（计算机应用技术专业论文）基于pmi的工作流管理系统安全模型和授权策略研究.pdf

基于p m i 的工作流管理系统安全模型和授权策略研究 摘要 工作流是针对工作中具有固定程序的常规活动而提出的一个概念。通过将工 作活动分解成定义良好的任务、角色、规则和过程来完成执行和监控，达到提高牛 产组织水平和工作效琦夏的目的。随着工作流僻理系统的发展，安全问题也已经成为 工作流符理系统领域非常重要的研究课题。工作流符理系统横跨多个部门，与现有 的异构的应用系统互相交错，特别是基于w e b 的分布式工作流符理系统部署的更 快，地域的跨度更大，如何保证系统的安全性便成为首要问题。 工作流白皮书提出了工作流竹；理系统中基本的安全问题，并对工作流的安全 问题进行了阐述。白皮书指出，工作流的基本安全问题包括认证( a u t h e n t i c a t i o n ) 、 授权( a u t h o r i z a t i o n ) 、访问控 i ；l j ( a c c e s sc o n t r 0 1 ) 、审计( a u d i t ) 、数据保密性( d a t a p r i v a c y ) 、数据完整性( d a t ai n t e g r i t y ) 、防否认( n o nr e p u d i a t i o n ) 、安全书；王! ! ( s e c u d t y m a n a g e m e n ta n da d m i n i s t r a t i o n l 等。 在白皮书的基础上，学者不断提出了工作流倚理系统的安全模型，其中美国 的j o l l i l a ，m i l l e r 等在工作流符殚系统基本安全问题及其解决方案的基础上提出了 工作流的经典安全模型，具有一定的代表性。随着p k i ( p u b l i ck e yi n f r a s t r u c t u r e ， 公钥基础设施) 和p m i ( 授权符理基础设施) 的发展，以及对工作流仟理系统存取 控制技术的不断深入，经典的安全模型也存在着改进的空间。 本文在对工作流的经典安全模型、p m i 授权仵理系统和工作流篇；珲系统访问 控制技术的研究基础上，将p m i 引入到工作流符理系统经典的安全模型中，建立 了一个基于p m i 的工作流符珲系统安全模型，同时将基于角色和任务的访问控制 引入到工作流符理系统安全模型的p m i 授权策略中，扩展了基于角色的p m i 授权 策略。在论文的最后，对改进的安全模型进行了初步的实现，验证了模型的合理 性。 关键词：工作流管理系统，访问控制，p m i ，授权策略 r e s e a r c ho i lt h ep m ib a s e dw f m s s e c u r i t ym o d e la n d a u t h o r i z a t i o np o l i c y a b s t r a c t w o r k f o wi sc o n c e r n e dw i t ht h ea u t o m a t i o no f p r o c e d u r e sw h e r ed o c u m e n t s ， i n f o r m a t i o no rt a s k sa l ep a s s e db e t w e e np a r t i c i p a n t sa c c o r d i n gt oad e f i n e ds e to f r u l e st o a c h i e v e 。o rc o n t r i b u t et o ，a no v e r a l lb u s i n e s sg o a l a st h ep o p u l a r i t yo f w o r k f l o w c o n t i n u e st og r o wa n di n v a d em o r ea n dm o r ea p p l i c a t i o nd o m a i n s s e c u r i t yb e c o m e sa n e v e r m o r ev i t a lc o n c e r n s i n c ew o r k f l o w sc a ns p a nm u l t i p l eo r g a n i z a t i o n sa n di n t e r f a c e w i t ha l ls o r t so f e x i s t i n ga p p l i c a t i o n s ，s e c u r i t yi s s u e sb e c o m eq u i t ec o m p l e xa n dah o t r e s e a r c hc a t e g o r y w h i t ep a p e ro f w o r k f l o ws t a t e st h a ta u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c e s sc o n t r o l ， a u d i t , d a t ap r i v a c y , d a t ai n t e g r i t y , n o nr e p u d i a t i o n ，a n ds e c u r i t ym a n a g e m e n ta n d a d m i n i s u a f i o na r et h ef u n d a m e n t a li s s u e so f t h ew o r k f l o wm a n a g e m e n t b a s e do nt h e w h i t ep a p e ro f w o r k f l o w , ac l a s s i cs e c u r i t ym o d e lo f w o r k f l o wm a n a g e m e n ts y s t e mh a s b e e np u tf o r w a r db yp r o f e s s o rm i l l e ra n de t e h o w e v e r w i t ht h ed e v e l o p m e n to f t h ep k ia n dp m i ，am o r ee f f i c i e n ta n dr e l i a b l e i n f r a s t r u c t u r eo f a u t h e n t i c a t i o na n da u t h o r i z a t i o ni sc o n s i d e r e da st h ec o r ea n df o u n d a t i o n f o rn e t w o r ks e c u r i t y t h et h e s i sa n a l y z e st h ec l a s s i cs e c u r i t ym o d u l e ，t h ea c c e s sc o n t r o lt e c h n o l o g yo f w o r k f l o wm a n a g e m e n ts y s t e ma n dt h ep m i ，c o n s t r u c t sa ni m p r o v e ds e c u r i t ym o d e lo f w f m sb a s e do np m i a tt h es a m et i m e ，i te x t e n d st h ep m ia u t h o r i z a t i o np o l i c i e sb a s e d o l lt & r b a c ( t a s ka n dr o l eb a s e da c c e s sc o n t r 0 1 ) f i n a l ly t h et h e s i si m p l e m e n t sa n e l e m e n t a r yr e a l i z a t i o nf o rt h ei m p r o v e ds e c u r i t ym o d e lo f w f m sb a s e do np m it o v a l i d a t et h er a t i o n a l i t yo ft h em o d e l k e y w o r d s ：w f m s ，a c c e s sc o n t r o l ，p m i ，a u t h o r i z a t i o np o l i c y 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 髓戋所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写 i 的研究成果，也不包含未获得 ( 适! 翅遗直墓丝壶要挂剔直明 ! ：奎拦亘窒2 或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研 毛所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：4 - 滴 签字同期：矽刁年彳月二同 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并向国家有 毛部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权学校可以将学 z 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手 2 保存、汇编学位论文。( 保密的学位论文在解密后适用本授权书) 。位论文作者签名：芩蒲 字日期：刀刀年歹月夕日 位论文作者毕业后去向： ：作单位： a 讯地址： 导师签字： 待建皂l 签字同期：钆j 7 年6 月6 同 电话： 邮编： 基丁p i i i 的i 作流管理系统安个楔型审授权策略研究 1 绪论 课题基于p m i 的工作流符理系统安全模型和授权策略，是工作流仟理系统和 p m i 的重要内容。本章着重介绍了课题的研究背景、研究现状和进展、论文的研究 内容和实现目标、论文的创新点以及论文的总体结构。 1 1 研究背景 工作流【2 1 是针对工作中具有固定程序的常规活动而提出的一个概念。通过将 工作活动分解成定义良好的任务、角色、规则和过程来完成执行和监控，达到提高 生产组织水平和工作效率的目的。 工作流技术最早源于2 0 世纪8 0 年代初期的办公自动化领域，进入9 0 年代以 后，工作流管理系统已经成为了计算机应用领域研究的热点。近些年，企业对过程 建模、b p r 工具、敏捷制造、并行工程的需求，为工作流技术的应用提供了一个 广阔的市场，使工作流产品得以迅速发展。同时，工作流产品供应商不断将信息技 术、w e b 技术等研究中的最新研究成果应用于自己的产品开发中，促进了它的普 及与应用，工作流管理系统为企业更好地实现经营目标提供了先进的下段。 工作流管理技术近年来弓i 起了学者的关注和研究兴趣，安全问题也已经成为工 作流午午理系统领域非常重要的研究课题。工作流饩理系统横跨多个部门，与现有的 异构的应用系统互相交错，特别是基于w e b 的分布式工作流销；理系统部署的更 快，地域的跨度更大，如何保证系统的安全性便成为首要问题。 美国的j o h n a ，m i l l e r 等在工作流仟理系统基本安全问题及其解决方案的基础 上提出t - r 作流的经典安全模型【3 】，具有一定的先进性。随着p k l l 4 ( p u b l i ck e y i n f r a s t r u c t u r e ，公钥基础设施) f f u p m i n ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ，授权 管理基础设施) 的发展，以及对工作流件珲系统存取控制技术的不断深入，经典的 安全模型也存在着改进的空间。 基于公开密钥理论和技术的p k i 体系于二十世纪八十年代由美国学者提出，它 是在公开密钥理论和技术基础上发展起来的一种综合安全平台。利用p k i 可以方 便的建立和维护一个可信的网络环境，从而使得人们可以在虚拟世界中安全的从事 基下p i 的l ：作流管理系统寰个模型帚i 授权策略研究 各种活动。以p k i 为摹础的安全方案提供了网络应用需要的各种特性，已成为提供 信息安全服务的具有普遍性的安全基础设施，能为电- 了商务、电了政务和工作流管 理系统等网络应用提供强有力的信息安全保障。近年来，p k i 得到迅猛发展。将 p k i 应用于工作流仟；理系统的认证与授权成为了一种趋势。 t u 是，p k l 只解决了用户“是谁”的问题，却不能区分出每个用户的权限。为解 决这个问题，在保持原来公钥证寸j 传统格式的同时，x 5 0 9 、，3 中引入扩展项来标识 用户的权限。而如今，随着网络中的资源越来越多，用户角色越来越复杂，一个人 很可能兼具多种角色，拥有多个权限，从而有的用户就需要颁发多个身份证1 弓。这 样既不利于系统的开发和重用，也不利于系统安全方便的箭理。2 0 0 0 年，i t u 公布 了x 5 0 9 的第四版本，在x 5 0 9 v 4 中，提出了p m i ，从而为解决授权问题提出了基本 模型。 随着工作流仟理系统应用的广度和深度的不断加大，如何将p m i 和工作流臀理 系统现有的安全模型相结合，针对工作流竹理系统中灵活的工作活动的特点，实现 安全的、灵活的和高效的存取访问控制已经成为了工作流僻理系统的重要课题。 本论文从摹于p m i i 作流符弹系统安全模型和授权策略的角度，使用p m i 和工 作流竹理系统存取控制领域较新的研究成果，对工作流符理系统传统的安全模型进 行了一定的改进，为工作流仟理系统提供7 一种解决特权分配和授予的途径。同时 使用j 2 e e 对模型进行了初步的实现，在一定程度上验证了改进后模型的合理性。 1 2 国内外研究现状 1 2 1 国内外对工作流符理系统安全性的研究 目前对工作流符理系统安全性的研究，丰要围绕工作流仟理系统安全白皮彬6 】 中指出的基本安全问题如认证、授权、访问控制、审计、数据保密性、数据完整 性、防否认、安全铃；殚等进方面，丰要分成了以下四个部分： l 、加密：工作流僻理系统应用的加密技术集中在对称加密、非对称加密和安 全套接字层。 2 基丁p h i 的i ：作流管理系统寰个模型君i 授权策略研究 2 、数字签名：工作流符理系统应用数字签名来进行数据完整性、防否认性等 控制。 3 、存取控制：存取控制建立在认证的基础上，是工作流符理系统安全性的研 究重点，丰要包括以下研究点： 1 ) 传统的访问控制包括d a c ( 自辛访问控制) 、m a c ( 强制访问控制) 、 t b a c ( 基于任务的访问控制) 和r b a c ( 基于角色的访问控制) 。其中d a c 较 弱，m a c 太强，t b a c 应用面相对窄，而以r b a c 最为灵活、有效，相关的研究 也比较多； 2 ) 在两种或两种以上的访问存取控制相结合方面的研究也较多： 3 ) 角色与o n t o l o g y 的研究： 4 ) 角色等级与继承的研究； 5 ) 角色与数据对象的研究等； 4 、多级安全：当系统需要更高的安全级别时，访问控制可以进行多级安全扩 展。 在基本安全问题的基础上，j o h n a m i l l e r 等提出的工作流鹳；理系统安全框架模 型，它采用在工作流竹；理系统外部使用s e c u r i t y a g e n t 来访f 司s e c u r i t yd b 的方式实现 认证和权限符理，具有一定的先进性。 1 2 2 国内外对p k i 和p m i 的研究； l 、p k i 的研究： 基于公钥密码技术构建的公钥基础设施( p k i ) 是目前公认的解决大规模、分 布式开放网络环境下信息安全问题最可行、有效的办法。网络和信息技术的迅猛发 展呼唤新的p k i 应用模式以及新的安全应用协议。当前国际上移动通信的发展和网 上服务模式的变化，为p k i 发展注入了新的活力。它掀起了对w p k i ，k m l p k i 、 漫游p k i 的研究和应用。同时，p k i 系统也必须解决授权竹理基础设施所解决的授 权管理，解决p k i 系统集成到类似w i n d o w s 之类的使用广泛的操作系统等问题。 2 、p m i 的研究： 基丁p u l 的i ：作流管理系统安个模型币i 授权策略研究 p m i 是在2 0 0 0 年的x 5 0 9 v 4 中提出的，它建立在p k i 的基础上，为网络安全系统 授权的实现提供一条很好的思路。 u 由于比较新也比较复杂，其实现中尚存在着一 些难题，如：如何确定与应用的最佳耦合程度；p m i 中策略的确定和最佳表达方式 等。这些都是在实际中必须解决、似又没有什么现成系统可参考的问题。然而，作 为授权系统的一个发展方向是无庸质疑的。 目前安全领域的些公司、研究所以及大学都纷纷提出自己的实现p m i 功能的 产品，如e n t r u s t ，b a l t i m o r e ，i b m ，t r u e t r u s t 等。其中，e n t r u s t g e t a c c e s s ， b a l t i o m o r es e l e c t a c c e s s 和i b mt i v o l i 采用在现有产品基础上升级和添加模块的方式 实现p m i 功能。而t r u e t r u s t 公司提出的p e r m i s p m i ( p r i v i l e g ea n d r o l e m a n a g e m e n ti n f r a s t r u c t u r es t a n d a r d sv a l i d a t i o n ) ，则是纂于由d r c h a d w i c k 负责的一 个欧共体项甘。 1 3 研究内容和实现目标 本论文的研究内容可以分成以下四部分： l 、工作流符理系统安全模型和存取控制的研究 丰要学习和研究了工作流管理系统的安全模型殚论，对工作流锋理系统安全白 皮节中指出的基本安全问题，特别是工作流传理系统的经典安全模型和工作流管理 系统的存取访问控制进行了一定的研究。 2 、p k i p m i 授权系统平台的研究 对p k i 和p m i 的体系结构进行了初步的学习和研究，同时研究和学习了公钥证 节和属性证节，以及基于p m i 的访问控制策略。 3 、工作流符理系统安全模型和授权策略的改进 在p k i p m i 授权系统平台和工作流锋理系统安全模型的基础上对工作流符理系 统的安全模型进行了改进，同时结合工作流符理系统的特点，将基于角色_ 和任务的 存取访问控制引入到p m i 的访问控制策略。 4 、基于p m i 的工作流符理系统安全模型的初步实现 使用j 2 e e 对改进的摹于p m i 的工作流箭理系统安全模型进行了初步的实现。 4 些丁期i 的l ：作流管理系统戋个模型和授权策略研究 1 4 课题的创新点 l 、在工作流符理系统经典安全模型中引入p m i 进行认证和授权符理，在认证 和授权平台与工作流符理系统之间解耦，改进了经典安全模型： 2 、在p m i 基础上，使用属性证书表达用户权限，使用x m l 进行合理的权限 策略表达，实现基于角色和任务的访问控制策略，扩展了p m i 的访问控制策略。 1 5 论文的总体结构 论文总体分为七章， 第一章，绪论。 介绍了论文的研究背景、国内外研究状况、论文的研究内容和实现目标、课 题的创新点和论文的总体结构。 第二章，工作流管理系统安全模型。 对工作流俘理系统的基本安全问题和安全模型进行了介绍， 第三章，工作流管理系统存取访问控制技术。 分析了工作流鸺；理系统中的存取访问控制技术。 第四章，p m i 体系简介。 介绍了p m i 概念的简介、p k i 与p m i 的关系、p m i 的体系结构、属性证书和 p m i 访问控制策略。 第五章，改进的工作流符理系统安全模型和p m i 访问控制策略。 本章对工作流鹤；理系统经典的安全模型进行了改进。同时针对工作流仟理系 统的特点，使用基于任务和角色的访问存取控制扩展了p m i 的访问控制策略。 第六章，改进安全模型的初步实现。 本章包括了工作流符理系统改进的安全模型和p m i 访问控制策略的初步实现 的系统设计思想、体系结构、相关开发技术说明、初步实王见关键技术。 第七章，总结和展望。 本章对论文进行了总结，指出的论文的贡献利不足。 基丁p i l l 的i ：作流管理系统安个模型秉暇权策略研究 2 工作流管理系统安全模型 2 1 工作流管理系统简介 2 1 1 工作流僻理系统体系结构 工作流僻理系统指运行在一个或多个工作流引擎上，用于定义、实现和管理 工作流运行的一套软件系统。它与工作流执行者( 人、应用) 交互，推进工作 流实例的执行，并监控工作流的运行状态。很大程度上工作流符理系统为企业的业 务系统运行提供了一个软件支撵环境，所以有人称工作流仟理系统是业务操作系统 ( b u s i n e s so p e r a t i n gs y s t e m ，b o s ) 。在工作流竹理系统的支撑下，通过集成具 体的业务应用软件和操作人员的界面操作，才能够良好的完成对企业经营过程运行 的支持。所以，工作流锕理系统在一个企业或部门的经营过程中的应用过程是一个 业务应用软件系统的集成与实施过程。 工作流毹；理联盟定义了一个通用的工作流符理系统结构。由下图2 1 工作流 符理系统体系结构图可看出，工作流符理系统由建模工具、工作流机( 工作流引 擎) 、任务表僻理器、用户界面及其相关的应用和数据组成。 睁旺控臂瑾 l - f 鼍员 装挚翟小 q _ 生成 、 j 封引用 j 杖群髯 荔叶嚣 - r 作掘 空 捌数据 黑戟俘i 停 口鼍e 燕州i t 撼 蚪赫产犀，数鬟 孟瑟函 砖 耀 工作溅 l 蓝用i 躔 用户i f - 面 图2 - lt 作流管理系统体系结构 6 髓用 辱 纛 基丁p m i 的j ：作流管理系统安个模型乖暇权策略研究 2 1 2 工作流参考模型 根据上面所述的通用工作流应用程序结构，工作流倚殚联盟开发出一个工作 流参考模型。该模型标识了通用结构中的接口，这些接口使得在不同的产品之间以 不同的级别进行互操作成为可能。所有的工作流筢；理系统都包含一些通用的组件， 并且这些组件以一种已经定义好的方式进行交瓦。不同的产品显示出这些通用组件 不同级别的能力。为了达到在不同的工作流产品之间的瓦操作，在这些组件之间定 义一种标准的接口和数据交换格式是必要的。并且应该通过参考这些接口，针对市 场上的产品，标识出它们功能一致性的不同级别，构造出符合不同瓦操作级别的应 用场景。 工作流僻殚联船所做出的标准化努力涉及了如下两个方面的考虑： 1 ) 对企业业务重组自由运作的持续支持， 2 ) 不断满足市场上不同专业产品集成的需要。 图2 2 标识了工作流参考模型的组件及接口的辛要结构。围绕着工作流实例 服务的接口是一些指定的工作流应用程序接口( a p i ) 和交换格式，它们可以被看 作是一个结构集合，通过这个集合实现对工作流实例服务的访问。并且，这些接 口，规范了工作流控制软件与其他系统组件之间的交互。由于，这5 个接口中的许 多功能在两个或多个接口服务中是相同的，因此我们完全可以把工作流应用程序接 口( w a p i ) 看作是统一的接口服务，它可以提供跨越5 个功能领域而不是5 个独 立接口的工作流饩：理功能。工作流竹；理联盟分别详细描述及定义了每个独立的接 口。图2 - 2 中的工作流客户端应用程序可以认为是图2 2 中的工作列表处理器和用 户接口功能的组合。 基丁p m i 的i ：作流管理系统安个模型帚i 授权策略研究 图2 - 2t 作流参考模型一组件及接u 2 2 工作流管理系统安全模型 2 2 1 工作流铺：理系统基本安全问剧6 1 在w o r k f l o wm a n a g e m e n tc o a l i t i o nw o r k f l o ws e c u r i t yc o n s i d e r a t i o n sw h i t e p a p e r ( 工作流安全白皮书) 中，工作流的基本安全问题包括认证 ( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 、审计 ( a u d i t ) 、数据保密性( d a t ap r i v a c y ) 、数据完整性( d a t ai n t e g r i t y ) 、防否认 ( n o nr e p u d i a t i o n ) 、安全僻珲( s e c u r i t ym a n a g e m e n t & a d m i n i s t r a t i o n ) 等。 在 s e c u r i t y i nw e b b a s e dw o r k f l o wm a n a g e m e n ts y s t e m s 一文中对工作流管理 系统中的基本安全问题提出了一些抽象的解决方案。 l ，加密( e n c r y p t ) 对传递中的消息和存储的数据进行加密，其关键技术是加密的算法。在不知 道密钥的情况下，在有限的时间内对密文的破解是不可能的，这样就保证了数据的 安全性。目前的加密算法丰要有两类：对称加密和非对称加密。 1 ) 对称加密 基1 - p l l i 的i ：作流管理系统安个模型和f 授权簧略研究 对称加密算法在加密和解密时使用同一个密钥，密文的发送方和接收方必须 提前商定密钥，在网络应用中使用对称密钥算法时，密钥需要通过握于来分发或传 输。常用算法：d e s 算法、t r i p l ed e s 算法、i d e a 算法和a e s 算法。 2 ) 非对称加密 非对称加密算法使用公私密钥对进行加解密。公钥用来加密信息，同时，私 钥用来解密。使用非对称加密算法的一个非常重要的优点就是私钥不需要通过网络 或其他途径分发，保证了私钥的安全性。常用算法：d i f f i e h e l l m a n 算法、r s a 算 法和椭圆曲线密码算法。 3 ) s s l ( 安全套接字层) 在w e b 应用中，最常用加密消息的标准是s s l 版本3 。出于对效率的考虑， s s l 对传递的消息使用对称加密。但是，在消息传递之前，w e b 应用的服务器和浏 览器必须通过握下协议来协商加密算法和对称密钥。在握下协议中，s s l 使用非对 称加密算法来加密对称密钥和产牛密钥的消息。 2 、数字签名( s i g n a t u r e ) 为了保证发送方身份的合法性，消息发送方可以对发送的密文进行数字签 名。对密文进行数字签名需要使用发送方的私钥，这就确保了发送方身份的合法 性，有效的防止了身份冒用。同时，消息的接收方可以使用消息发送方的公钥对数 字签名进行验证。发送的密文中带有明文的一段摘要，可以帮助接收方对数字签名 进行验证。 3 、访问存取控制( a c c e s sc o n t r 0 1 ) 1 ) d a c ( d i s c r e t i o n a r y a c c e s sc o n t r o l 自丰访问控制) 也叫基于身份的访问控制，其丰要思想是：系统的丰体可以自丰的将其拥有 的对客体的访问权限授予其它丰体，且这种授予具有可传递性。所以。信息在移动 过程中其访问权限关系会被改变。如用户a 可将其对日标o 的访问权限传递给用 户b ，从而使不具备对o 访问权限的b 可访问o 。d a c 机制允许授予或者废除访 问任意一个目标权限给每个用户。同时，允许用户不用与系统篇：理员交百就可以授 基y - p t 4 1 的i ：作流管理系统安个模型乖i 授权策略研究 予或者废除他们控制的目标的访问权。由上述分析可见，这种访问控制策略的特点 是灵活性高， u 授权僻理复杂，安全性低。 2 ) m a c ( m a n d a t o r y a c c e s sc o n t r o l 强制访问控制) 也叫基于规则的访问控制，其书要思想是：将丰体和客体分级，根据丰体和 客体的级别标记来决定访问控制权限。 3 ) r b a c ( r o l eb a s e d a c c e s sc o n t r o l 基于角色的访问控制) 其丰要思想是将访问权限分配给角色，系统的用户对应一定的角色，与用户 相比角色是相对稳定的，当用户改变时只需进行角色的重新分配即可。这样就简化 了由于将权限直接授予用户而带来的符理复杂性。 4 、m u l t i l e v e ls e c u r i t y ( 多级访问) 多用于安全级别较高的军事领域。 2 2 2 工作流能；理系统安全模型1 3 】 在s e c u r i t yi nw e b b a s e dw o r k f l o wm a n a g g ：1 m c n ts y s t e m s ) ) 中，j o h n a ， m i l l e r 等在工作流稍；理系统基本安全问题及其解决方案的基础上提出了工作流的经 典安全模型： 图2 - 3t 作流管理系统安全模犁 安全模型丰要由登录代理，安全代理，任务符理器，安全数据库和应用数据 库等有机的组成，其中最重要的组件是安全代理和安全数据库。在安全代理的帮助 下，通过访问安全数据库完成对用户、角色、角色所授权的任务的验证。 0 基丁p h i 的l ：作流管理系统安个模型嗣授权策略研究 安全模型将工作流毹；理系统中的消息加密、数字签名、r b a c 等摹本安全问 题及其解决方案有效的结合在一起。安全模型使用了r b a c ，工作流的参与者以一 定的角色登录( 用户在登录代理的帮助下可以选择一个角色，安全代理会验证用户 是否有权限选择这个角色) 。接着，用户可以执行角色所授权的任务，任务箭理器 会检查用户的角色和数字签名来验证用户( 通过安全代理验证) 。在验证的过程中 为了确保数据传输的安全，通讯是加密的。整个交耳的过程如图2 3 所示。 1 、安全代理和安全数据库 安全代理和安全数据库是工作流镎理系统安全模型的重要组件。安全数据库 支持r b a c 。登录代殚和任务仟；理器都通过安全代理来验证用户，所有对安全数据 库的查询都通过安全代理。 安全数据库丰要有以下两个功能： 1 ) 实现r b a c 。 在安全数据库，通过实体关系模型来实现r b a c 。其丰要实体包括：有效的 用户集合，工作流类型，角色，任务，甘标数据等。 安全数据库解决了以下问题：一个用户是否可以某角也登录? 用户是否可以 登录角色下执行某任务? 用户是否可以在执行任务时存取目标数据? 在安全数据库中r b a c 的实现与具体的应用相结合。 2 ) 密钥僻理。 安全数据库的另一个功能就是密钥的饩：理。没有恰当的密钥倚理机制来仟；理 密钥的牛存周期和保证密钥的安全性，工作流仟理系统的安全性就无从谈起。每一 个组织都会参与到工作流的执行中，工作流毹；王! ! 系统的符理者必须寻找合适的机制 来管理和保存密钥。 2 、登录代理 登录代理帮助用户完成登录、选择角色和工作流等功能。 3 、安全的通信 基丁p m i 的i ：作流管理系统安个模型用i 授权策略研究 分布的基于w e b 的工作流件理系统会要求所有的通信都是安全的，工作流篱 理系统安全模型支持s s l ( 安全套接字层) 来实现通信的安全。通过使用s s l ，即 使信息被截取，由于传输的信息是加密的，也不会造成安全问题。 s s l 不仅仅使用了对称加密技术，在握于协议中也使用了非对称加密技术来 加密产牛密钥的信息和对称密钥。 4 、任务僻理器 在安全模型中，任务僻殚器来检查用户是否有权限执行特定的任务。 1 ) 验证用户，由于安全数据库中拥有合法用户的数字证节，安全代理通过验 证数字签名可以验证用户的合法性。 2 ) 实现角色到任务的映射。通过角色，查找到用户可以执行的任务列表。 3 ) 验证角色，安全代理通过验证数字签名可以验证角色的合法性。安全数据 库中保存有用户的数字证书，角色也经过用户的数字签名。 其传递的消息和验证的逻辑如下： 被送到任务符理器的消息包括任务的属性和控制信息 w o r k f i o w _ i d = & f l o w _ n a m e = & t a s k _ n a m c = & 同时，相关角色的信息也包括在内 r o l en a r n e = o rr o l e _ k e y ： & r o l es i g n a t u r e = 用户的数字签名来验证用户，角色的数字签名来验证角色。使用j a v a 可以容 易的完成这个逻辑： s i g n a t u r em y s i g 2 s i n g n a m r e g e t l n s t a n c e s h a d s a ) ： m y s i g i n i t s i g n ( p r i v a t e k e y ) ； m y s i g u p d a t e ( “m e if a n ) ： b y t e 】b y t e s i g = m y s i g s i g n ( ) ； b o o l e a nv a l i d u s e r ( s t r i n gr o l e n a m e ，k e y p u b l i c k e y ) 2 基3 - p i i i 的i ：作流管理系统安个模型和授权策略研究 f o r ( ri nr o l e l i s t ) i f ( r n a m e2 r o l e n a m e ) f o r ( ki nr k e y l i s t ) i f ( k 5 p u b l i e k e y ) f r e t u r ni r u e ； ) i f ( i n s e e u r i t y d b ( m l e n a r n e tp u b l i e k e y ) ) r a d d k e y ( p u b l i c k e y ) ； r e t u r nt u r e ； e l s e 。 r e t u r nf a l s e ； ) ) r e t u r nf a l s e ； ) v a l i d a t eu s e r ) 在整个工作流符殚系统的安全模型中，安全代理和安全数据库是模型的核 心，丰要完成了两个丰要功能，认证和授权。安全数据库通过密钥的饩r 理和r b a c 的实现完成这两个功能。 基rp i l l 的i ：作流管理系统安个模型用i 授权策略研究 ； 3 工作流管理系统访问控制技术 本章介绍了访问控制技术及其在工作流僻理系统中的应用模型，c 利述了各种 模型的特性，以工作流符理系统的安全需求为背景，对各种模型进行了比较。 3 1 访问控制技术概述 国际标准化组织i s o 在其网络安全体系的设计标准( i s 0 7 4 9 8 2 ) 中，定义了 五大安全服务功能：身份认证服务、访问控制服务、数据保密服务、数据完整性服 务，不可否认性服务。作为五大安全服务之一的访问控制服务在网络安全体系结构 中具有不可替代的作用，它可以限制对关键资源的访问，防止非法用户的侵入或者 合法用户的越权操作所带来的破坏。 访问控制( a c c e s sc o n t r 0 1 ) 是信息安全保障机制的核心内容，它是实现数据 保密性和完整性机制的辛要下段。访问控制是通过某种途径显式地准许或限制访问 能力及范围的一种方法。访问控制限制访问丰体( 或称为发起者，一个主动的实 体：如用户、进程、服务等) 对访问客休( 需要保护的资源) 的访问权限，从而使 计算机系统在合法范围内使用：访问控制机制决定用户及代表一定用户利益的程序 能做什么以及做到什么程度。 传统的访问控制技术丰要分为两大类，即白丰型的访问控制d a c 和强制型的 访问控制m a c 。这两种访问控制方式都有其明显的不足，d a c 将赋予或取消访问 权限的一部分权力留给用户个人，这使得仟理员难以确定哪些用户对哪些资源有访 问权限，不利于实现统一的全局访问控制。而m a c 由于过于偏重保密性，对其 他方面如系统连续工作能力、授权的可符理性等考虑不足。 9 0 年代以来出现的种基于角色的访问控制r b a c 技术有效地克服了传统访 问控制技术中存在的不足，减少了授权僻理的复杂性和鸺；理开销，使指定和执行特 定保护策略的过程更加灵活，能为僻理员提供一个较好的实现安全策略的环境。 r b a c 中引入了角色这一重要概念。它的基本思想是：授予用户的访问权限，通常 由用户在一个组织中担当的角色来确定。r b a c 根据用户在组织内所处的角色进行 访问授权与控制。也就是说，传统的访问控制直接将访问丰体( 发出访问操作、存 基y - p g i 的i ：作流管理系统安个模型帚i 授权策略研究 取要求的丰动方) 和客体( 被调用的程序或欲存取的数据) 相联系，而r b a c 在 中间加入了角色，通过角色沟通丰体与客体。真正决定访问权限的是用户对应的角 色。 3 2 r b a c 模型 在访问控制领域中，r a v i s a n d h u 在1 9 9 6 印提出的基于角色的访问控制模型【8 】 ( 1 m a c 9 6 模型) 是被频繁0 i 用的一个模型，美国国家标准与技术研究所 ( n i s t ) 已经将其作为制作规范的基础，它是基于角色访问控制模型的权威参考 文档。r b a c 9 6 模型丰要定义了以下几个部件：用户集( u s e r s ) 、角色集 ( r o l e s ) ，会话集( s e s s i o n s ) 、角色层次( r o l eh i e r a r c h y ，r h ) 、用户赋予 关系( u a ) 、权限赋予关系( p a ) 和约束( c o n s t r a i n t s ) 。它定义了r b a c o 、 r b a c l 、r b a c 2 、r b a c 3 共四种模型，其中，r b a c 0 是基本模型，r b a c l 在此 基础上引入了角色层次的概念，黜a c 2 在r b a c o 的基础上0 i 入了约束的概念，而 r b a c 3 则是前几种模型结合在一起的结果。详细模型如下图所示。 r b a c 3 、 r b a c i 肋a c ： 7 r b a c 0 图3 - 1 四种r b a c 模举的关系 篮丁蹦i 的i ：作流管理系统安食模型审i 授权缋略研究 。删f 3 ，一： 肼 图3 - 2 r b a c 模型 3 3 工作流管理系统中的访问控制模型 3 3 1 工作流符理系统对访问控制的需求 工作流是为完成某一目标而由多个相关的任务构成的业务流程。它的主要特 点是使处理过程自动化，对人和其他资源进行协调鸺；理，从而完成某项工作。工 作流僻理系统的安全有其特殊的要求【9 】； l 、授权应当与当前执行的任务同步，即任务开始时，授予用户完成当前任务 的最小权限，仟务结束时，权限被收回。 2 、授予权限和回收权限由事件驱动。一个业务流程中的任务往往依赖于该流 程中之前的业务的执行结果，相应的，该任务的授权也依赖于在它之前执行任务的 结果，存取控制毹理必须吻合事件发牛的先后顺序。 3 、授权符理是上下文敏感的。授权符理对执行过程的历史记录有依赖关系。 4 、授权的时效性。授予的权限仅在规定的时间段内有效。 1 6 垫丁蹦i 的l ：作流管理系统安个模型和般权策略研究 3 3 2r b a c ( 基于角色的访问控制) 模型 s a v i t h k a n d a l a 和r a v is a n d h u 在2 0 0 2 年提出的工作流铺；理系统安全模型沿 用r b a c 9 6 中的符号，并引入工作流中的任务、任务实例的概念，定义了一个任 务与任务实例之间的函数映射关系。该模型利用工作流仟殚系统的特点( 任务与任 务实例之间的关系) 对工作流的访问控制重新建模。 仃一任务集；打一任务实例集；o p = e x e c u t e ，c o m m i t ，a b o r t 一操作 集： 状态集s = i n i t i a l ，e x e c u t i n g ，c o m m i t t e d , a b o r t e d ； 可能的操作p o s s i b l e o p e r a t i o n s = ，( 1 n i t i a l ，e x e c u t e ) ，( e x e c u t i n g ， c o m m i t ) ，( e x e c u t i n g ，a b o r t ) ，； 状态转换集t = ，( 1 n i t i a l ，e x e c u t e ，e x e c u t i n g ) ，( e x e c u t i n g ，c o m m i t ， c o m m m e d ) ，( e x e c u t i n g ，a b o r t a b o r t e d ) t 当前状态集c u r r e n t s t a t em ) 表示任务实例t i 的当前状态： 乃z 丁一2 ”使得对任意a ，b 乃 ，如果口6 ，则t 白ja t 伯) = 西； e p o p 7 7 表示明权限关系；1 p o