基于角色的工作流模型及其应用.pdfVIP

　　收稿日期: 2001208220　作者简介: 谭支鹏, 硕士, 目前的主要研究兴趣为现代数据库技术及其应用、A gent 技术和工作流技术等. 基于角色的工作流模型及其应用 谭 支 鹏 (华中科技大学 计算机科学与技术学院, 湖北 武汉 430074) 摘　要: 将角色的概念引入工作流模型中, 并对其在安全性方面的控制进行了分析, 结果表明在工作流模型中引入角 色的概念, 可以提高系统的安全性和方便的实现系统的安全访问控制, 同时方便了程序员对系统的设计与开发. 文中还 给出了基于角色的工作流模型的应用实例. 关 键 词: 角色; 工作流; 模型; 安全访问控制 中图分类号: T P3111　　　　　文献标识码: A 　　　　　　文 章 编 号: 100021220 (2003) 0621064203 Appl ica t ion of Role Ba sed W orkf low M odel TAN 　Zh i2peng ( Institu te of Comp u ter S cience and T echnology of H uaz hong S cience and T echnology U niversity , W uhan 430074, Ch ina) Abstract: T h is art icle gives concep t of ro le fo r w o rkflow model, and gives analysis in secu rity. T he resu lt tells u s that w e can imp lem en t con tro l in ro le based w o rkflow model easily, and w e can imp lem en t design ing empo ldering of w o rkflow system easily. A t last the art icle gives one examp le fo r app licat ion of ro le based w o rkflow model. Key words: ro le; w o rkflow ; model; con tro l of secu rity 1　前　言 随着计算机技术, 特别是计算机网络技术的发展, 大型应 用系统所面临的一个难题就是日益复杂的数据资源的安全管 理, 尤其是在国家政府机关的办公自动化管理系统中, 安全管 理就显得更为重要了. 常用的自主访问控制 (D iscret ionary A ccess Con tro ls) 和强制访问控制 (M andato ry A ccess Con2 t ro ls) 方法都是由主体和访问权限直接发生关系, 根据主体? 客体的安全级别来决定对客体的访问权限. 但是处于全球网 络环境中的计算机或软件系统的访问用户往往种类繁多, 数 量巨大, 并且动态变化, 使得用传统的访问控制方法来进行安 全管理变得非常困难. 图 1　基于角色访问控制的基本思想 F ig. 1　A ccess of co rto l based ro le 基于角色访问控制 RBA C (ro le2based2access2con tro l) 方 法引入角色这个中介, 安全的管理就可以根据需要定义各种 各样的角色, 并设置合适的访问权限, 而用户根据其责任和权 利被指派为不同的角色. 这样整个访问控制过程就被分成了 两部分, 即访问权限与角色相关联, 角色再与用户相关联, 从 而实现了用户与访问权限的逻辑分离, 如图 1 所示. 由于实现了用户与访问权限的逻辑分离, 基于角色的策 略极大地方便了权限的管理. 例如, 如一个用户的职位与任务 发生了变化, 只要将用户当前的角色去掉加入代表新的职务 或任务的角色即可. 在实际的工作中. 角色—权限之间的变化 远比角色—用户之间的变化相对慢的多, 同时给用户赋给角 色并不需要好多的技术, 可以直接有行政办公人员来完成, 但 配置权限给角色还是需要一定的技术的, 这可以在程序实现 时由程序员来实现, 但不给他们将角色分配给用户的权利, 这 在现实的工作中对加强安全的管理有很好的帮助的. 除此之 外, 基于角色的访问控制方法实现最少权限原则和职责分离 的原则. 本文主要研究的就是将基于角色的访问控制方法应用于 工作流管理系统中, 充分体现出了工作流技术的优越性, 使其 优越性在办公自动化系统中能够得到更好的应用. 2　基于角色的工作流模型 一个完整的工作流模型是由一系列最基本的活动或任 务, 按照一定的逻辑顺序规则组成的, 这些活动或任务及其逻 辑关系可以直观地映射成为