（计算机应用技术专业论文）基于角色的工作流系统存取控制模型研究.pdf

华中科技大学硕士学位论文 ；= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ；= 一一 摘要 工作流系统中不同的业务流程之间资源的共享必然会弓j 起系列安全问题，安 全策略在工作流系统中集中表现为存取控制策略。基于工作流系统的安全需求，给 出了基于角色的工作流系统存取控铋模型( w t r b a c ) 。w f l l b a c 的六要素是用户、 角色、任务、客体、权限和约束，约束分为动态约束和静态约束，能够满足工作流 系统中的静态性和动态性存取控制要求。 如何有效的管理大量角色是r b a c 模型中面对的一个问题。组织结构图是树型结 构，组织单元间的间接监督同角色一样是严格的偏序关系，可以用组织结构图更好 的组织角色、构造角色层次。 w f r b a c 模型中，引入任务来扩充r b a c 模型的动态性。任务指工作流中的一个 步骤，工作流可以看作任务的集合a 对外部的、历史的数据采用静态授权，管理角： 色负责用户管理、角色分配、角色授权等，也是静态授权。静态授权考虑静态授权 约束关系。动态授权是与任务相联系的，一个用户获得了该任务的执行权，就应自 动获得了完成该任务所需要资源的权限，任务完成，则自动取消授权。当前数据采 用动态授权，动态授权考虑动态授权约束关系。模型中引入权限冲突、任务冲突、 角色冲突等实体关系来描述职责分离。给出模型的形式化定义，给出采用模型的工 作流系统体系结构，重点在于工作流库。 基于w e b 的工作流管理系统已经在华中电力调度通信中心成功实施，存取控制 部分采用的w f r _ b a c 模型。实践证明，w f r b a c 模型链够满足工作流系统的存取控 制要求。 关键词：工作流，存取控制，角色，任务 华中科技大学硕士学位论文 # = = = = = = ；= 2 = ；= = = = = = = = ；= = = = = 2 = = = = = = = = = = = = = 一= a b s t r a c t w o r k f l o wm a n a g e m e n tp r o d u c t sa r ed e p l o y e di n c r e a s i n g l yi na l m o s ta l lb u s i n e s s a c t i v i t i e sa n dd o m a i n s ，a n dr e s o u r c ei ss h a r e di nd i f f e r e n tb u s i n e s sp r o c e d u r e ，s os e c u r i t y i sk e yf e a t u r e so fw o r k f l o ws y s t e m 1 1 1 ea c c e s sc o n t r o ls e r v i c et h a ti so n e p a r to fs e c u r i t y m e c h a n i s mi nw o r k f l o ws y s t e m si sf o c u s e d0 1 1 w o r k f l o wr o l e b a s e da c c e s sc o n t r o l m o d e l ( w f r b a c ) i sp r e s e n t e dt os a t i s f yf o rs t a t i c f e a t u r e sa n dd y n a m i cf e a t u r e so f w o r k f l o ws y s t e m u s e r ，r o l e ，t a s k ，o b j e c t , p r i v i l e g e ，c o n s t r a i n t , a r ei n v o l v e si nw f r b a c a n dc o n s t r a i n ti n c l u d e ss t a t i cc o n s t r a i n ta n dd y n a m i cc o n s t r a i n t m a n a g i n g n u m b e ro fr o l e s e f f e c t i v e l y i saf o r m i d a b l et a s ki nr b a c t h e o r g a n i z a t i o n s t r u c t u r e i s a d o p t e d i nw o r k f l o w s y s t e m s f o rb e r e rr o l e h i e r a r c h y m a n a g e m e n t , b e c a u s eo r g a n i z a t i o n s t r u c t u r ei sat r e es t r u c t u r ea n di n d i r e c t s u p e r v i s e r e l a t i o no f o r g a n i z a t i o nu n i t si sas t r i c tp a r t i a lo r d e r 。 t h ec o n c e p to ft a s ki si n t r o d u c e dt ow f r b a ct oe x t e n dd y n a m i cc h a r a c t e r i s t i c so f r b a c t a s kr e p r e s e n t sau n i to fw o r ki nt h ew o r k f l o w ；t h ew o r k f l o wi sr e g a r d e da sa s e r i e so ft a s k s i nw f r b a c ，p e r m i s s i o n st oa c c e s se x o g e n o u sd a t aa n dh i s t o r i c a ld a t a a d o p t s t a t i ca u t h o r i z a t i o n a d m i n i s 乜a t i v er o l ew h i c ht a k e sc h a r g eo fu s e sm a n a g e m e n t ， u s e r - r o l e a d m i n i s t r a t i o n ，r o l e - p e n n i s s i o n a d m i n i s 帆i o ne t c a i s o a d o p t s s t a t i c a u t h o r i z a t i o n s t a t i ca u t h o r i z a t i o nr e l a t e st os t a t i cc o n s t r a i n t d y n a m i ca u t h o r i z a t i o n a s s o c i a t ew i t ht a s k au s e ri n v o l v e si nat a s k , t h e nt h eu s e ra u t o m a t i c a l l ya c q u i r e dt h e p r i v i l e g eo f t h et a s k sr e s o u r c e s ；t h et a s ki sc o m p l e t e d ，t h e nt h eu s e rd o e m tp o s s e s st h e p r i v i l e g e d y n a m i ca u t h o r i z a t i o nr e l a t e s t o d y n a m i cc o n s t r a i n t p e r m i s s i o n st o a c c e s s c u r r e n td a t aa d o p td y n a m i ca u t h o r i z a t i o n c o n c e p t so f c o n f l i c t i n gp e r m i s s i o n s ，c o n f l i c t i n g t a s k s ，a n dc o n f l i c t i n gr o l e sa r ep r o p o s e dt o d e s c r i b et h es e p a r a t i o no fd u t y af o r m a l d e s c r i p t i o na n d a na n a l y s i so f w f l v , b a ca r e 垂v e n w o r k f l o wm a n a g e m e n ts y s t e mb a s e do nw e bw h i c ha d o p t sw f l l b a c h a s a p p l i e di n c e n t r a l c h i n ae l e c t r i cp o w e rd i s p a t c h i n ga n dc o m m u n i c a t i o nc e n t e rs u c c e s s f u l l yw h i c h t e s t i f i e st h a tw f r b a c c a r ls a t i s f yw o r k f l o wa c c e s sc o n t r o lr e q u i r e m e n t k e y _ 1 6 l o r d s ：w o r k f l o w ，a c c e s sc o n t r o l ，r o l e ，t a s k 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他 个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集 体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文传者签名：j 独毒娟 日期：? o 口珥年j 月o 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，郎：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于， 不保密翻。 ( 请在以上方框内打“”) 学位论文作者签名 撼娲 日期：和o _ i 年5 月8 日 指导教师签名 日期：口吒年亨月昌日 华中科技大学硕士学位论文 = = = ；= ；= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ：一= ： 1 绪论 在商业竞争日益激烈的今天，每个企业都在努力提高自己的生产和服务效率。 工作流技术作为一种有效协调企业不同部门共同工作的手段，正日益引起企业的重 视。 由于工作流是通过计算机自动控制的，不需要人工干预，这使得人们很难设计 出一种能够适应各种情况的安全策略，安全策略在系统中集中表现为存取控制策略。 课题的主要研究工作就是工作流中的存取控制。 1 1 课题背景 现代企业强调将传统的以职能为基础的组织机构和运作机制转变为以过程为中 心的信息集成，来源于计算机支持协同工作领域的工作流技术是实现过程集成的有。 效途径之一【1 d 】。工作流管理现在不仅广泛应用在银行、保险、法律以及行政机关等 办公自动化领域，而且也同样适用于工业界、制造领域和电子商务中。 工作流系统中不同的业务流程之间经常需要相互作用以共享信息和资源，资源 的共享必然会引起一系列安全问题。工作流管理组织的工作流安全白皮书 ( w t m c - t c 1 0 1 9 ) 只是总结了一些安全服务，指明了工作流管理系统的安全研究方 向，并没有给出工作流管理系统的安全解决方案和实现技术。安全策略在系统中集 中表现为存取控制策略，它既是工作流管理系统安全机制研究的核心，也是研究的 难点。 华中电力调度通信中心负责华中四省的电网监控和调度工作。从上世纪八十年 代开始，为了更好地对电网进行调度和管理，华中电力调度通信中心陆续开发了一 些管理和生产信息系统，从而实现了生产和管理的部分自动化。然而，这些信息系 统之间缺乏必要的交互，使得一些跨部门的工作不能自动执行。为了对现存的信息 系统进行自动协调，华中电力调度通信中心着手开发工作流管理系统，研究和设计 存取控制模块则是工作流管理管理的一个研究重点。 1 2 国内外研究概况 现代市场的快速变化和激烈竞争使得企业不断地在过程组合和运作模式上向分 如协作的方向上发展，对企业过程实现自动化和规范化管理是顺应这种发展趋势的 华中科技大学硕士学位论文 ；= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = 一 重要策略和手段。通过对分布式协同工作过程的自动化控制和管理，现代企业可以 降低成本和提高工作效率，从而快速响应市场需求并赢得竞争。但是传统的信息系 统基本上是独立运行的，相互之间缺乏必要的交互、协作与感知，从而使得它们在 协调多个人的活动、以实现企业某个业务目标方亟存在着严重的不足。为此，企业 和软件厂商开发了许多系统对现存的信息系统进行协调。这就是工作流管理系统的 雏形。当前工作流管理系统巨大的潜在市场和广阔的应用领域吸引了越来越多的科 研机构与软件厂商投入到这方面的研究和开发中。 1 2 1 国内外工作流研究现状 据不完全统计，目前通用w n 订s 及声称具有工作流功能的系统已经有几百种之多 【4 q ，国内目前也开始出现这方面的研究与开发7 州。 各种不同类型的系统各有其不同的特点。对于一个大的机构而言，一种w f m s 可能并不能满足某个复杂的业务过程中所有环节的需要；同时，不同的机构会选择 不同的产品去满足其业务管理的不同要求。这些应用上的特点要求各种不同类型的 w f l v s 应该可以实现互联和互操作，以便他们能够被纳入到一个统一的框架之中，在 不同的位置和领域发挥其各自的优势与作用。 可见，无论从用户的角度来说，还是从开发者的角度来讲，都迫切需要一个大 家都共同遵守的标准。这个标准规定了一个w f m s 的组成及所提供的服务。按照该标 准开发的w f m s 将能够满足上述互连和互操作的要求。在这种背景下，于1 9 9 5 年， w f m c 关于w f m s 的参考模型就应运而生了【i o l ，如图1 1 所示。 图】，1w f m s 的参考模型 2 华中科技大学硕士一学位论文 # = = = = = = = ；= = = = = = = = = = = = = = = = = = ；= = = = = = = 一 w f m s 模型由过程定义工具、工作流执行服务、客户应用程序、被调应用程序、 管理监控工具及相互间的接口组成。 1 过程定义工具 过程定义工具是用于对业务过程进行描述、建模、分析及存档的工具，使用过 程定义工具产生的结果称为过程定义。过程定义在运行时由工作流引擎配合执行服 务进行解释。在目前的工作流产品中，过程定义的格式通常根据各自应用领域的特 定需要的不同而不同。过程定义交互接口( w o r k f l o w d e f i n i t i o n i n t e r c h a n g e i n t e r f a c e 。 接口1 ) 的定义给这个领域带来了更多的灵活性和互操作性。 2 工作流执行服务 工作流执行服务为过程实例的创建和激活提供一个运行时环境。借助于一个或 多个工作流引擎，工作流执行服务激活并解释过程定义，从而完成工作流过程实例 的创建、执行与管理。工作流执行服务提供的服务包括过程定义的解释、过程实例 的控制( 创建、激活、暂停、终止等) 、在过程各任务之间的游历( 控制条件的计 算、数据的传递等) ，生成有关的工作项通知用户进行处理等等。应用程序可以通 过工作流应用编程接口( w o r k f l o wa p p l i c a t i o np r o g r a m m i n gi n t e r f a c e ，w a p i ) 来获 取这些服务。 工作流执行服务一般可由一个工作流引擎提供，但在大型的w f m s 中，可能需要 由多个工作流引擎共同完成工作流的运行时控制。例如，某个大的工作流过程中可 能包含多个子过程，这些子过程就可以由另外的工作流引擎来提供运行时的控制环 境，甚至这些子过程可能需要由其他异质的工作流执行服务来完成。这就涉及到 w f m s 系统之间的互连。为实现有效的互连，需要定义互连模型、互连一致性级剐、 操作元素集。这些构成了工作流引擎互操作接口( w o r k f l o we n g i n ei n t e r c h a n g e ，接 口4 ) 的内容。 3 客户应用程序 在过程实例的运行过程中，通常都存在需要人工干预的任务，客户应用程序提 供了处理此类任务的手段。每一个这样的任务都被称作是一个工作项，它包括处理 上的一些要求( 如处理时间的限制) 及待处理的数据对象等。w f m s 将为每一个用户 维护一个工作项列表，它表示当前需要该用户处理的所有任务。 客户应用与工作流执行服务之间交互的接口称工作流客户应用接口( w o r k f l o w c l i e n ta p p l i c a t i o ni n t e r f a c e ，接口2 ) 。工作流执行服务通过该接口向客户应用程序提 供各种服务，如会话连接、过程控制、活动控制、过程状态、活动状态、工作项列 表的处理以及过程实例的管理等。 华中科技大学硕士学位论文 = = = = = = = = = ；= = = = = = = = 2 = = = = = = = = = = = = = = ；= = = 一一： 4 被调应用程序 被调应用程序指工作流执行服务在过程实例的运行过程中调用的、用以对应用 数据进行处理的应用程序。在过程定义中包含有这种应用程序的详细信息，如类型、 地址等。目前已甫的几种方式包括应用代理( 它通过一个标准的接口同执行服务进 行交互) 、某种标准的互换机制( 如o s i - t p 协议或x 4 0 0 等) 、本地过程调用、远程 执行调用、o r b 等。 被调应用与工作流执行服务之间交互的接口称被调应用接口( i n v o k e d a p p l i c a t i o ni n t e r f a c e ，接i z 3 ) 。该接口的目标就是提供一些标准的服务供应代理使用。 基于这些服务也可以开发出些专门的应用直接同工作流执行服务交互。关于这些 服务的语义和语法细节还有待更深入的研究，目前初步确定的服务大致可分为会话 建立、活动管理( 双向的) 以及数据处理等几类。 5 管理及监控工具 管理及监控工具的功能是对w i m s 中过程实例的状态进行监控与管理，如用户管 理、角色管理、审计管理、资源控制( 包括过程管理及过程状态控制等) 。 管理及监控工具与工作流执行服务之间交互的接口称管理及监控接口 ( a d m i n i s t r a t i o n & m o n i t o r i n g i n t e r f a c e ，接口5 ) 。该接口规范详细描述了需要从过 程执行过程中捕获和记录的信息( c o m m o n w o r k f l o w a u d i t d a t a ，c w a d ) ，如过程 实例信息、活动实例信息、工作项信息及远程操作信息等。 上述五个接口被统称为w o r k f l o w a p i ( w a p i ) ，这些标准的制定对于实现不同 厂家的产品之间的互操作( 如用一个厂家的管理与监控工具去管理另一厂家的工作 流执行服务) 及基于工作流执行服务开发新的应用具有重要意义。 一个工作流管理系统在企业应用之后预期会有下述影响i l l j 2 ： 1 将提升企业内外多样企业活动的整合能力，增强了组织内部部门与跨组织之 间的协调与合作工作的进行。 2 企业流程知识累积能力的增加，可汇集与加值来自不同部门或单位的知识与 心得，使得企业学习的机制更为增强。 3 跨越了以纸张为基准的管理限制，企业营运的管理将更有弹性与实效。 4 充分运用工具的特性，可以用更具弹性的作业方式满足各层不同客户的不同 需求，有助于改善企业的竞争力。 1 2 2 工作流系统存取控制需求 国际标准化组织i s o 在网络安全标准i s 0 7 4 9 9 - 2 中。定义了五大安全服务功能： 4 华中科技大学硕士学位论文 = = = = = = = = = = = = = = = = = = = = = ! = = = = = = ；= = = = = = = 一= 身份认证( a u t h e n t i c a t i o n ) 服务、存取控制( a c c e s sc o n t r 0 1 ) 服务、数据保密 ( c o n f i d e n t i a l i t y ) 服务、数据完整姓( i n t e g r i t y ) 服务和不可否认( n o n - r e p u d i a t o n ) 服务。在这五方面中，身份认证、数据保密和不可否认性服务则有其独特之处。 存取控制就是以某种途径表示准许系统用户的存取能力及存取范围。通过存取 控制服务可以限制对系统资源的存取，防止由非法用户的侵入以及合法用户的不慎 操作而造成的危害。 当然成功的存取控制离不开有效的用户身份认证服务和数据保密服务。用户身 份认证是存取控制的前提和基础。由于经济实力、规模等因素的限制，有些组织往 往出现工作性质和工作内容互不相同的几位工作人员共用2 台计算机的现象。为了 确保系统安全，必须对系统用户进行有效的身份认证，这是计算机系统安全的第一 道防线，也是最基本的防范措旌。系统中的每个用户都必须拥有一个用户标识符， 这是唯一识别用户身份的文件。同时重要信息必须经过加密才可在网上传送，从而 确保其完整性与真实性。 数据完整性包括三个方面： 1 操作完整性：处理对统一数据的同时存取； 2 物理完整性：防止数据丢失； 3 语义完整性：要求数据与组织规则相一致。 其中，操作完整性可以通过并发控制实现，物理完整性可以通过数据保密服务 的加密技术实现，这两种在工作流系统和非工作流系统中的实现方法类似。工作流 系统中的语义完整性具体表现为在工作流系统中的实现方法类似。工作流系统中的 语义完整性具体表现为在工作流系统中流动的信息要与组织规则保持一致，一般需 借助于存取控制完成。最常见的组织规则是职责分离( s e p a r a t i o no f d u t y ) 原则【1 3 。卵： 某些关键工作必须由多个用户共同完成。而不能仅由一个用户独立完成，例如政府 办公自动化系统中的公文审批要求公文起草者不能审批此公文，这个规则在存取控 制中可以通过不给公文起草者授予“审批”的权限而实现。 本文将着重讨论工作流系统中的存取控制服务。 工作流系统应用于大型企业中，权限的管理相对复杂。通过对工作流管理系统 的研究发现，工作流的安全问题始终没有被作为重点提出。而事实上安全问题在任 何工作流系统中都是至关重要的，工作流系统在时间等方面有特殊要求【i “，因此我 们就将工作流管理系统的安全机制，特别是工作流系统中的存取控制作为本课题研 究的重点。许多作者讨论过工作流系统实现存取控制的要求1 7 。8 1 。工作流系统中存 取控制必须满足： 华中科技大学硕士、学位论文 1 支持最小安全特权 依据最小安全特权原则，用户只拥有他完成工作所需的最少的权限【1 9 】。 2 支持权限的授予 上级用户可以把自己的直接权限授予执行此任务的另用户，保留撤消权限的 能力 2 0 , z i 。 3 支持监督和审阅 4 允许不同的用户可以拥有相同的权限 5 权责要分离 1 2 3 现有的解决方案 自主存取控 i l d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 、强制存取控制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) t 2 习和基于角色的存取控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 是常用的 存取控制方法。 ， d a c 基于主体客体之间的所属关系，主体可以自主地、不受限制地把自己对客 体存取权限直接或间接授予其他主体或者从其他主体处收回自己授予的权限。但是 工作流系统中的终端用户并不是其所存取信息的属主，对信息没有“拥有权”，真 正拥有信息的是组织。同时d a c 将赋予或取消存取权限的一部分权力留给用户，这 种级联授权使得系统管理员难以确定哪些用户对哪些数据具有哪些存取权限，不利 于实现统的全局存取控制。故工作流系统的存取控制不应采用d a c 。 m a c 则基于主体客体的安全级别，要求主体客体关系具有良好的层次结构， 只允许信息从低安全级别的实体流向高安全级别的实体，一般用于多级安全军事系 统。由于在m a c 中高安全级别的主体可以存取低安全级别的所有实体。故从控制粒 度上讲不满足最小特权原则。除此之外，工作流系统中相互写作的用户之间很难用 固定的安全级别进行划分，并且信息的流动除了纵向之外，还经常出现横向的、循 环的、逆向的流动，所以侧重于机密性保护、适合军用系统的m a c 也不适合工作流 系统的存取控制。 d a c 和m a c 都是将用户和存取权限直接关联，而r b a c 则在用户和存取权限之 间加入角色作为沟通桥梁1 2 3 - 2 5 】，实现了用户与存取权限的逻辑分离。r b a c 相对于 d a c 与m a c 将用户和权限直接联系的方法，减少了人事变动对系统产生的影响，增 强了系统稳定性。同时r b a c 是策略中立的，可根据应用系统的具体环境进行动态配 置。在工作流环境中采用r j a c 模型，可以方便授权管理。因此r b a c 可以应用于工 作流环境。w 瓠i c 对角色的定义是：一种和工作流活动的参与者相联系的机制。通俗 6 华中科技大学硕士、学位论文 = = = = = = = ；= = = = ；= = ；= = = = = = = = 地说，角色是指具有一定技能、可以执行某些工作的人员( 或资源) 集合。通过给 成员赋予不同的角色，对成员的多种职能进行表达，提供约束成员不同权限范围变 化的依据。许多研究者也从不同角度研究了基于角色的存取控制在工作流系统中的 应用 2 6 - 2 8 】。采用基于角色的进彳亍权限管理优点是显然的。 1 角色和角色层次可以很简单的就把企业的结构映射到系统中，更加直观，易于 应用。 2 一旦权限初始设置好之后，就不再需要做大的调整。因为权限是真接与角色 相对应，而不是用户。即使是公司的人员调动频繁，但是工作岗位本身却是很少变 化的。由于权限控制是基于工作岗位，而不是基于职员的，所以人员的调动并不会 太多的影响到权限控制机制。 3 之所以r b a c 适用于企业，是因为它本身自然的就支持访问权限的委托机制。 比如说企业的总经理需要休假，他可以将他所拥有的管理权限临时交给另一个人来 代理。只需要简单地将系统中的总经理这个角色分配给其它用户，而无需其它任何 多余的操作就能够实现。 然而，在工作流环境中采用理论上的r b a c 模型仍存在着许多不足之处。r b a c 模型在创建角色后即把权限分配给角色，此后权限在角色的整个生命周期都有效； 而工作流是动态的流程，角色只有在执行任务时才需要权限，在其余时间这些权限 都是多余的。采用上述授权方式后，则会造成角色权限的冗余和数据访问的不安全 性，不符合最小安全策略要求。为此我们引入任务，任务在w f m c 对应于业务流程 中在逻辑上相对独立的工作步骤，是工作流系统执行中的最小工作单元。任务之间 有数据、控制的依赖关系。一般地，整个工作流比较复杂，可以看作是一系列任务 的集合 2 9 , 3 0 。 基于任务的存取控制模型 3 1 - 3 3 1 仅处于一种高度抽象的概念层次，还没有定义具 体的约束语言集和语法规则，离适用有一段距离。而且因为工作流中既有静态授权， 也有动态授权，所以要把基于角色的存取控制策略和基于任务的存取控制策略结合 在一起实现工作流存取控制策略。 1 3 课题主要研究工作 从以上的讨论可知，工作流技术作为种有效协调企业不同部门共同工作的手 段，f 臼益引起企业的重视，工作流系统中的存取控制策略既是工作流管理系统安 全机制研究的核心，也是研究的难点，但是现有的存取控制方法应用于工作流系统 华中科技大学硕士学位论文 ；= = = = = = = = = = = = = = = = = = = = = = 2 = = = = = ；= = = = 一一 中都有一定的缺陷。d a c $ 口m a c 都是将用户和存取权限直接关联，灵活性差：r b a c 模型在创建角色后即把权限分配给角色，此后权限在角色的整个生命周期都有效， 而在工作流系统中角色只有在执行任务时才需要权限，在其余时间这些权限都是多 余的，不符合最小安全特权原则；基于任务的存取控制模型仅处于高度抽象的概念 层次阶段。 本课题主要在r b a c 模型的基础上，针对工作流系统中的静态性存取控制和动态 性存取控制并存的特点引入任务，给出适合工作流系统的基于角色的工作流存取控 制模型w f l b a c ( w o r k f l o w r o l e b a s e da c c e s sc o n t r o lm o d e l ) ，并在工作流管理系统实 现此模型。课题的研究依托于华中电力调度通信中心基于w e b 的工作流管理系统这 个项目。 课题的主要工作如下： 1 针对工作流系统中的存取控制策略进行研究，给出适合工作流系统存取控制 要求的r b a c 模型，给出模型的形式化定义、模型中的基本概念定义，讨论模型中的 授权约束问题、任务之间的关系、管理角色和管理权限等，给出采用w i r b a c 模型 的工作流管理系统体系结构。 2 在j 2 e e 平台上实现基于w e b 的工作流管理管理系统，基本上实现w t p , b a c 模 型，要能够同时满足工作流系统中的静态性存取控制要求和动态性存取控制要求。 本文具体内容安排如下： 第二章介绍了基于角色的存取控制方法r b a c 的主要思想，着重说明了r b a c 9 6 模型，a r b a c 9 7 模型及这些模型存在的缺陷，最后给出怎样采用组织结构图可以更 好的分析角色层次。第三章针对工作流系统的特点给出了w r b a c 模型，给出了模 型的基本概念，模型中用户，角色，任务之间的授权约束问题，任务之间的关系， 采用w f r b a c 模型的工作流系统体系结构。第四章是课题依托的工作流系统的总体 设计。第五章介绍了w f r b a c 模型在j 2 e e 平台上的实现。第六章对本文所作工作进 行总结，并指出需要进一步研究的工作。 华中科技大学硕士、学位论文 2 r b a c 模型的分析及其缺陷 第章中提到采用r b a c 模型实现工作流系统中的存取控制，既有优势又有不 足。r b a c 的策略是以用户，角色，角色层次，权限来描述的，r b a c 的中心思想是 根据用户所属的角色来决定用户是否有权在系统中进行某种访问，本章详细分析 r b a c 模型。 2 1r b a c 模型 r b a c 的起源可以追溯n t o 年代。在七、八十年代的一些存取控制产品已经利用 了“角色”概念来进行系统管理，如i b m 的r a c f 等。最近，r b a c 又重新引起了人 们的重视，并且大多数是在应用层上来控制对应用数据的访问，成为一种被广泛接 受的授权和存取控制模型。在过去韵几年里，关于鼬j a c 的研究已经取得了不少进展。 其中较为深入的为美国g e o r g em a s o n 大学r a v is a n d h u d 等人提出的r b a c 9 6 模型和 a r b a c 9 7 模型3 4 。3 6 】，f e r r a i l o 等人则讨论t r b a c 的功能及其使用r b a c 的原因1 3 7 ， f e r r a i l o 和k u t m 给出了r b a c 主要特征的统一定义【3 8 1 ，其它有的是将角色加入到面向 对象系统中去【”4 0 】，也有的是在不同环境中应用r b a c 【4 1 】，有的引入其它因素来扩展 r b a c 模型4 2 刮。国内对r b a c 模型的研究也很多，有的从总体把握r b a c 模型【4 5 却】， 有的结合具体实践介绍了应用经验1 4 8 渤】，也有的对r b a c 模型的不同方面进行了深入 的研究1 5 1 , 5 2 1 ，还有在工作流系统中引入了角色【5 ”。 2 1 1角色 所谓角色，用一般业务系统中的术语来说，实际上就是业务系统中的岗位、职 位或者分工。例如在一个公司内，财务主管、会计、出纳、核算员等每一种岗位都 可以设置多个用户具体从事该岗位的工作，因此它们都可以视作为角色。 2 1 2r b a c 9 6 模型 r b a c 9 6 模型的基本思想是采取了角色的概念，用户和权限都和角色相关联，即 将权限指派给角色，同时也将用户指派给角色，这样，用户和权限是通过角色间接 相联系。它由基本模型r b a c 0 、角色层次模型r b a c l 、角色约束模型r b a c 2 、统 模型e b a c 3 e g 成。 基本模型r b a c o 包含它的基本概念，包含三个实体：用户u ，角色r ，权限p 。用 华中科技大学硕士学位论文 户指的是一个人，可以扩充为包含智能的自动机构。例如，机器人、固定的计算机， 甚至是计算机网络等一些比较抽象的对象。权限指在系统中对一个或多个客体存取 控制的许可，有时也可以用授权、存取控制、权利来代表权限，在该模型中权限总 是肯定的，是授予在系统中执行一些行为的控制能力，模型中使用约束来代替“否 定权限”。用户与角色、角色与权限都为多对多的关系，用户对权限的执行必须通 过角色联系起来，从而提供对资源访问的更多控制。 层次模型r b a c l 增加了对支持角色层次结构的需求，层次模型一般又分为一般 层次r b a c 和限制性r b a c 。 约束模型r b a c 2 增加了约束的概念，增加了对保证职责分离的需求。 统一模型r b a c 3 处理权限到角色关系类似基层中用户中的用户到角色关系。 2 1 3a r b a c 9 7 模型 a r b a c 9 7 模型分为三部分：用户到角色的分配模型u r a ，权限到角色的分配摸 型p r a ，定义角色层次的r r a 3 5 】，如图2 1 所示。 啊再话匿习 2 1 3 1u r a 模型 u r a 由两部分组成。 1 u r a 授权模型 匦亟亟团 图2 1a r b a c 模型 华中科技大学硕士。学位论文 = = = ；= = = = = ；= = = = = = = = = = = = = = = = = = = = = = = = 一 定义1u r a 模型的用户一角色分派关系 c a n - a s s i g n ( x ，y ，z ) ( x 是管理角色，y 是前提条件，z 是角色范围) 指在管理角 色x ( 或高于x 级别管理角色) ，可以分派给y 中成员范n l z e e 的角色。 2 u r a 9 7 角色撤销模型 u r a 9 7 撤销模型的目标是规定一种与r b a c 原理符合的撤销模型 定义2 u r a 模型的用户一角色撤销关系c a l l r c v o k e r r 2 8 c a n - r e v o k e ( x ，y ) 指管理角色x ( 或高于x 级别管理角色) 可以撤销任何y e y ( y 是撤销范围) 的一般角色用户的成员资格。 在u r a 9 7 管理模型中记p i j 为用户撤销关系。 定义3 如果( u ，x ) p u ，则用户u 是角色x 的直接成员， 如果x x ，( u ，x ) p u ，则用户u 是角色x 的间接成员。 一个用户可以同时是一个角色的直接或间接成员。u r a 9 7 撤销模型中定义了两 种关系，弱撤销与强撤销。弱撤销仅作用于直接成员，强撤销则把直接和间接的成 员资格都撤销。在角色x 中对用户u 的成员资格进行强撤销，要求u 不仅在x 中的直接 成员资格被撤销，而且要求在比x 高的角色中的直接或间接的成员资格都撤销，因此， 强撤销在角色层次里级别越高撤销强度越大。 2 1 3 2p r a 模型 p r a 与u r a 类似。p r a 9 7 也分为两部分，角色一功能授权、撤销模型。 定义1u r a 模型的用户一角色分派关系 c a n - a s s i g n p ( x ，y ，z ) x ：管理角色：y ：前提：z ：角色范围 定义2u r a 模型的用户一角色撤销关系 c a l l r e v o k e p ( x 。z ) x ：管理角色：z ：角色范围 2 1 f 3 3r j 认模型 安全策略的一个要求是：要想合法的获得信息，提出存取请求的人员的存取类 的级别要大于信息的存取类级别。另一要求就是要能够支持范畴的安排，范畴是互 相独立的和无序的。用数学的语言来说，就是要求所使用的安全模型必须是偏序的。 r h c r r ，r h 是角色上的一个偏序关系，称之为角色层次或支配关系。 2 2r b a c 模型管理角色的缺陷 在a r b a c 9 7 模型中，依靠的是角色之间的层次关系来构筑现实世界中的等级式 权限体系，这样实施会带来多余授权，不符合最小安全特权分配的权限分配准则， 华中科技大学硕士学位论文 并且在进行权限管理时也会带来很多不便。 首先，一个前提角色依赖于它的下级或上级前提角色，所有的前提角色沿着角 色层次形成一条链。这种依赖性是建立角色树的限制。另外，它引起了重复的管理 工作和冗余数据。例如，l i r a 中用户授权需要多步骤。角色级别越高，授权的步骤 越多。这可能需要两个或更多的安全管理员的工作。p r a 中权限赋予角色需要多步 骤。也是角色级别越高，授权的步骤越多。 其次，功能角色管理是自顶向下的，允许安全管理员从他们的前提角色中选择 任意权限。这会引起了料想不到的后果的。 2 3 引入组织结构图实现角色层次 在大型系统中，角色成百上千，用户和权限更是上万，要有效的管理这些角色、 用户和权限之间的关系是一件非常费力的事情。r b a c 的主要优点就是利用层次结构 把用户和权限联系起来，从而简化了用户和权限的管理。文献【5 i 】中提出利用n t r e e 来管理角色层次，提供分离、共享和监视。这是理论上可行的一种方法。 2 3 1 组织结构图 现在考虑引入组织结构图，改造组织结构图来更好的管理角色，建立角色层次。 许多大型企业使用组织结构图来描述岗位。在信息系统中，组织是分析业务功能、 活动的好术语。一般地，组织结构图是树型结构，具有继承属性。一个组织结构图 由组织单元组成，每个组织单元包括完成特定任务的一群人。为了完成特定任务， 每个组织单元有一系列功能或者说任务。为了完成功能或任务，用户需要存取信息 资源。我们可以定义组织单元为“完成特定任务的群人”。一般地，组织结构图 是树型结构，具有继承属性。 图2 2 是一个具有根的组织结构图形式，每一个岗位对应一个或多个权限，例如 财务经理有控制财务的权限。 我们可以通过监督和间接监督关系来定义组织单元间的监督层次结构。 p 是岗位的集合 监督，间接监督关系：p p v p i 、p 2ep ，p i 、p 2 间接监督铮p 1 、p 2 直接监督v p 3 p ， ( p i 、p 3 直接监督 p 3 、p 2 间接监督) 所以说，间接监督是严格的偏序关系，它是从组织结构图中导出的。当然，它 是一种岗位层次，而不是角色层次。d 茬：r b a c 模型中并没有严格区分两者，可以利 华中科技大学硕士”学位论文 用两者的相似性，在r b a c 模型中应用组织结构图更形象、更好的组织角色、构造角 色层次。 图2 2 组织结构图 2 3 2 工作流系统的一个流程实例 工作流系统中的应付帐务系统： 支票产生 如图2 3 ，为了生成相应的支票，出纳员输入电脑系统发票细目，电脑系统储存 信息。帐务监督员检查电脑中的信息后，批准应付帐务，系统打印出支票( 或者是 进行转帐) ，输出结果。批准过程是一个完整的事务，不允许中断，必须保证执行 完毕，资金才能流动。成功执行后，资金流动就不能够停止了。 帐务审查 如图2 4 ，尽管流程的第一步就实现了权责分离，帐务主管仍然需要在某些时间 对帐务进行审查。帐务监督员将根据是否有经理的签名来检查帐务主管是否进行了 审查。当然，审查不能够阻止资金的流动，但是却能发现资金流动中的异常。 应付帐务系统的存取控制： 准备发票。出纳员需要此权限- 一一 l3 华中科技大学硕士学位论文 限。 批准发票。帐务监督员需要此权限。 审查发票。帐务经理需要此权限。 准备、批准、审查权限之间不能相互兼容，所以没有角色