（计算机应用技术专业论文）基于角色的安全工作流模型研究.pdf

基于角色的安全工作流模型研究摘要在当今，工作流管理系统( w f m s ) 主要用来支持现代企业实现过程管理与过程控制，为企业的经营过程提供了个从模型建立、管理到运行、分析的完整框架。随着计算机技术的快速发展，工作流的计算环境呈现出异构化、分布化的发展趋势，w f m s 的安全管理弱化了。企业的重要信息和数据受到内部和外部的双重威胁，工作流的安全问题已成为当前研究机构和企业组织关注的热点。解决工作流的安全问题，一个很重要的方面是建立一个安全的工作流模型。基于角色的访问控制模型( r b a c ) 简化了权限管理，并且能够使该模型的控制机制很好地映射企业的组织结构，因此在工作流领域得到了越来越广泛的使用。本文主要提出了两个可行的安全工作流模型。个是基于角色的安全工作流模型，另个为基于角色和显式隐式权限管理的安全工作流模型。基于角色的安全工作流模型是在p c k h u n g 提出的安全工作流模型的基础上，对其模型不能很好地反映企业组织结构的问题进行了改进和优化。描述该模型主要分为三部分，分别是实体定义及其关系、安全要求及其数学证明、授权函数和模型的多层状态图。其中实体定义及其关系定义了工作流的基本组成部分；安全要求及数学证明论证了模型中安全性考虑的正确性；而授权函数和多层状态图能够说明模型中的安全要求是切实可行的，并且使用多层状态图可以对工作流进行模拟、仿真，提早发现存在的问题。基于角色和显式隐式权限管理的安全工作流模型定义了d c a c ( 文档访问控制说明) 、e p 、e p a 、i p 和i p a 的概念，用于管理模型中的授权，给出了该模型的形式化描述与图形表示。与以往基于角色的工作流模型相比，着重处理了文档、任务与角色三者之间的权限关系，加强了对文档权限部分的管理。以上两个模型都实现了职责分离原n ( s o d ) 、最小特权原则、授权，完整性、可用性等安全服务。关键词：角色；安全；工作流；多层状态图；授权r e s e a r c h e so nt h es e c u r er ole - b a s e dw o r k fio wm o d ela b s t r a c tn o w a d a y s , w o r k f l o wm a n a g e m e n ts y s t e mt w o s ) h a sb e e nu s e dm o l ea n dm o 飑w i d e l yi nt h ee l ：眙俩t os u p p o r tt h eb u s i n e s sm a n a g e m e n ta n db u s i n 麟c o n n 0 1 i ts u p p l i e s越i n t e g r a lf r a m e w o r kf o re n t e l p l 妇b u s i n e s sp r o c e s s t h i sf i a m e w o r ki n c l u d e st h eb u i l d i n g ,m a n a g e m e n t , 瑚加i i 培a n da n a l y s i so f 位w o r k f l o wm o d e l i ta v a i l st oi m p r o v et h eb u s i n e s sp r o c e s s ra l s oh e l p st h ee n t e r p r i s e st oe l e v a t et h ep r o d u c t i o nl e v e l ，i n c r e s ew o r ke f f i c i e m - ya n dp r o f i t , a n dr e d u c et h eb u r d e nf o rt h es t a f f w i t ht h er a p i dd e v e l o p m e n to f m o d e mc o m p u t e rt e c h n o l o g y , t h ec o m p u t i i l ge n v i r o n m e n to ft h ew o r k f l o wh a sb l 美x ) m ed i s t r i b u t e da n dh e t e r o g e n e o u s t h es e c u r i t ym a n a g e m e n to fw f m sb e c a n l ew e a ka n dt h eo p p o r t u n i t yo fs e c u r i t yl e a ki n c r e a s e x tt h ei m p o r t a n ti n f o m a a t i o na n dd a t aa 陀t h r e a t e n e df r o mb o t hi n s i d ea n do u t s i d e h o wt oe n s t l r et h ew o r k f l o w ss e c u r i t yi saf o c u so f t h er e s e a r c ho r g a n i z a l i o n sa n de n t e r p r i s e s o n ei m p o r t a n tw a yt os o l v et h es e c u r i t yo fw o r k f l o wi st oc o n s i d e rt h es e c u r i t yp r o b l e ms u t f i c i e n t l ya tt h eb 诹d i n gt i m e t h a ti st os a y , w en e e db u i l das e c u r i t yw o r k f l o wm o d e l 。r o l e - b a s e da c c e s sc o n t r o lm o d e l ( r b a c ) c a ns i m p l i f yt h ea u t h o r i t ym a n a g e m e n ta n dm a pt h e瓢膦c o n l m lm e c h a n i s mt ot h eo r g a n i z a t i o no f 也ee n t e r p r i s e s ，s oi ti sv e r yp o p u l a ri nd a cd e s i g no f w o r 姐o w t h ep a p e rm a i n l yd e s c r i b e st w of e a s i b l es e e t r i t yw o r k f l o wm o d e l s o n ei sar o l e - b a s e ds e c u r i t yw o r k f l o wm o d e l , t h eo t h e ri saw o r k f l o wm o d e lb a s e do nt h er o l ea n dt h ee x p l i c i ta n di m p s c i tp r i v i l e g em a n a g e m e n t t h er o l e - b a s e ds e c u r i t yw o r k f l o wm o d e li st h ei m p r o v e m e n ta n do p t i m i z a t i o no ft h es e c u r ew o r k f l o wm o d e lp r o p o s e db ypc kh u n gw h i c hc o u l d n tr e l e e tt h eo r g a n i z a t i o n ss t n l c t t l r e t h e r ea r et h r e ep a r t st od e s c r i b ed a em o d e l ，w h i c ha r et h ee n t i t yd e f i n a t i o n sa n dt h e i rr e l a t i o n s , t h es e c u r i t yc o n s t r d i 施a n dm a t h e m a t i c a lp r o o f s , t h ea u t h o r i z a t i o nf u n 血o na n dm u l t i - l a y e r e ds t a t em a c h i n e e n t i t yd e f i n i t i o n sa n dt h e i rr e l a t i o n sd e f i n et h eb a s i cp a r t so f 雠iw o r k f l o w , t h es e c u r i t yc o n s t r a i n t sa n dm a t h e m a t i c a lp r o o f sp r o o ft h ec o r r e c t n e s so ft h es u r i t yc o m i d e t a f i o mf o rt h ew o r k f l o w , w h i l et h ea u t h o d z a t i o nf u n c t i o ma n dt h em u l t i - l a y e r e ds t a t eg r a p hc a ne x p r e s sa n di m i t a t et h ew o r k f l o ww h i c hc a i lf i n dt h ep r o b l e mi nt h ew o r k f l o wm o d e lb a s e do i lt h er o l ea n dt h ee x p l i c i ta n di m p l i c i tp r i v i l e g em a n a g e m e n td e f i n e st h ec o n c e p t so f i ) c a c ( s e p e c i f i c a t i o no f t h ed o c t a n e n ta c c e s sc o n t r 0 1 ) ，e p ,e p a , i p , i p at om a r l a g et h ea u t h o r i z a t i o no f 1 ew o r k f l o wm o d e l t h ef o r m a ld e s c r i p t i o na n dg r a p he x p r e s s i o na r eg i v e nt od e s c r i b et h em o d e l c o m p a r e dw i t ht h em o d e l sp r o p o s e di nt h ep a a , w ea r ei n t e n s i v e l yt od e a lw i t ht h er e l a t i o n sa m o n gt h ed o e t m e n t , t a s k , r o l ea n dw ea l s ot h et w om o d e l sr e a l i z et h ep r i c i p l e so fs o d ( s e p a r a t i o no fd u t y ) a n dt h el e a s tp r i v i l e g e ，s o m es e c u r i t ys e v i c e ss u c ha sa t r d a o r i z a t i o n , i n t e g r i t y , a n da v a i l a b i l i t y k e y w o r d s ：r o l e ；s o c u r i t y ；r k f i 伽：籼i t - - l a y e rs t a t em a o h i n o ；a u t h o r i z a t i o ni v独创声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含未获得( 逵! 翅遗直墓丝益噩挂别直明的：奎拦亘窒2 或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签名：赛痞熬签字日期：如曙年月i 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在解密后适用本授权书)学位论文作者签名：甥皤煮导师签字：忍彩签字日期：知滑年6 月文日签字日期：纱形年乡月二日中国海洋大学学位论文1 1 问题的提出及研究意义第一章绪论工作流管理系统( w t m s ) 是定义、管理和执行工作流的软件环境，并按照在计算机中预先定义好的工作流逻辑推进工作流实例的执得1 捌。它主要用来支持企业业务流程的自动化、重组与优化，对于改造企业业务流程，提高企业工作效率和效益，有着重大的作用，在大型企业中应用地越来越广泛。从工作流的产生开始，安全就一直是它最基本也是最重要的组成部分之，因为工作流在支持企业运营过程中，不可避免地要涉及或处理到企业重要的信息与技术，w i m s 必须要保证这些信息与技术不能泄漏，不被窃取，即保证它们安全。随着现代计算机技术的不断发展，企业的计算环境呈现异构化、分布化发展，应用w m s 的企业频繁地进行企业业务重组与优化，系统的安全策略变得越来越分散，安全措施越来越不足以应付出现的安全威胁，工作流管理系统面临严重的安全问题。如何确保工作流管理系统的安全 生已经成为当前工作流研究的热点问题。工作流管理联盟( w f m c ) 是关注并推进工作流技术发展与应用的权威组织，它于2 0 0 1 年发布了关于工作流安全的白皮书【4 】。虽然安全问题从工作流产生开始就受到了关注，但是它的进展并不理想。在白皮书中阐述了工作流安全方面的工作，包括安全服务和一个简单的安全模型，但该模型太过于简单实际应用价值不大，因此工作流的安全工作至今还处在上升阶段，尚未形成成熟的理论，更未有个一般意义上的安全工作流模型。在解决工作流安全问题上面还有很长的路需要走，从事安全工作流模型研究具有重大的现实价值。许多研究学者将信息安全领域的访问控制机制应用到工作流方面来保证工作流的安全。当前较为热点的访问控制模型是由f e r r a i o l o 和k u l m 以及s a n d u 等人提出的基于角色的访问控制模型a c ) 【5 邡，研，该控制机制能够使自己的访问控制策略与企业的组织结构相对应，同时它又具有策略中立、方便授权管理等特点，不仅能够保证模型的安全性，而且还可以更好的支持企业的业务管理，：特别适合应用于企业中的工作流管理系统。因此，将r b a c 与工作流结合考虑，会大大提高工作流的安全l 生，增强工作流模型的应用价值。1 2 国内外研究现状及分析将个现实的商业过程转化成一个形式化地、计算机可处理的定义，就叫做过程建模( 也叫工作流模勤n 。这个模型中包含了供工作流执行的各种信息，例如任务、控制流、数据流、用户等。尽管w m c ( 工作流管理联盟) 和o m g ( 对象管理组织)致力于推进工作流技术的发展与应用，但是从工作流诞生至现在还未产生个工作流模型的标准，更不要说个安全工作流模型的标准。+作为工作流重要的部分，工作流的安全问题早已经成为研究机构和企业组织的研究热点。w f m c 于2 0 0 1 年发布了安全白皮书。在该白皮书中，它总结了工作流系统应该实现的安全服务，包括鉴别、授权、数据私有性、数据完整性、抗抵赖性、安全组织和管理等。同时在白皮书中还介绍了个最简单的安全工作流模型，通过为两个不同的工作流系统设置个公共安全配置文件，来实现最简单的安全，但是该模型因为太简单，实际应用价值不大。一访问控制是信息安全研究的焦点。从2 0 世纪6 0 年代开始到现在已经取得了很多重大的研究成果。早期的有自主访问控制模型( 妃) 和强制访问控制模型( m a c ) ，基于角色的访问控制机制的概念最早在2 0 世纪7 0 年代就已经提出，但在相当长的时间内没有得到深入的研究。进入2 0 世纪9 0 年代后r b a c 在安全需求的推动下引起了人们的普遍关注。到1 9 9 2 年时，f e r m i o l o 和k u t m 提出了r b a c 模重望，随后s a n d h u等人对该模型又做了细致的研究并进行了拓展m 司，提出了r b a c 9 6 和a r b a c 9 7 ( 扩展r b a c ) 。随着计算机应用技术的发展，出现了一些任务特征很明显的应用系统，这些系统要强调对任务的访问控制，因此，t h o m a s 和s a n d h u 于1 9 9 7 年提出了种基于任务的访问控制模型【9 ，1 0 1 1 ，1 2 1 。该模型通过任务与其执行者之间的映射关系来对任务进行访问控制。工作流应用这些访问控制技术时，传统的访问控制技术a c 、m a c ) 已经显得力中国海洋大学学位论文不肌心。当数据在工作流中流动时，执行操作的用户在改变，用户的权限也在改变，这与数据处理的上下文环境相关。传统的访问控制技术，如d a c 、m a c 很难做到这一点。与此相反，r b a c 和t b a c 却能很好的适用这种与上下文相关的数据处理，也就是他们能够实现动态访问控告i j t m 4 。相比较于r b a c ，t b a c 不能将自己的访问控制机制与企业组织模型相映射，只适应于以任务为主的小型系统中；而r b a c 模型能够将自己的访问控制策略非常好的与企业组织模型相对应，适应于大型的工作流管理系统，因此在工作流技术发展过程中得到了广泛的使用。关于两者的具体隋况将在第三章中介绍。s a n d h u 领导的位于g e o r g em a s o nu n i v e r s i t y 的实验室是r b a c 访问控制机制权威的机构。他们已经在r b a c 与工作流结合方面做出了很多的工作。例如k a n d a l a 和s a n d l a u 在文斛1 习中提出了四个基于r b a c 的工作流模型。这四个模型根据实现的安全目标和提出的安全条件的不同而变得越来越复杂。模型一主要讨论了工作流中任务与角色以及任务实例与角色之间的授权问题，作者提出了显式许可分配( 分配给角色的许可) 和隐式许可分配( 分配给任务实例的许可) 。模型二和模型三在模型一的基础上分别通过添加任务实例的过程状态和任务间的执彳亍：j i 膨序，讨论了在这些约束条件下的许可分配。对于模型四，作者只是给出了个关于职责分离的工作流定义，而没有给出这个模型的形式化定义。b e r t i n o 等人在文科1 q 中提出了个工作流角色说明规范，这个规范定义了执行任务的角色顺序，而且，他们还提出了一种约束规范语言用来表示授权规则。与k a n d a l a和s a n d h u 的工作相同，他们工作的重心也在如何处理角色和任务的关系上。因为r b a c 9 6 模型没有考虑工作流，而工作流可以看作是任务的偏序集合，所以当把r b a c与工作流相结合的时候，需要处理好角色与任务之间的关系。h u n g 在文献 1 刀中提出了个安全的工作流模型，并且实现了授权、完整陛、可用性等安全服务。参照任务和代理的执行历史，这个模型可以动态地授予或者撤销给代理访问文档或者执行任务的权限。并且该模型还给出了安全| 生约束，实现了一定的安全| 生。代理在该模型中是一个模糊的概念，不能清楚地反映组织的结构。当把该模型应用到实际当中，该模型不能很好地反映主体之间的关系，因此存在一些问题。1 3 本文研究的目的和研究内容以往基于r b a c 的工作流，都将r b a c 和工作流紧紧地捆绑在起，工作流的安全陛；毫全建立在r b a c 的基础上，因此对r b a c 过于依赖。在吸取以往基于r b a c工作流模型的优缺点后，针对h t m g 提出的模型的不足，对其模型进行了改进，提出了一个新的模型，使该新模型不仅保证原有的安全| 生特点，而且增强了模型的安全i 生，使之现实应用价值更大。此外在借鉴了文献【1 习中的显式授权、与隐式授权的启发，结合模型一，又提出了一个新的模型，使模型权限管理脉络更为清晰，简化了工作流模型的权限管理。这两个模型除了实现完整性，授权和可用性等安全服务外，还实现了最小特权原则、职责分离原则等。这些安全l 生服务和原则将在后面的章节里面进行详细的介绍。本文的主要研究内容在于提出了两个基于角色的安全f 生模型。模型一即基于角色的安全工作流模型的工作包括以下几个方面：( 1 ) 、给出模型实体的定义、实体之间的关系。( 2 ) 、根据不同的安全目标，提出了不同的安全要求，并且给与了充分必要地数学证明。( 3 ) 、设定了安全状态变量来表示模型的安全状态( 4 ) 、用授权函数来表示模型中的授权流。( 5 ) 、给出模型的图形表示，用模型的安全状态变量和授权函数来表示安全工作流模型中的授权流。模型二即基于角色和显式隐式权限的安全工作流模型的工作包括以下几个方面：( 1 ) 、给出模型实体的定义、实体之间的关系。( 2 ) 、讨论模型中的授权关系。( 3 ) 、给出模型的形式化描述与图形表示。4中国海洋大学学位论文( 4 ) 、进行模型的特点与安全陛分析。1 4 本文的章节安排全文共分成六章第一章为绪论。阐述了工作流的应用背景，安全问题的由来及其研究价值，工作流安全的研究热点，本文所作的研究方向和研究价值等。第二章为工作流基本知识概述。概要介绍工作流方面的基本知识。包括工作流、工作流管理系统的基本定义、体系结构、建模工具和存在的问题等。第三章为访问控制机制概述。主要介绍了自主访问控制模型a c ) 、强制访问控制模型( m a c ) 、基于角色的访问控制机制a c ) 和基于任务的访问控制机$ j ( t b a c ) ，其中详细介绍了r b a c 、t b a c 模型，并对以上几种访问控制机制的优势和劣势进行了比较。此外还介绍了工作流安全方面的一些安全服务、安全原则等。第四章和第五章为本文的核心内容。第四章介绍了基于角色的安全工作流模型，给出了模型实体定义、实体关系分析、安全状态变量定义、提出安全要求并给出数学上的证明、将安全要求转换成授权函数、以及采用了个多层数学状态机将工作流模型分成四层角色层、任务层、控制层和数据层标识出来，便于对模型中的安全授权流进行管理和监控。第五章为基于角色和显式隐式权限管理的安全工作流模型。首先给出模型实体定义与实体关系分析，其次分析了模型的授权关系，再次给出了模型的形式化与图形表示，最后对模型的安全性和特点进行了分析。第六章为总结与展望。总结了文中所作的工作与不足，描述了下一步工作需要解决的问题。第二章工作流基础知识概述工作流技术的出现和发展为企业的经营过程提供了一个从模型分析、建立、管理、仿真到运行的完整框架，是实现业务过程管理与控制的一项关键l 生技术1 , 3 1 。目前，在全球范围内，对工作流技术的研究以及相关品的开发了进入了一个繁荣阶段，更多更新的技术被集成进来，i n t e m e t 服务数据库、电子邮件、移动式计算、文件管理、网格等都己被容纳到工作流管理系统之中【1 8 - 2 2 1 。随着工作流这集成框架下所容纳技术的不断拓展与成熟，工作流系统将成为企业信息环境中不可缺少的软件平台，并将最终成为覆盖于各类台式机与网络操作系统之e 的业务操作系统b o s ( b u s i n e s so p e r a t i n gs y s t e m ) ，带来操作系统的一次革命。工作流技术的出现和迅速发展为企业先进制造战略的实施提供了重要的技术支持，对于进一步提高我国企业信息化程度，增强企业核心竞争力有着非常重要的意义。2 1 工作流2 1 1 工作流的起源与定义工作流的概慰1 筇1 起源于生产组织和办公自动化领域，它是针对日常工作中有固定程序的活动提出的概念。目的是通过将工作分解成定义良好的任务、角色，按照一定的规则和过程来执行这些任务，并对他们进行监控，达到提高办事效率，刚氐生产成本、提高企业生产经营管理水平和企业竞争力。作为支持企业经营过程重组( b u s i n e s sp r o c e s sr e e n g i n e e r i n g ，b p r ) 和经营过程自动化( b u s i n e s sp r o c e s sa u t o m a t i o nb p a ) 的种手段，工作流技术的研究受到了学术界与企业界的重视 1 8 1 。19 9 3 年工作流管理i 茨盟0 n o r l d l o wm a n a g e m e n tc o l l a t i o nw 伽c ) 的成立标志着工作流技术开始进入成熟阶段。在工作流的定义方面，不同的研究者和工作流产品供应商从不同角度给出了定义。w f m c 给出的定义是【1 捌工作流是一类能够完全或者部分自动执行的经营过程，它根据一系列的过程规则，文档、信息和人能够在不同的执行者之间进行传递”。大体上工作流就是指由一组任务组成的经营过程。工作流中给出6中国海洋大学学位论文了任务的触剔i $ i j 芋和触发条件，保证任务的处罚，任务的同步和信息流的传递。2 1 - 2 工作流模型和流程语言工作流模型包含了描述个能够由工作流执行服务软件系统执行的过程所需要的所有信息。这些信息包括过程的开始和完成条件、构成过程的活动以及进行活动间导航的规则、用户所需要完成的任务、可能被调用的应用、工作流引擎的引用关系，以及所有与工作流相关的数据的定义。过程定义可能引用组织角色模型中关于组织结构、组织中的角色等信息。w f l v i c 在工作流建模方面开展了两个方面的工作：一是定义了个元模型；二是定义了一套可以在工作流管理系统之间，管理系统与建模工具之间交互过程模型定义的接口。w f l v i c 定义的过程元模型【1 】如图2 - 1 所示：图2 - 1w f l v l c 定义的过程元模型该元模型描述了工作流模型内部包含的各个对象、对缘之间的关系以及对象的属性。由该元模型可以看出，过程定义元模型的核心是活动。工作流定义与活动、工作流相关数据之间是一对多关系，即个工作流定义由多个活动与多个工作流相关数据组成。活动、角色、工作流相关数据、需要激活的应用程序、转换条件之间都是多对多关系。如个活动可以引用多个角色，个工作流相关数据可以被多个活动使用。基于e 述元模型，w f l v i c 定义了个工作流模型的文本描述语言，即工作流过程定义语言( w o r k f l o wp r o c e s sd e f i n i t i o nl a n g u a g e ，w p d l ) 。作为个标准、通用的工作流定义语言，w p d l 定义了一个最小集合的工作流建模实体与属性，提供了一般意义7下的公共交换格式。基于这一模型，不同厂商的工作流管理系统之间可以方便的交换模型信息，从而实现互操作。随着x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) 的广泛使用，以w p d l 为基础，w f m c又于2 0 0 1 年5 月2 2 日发布了基于x m l 的工作流过程定义语言x p d l ，同时各大公司也提出自己的业务过程自动化规范，比较主流的有m 提出的w s f l ( w r e bs e r v i c ef l o wl a n g u a g e ) 圆，微软提出的基于w 曲服务的规范。船舱刚，以及微软公司、i b m公司和b e a 公司联合发布的专为整合w e b 服务而制定的项规范标准：商业流程执行语言b p e l 4 w s ( b u s i n e s sp r o c e s se x e c u t i o nl a n g u a g ef o rw e bs e r v i c e s ) 。2 2 工作流管理系统每一个工作流需要在一个支撑平台上运行，这个支撑平台就是工作流管理系统( w o r k f l o wm a n a g e m e n ts y s t e mw f m s ) 。工作流管理系统是执行工作流的一个软件平台，在这个平台上可以实现工作流的建模、工作流的运行、工作流的监控、工作流的优化和分析等等。w f m c 给出的标准定义是 2 1 “工作流管理系统是个软件系统，它完成工作流的定义和管理，并按照在计算机中预先定义好的工作流逻辑推进工作流实例的执行”。通常，工作流管理系统指运行在个或多个称为工作流机的软件匕的用于定义、实现和管理工作流运行的一套软件系统，它和工作流执行者( 人、应用) 交互，推进工作流实例的执行，并监控工作流的运行状态。在工作流管理系统的支撑下，通过集成具体的业务应用软件和操作人员的界面操作，就能够良好地完成对企业经营过程运行的支持。2 2 1 工作流管理系统体系结构w f m c 致力于推进工作流技术在企业中的应用和促进工作流技术的发展，它在工作流技术的规范性方面做出了很多工作。它定义了工作流管理系统的结构及其应用管理工具和其他工作流管理系统之间的应用编程接口，其主要目的是为了实现工作流技术的标准化和开放| 生，从而支持异构工作流管理系统与产品之间的互操作，并且使得中国海洋大学学位论文其他应用可以使用该结构和定义好的通用a p i ( a p p l i c a t i o np 影吼【1 1 i i l g 5 a c e ，应用编程接口) 访问不同的工作流管理系统提供的服务，实现与其他应用的快速有效集成。w f l c 提供的工作流管理系统体系结构如图2 - 2 ：这个参考体系结构给出了抽象的工作流管理系统的功能组成部件和接口，它能满足工作流管理系统和产品应该具有的主要功能特征，可为实现工作流产品之间的互操作提供公共的基础。由该图可以看出，工作流管理系统主要由三类构件组成：1 ) 软件构件：完成工作流管理系统不同组成部分功能的实现，包括过程建模工具、工作流引擎、任务表管理器和用户界面。2 ) 系统控制数据：工作流管理系统中的一个或多个软件构件使用的数据，包括过程定义、过程定义可能会引用到的组织俑色模型数据、工作流控制数据、工作流相关数据、任务表。3 ) 应用与应用数据：对于工作流管理系统来讲，它们不是工作流管理系统的组成部分，而是属于外部系统和数据，它们被工作流系统调用来完成整个和部分工作流管理的功能。如被工作流管理系统调用的外部应用以及这些应用所操纵的工作流应用数据。柙量署熬图2 - 2 工作流参考体系结构图92 2 2 工作流管理系统参考模型i 酽f l v l c 还给出了工作流管理系统的参考模型，它描述了工作流管理系统体系结构中的主要模块以及模块之间的接口，如图2 - 3l ：作流管理= 【足接口5匮雪接口l十工侉漉a p ! 垮交换恪式接踞2 。王南接口4其它，i 作流执杼灏务囤医固图2 3 工作流参考模型该参考模型中各主要模块简要介绍如下：( 1 ) 过程定义工具( p r o c e s sd e f i n i t i o nt o o l s ) ：是以计算机能够处理的形式进行过程的定义。工作流定义一般被分为三个部分：过程定义、资源分类和分析工具。使用过程定义工具对一个过程进行描述；资源分类工具负责对执行工作流时所需的工具进行分类，这样任务才能同特定的雇员分离；分析工具分析过程定义的语义正确性和执行仿真以洞察案例的执行时间。( 2 ) 3 7 作流执行服务( w o r k f l o we n a c t m e n ts e r v i c e s ) ：它是工作流管理系统的核心。它实际上是企业经营过程的调度器，在某种程度上还是企业的资源分配器。工作流执行服务由一个或者多个工作流引擎( 又称作工作流机) 组成，它提供了过程实例的执行环境，主要完成过程实例化以及执行过程模型、为过程和活动的执行进行导航、与外部资源交互完成各项活动、维护工作流控制数据和工作流相关数据等功能。( 3 ) 工作流客户端应用( w o r k f l o wc l i e n t a p p l i c a t i o n s ) ：它提供用户操作工作流管理系统分配的任务或者活动的功能。这种功能由工作流任务表管理器和用户操作共同完成。工作流任务是指分配给一个特定用户( 或组特定用户) 处理的由任务项组成的1 0中国海洋大学学位论文队列。工作流任务表管理器是一个软件模块，负责管理工作流任务表，并完成与最终用户的操作进行交互。( 4 ) 工作流引擎直接调用的应用( i n v o k e da p p l i c a t i o n s ) ：包括交互式应用和全自动应用。交互式应用总是通过选中工作表处理器中的某工作项，来启动交互式应用。它可能是个标准的办公工具，或一个专门为业务过程开发的程序。全自动应用不需要同用户交互。它可能是不需要用户干涉就能被执行的任务的部分。( 5 ) 系统管理和监控工具( a d m i n i s t r a t i o n & m o m t o r i n gt o o l s ) ：负责监控工作流的执行，可以查看和改变工作流的活动状态，这部分是提供给用户监控和管理工作流正常执行使用的。此部分会在后面章节里详细介绍。一该模型还定义了一个可互操作的工作流管理系统实现应具备的五个接口：接口l是过程定义交换接口，它定义了工作流过程模型的互换格式和读写操作a p i ；接口2是工作流服务和客户应用之间的接口，这是最主要的接口规范，约定所有客户方应用与工作流服务之间的功能操作方式；接口3 是工作流机和直接调用的应用程序之间的直接接口；接口4 是互操作接口，它定义了不同工作流管理系统之间进行信息交互的接口；接口5 是系统管理和监控接口，它主要是为了实现对工作流系统的管理和监控而定义的。2 2 3 工作流执行服务和工作流引擎工作流执行服务是指包含个或多个工作流引擎( w o r k f l o we n g i n e ) 的软件组件。它负责创建、管理和执行工作流实例。工作流执行服务负责将过程定义生成的x m l文件导入，解释过程定义、控制过程实例、安排活动的执行顺序、向用户工作表中添加工作项目、调用应用。工作流执行服务可以看作个状态转化机，图2 _ 4 和图2 - 5分别是流程实例和活动实例的基本状态转换图。图2 _ 4 流程实例状态转换图图2 - 5 活动实例状态转换图在分布式的工作流执行服务中，般由多个工作流引擎协同工作来推进工作流实例的执行。每一个工作流引擎负责控制和管理一个过程中的部分活动，使用相关的资源和应用工具来完成这些活动的执行。工作流引擎是一个为工作流实例的实施和执行提供运行服务环境的软件，它是工作流执行服务的核心，是执行企业经营过程的“业务操作系统 的内核。工作流引擎也包括调用一些形式的应用组件的能力，来激活必要的应用程序执行相关活动。这种调用机制间有很大的不同，既可以是本地应用组件，也可以是远程的w e b 服务。从提供的功能上看，工作流引擎主要完成以下任务：1 ) 对过程定义进行解释。2 ) 控制过程实例的创建、激活、挂起、终止等。3 ) 控制活动实例间的转换，包括串行或并行的操作、工作流相关数据的解释等。4 ) 提供支持用户操作的接口。5 ) 维护工作流控制数据和工作流相关数据，在应用或用户间传递工作流相关数：。据。中国海洋大学学位论文6 ) 提供用于激活外部应用程序和访问工作流相关数据的接口。7 ) 提供控制、管理和监督工作流过程实例执行隋况的功能。2 3 目前工作流技术中所存在的问题与不足尽管经过工作流产品供应商与工作流研究人员十几年的不懈努力，使得工作流技术取得了不错的成果，但是从工作流系统的实际应用状况来看，还远远未达到普及状态，与关系型数据库的使用范围向差的太多。在经营过程中采用工作流管理系统的企。业仍只是一少部分，而且这些系统的应用范围也很有限，并不能全方位地支持企业的关键业务流程。目前存在的不足，主要有以下几点：( 1 ) 在工作流的模型方面，缺乏种能够支持过程定义、过程演进以及过程分析的形式化数学模型。工作流模型的核心是对过程的定义，包括组成过程的基本活动以及活动之间的顺序关系。目前的工作流模型大部分是从直觉出发，以图形语言或者文本语言来定义工作流过程。随着计算机技术的飞速发展，工作流需要在异构、分布的硬件环境下工作，工作流的数据传输就产生了很多问题，特别是安全| 生问题。而在工作流建模过程中，对安全性问题关注的不够。( 2 ) 工作流的运行必须要有底层的通讯基础结构的支持，也就是说，工作流管理系统必须建立在适当的底层通讯基础之上，以便实现执行工作流所需的分布式计算环境。比如：c o r b a 、d c o m 、j 2 e e 、n e t 等都是可以选择的。但是就目前能够实现分布计算环境的产品来看，它们在实际应用中仍然显得不够成熟，在安全性、容错性、可靠性等方面难以满足企业的需求。o ) i 作流的仿真。缺乏仿真方法和仿真工具的工作流管理系统是不完整的，因为人们很难预料在w n 淄上部署的工作流过程将会出现怎样的结果，它有哪些地方不合理，那些地方需要改进，它的性能指标如何等等。现在对工作流仿真方面的工作，人们从事的研究比较少。在第四章、第五章，将会针对以匕三个问题，提出两个安全的工作流模型，并且给出仿真图形，进行仿真。2 4 总结本章主要是介绍了关于工作流方面的基础知识，包括工作流的由来，发展，标准定义，工作流管理系统的参考模型，体系结构，目前存在的不足等。在信息化迅速发展的背景下，工作流技术也得到了快速的发展，融入了很多新的技术，例如网格、电子商务等。由此也给工作流提出了更多的问题。特别是工作流的支撑平台工作流管理系统一般应用于异构、分布式的硬件软件环境下，使相关的数据面临着更多的安全问题，下一章将介绍与工作流安全相关的知识。1 4中国海洋大学学位论文第三章工作流管理系统中的安全知识概述3 1 访问控制机制i s 0 ( 国际标准化组织) 在网络安全标准( i s 0 7 4 9 8 - 2 ) 中定义了5 个层次型的安全服务( 身份认证服务、访问控制服务、数据保密服务、数据完整l 生服务、不可否认服射，访问控制是其中的个重要组成部分。所谓访问控制，就是通过某种途径显式地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。它以身份认证服务为基础，是实现数据保密性服务和数据完整性服务的主要手段。访问控制作为提供信息安全保障的主要手段被广泛地于防火墙、文件访问、v p n 及物理安全等多个方面。近3 0 年来，人们在访问控制的研究方面取得了很多成果，有许多访问控制模型被提出来。其中应用比较广泛的包括以下1 个方面：自主访问控制模型( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) ，强制访问控制模型( m a n d a t o r ya c c e s sc o n l r o l ，m a c ) ，基于角色的访问控制模型( r o l e - b a s e da c c e s sc o n t r o l ，r b a c ) 和基于任务的访问控制模型( t a s k - b a s e da c c e s sc o n l r o l ，t b a c ) 。在本章节后面的部分将介绍以e 几个访问控制模型，其中主要介绍r b a c 与t b a c 。3 1 1 自主访问控制模型自主访问控制( d i s c 硎0 n a r ya c c e s sc o n t r o l ，d a c ) 最早出现在2 0 世纪6 0 年代末的分时系统中。自主访问控制是一种最为普遍的访问控制手段，它允许客体的属主制定针对该客体的保护策略，主体可以按自己的意愿决定那些用户可以访问他们的资源。d a c 还可以限定那些主体针对那些客体可以执行什么操作，这样，就可以灵活地对访问控制策略进行调整。自主访问控制中，主体可以针对被保护客体制定自己的保护策略。每个主体拥有个主体名并属于个组或具有个角色；，每个客体拥有个限定主体对其访问的授权列表；每次访问发生时都会基于授权列表检查主体是否具有对客体的访润权限。d a c 具有简单、易用的优点，而且在一定程度上实现了多用户环境下的资源保护。但是，d a c 也有难以克服的缺陷。一方面，由于客体拥有者可以随意更改客体的访问授权，所以客体拥有者可以随意将客体访问权限授予非法主体，从而产生安全隐患。另一方面，由于系统中的客体拥有者往往比较分散目难以统一管理，导致d a c 资源管理过于分散，从面使得只应用d a c 机制的系统的安全难以碍到有力保证。3 1 2 强制访问控制强制访问控n ( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 最早出现在2 0 世纪7 0 年代，在2 0 世纪8 0 年代得到普遍应用。在模型中，主体按照“向下读，向上写”的原则访问客体，即只有当主体的密级不小于客体的密级，主* 2 - 能读取客体中的数据；只有当主体的密级不大于客体的密级，并且主体的范围包括客体的范围时，主体才能向客体中写数据。m a c 用于保护系统确定的客体，主体不能对此客体进行更改。也就是说，系统独立于主体行为强制执行访问控制，主体不能改变自身或客体的安全属性。这样的访问控制规则通常对主体和客体按照安全等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒绝主体对客体的访问。强制访问控制进行了很强的等级划分，所有主体和客体都被分配了安全标签，安全标签标识一个安全等级。强制访问控制模型保证了客体的高度安全性，它的最大优点是：它使得系统中的信息流成为单向