工作流环境下访问控制技术研究制造信息科学与技术专业论文.docxVIP

4 A A Dissertation in Manufacturing Information Science and Technology ‘1 ●f 吖 Research on Technology of Access Control under纬白rkflOW By Wei Yonghe Supervisor：Professor Wang Chengen Northeastern University May 2009 ，..气 、电 .r 飞 独创性声明本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人已经发表或撰写过 的研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 =￡巴 思0 学位论文作者签名：习甩匀L仓 日期：州．．； 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 作者和导师同意网上交流的时间为作者获得学位后： 产I 半年一 一年口 一年半口 两年口 学位论文作者签名：豕D孛△ 导师签名： ?砰震 签字日期：乃w了7．弓 签字日期： 沙一一．， F -. .r 气 f 东北大学博士学位论文 东北大学博士学位论文 摘要 工作流环境下访问控制技术研究 摘要 工作流管理技术是实现组织业务过程建模、业务过程分析优化以及业务过程自动化 的核心技术，在电子商务、电子政务和企业信息化领域有着广泛的应用。工作流将业务 流程中各种各样的活动划分为一系列预先定义好的任务。这些任务应该由根据组织管理 策略规定的合法用户或系统来执行。安全策略是一项重要的管理策略，是确保组织安全 目标的一个重要手段，一般通过各种安全模型和机制来实现。访问控制技术就是一项关 键的安全机制，它在保证合法用户访问资源的前提下，可以有效的限制用户对关键资源 的访问，为信息系统提供可用性、完整性和机密性服务，已成为研究和应用的热点。 访问控制是工作流安全的基本问题，但是工作流所具有的分布性、异构性和动态性 等特点对访问控制技术提出了许多新的挑战。在工作流环境下，访问控制不仅要满足信 息安全的基本需求，而且要满足工作流中细粒度授权、环境感知授权、动态授权原则、 最小权限原则和职责分离原则等特殊需求。工作流访问控制研究不仅在理论上可以借助 形式化方法描述系统元素、精确表达安全策略、进行系统安全证明，而且在应用中，能 够直接影响工作流管理系统的可用性、易用性和安全性。因此，工作流环境下访问控制 技术的研究不仅具有重要的理论价值，还具有广泛的应用价值。 本文在分析工作流访问控制需求和研究现状的基础上，对工作流访问控制的模型、 委托授权、可视化描述及面向服务的工作流访问控制等关键技术进行了重点研究。本文 的主要研究内容如下： 1)对论文研究相关的内容进行综述。通过查阅大量的文献，对访问控制及工作流 环境下的访问控制的模型、授权约束、委托授权、可视化描述系统等几个方面的研究现 状分别进行了综述； 2)针对工作流访问控制的特点，对工作流访问控制模型和授权约束进行研究。提 出了面向任务的工作流访问控制模型，该模型以任务为核心建立授权任务概念，将权限 和角色作为授权任务的属性，使角色和权限脱离关系。模型以授权任务作为实施授权的 基本单元，不仅能够满足工作流访问控制对动态授权、最小权限和职责分离的要求，还 解除了组织模型和工作流模型的耦合关系。通过对工作流授权约束的分析，定义了任务 约束、权限约束和约束传递关系，建立了流程中权限和任务的约束集，构建了授权约束 规则集对授权合理性进行验证，给出了基于权限和任务的工作流授权合理性验证的算 法，通过一个流程实例验证了该模型和授权合理性验证方法的实用性。 东北大学博士学位论文 东北大学博士学位论文 摘要 3)工作流环境下委托授权机制的研究。在工作流环境下，委托意味着一个授权用 户将其执行任务的职责转移给其他用户。工作流被批评缺乏灵活性的一个重要原因是不 能很好地支持委托授权。为解决此问题，通过对工作流环境下委托授权特征的分析，提 出了一种独立于授权模型、用户一用户、非单调、多步、确认协议的工作流委托授权机 制。该委托机制定义了委托条件、委托约束、委托关系、委托及委托撤销判定规则来支 持执行任务权限的委托和撤销，并给出了委托实施算法和实现此机制的体系架构。 4)研究了工作流访问控制的可视化描述。使用能准确描述语