基于角色和任务工作流访问控制模型及其应用.docVIP

基于角色和任务工作流访问控制模型及其应用 　　摘要：提出了一种基于角色和任务的工作流访问控制模型RTBWAC，描述了模型中用户、角色、许可、活动等要素间的指派关系和该模型的静态、动态约束规则，最后给出了该模型在实际工作流系统中的应用。 　　关键词：工作流； 访问控制； 角色； 任务 　　中图分类号：TP309 　　文献标志码：A 　　文章编号：1001-3695（2007）09-0168-02 　　 　　工作流技术目前在办公自动化、电子商务和电子政务等领域得到了广泛关注。工作流是一类能够完全或部分自动执行的任务过程[1]。这些任务相互依赖以一种特定的方式执行。为了保证每个任务只有经过授权的用户才能执行，就应该有一个合适的访问控制机制。与以系统为中心的访问控制不同，工作流访问控制不仅要保证流程中的每个流程任务由授权的主体执行，还要保证授权本身要随着工作流的演进而改变，也就是说工作流授权的具体实施要依赖于流程的上下文。 　　近二十年来研究人员提出许多访问控制模型。早期的访问控制模型有Harrison、Ruzzo和Ullman提出的HRU模型，Jones等人提出的Take??Grant模型等。后来，又有自主访问控制模型(discretionary access control，DAC)和强制访问控制模型(mandatory access control，MAC)被提出[2]。近年来访问控制技术研究的热点集中于Ferraiolo和Huhn提出的基于角色的访问控制(role??based access control，RBAC)和Thomas和Sandhu提出的基于任务的授权控制(task??based authentication control，TBAC)上[3~5]。 　　TBAC采用的是面向任务的观点，从任务执行的角度来建立安全模型，对象的访问权限随着所执行任务的上下文环境的改变而发生变化。而TBAC的缺陷在于不适合大型企业的应用，因为工作流管理系统主要是应用于大型企业的流程自动化管理，那么该系统的访问控制就会不可避免地牵涉到许多任务以及许多用户的权限分配问题，而TBAC只是简单地引入受托人集合来表示任务的执行者。这样的系统虽然达到了基于任务授权和提高安全性的目的，但是管理异常复杂；另外，该模型也没有对执行任务过程所需要的操作权限的控制。 　　基于角色的访问控制是根据主体所扮演的角色被赋予的权限来决定主体访问权限的一种访问控制模式。角色的概念被定义为同一个特殊工作活动联系在一起的行动和能力集。一个用户可经授权而拥有多个角色，一个角色可由多个用户构成；每个角色可执行多种操作，每个操作也可以由不同的角色执行；每个操作可以施加于多个客体，每个客体也可以接受多个操作。RBAC的优点是便于授权管理，便于职责分离。而RBAC只是从系统的角度(控制环境是静态的)出发保护资源。它没有将执行操作所处的上下文环境考虑在内，这样容易造成安全隐患。 　　鉴于两种访问控制技术在工作流应用访问控制中的不足，笔者提出了一种基于角色和任务的工作流的访问控制模型RTBWAC。RTBWAC的目标是建立一种工作流环境下基于角色与任务的访问控制，既能保护工作流应用数据不被非法用户访问，又适合大型企业应用。 　　 　　1基于角色和任务的工作流访问控制 　　 　　1.1主要概念 　　RTBWAC的基本概念包括用户、角色、许可、权限、活动、应用数据、数据对象、操作、静态约束和动态约束。 　　a)用户(user)是完成系统活动实例的参与者，既可以是人，也可以是某个应用程序； 　　b)角色(role)是根据部门、职责、权限等抽象出来的某一类型的用户的描述； 　　c)许可(permission)是指具有执行某个应用数据操作的能力； 　　d)权限(privilege)是具体的对某个数据对象的操作能力； 　　e)活动(activity)是为实现某一目标由人工或自动完成的任务的集合； 　　f)应用数据(application data)是工作流系统中应用到的数据； 　　g)数据对象(data object)是指某个活动所处理的具体数据，如某份公文、某个订单等； 　　h)操作(operation)是用户可以对对象进行的动作，如文件的读、写操作，打印机的打印操作等。 　　在工作流环境中，为了减少商业欺诈的风险，用户、角色、许可和活动均需要一定的限制。Botha和Elof将它们归结为四种类型的冲突：冲突许可、冲突角色、冲突活动和冲突用户[6]。这些冲突可以通过授权约束规则进行描述。授权约束分为静态约束(static constraint)和动态约束(dynamic constraint)两种类型。静态约束是在用户、角色、许可和活动配置时进行