工作流管理中基于规则策略访问控制.docVIP

工作流管理中基于规则策略访问控制 　　摘要：提出了一个工作流管理中基于规则策略的访问控制模型，给出了规则模型的集合表达和定义，重点分析了规则解释器的实现和关键算法，最后给出了一个应用。 　　关键词： 工作流管理系统； 访问控制； 基于角色的访问控制； 规则表达式 　　中图分类号：TP309文献标志码：A 　　文章编号：1001－3695(2008)03－0885－03 　　 　　工作流管理系统是一个快速发展的领域，它使用户可以设计、分析、执行和监控其业务过程，对流程进行高效管理。随着工作流管理系统的应用日趋广泛，其安全问题引起了人们越来越多的关注。信息安全的基本服务为认证、机密性、访问控制、数据完整和不可否认，受保护的数据有工作流控制数据、工作流相关数据和工作流应用数据。本文关注的是应用数据的访问控制保护。 　　当前在工作流管理系统中进行应用数据访问控制的主要是RBAC机制。为了实现与业务逻辑相关的细粒度权限控制，通用做法是提供一种上下文敏感的能够扩展到较细粒度的访问控制模型。例如，文献[1]通过向工作流引擎提交角色属性认证的方法，提出了一种在不影响现有网络工作流系统的前提下使用RBAC的实验框架，保证了任务和过程只能由限定的用户完成。文献[2]将访问许可归结为实体之间的冲突，提出了冲突实体管理范式（conflicting entities administration paradigm，CoAP），很好地解决了工作流环境中的责任分离问题。在细化控制目标粒度、归纳访问控制约束、扩展RBAC模型以适应对工作流应用数据严格保护的过程中，人们做了很多有意义的工作。例如，文献[3]从一个医护领域的例子出发，提出了工作流系统中基于谓词表达式的访问控制模型。文献[4]中定义了一种以逻辑程序检查授权规约的语言，并基于该语言提出了角色分配计划算法。该算法得到一个将角色和用户分派到不同任务的计划，从而满足相关的访问许可。文献[5]将工作流看做绑定了授权规约的任务集合的视图，认为访问控制的各种规约可以由通用形式即分配规约(entailment constraint)表示，从而将工作流管理信息和访问控制信息更好地结合起来。文献[6]给出了如何利用应用程序中的上下文信息作出访问控制判断的抽象描述，并以一种面向对象的语言为例实现了与上下文相关的细粒度权限的限制。这些研究通常以特定的应用场景为出发点，使用不同的实现形式如谓词表达式[3]、规约定义语言[4]、分配规约[5]、上下文约束[6]等，很好地解决了权限分离的问题。但是工作流管理系统中的业务规则千差万别，通常不能使用语言或算法等方法进行一般化处理，需要一个具有更强表达能力的系统来表示各种复杂的授权。 　　笔者认为各种访问许可规则均可以被抽象为规则表达式，由此提出了一个工作流管理中基于规则策略的访问控制模型，将访问许可规则从工作流管理系统中分离出来，构建了一个相对独立的规则表达式系统模型，从而提供灵活、 　　独立、可复用的授权规则管理。 　　 　　1规则模型 　　 　　1．1工作流访问控制模型 　　基于角色的工作流环境中，访问控制模型一般定义为[7,8] 　　M={roles,users,sessions,permissions,tasks,process}。 　　该多元组中的元素为： 　　roles表示角色集合，通常指在一个组织背景下的职能，根据授权附有相关语义； 　　users表示用户集合； 　　sessions表示会话集合，它是用户使用系统的特定实例，定义了一个活动角色的子集； 　　OBJS表示对象的集合； 　　OPS表示对对象实施访问操作的集合，如创建、修改、删除、查看、更新等； 　　permissions??OBJS×OPS表示权限集合，是对象与操作之间的多对多关系； 　　tasks表示一个工作流中任务的集合； 　　process=2tasks表示业务流程，它是由若干任务组成的集合。 　　1．2规则模型的集合表达 　　在工作流访问控制模型的基础上，参照RBAC标准[9]，本文定义规则模型为 　　M={operands,operators,rules}。 　　该多元组中的元素为： 　　constants是常量集合； 　　attributes是实体对象的安全属性集合，环境变量看做是sessions的安全属性； 　　operands=constantsuattributes表示操作数集合； 　　operators表示运算符集合，包括比较运算符、集合运算符、布尔运算符等； 　　domain(oprnd:operands)是获得操作数运算的值域的函数； 　　domain(oprtr:operators)是获得操作符运算的值域的函数；