基于委托虚拟组织工作流访问控制模型研究.pdfVIP

卷 期 燕山大学学报 年 月 文章编号：1007-791X (2008) 01-0014-05 基于委托的虚拟组织工作流访问控制模型研究 宋加强 ，王新生 （ 燕山大学 信息科学与工程学院，河北 秦皇岛 ） 摘 要：虚拟组织的业务流程跨越了各个组织的边界，其安全性和易管理性都面临着严峻的挑战。本文提出一 种 于委托技术的、面向服务的虚拟组织工作流访问控制模型，在预定义的规则约束下实现用户到用户及角色 到角色的委托从而使访问权限安全的扩散，把服务作为流程任务的抽象执行和实施访问控制的 本单元，实现 了更高效且易于管理的虚拟组织工作流访问控制。 关键词：委托；服务；工作流 访问控制 中图分类号：TP309 文献标识码：A 是 的扩展 支持角色继承关系下的单步和 引言 多步委托 并用一种 于规则的描述语言来实现委 随着企业业务联合与分化的程度不断加深，虚 托策略。孙为群等人 提出 于角色委托的虚拟 拟组织业务流程跨越了组织的边界，面向服务的体 组织访问控制模型 ，该模型在保持与自治 系结构是实现这种虚拟组织工作流的最佳方式，具 域访问控制策略一致的前提下实现了虚拟组织资 有开发效率高、响应快、费用低等优点，但是由于 源的访问控制，但是此模型是建立在用户到用户的 面向服务的系统更具标准化和开放性，所以其安全 委托 础上的，灵活性和效率不高。 性更加脆弱。目前跨组织系统广泛使用的 于用户 本文提出了一种 于委托技术的、面向服务的 标识映射的方法 是一种自主控制方式，这种方 虚拟组织工作流访问控制模型 （ 法管理过于复杂，且与现在各自治域广泛使用的 于角色的访问控制方式不兼容，而且可能出现权限 ）对 管理上的漏洞。在面向服务的工作流访问控制技术 和 模型进行了扩展，支持角色到角色的 研究方面比较典型的有徐伟等人提出面向服务的 委托，并在策略规则的约束下实现了一个虚拟组织 工作流访问控制模型 、许峰等人提出面 环境中面向服务的工作流访问控制的解决方案。 向工作流和服务的 于角色访问控制模型 ，他们并没有对跨组织工作流访问控 模型 制进行详细讨论。 模型基本思想 委托技术是访问控制技术的重要组成部分，委 托技术既能够很好的和 于角色的访问控制融合， 当虚拟组织建立的时候，各自治域成员要将自 也能方便的将访问权限进行转移，可以用来解决面 己的服务资源注册到虚拟组织，同时将具有相应服 向服务的虚拟组织工作流在访问控制方面存在的 务资源使用权的角色委托给虚拟组织安全管理员 上述问题。关于委托技术的研究比较典型的有 。 负责在统一的安全策略管理下合理使用 和 提出的 ，论述了 于角色的 共享资源。 拥有了各自治域服务资源和其委托 用户到用户的委托模型，并对委托的特征进行了详