ( 6 ) 方便性。控制机制应当是方便的，应当让用户容易接受并乐于使用。 2 3 访问控制模型 根据系统的安全策略，制定系统主体访问客体所受到的限制，然后用一种简单的、 抽象的无歧义方式描述出来，这就是访问控制模型。它用来对安全系统的访问控制提供 开发的指导方针。 传统的访问控制模型包括自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 、强 制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 和基于角色的访问控制模型( r o l e b a s e d a c c e s sc o n t r o l ，砌j a c ) 。早期的大多数系统中都使用前两种访问控制方法，著名的美 国公共交换网( p u b l i cs w i t c h n e t w o r k ，p s n ) 使用的安全技术就包含这两种访问控制技 术【2 0 】；多数操作系统也在其中实现了这两个模型，如w i n d o w sn t 、l i n u x 。随着访问控 制技术的发展，由s a n d h u 等人引进角色的概念，提出了基于角色的访问控制模型【2 ”， 不过它还是属于传统访问控制模型范畴。近年来，工作流的应用日益广泛深入，工作流 系统的安全问题引起人们广泛关注。由于工作流中的任务状态不断改变，授权不再是静 态的，而是随着任务的进展情况不断改变。传统的访问控制模型不能提供这种动态授权， 无法满足工作流系统的安全需求 2 2 】。于是，一种全新的访问控制模型基于任务的访 间撞剑! 坠k 曼婪盟叁曼签q n 堑! g ! ：卫i 缱2 查蠡亟生： 华中科技大学硕士学位论文 2 3 1 自主访问控制d a c d a c 又称任意访问控制，是目前计算机系统中实现最多的访问控制机制社“。这种访 问控制方法允许用户自主地在系统中规定谁可以访问它的资源实体，即用户( 包括用户 程序和用户进程) 可选择同其他用户一起共享某个文件。所谓自主，是指具有授予某种 访问权利的主体( 用户) 能够自己决定是否将访问权限授予其他的主体。安全操作系统 需要具备的特征之一就是d a c ，它基于对主体所属的主体组的识别来限制对客体的访 问。在大多数的系统中，d a c 的客体不仅仅是文件，还包括邮箱、通信信箱、终端设 备等。d a c 模型的核心思想是系统中创建某客体的用户可以自主的决定别的用户对该 实体的访问能力，换句话说，d a c 是基于所有权的访问权限管理。 d a c 为用户提供了很强的灵活性，却给系统带来了安全漏洞 2 4 1 。这是由于客体的属 主用户可以自主更改文件的访问控制表，造成操作系统无法判别某个操作是否合法。尤 其是不能防止具有危害性的“特洛伊木马”通过共享客体( 如文件、报文、共享存储等) 从一个进程传到另一个进程。而m a c 则是用无法回避的访问限制来防止“特洛伊木马” 的非法潜入，提供一个更强的、不可逾越的系统安全防线，以防止用户偶然失误造成安 全漏洞或故意滥用d a c 的灵活性。 2 3 2 强制访问控制m a c 强制访问控制模型又称为格访问控制模型，或者称为多级安全模型，应用在信息单 一地从上向下流的系统中【2 5 1 。在该访问控制模型中，用户的权限和文件( 客体) 的安全 属性是固定的，由系统决定一个用户对某个文件能否实行访问。所谓“强制”就是安全 属性由系统管理人员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设 置，用户和他们的进程不能修改这些属性。所谓“强制访问控制”是指访问发生前，系 统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体。 m a c 机制的特点主要有：一是强制性，这是m a c 的突出特点，除了代表系统的管 理员外，任何主体、客体都不能直接或间接的改变它们的安全属性。二是限制性，即系 统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体；同 时，也不可避免地要对用户自己的客体施加一些严格的限制。比如一个用户欲将其工作 华中科技大学硕士学位论文 信息存入密级比他高的文件中就会受到限制。m a c 甚至保证在特洛伊木马存在的情况 下，信息只能以格模型确定的方向流动( 从低安全级到高安全级，或相同地从高完整性 到低完整性) 。 在假定不存在隐通道的情况下，m a c 可以保证信息沿安全的方向流动，即从低安全 级流向高安全级。它的弱点在于缺乏灵活性，不适合在商业领域的应用。而且在系统中， 隐通道普遍存在，即使你已经发现并且对其进行了分析，也要花非常昂贵的代价才能排除 它。在八十年代后期，很明显的，很多低层硬件性能改进技术，例如c a c h e 内存，导致 了很多高速的隐通道【2 l 】。信息能通过这些通道以磁盘和局域网的速度泄漏。不仅如此， 硬件越快，隐通道越快【2 6 1 。隐通道问题是高可靠的m a c 的瓶颈【”1 。同时，m a c 没有 解决推理问题，即高级别的信息是低级别的信息通过组装和智能组合而成的。 2 3 3 基于角色的访问控制r b a c 随着商业和民用信息系统的发展，安全需求也在发生变化，这些系统对数据完整性 的要求可能比对保密性的要求更突出，而且由于系统总是处于不断变化之中，应用部门 增加了或者裁减，新招了公司职员或者裁减了公司职员，这些变化使得一些访问控制需 求难以用d a c 或者m a c 描述和控制。而且在很多商业部门中，即使是由终端用户创 建的文件信息，他们也没有这些文件的“所有权”，访问控制应该根据应用系统中用户 的职责看用户是否创建了该文件信息，换句话说，就是访问控制应该由用户在系统中所 承担的角色来确定的。例如：一个银行包括出纳员、会计、分行行长和总行长等角色， 而一个学校有行政职员、老师、校长等角色，这些角色承担的职责并不相同，对系统的 访问权限也就不同，所以利用自然、社会中角色的概念帮助系统进行访问控制管理是非 常有效的。 r b a c 能够减少授权管理的复杂性，降低管理开销，而且还能为管理员提供一个比 较好的实现复杂安全政策的环境 2 t 1 1 2 8 i 。r b a c 的基本思想是：授权给用户的访问权限 通常由用户在一个组织中担当的角色来确定。例如，一个银行包含的角色可以有出纳员、 会计师、贷款员等。他们的职能不同，拥有的访问权限也就各不相同。r b a c 根据用户在 组织内所处的角色作出访问授权与控制。但用户不能自主地将访问权限传给他人。 从实质上讲，r b a c 是一种策略中立的访问控制策略，即它本身并不提供一种特定 的安全策略( 例如规定信息以单方向的格的方式流动) 。r b a c 通过配置各种参数( 例如 华中科技大学硕士学位论文 文档的安全标志和用户的角色) 来实现某种安全策略。在r b a c 中，权限和角色是相关 联的，这在很大程度上简化了权限管理。在组织内，用户根据他的职务和承担的责任被 指派角色。r b a c 的优势在于，用户可以很容易的从一种角色指派为另一种角色，在新 的应用系统投入使用后，角色能马上被授予新的权限，根据需要，角色对应的权限也能 被收回。 一些著名的访问控制专家如g e o r g em a s o nu n i v e r s i t y 的r a v is a n d h u 教授，对r b a c 技术的发展完善做出了极大的贡献。他们提出了一些概念性的理论，并且设计完善了一 系列的r b a c 访问控制模型，还带头深入探讨y r b a c 中的一些技术和实现问题。但是 现在还没有一个组织将i m a c 制定为一种标准，专家们对r b a