柏正杨_工作流授权控制模型研究.doc

工作流授权控制模型研究柏正杨，物理与电子信息学院摘 要：工作流技术是实现企业信息管理系统的核心技术之一，授权控制是保证工作流系统中信息安全的一种重要手段。本文在对几种授权控制模型研究的基础上，选择了基于角色的访问控制作为工作流系统的授权控制模型。基于角色的授权实现用户与访问权限的逻辑分离，方便权限的管理。关键词：工作流；授权控制模型；角色Study on Workflow Authorization Control Model显示对应的拉丁字符的拼音字典 - 查看字典详细内容 Bai Zheng-yang, College of Physics and Electronic Information Abstract: Workflow technology is one of the core technologies to enterprise information management systems. Authorization control is an important means to ensure the information security of the workflow system. On the basis of studying several authorization controls in this paper, we choose role-based access control as an authorization workflow system control model, which achieves the logical separation of users and access rights, and easy rights management.Key Words: Workflow; Authorization Control Model; Role1引言工作流(Workflow)是为实现某个业务目标，在多个参与者之间，利用计算机技术，按某种预定规则自动传递文档、信息或者任务。从企业信息化的发展来看，基于工作流的信息管理系统对企业信息化的发展起到催化剂的作用，正逐渐成为企业建设的主流，这类系统可统称为“工作流系统”1。工作流系统中不同的业务流程之间经常需要相互作用以共享信息和资源，资源的共享必然会引起一系列关于授权和资源分配等安全问题，授权控制可以防止用户越权存取从而避免用户对信息的完整性造成破坏。引入工作流的授权控制模型，就是为了让工作流运转更好地和人的操作有序、有规章地结合起来，合理的调用和分配资源，实现组织模型与业务过程模型的有机连接。对授权控制模型的研究有助于企业基于工作流的企业资源计划管理系统、供应链管理等系统的建设，并对企业的信息安全建设也有一定的参考意义2。本课题提出的目的是：提供一套可行的基于角色的授权控制模型来解决工作流系统中用户管理和资源授权问题。2 工作流2.1工作流概念根据WFMC 的定义，工作流(Workflow)，就是“业务过程的部分或整体在计算机应用环境下的自动化”。它主要解决的是“使在多个参与者之间按照某种预定义的规则传递文档、信息或任务的过程自动进行，从而实现某个预期的业务目标，或者促使此目标的实现”。以任务管理为例，工作流就是将纳税人信息或者任务，在所有参与者之间进行传递，并由参与者进行处理的一个自动化的业务过程3。如图1所示：任务制发（自动）任务制发（手动）任务转发任务分配关联？任务办理任务反馈是否图1 任务管理总体流程2.2工作流基本特征实施工作流管理的目的是为了业务流程的计算机化或自动化。企业都有着许多既定程序的业务，这时利用工作流自动化，将大大提高效率，提升核心竞争力。另外，工作流技术还可作为OA、ERP等办公和管理软件的“基本引擎”，意义非凡。工作流有十大基本特征：图像化的工作流定义、角色、规则、例外处理、监管、测算、仿真、主动性、数据库连接和文档附件。这十大基本特征有助于我们理解和分辨工作流的种类和作用。3 流程3.1流程的定义和管理工作流中涉及许多业务流程，流程就是多个人员、多个活动有序的组合，是一个业务流程或过程的规格化描述。它关心的是谁做了什么事，产生了什么结果，传递了什么信息给谁。这些活动一定是体现企业价值的。流程管理，就是从公司战略出发、从满足客户需求出发、从业务出发，进行流程规划与建设，建立流程组织机构，明确流程管理责任，监控与评审流程运行绩效，适时进行流程变革。流程如图2所示，描述的是一个申请借款的流程。金额=10000金额=30001申请借款单 3总经理 2部门负责金额3000金额10004财务5划账图2 申请借款的流程根据申请金额的不同，实际审核流程会有不同。活动1的执行者为任意一个用户(req1、req2、dman1、dman2、gman、fin1、fin2)。活动2的执行者为角色DEPTMAN，实际用户为dman1、dman2。活动3的执行者为PERSON，对应用户为gman。活动4的执行者为角色FINANCIAL，实际用户为fin1、fin2。活动5用来演示自动执行应用程序，不需人工参与，活动4完成后自动执行活动5，它的作用是将数据库表中支付金额的字段值设置为申请金额。所有用户的口令都是111111。如图2所示，申请人从申请借款到划账到户是一个典型的工作流过程。期间包括用户自己申请借款到工作人员层层分工，权限的分配和资源的分享体现了一个工作流过程的基本架构，使得整个活动过程更加效率。3.2流程的用途流程类型是用户和系统自身为了管理流程的需要而定义的各种流程分类，各种流程都可以被提炼，归纳，分类，抽象成四种模式，分别是平面流程、分发式流程、汇流式流程、唤醒流程，总结流程类型的模式有利于我们对流程引擎的开发。用户可以通过该模块对流程类型进行相关的管理操作。模块的功能包括：查询、增加、修改、明细和删除。4工作流管理系统4.1工作流管理系统的起源企业在进行业务处理时，政府在进行公文审批时，都是以流程形式而进行的，在信息化的过程中，企业、政府也将这些业务处理、公文审批的过程信息化了，早期通常是通过程序硬编码的方式来处理这些业务、公文的流转，随着业务、公文的复杂的处理情况不断出现以及需求的不断变更，这种硬编码的方式显然已无法应对，这个时候工作流管理系统应运而生，掀起了一股工作流管理系统的热潮。4.2工作流管理系统的基本构成工作流管理系统，简称WFMC，经过对业务、公文流转过程的分析以及抽象，工作流管理系统围绕业务交互逻辑、业务处理逻辑以及参与者三个问题进行解决6。业务交互逻辑对应的为业务的流转过程，在工作流管理系统中对应的提出了工作流引擎、工作流设计器、流程操作来解决业务交互逻辑的问题，业务处理逻辑对应业务流转过程中的表单、文档等的处理，在工作流管理系统中对应的提出了表单设计器、与表单的集成来解决业务处理逻辑的问题，参与者对应到的为流转过程中环节对应的人或程序，在工作流管理系统中通过与应用程序的集成来解决参与者的问题。工作流管理系统为方便业务交互逻辑、业务处理逻辑以及参与者的修改，多数通过提供可视化的流程设计器以及表单设计器来实现，为实现工作流管理系统的扩展性，多数提供了一系列的API。一个完整的工作流管理系统通常由工作流引擎、工作流设计器、流程操作等八个部分组成。4.3工作流管理系统的用途之前说了很多与工作流管理系统相关的内容，那么到底工作流管理系统能够带来什么好处？从上文的说明中不难看出，工作流管理系统通过对业务、公文流转进行分析以及抽象，将不变和变化的部分进行划分，用户可轻松的通过可视化的工具对事项的流程、流程环节涉及的人员(角色)、流程环节的表单、流程环节的操作进行修改，从而到达了应对不断变化的需求的目的。而工作流管理系统通常提供的流程监控、查询统计模块更是极大程度的为用户优化流程提供支持，以提高企业、政府的工作效率 4。5基于角色的控制模型研究随着应用复杂度不断提高，传统的访问控制越来越显示出其局限性，其几乎静态化的个体资源控制已经无法适应复杂多变的应用系统资源的变动，人员的变动，以及系统和任务之间相互协调和关联关系。在这种情况下，如基于角色一类的主动型访问控制模式受到欢迎，被许多企业广泛采纳。5.1角色分配要理解基于角色的授权控制模型，首先要理解角色的概念。在RBAC 中，角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色；同样，一个角色可以拥有多个用户成员。这与现实是一致的，因为一个人可以在同一个部门中担任多种职务，而且担任相同职务的可能不止一人。因此，RBAC 提供了一种描述用户和权限之间的多与多关系。5.1.1角色类型基本RBAC模型的角色采取RBACO中的角色定义模式。通过分配角色权限来决定各个角色的权限大小。即没有确定角色的层次级别，仅仅描述出来各个角色所应该具有的权限。实际运用时可能会涉及到Hierarchal Roles模式或Composite Roles模式。就是对角色实现层次化和采用对角色实现一定的分组和复合，以便于权限分配。这就涉及到一般角色、分等级角色和复合角色。大多数工作流产品是仅采取Core RBAC 中的角色定义模式，通过permission assignment 来决定各个角色的权限大小。但是Core RBAC 没有确定角色的层次级别，仅仅描述出来各个角色所应该具有的权限。如果面向工作流，角色从应用范围上可分为：流程内角色、跨流程全局角色和系统内置角色。5.1.2角色的分配方式角色分配：就是对用户赋予相应的角色。工作流系统可以采取两种的方式：角色选取用户和用户选择角色。两种方式虽然表达的不一样，不过结果总归是一样的：用户都有了属于自己的角色。当然，存在某些用户，其属于两个或多个角色。5.1.3角色的授权对象角色授权就是对角色授予对特定资源或操作的访问权限。在工作流系统中，这些资源主要针对任务、文档或表单、文档或表单的元素。很明显“用户角色”和“访问者安全对象”都是多对多的关系，所以很自然它们之间都需要一个关联对象来处理这些对应关系。在“访问者安全对象”关系中，如果要让访问者可以访问一个安全对象，只需将相应的安全对象授权给该访问者就可以了。在 Core RBAC 中，就已经说到了两种授权对象：资源客体（objects（OBS）和操作（operations（OPS）。5.1.4角色的授权约束在实际的工作流应用当中，任务之间存在一些制约关系的，还可能会遇到角色重叠的问题。这就需要进行授权约束。授权约束根据的是权限分离(separation of duties)原则，即同一个角色不可承担两个要求权限分离的任务10。5.2 RBAC 的总体描述RBAC 的核心思想就是将访问权限与角色相联系， 通过给用户分配合适的角色，让用户与访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的，根据用户在企业中的职权和责任来设定他们的角色。用户可以在角色间进行转换，系统可以添加、删除角色，还可以对角色的权限进行添加、删除。这样通过应用RBAC将安全性放在一个接近组织的自然层面上进行管理。5.2.1标准RBAC模型NIST标准RBAC模型由4个部件模型组成，这4个部件模型分别是基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC) 9。5.2.2基本RBAC模型表示PermissionAssignment UserAssignmentRolesOPSUsersOBSSessions基本的RBAC模型 图3 基本RBAC模型如图3所示，基本RBAC模型定义了能构成一个RBAC控制系统的最小元素集合。在RBAC0中，包含最基本的5个元素：用户集、角色集、目标集、操作集、许可集。权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。在RBAC模型中，工作职位被描述为“角色”，职位所具有的权利称为许可权。角色是RBAC模型中的核心概念，围绕这一概念实现了访问控制策略的形式化。特殊的用户集合和许可权的集合通过角色这一媒介在某个特定的时间内联系在一起。而角色确实相对稳定的，因为任何组织的分工、活动或功能一般是很少经常改变的。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。5.3基于角色的访问控制模型5.3.1访问控制访问控制是信息安全领域中一个重要的研究内容，它在保护敏感信息、防止越权方面起着重要作用。访问控制主要有3种方法，即强制访问控制MAC、自主访问控制DAC和基于角色的访问控制RBAC。基于角色的访问控制RBAC利用角色的相对稳定性，将用户对模块的访问权限通过角色联系起来，具有易于理解、易于管理、支持权限的继承及比DAC能支持更大的规模等优点。5.3.2许可许可（permission）则描述了角色对OP或OB所具有的权限，其反映的是授权的结果。比如授予角色A对资源B有读的权限，则代表了一个许可的存在，这个许可表示：角色A获取了对资源B读的许可7。针对object（OB）来说，其描述的是permission和object之间的一种关联关系，而这层关系则表示了某一角色对某一资源客体（object）所具有的权限及权限状态；针对operation（OP）来说，其描述的是permission和operation之间的一种关联关系，而这层关系则表示了某一角色对某一操作（operation）所具有的权限及权限状态。5.3.3应用优势 RBAC最大的优势就在于系统管理员能够按照部门、企业的安全政策划分不同的角色，执行特定的任务。一个RBAC系统建立起来后主要的管理工作即为授权或取消用户的角色。用户的职责变化时只需要改变角色即可改变其权限，当组织的功能变化或演进时, 则只需删除角色的旧功能，增加新功能，或定义新角色，而不必更新每一个用户的权限设置。这极大地简化了授权管理，使对信息资源的访问控制能更好的适应特定单位的安全策略。结论 本文介绍了基于角色的工作流授权控制模型以及与工作流相关的许多重要概念。对工作流授权控制模型的研究是永恒的重要课题，该模型在工作流应用上有广阔的前景。基于角色的工作流授权控制模型