安全工作流用户分配的策略.docVIP

安全工作流用户分配的策略 　　摘要：根据工作流执行的特点，在基于任务角色访问控制模型的基础上，提出了用户基本分配策略、用户负载均衡、用户职责分离、用户基数约束等分配方案，有效地提高了资源的利用率和工作流的执行效率。?? 　　关键词：工作流； 访问控制； 负载均衡； 职责分离； 基数约束 　　?ぶ型挤掷嗪牛?TP311文献标志码：A 　　文章编号：1001－3695(2008)01－0238－03 　　?? 　　工作流技术[1]在近年来得到了越来越多的关注,被广泛应用于电子商务和电子政务等领域中,其安全问题也日益突出。 WfMC在其安全白皮书中提及工作流中的安全服务包括认证、授权、访问控制、审计、数据保密性、数据完整性、不可否认和安全管理[2]。访问控制是其中的一个重要组成部分，已成为近年研究的热点。研究者提出了很多适合工作流的访问控制模型，如基于角色的访问控制(RBAC)[3]、基于任务的访问控制(TBAC)[4,5]和基于任务角色的访问控制模型(TRBAC)[6]等。然而这些访问控制模型均没有考虑工作流执行的特点，即企业业务流程完全或部分的自动化,它根据一定的过程规则集把业务所需的文档、信息或任务从一个参与人传递到下一个参与人。如果由于用户的分配不当，使得具有执行该任务权限的用户繁忙或工作流中某一任务暂时没有相应权限的用户执行，工作流执行处于挂起状态或夭折，从而降低了工作流的执行效率。针对这一情况，本文在基于任务角色访问控制模型的基础上，根据工作流执行的特点，提出了一些新的用户分配策略，有效地提高了资源的利用率和工作流的执行效率。?? 　　 　　1TRBAC模型及其元素?? 　　 　　TRBAC模型(图1)基于TBAC和RBAC模型。它将角色的概念引入到TBAC 模型中,每个角色具有一定的权限,用户通过扮演某个角色而获得相应的权限。但TRBAC模型中的角色与RBAC 模型中的角色语义不同。在TRBAC模型中,用户通过扮演某个角色而拥有某个任务的执行权限,当任务执行结束或挂起时,角色所拥有的权限将被收回或冻结。而在RBAC模型中,用户扮演某个角色后就能够随时使用该角色所拥有的权限。由于在TRBAC模型中对用户的权限是通过角色和任务来进行分配和管理的,通过角色实现了用户与访问权限的逻辑分离,基于角色的策略极大地方便了权限管理,消除了用户变化(包括添加新用户、删除已有用户等)对工作流程的影响,有利于工作流程的标准化并增强了可重用性；同时通过任务实现了对访问权限的动态控制,实现了对用户访问行为的时间关联约束,保证了控制权安全一致的传递[7,8]。?? 　　 　　2TRBAC用户分配策略?? 　　 　　TRBAC模型根据工作流任务的执行顺序，由TRA激活具有执行当前任务权限的角色，然后通过URA查询到能够承担该角色的所有用户，选择其中一个用户来承担该角色执行相应的任务。然而TRBAC模型并没有给出承担角色的用户如何选择，如果选择不当，将会使工作流后续任务无法执行，造成工作流在执行中途挂起或夭折。如图2所示，一个简单的业务流程中包含两个并发的任务T??1、T??2，分别需要角色R??1、R??2执行。当前有两个用户U??1、U??2，且用户U??1能够承担角色R??1、R??2，可以执行任务T??1、T??2，用户U??2只能承担角色R??1，可以执行任务T??1。如果在执行任务T??1时，URA将用户U??1分配给角色R??1，那任务T??2就没有用户能够承担角色R??2来执行，使得这一业务流程中途夭折；反之，如果用户U??2承担角色R??1执行任务T??1，用户U??1承担角色R??2执行任务T??2，则业务流程能够顺利执行。?? 　　图1TRBAC访问控制模型图2简单的业务流程 　　针对上述问题，根据TRBAC访问控制的特点，提出了用户基本分配策略、用户负载均衡、用户职责分离、用户基数约束等分配方案，能够更好地满足工作流的执行特点。?? 　　2．1基本分配策略?? 　　策略1充分发挥每一个用户的特长。一个用户通常能够执行大量种类的任务，其中某些种类的任务可以是他的专长。例如，一个查税人员具备评估各种纳税申报资格，尤其擅长建筑承包商的纳税。如果遇到建筑承包商的纳税，就应该尽量交给这个查税人员。?? 　　策略2让一个用户连续做类似的任务。任何用户开始执行新任务时，都需要额外的预热时间，即开始一项新的任务需要准备时间，如打开一个新任务使用的应用程序时间。通过一个接一个地执行类似的任务，可以缩短预热时间。此外，重复性工作可以按部就班，有效降低平均处理时间。?? 　　策略3为将来尽可能预留弹性资源。如果必须在两个用户间进行选择，而他们在执行该工作项上是相等的，最好是选择那个相对只能够处理少量其他种类