一种基于角色的学习型工作流访问控制模型.pdfVIP

一种基于角色的学习型工作流访问控制模型 方钰吴国凤 台肥T业大学计算帆与信．龃学院，安徽台肥230009 摘要：王章介绍7一种新型的访问控制模型．模型针对工作流工作环境的实际，通过分析任务所 对应的权限，比较用尸授权角色所得到的权限，得出对应于任务的角色集合，并通过授权步来激活用 ，的权限。模型很好的实现了角色、权限和用户在工作流工作环境下的结合，保证7访问控制的最小 权限原则，并实现7从时问上对权限的约束，并满足7个别任务时用户的延续性需要。 关键词：基于角色的访问控制工作流角色集合授权帝 1引 言 ’裟扒r、1／m蕊n。’。一 H 2工作流环境下的访问控制 工作流的目的是通过将工作分解成定义良好的任务，按照一定的规则和过程来执行这些任务并对它们 进行监控以提高办事效率、降低生产成本、提高企业生产经营管理水平和竞争力。wFMc给出的关于工作 流管理系统wFMs(w盯know M越a9啪cmsystem)的定义是：工作流管理系统是一个软件系统，它完成工作 瀛的定义和管理。井按照在计算机中预先定义好的工作流逻辑推进工作流实例的执行。 在RBAc中，角色的划分基于某些权限，而高级角色足一些基本角色的集台，这样用户可以被看成是 具有执行任务能力的集舍pJ。工作流是由一些具体任务组成的．这些任务是人为的逻辑划分，因此这些任 务具有特殊性。若为了保证最小特权原则而要求每个任务有一个角色与之相对应，则需要大量的建立针对 不同具体任务的角色。降低了角色的使用效率，在管理角色上增加了负担“。RBAc应用于_I=作流环境中还 存在下面一些问题： (1)在流程运转过程中+任务实例操作的执行者以及执行者的权限都与任务实例的上下文环境相关， 是动态的，而RBAc是一种静态授权机制，不能有效地支持协同工作对访问控制元素的动态改变。这样就导 致主体在执行任务的额外时间拥有权限，系统安全面临极大的危险…。 0)对于工作流系统．没有考虑到用指派策略进行用户授权。当角色和用户进行映射的时候，用户可 能工作量很大，也可能组长时问空闲，没有按照一定的角色分配策略进行任务指派。另外．权限的属性没 有体现，如权限在一蒎工作流程中可以执行的次数。 0)在流程的运行过程中，一些任务实例的执行者必须是同一个用户而不仅仅是同一个角色，并且这 些任务实例属于不同的任务。例如．在某一办公流程中．3个不同的任务必须要求同一个具有秘书角色的用 户执行，换句话说．在办公流程的一次执行过程中．只要某个具有秘书角色的用户执行了其中的第一个任 务的实例，就必须执行剩下两个任务的实例。 (4)传统的RBAc缺乏进行细粒度权限控制的能力，对于协同环境来说，仅仅根据对象的豢型来决定 角色的权限是不够的。即角色只是根据组织摸型来划分的，而任务是根据过程模型来划分n两者投有更 好的进行结台。 3基于角色的学习型访问控制模型 针对传统的RBAc的这些问题，提出一种基于角色的学习型工作流访问控制模型。 在这个模型中，开始的角色根据组织模型来划分。用户通过认证分配到角色，形成用户授权角色集台 Ra，胁fm』，舰‰)。工作流引擎运行过程中分解出的任务对应一定的权限，这些权限映射一定的角色， 考虑到用户执行的任务一般由很多小的子任务组成．用户在实际执行任务时对应的足个角色集合Rm， Rrnl{砌^砌¨西甜。通常这个角色集合是用户授权角色集合的一个子集，即Rm=Ra。 量引目辫 围2角色信息的知识更新 在这里我们引入知识系统的概念。在系统的初始化阶段，用户从Ra中获得角色信息，随着系统的运 行，用户执行的任务在一定的范围内变化，所需要的权限也在随之变化，对应的角色集合也会做相应的调 整，定期的采集用户的角色信息，在日志的基础上根据实际需要的权限总结出角色任务表，任务条件表和 任务时间表。在结合实际用户的角色集合，得出与其执行任务相对应的角色集合视刚6|。这样在下次任务 的执行中，可以针对相应的任务给予用户相应的角色集合，并激活生命期进行计时。从而能保证最小权限 原则在工作